Днес е била открита още една опасна тапа присъства в хранилището WordPress - Portable PhpMyAdmin. Ако сайтът ви е инсталирана приставката, не забравяйте да го изключите и да премахнете. Как се работи този плъгин? Какво е имал предвид? Преносими PhpMyAdmin работи приставката ви обясня (което, всъщност, е коренът на проблема). Веднага след като влезете в администраторския панел на сайта си, можете да получите достъп до основната база данни, като отидете в менюто Portable PMA. След като направите това, можете да отворите PhpMyAdmin вътре в администраторския панел на WordPress. Не е зле, нали? Разбира се, ако сте администратор, и по тази причина, трябва да има средства за работа с база данни.
Така че, какъв е проблемът?
Изглежда, че това е добре? Абонатът има достъп само на страницата с личния си профил. Изглежда, че е добре защитен, мисля страничен наблюдател и ... заблуждават.
Какво виждаме?
Най-вероятно ще видите PhpMyAdmin и стандартни таблици на вашия сайт, както е показано на снимката по:
Абонатите на вашия сайт, който знае за този прием да получите достъп до база данни майстор. Представяте ли си какво може да направи?
В зависимост от конфигурацията на сървъра и базата данни, потребителят може да унищожи данните, изтрийте базата данни, създаване на нова база данни, както и, най-накрая наруши функционирането на целия сайт като цяло. Ако всички бази данни се споделят един за друг, а след това потребителят ще има достъп не само до базата данни на едно място, но и до всички бази данни в клъстера.
Изберете база данни от падащия списък в ляво на екрана. Ще имате възможност да видите всички таблиците в базата данни и цялата информация, съхранявана в тях.
От падащия списък в лявата част, изберете базата данни, която искате да промените (Съвет: това не е INFORMATION_SCHEMA). Веднага след като видите списък на маси, изберете wp_users (за отделни обекти) или wpmain_users (за Многосайтово).
Най-вероятно в раздела Структура е активен. Щракнете върху раздела Преглед, за да видите данните, съхранявани в таблиците в базата данни в долната половина на екрана. Натиснете върху полето до всяко потребителско име и кликнете върху иконата на молив, който се появява под таблицата на съдържанието. Забележка: Не използвайте иконата на молив, за да видите списък на документите, тъй като това може да доведе до появата на 404.
Както можете да видите, отне доста време и усилия, за да стигнем до своя уебсайт управление.
Какво друго можеш да направиш?
Както отбелязахме по-горе, всичко зависи от конфигурацията на сървъра и базата данни. Моят сървър не може да създаде нови бази данни, но не всички сървъри са конфигурирани точно същото. Ако това не е забранено, а след това нападателят да създадете нова база данни, за да се промени нещо в съществуващата база данни за отстраняване на вашата база данни и т.н. Потенциални проблеми много.
Този плъгин е все още на сайта си? Махни го веднага! И никога не се върна към него!
Е разработчик плъгин не го е грижа за това?
Независимо от това дали модифицираната плъгин, аз все още няма да го използвам, нито сега, нито в бъдеще. Не мога да разбера защо един човек може да се наложи достъп до собствената си база данни в рамките на администраторския панел. Има и други, по-безопасни начини за работа с базата данни.
Какви резервни плъгин съществува?
Първото решение, Внос Внос PhpMyAdmin, причинявайки ми малко загриженост във връзка с това, което вече се е случило в миналото, така че аз лично използват Navicat инструмент. Това е всичко, което си сърце желае. С други решения не са работили.