WordPress incidenskezelés

Ismeretlen admin felhasználó jelent meg a WordPress-ben - mit tegyek azonnal?

Ismeretlen admin felhasználó jelent meg a WordPress-ben - mit tegyek azonnal?

Ha ismeretlen admin felhasználó jelent meg a WordPress-ben, kezeld biztonsági incidensként. Egy adminisztrátor teljes hozzáférést kaphat a tartalomhoz, felhasználókhoz, pluginokhoz és sok esetben a szerveren futtatható PHP-kódhoz is. A fiók egyszerű törlése szükséges, de nem elegendő: meg kell állapítani, hogyan jött létre, és mit tett a létrehozása óta.

Lehet, hogy egy kolléga vagy ügynökség hozta létre és elfelejtett szólni, de ezt ne feltételezd bizonyíték nélkül. Ellenőrizd a tulajdonost, a regisztráció időpontját, a kapcsolódó belépéseket, a telepített komponenseket és a fájlváltozásokat.

A legfontosabb, hogy őrizd meg a bizonyítékokat, miközben gyorsan megszünteted a támadó aktív hozzáférését.

Milyen jelek teszik különösen gyanússá a fiókot?

Ha a fiók újra megjelenik, valószínűleg automatizált perzisztencia működik. Ekkor a WordPress újrafertőződés okai is relevánsak.

Hogyan hozhat létre admin fiókot egy támadó?

Gyakori belépési utak:

Egy támadó nem feltétlenül használja sokáig a létrehozott fiókot. Telepíthet backdoort vagy létrehozhat application passwordöt, majd később más csatornán térhet vissza.

Az első 15 perc teendői

  1. Készíts képernyőképet a felhasználóról és jegyezd fel az azonosítóját.
  2. Mentsd le az access-, error- és biztonsági naplókat.
  3. Ha az üzleti kockázat indokolja, tedd karbantartási módba az oldalt.
  4. Tiltsd le vagy töröld az ismeretlen admin fiókot.
  5. Törlésnél ne rendeld automatikusan hozzá a tartalmát más felhasználóhoz vizsgálat nélkül.
  6. Jelentkeztesd ki az összes aktív felhasználói munkamenetet.
  7. Cseréld le a legitim adminok jelszavát.
  8. Generálj új WordPress salts értékeket.
  9. Kapcsold be a kétfaktoros hitelesítést.
  10. Ne kezdj vakon pluginokat és fájlokat törölni a bizonyítékok mentése előtt.

Ha a támadó éppen aktív, a hozzáférés gyors megszüntetése elsőbbséget élvez. Ettől még a későbbi vizsgálathoz legalább a naplókat és az adatbázis pillanatképét próbáld megőrizni.

Mit vizsgálj meg az adatbázisban?

A WordPress felhasználók alapadatai a wp_users, jogosultságai pedig a wp_usermeta táblában vannak. A prefix nem minden oldalon wp_.

Példa lekérdezések:

SELECT ID, user_login, user_email, user_registered
FROM wp_users
ORDER BY user_registered DESC;
SELECT user_id, meta_key, meta_value
FROM wp_usermeta
WHERE meta_key LIKE '%capabilities%'
   OR meta_key LIKE '%user_level%';

Ellenőrizd:

A user_registered mező manipulálható, ezért csak egy adatpont. Vesd össze a naplókkal és fájlváltozásokkal.

Milyen napló- és fájlnyomokat keress?

Az access logban keresd:

Vizsgáld át:

wp-content/plugins/
wp-content/themes/
wp-content/mu-plugins/
wp-content/uploads/
wp-config.php
.htaccess

Keresd az ismeretlen fájlokat, friss módosításokat, távoli kódletöltést, rejtett admin-létrehozó kódot és cron feladatokat. Egy rosszindulatú részlet például wp_create_user vagy wp_insert_user hívással hozhat létre fiókot, majd set_role('administrator') használatával emelheti a jogosultságot.

Miért nem elég törölni a felhasználót?

A fiók lehet csak egy köztes eszköz. A támadó közben:

Ha a Google már kéretlen találatokat mutat, kövesd a Google által indexelt spam oldalak eltávolításának lépéseit is. Ha átirányítás történik, vizsgáld meg a WordPress átirányításos malware lehetőségét.

Helyreállítás és hozzáféréscsere

A vizsgálat alapján:

Webshop esetén ellenőrizd az admin által elérhető rendelési és személyes adatokat is. Ha adatszivárgás lehetősége fennáll, adatvédelmi és jogi kötelezettségek is felmerülhetnek.

Elkülönítés, helyreállítás és üzleti folytonosság

Nem minden incidensnél kell azonnal teljesen lekapcsolni az oldalt. A döntést az aktív támadó jelenléte, az érintett adatok érzékenysége és az oldal üzleti szerepe alapján kell meghozni. Egy bemutatkozó oldalnál rövid karbantartás elfogadható lehet, egy webshopnál viszont a leállás és a további adatszivárgás kockázatát együtt kell mérlegelni.

Lehetséges elkülönítési lépések:

A helyreállított példányt ne ugyanazokkal a hitelesítő adatokkal indítsd el. Ha a támadó megszerezte a jelszavakat vagy API-kulcsokat, a technikailag tiszta rendszerbe is vissza tud lépni.

Mit dokumentálj az incidens során?

