O primeiro lugar para procurar é seus registros da web. Procure por 404s, que têm strings de consulta estranhas, que devem dar a você um começo.
Alguém foi capaz de hackear minha instalação do Wordpress 3.2.1, ter acesso ao painel de controle como administrador e temperar com o arquivo index.php do tema. Ele não excluiu nenhum dos arquivos do site nem causou mais danos (não tenho certeza se ele foi gentil ou teve acesso limitado).
Minha pergunta é como rastrear a causa do problema? tudo o que sei é que, antes de o site ser invadido, recebi um e-mail do wordpress dizendo que pedi para alterar a senha do administrador.
Alguma ideia de onde começar a procurar?
Obrigado Mashhoor
O primeiro lugar para procurar é seus registros da web. Procure por 404s, que têm strings de consulta estranhas, que devem dar a você um começo.
My question is how do I trace the cause of the issue? all I know is that before the site got hacked, I got an email from wordpress saying that I requested to change the admin password.
A mensagem de e-mail dá uma idéia de quando o hack pode ter aparecido e que a função de redefinição de senha fazia parte do exploit.
Onde procurar? Basicamente, você pode começar com seus logs do servidor. Quais solicitações foram feitas dessa vez? Procure por solicitações POST e GET, alguns servidores registram, na verdade, os dados do POST, o que pode ser útil para descobrir mais, embora nem sempre seja o caso.
Uma vez que um invasor tenha acesso de administrador ao seu blog, ele / ela normalmente pode modificar todos os arquivos em uma configuração de wordpress. Esse é o preço a pagar pela implementação da atualização automática no wordpress, porque a maioria dos arquivos deve estar acessível. No entanto, em uma configuração segura, os arquivos são somente de gravação. Essas informações podem ajudar a entender como um hack pode ser realizado e como evitá-lo no futuro.
Procure também as atualizações do wordpress na programação 3.2.x ou o downgrade para 3.1.4, 3.2.1 é bastante novo e não é testado na natureza, especialmente para explorações.
Outro método para rastrear as coisas é configurar uma instalação do honeypot com a mesma configuração com o registro completo ativado e as notificações, para saber mais sobre os ataques que aconteceram. Muitos ataques são feitos automatizados para fins de spam (ou apenas worms) para que você possa usar o site honeypot para detectar esses padrões de ataque. Você sabe que o site foi atacado quando os arquivos foram alterados ou adicionados.
Eu sei que isso é após o fato, mas tente instalar o plugin WordPress File Monitor. Pelo menos, no futuro, você terá uma ideia de quais arquivos foram alterados e se foram enviados.