Egy rövid, pontos incidensnapló technikai, kommunikációs és jogi szempontból is fontos. Rögzítsd, mikor és ki fedezte fel az ismeretlen admint, a fiók azonosítóját és szerepkörét, az első és utolsó ismert aktivitást, valamint azt, milyen bizonyítékokat mentettetek le.

Jegyezd fel a fiók tiltásának idejét, a lecserélt hozzáféréseket, a módosított fájlokat és beállításokat, az esetleg érintett adatokat, valamint a helyreállítás után bekapcsolt monitorozást.

Ne tárolj jelszavakat az incidensnaplóban. Elég a csere tényét és felelősét dokumentálni. Ügynökségi környezetben jelöld azt is, melyik fél kezeli a tárhelyet, a WordPress adminokat, a DNS-t és a külső integrációkat, hogy ne maradjon gazdátlan hozzáférés.

Külön ellenőrzőlista WordPress ügynökségeknek

Ha ügyféloldalt kezelsz, először tisztázd, ki jogosult incidenssel kapcsolatos döntést hozni. Ne küldj jelszót e-mailben, és ne hozz létre közös, több ember által használt admin fiókot csak azért, hogy gyorsabb legyen a helyreállítás.

Ügynökségi környezetben ellenőrizd:

Ha ugyanaz a technikai felhasználó több weboldalon admin, egy kiszivárgott jelszó több ügyfelet is érinthet. Ilyenkor ne csak a jelzést adó oldalon cserélj hozzáférést. Keresd meg az összes helyet, ahol ugyanaz a fiók, API-kulcs vagy deployment credential használatban van.

Az ügyfélnek tényszerű állapotjelentést adj: mi biztos, mi csak feltételezés, milyen korlátozás történt, és mikor várható a következő frissítés. Ne állítsd, hogy adatlopás történt bizonyíték nélkül, de azt se jelentsd ki túl korán, hogy biztosan nem történt.

Mikor tekinthető lezártnak az incidens?

A fiók törlése után ellenőrizd, hogy nem jön létre új admin, nincs ismeretlen munkamenet, a sérülékenységet javították, a hitelesítő adatokat lecserélték, és a fájlmonitor nem jelez új változást. Dokumentáld a lezárás alapját és a további megfigyelési időszakot.

A lezárást mindig egy név szerint kijelölt felelős hagyja jóvá.

Hogyan előzd meg?

További ellenőrzőpontokat a WordPress biztonsági GYIK tartalmaz.

Mikor hívj szakértőt?

Azonnal kérj segítséget, ha a fiók törlés után visszatér, webshop vagy ügyféladat érintett, nem áll rendelkezésre napló, több weboldal osztozik a tárhelyen, vagy nem tudod kizárni a backdoor jelenlétét.

A WebShield az ismeretlen admin fiókot nem önálló hibaként, hanem egy szélesebb incidens bizonyítékaként vizsgálja. Sürgős esetben az SOS helyreállítási csomagok felől indítható a beavatkozás.

Különleges esetek, amelyekre figyelj

Multisite rendszerben egy hálózati admin nagyobb hatókörrel rendelkezhet, mint egy normál webhely-adminisztrátor. Ellenőrizd a network admin felhasználókat és azt is, hogy a gyanús fiók mely aloldalakhoz kapott hozzáférést.

WooCommerce esetén nézd át a fizetési átjárók, webhookok, visszatérítések és rendelési exportok beállításait. Egy admin nemcsak kódot módosíthat, hanem bankszámlaszámot, értesítési címet vagy fizetési integrációt is átállíthat.

Ha a fiók nem jelenik meg a normál adminlistában, ellenőrizd, nem módosítja-e egy plugin a lekérdezést, és vesd össze közvetlenül az adatbázis rekordjaival. A támadó CSS-sel vagy admin hookkal is elrejtheti a felhasználót.

További vizsgálandó esetek:

Ezekben az esetekben a WordPress jelszó lecserélése önmagában biztosan nem fedi le az összes hozzáférési csatornát.

Ellenőrzés a helyreállítás után

A következő napokban figyeld az új felhasználókat, szerepkörváltozásokat, sikertelen és sikeres belépéseket, plugintelepítéseket, fájlváltozásokat és a gyanús IP-címek kéréseit. Állíts be riasztást új admin létrehozására.

Ellenőrizd azt is, hogy a törölt fiók munkamenetei és application passwordjei valóban érvénytelenek-e. Próbáld meg reprodukálni a feltételezett belépési utat javítás után. Ha sérülékeny endpoint volt az ok, annak már hitelesítés nélkül nem szabad végrehajtania a műveletet.

Az incidens akkor zárható le felelősen, ha az aktív hozzáférés megszűnt, a perzisztencia eltűnt, a belépési pontot javítottátok, az érintett adatokat felmértétek, és működik az utólagos monitorozás.

Összefoglalás

Az ismeretlen WordPress admin fiókot tiltsd le gyorsan, de előtte őrizd meg a legfontosabb bizonyítékokat. Forgasd le a hozzáféréseket, érvénytelenítsd a munkameneteket, ellenőrizd az adatbázist, naplókat, pluginokat és fájlokat. A valódi cél annak megállapítása, hogyan jött létre a fiók, és maradt-e más hozzáférése a támadónak.

Nem szeretnél legközelebb is fertőzést takarítani?

A WebShield folyamatos védelemmel, mentéssel és naplózással segít megelőzni az újrafertőződést.