A hordozható phpmyadmin plugin veszélyes a wordpress közösség számára, minden a wordpressről
Ma találtak egy másik veszélyes plugint, amely a WordPress repository-ban található - a Portable phpMyAdmin. Ha telepítve van a plug-in webhelyén, győződjön meg róla, hogy deaktiválja és törölje. Hogyan működik ez a plugin? Mi az? Plug-in A hordozható phpMyAdmin egyszerűen működik (ami valójában a probléma gyökere). Miután belépett a webhely adminisztrációs paneljébe, megnyithatja a Portable PMA menüt a fő adatbázisba. Miután ezt megtette, megnyílik a phpMyAdmin a WordPress adminisztrációs panelén belül. Nem rossz, igaz? Természetesen ha rendszergazda vagy, akkor az eszközökkel együtt kell dolgoznia az adatbázisban.
Mi a probléma?
Semmi sem szörnyű? Az előfizető csak egy személyes profillal rendelkező oldalhoz férhet hozzá. Úgy tűnik, mindent megbízhatóan védenek, egy külső megfigyelő gondolkodik, és ... téved.
Mit látunk?
Valószínűleg a webhely phpMyAdmin és szabványos táblázatait fogja látni, amint azt a képernyőképen látható:
A webhelyén egy olyan előfizető, aki ismeri az ilyen fogadást, hozzáférhet a fő adatbázisához. El tudja képzelni, mit tehet?
A szerver és az adatbázis beállításaitól függően a felhasználó megsemmisítheti az adatokat, törölheti az adatbázisokat, új adatbázisokat hozhat létre, és végül megzavarhatja a teljes webhely egészének működését. Ha minden adatbázis közös, akkor a felhasználó nem csak az adott adatbázishoz, hanem a fürt összes adatbázisához is hozzáférést kap.
Válassza ki az adatbázist a képernyő bal oldalán található legördülő listából. Láthatja az összes adatbázis táblát és a benne tárolt összes információt.
A bal oldali legördülő listából válassza ki a módosítani kívánt adatbázist (tipp: ez nem információ_schema). Amint megjelenik a táblázatok listája, válassza a wp_users (egyes webhelyek) vagy a wpmain_users (multisites) lehetőséget.
A Struktúra lap valószínűleg aktív lesz. A Tallózás gombra kattintva megtekinthetjük az adatbázistáblákban tárolt adatokat a képernyő alsó felében. Kattints a mezőre bármely felhasználónév mellett, és kattints a ceruza ikonra az asztal tartalom alatt. Megjegyzés: ne használja a ceruza ikont a bejegyzések listájához, mivel ez valószínűleg 404 hibát eredményez.
Ahogy láthatja, elég sok időt és erőfeszítést igényelt ahhoz, hogy weboldalat kezelhesse.
Mi mást tehetek?
Mint korábban említettem, mindez a szerver és az adatbázis beállításaitól függ. A kiszolgáló nem engedélyezi az új adatbázisok létrehozását, de nem minden kiszolgáló pontosan megegyezik. Ha ez nem tiltott, akkor a támadó új adatbázisokat hozhat létre, megváltoztathat valamit meglévő adatbázisokban, törölheti az adatbázisokat stb. A lehetséges problémák sokak.
Ez a plugin még mindig a webhelyén van? Vegye ki azonnal! És soha többé nem tér vissza hozzá!
Nem érdekli a plugin fejlesztője?
Függetlenül attól, hogy a plug-in frissül-e, még mindig nem használom sem a jövőben sem a jövőben. Nem értem, hogy miért van szüksége egy személy számára ahhoz, hogy hozzáférjen a saját adatbázisához az admin panelben. Vannak más, biztonságosabb módok az adatbázis használatára.
Milyen plugincserék léteznek?
Az első megoldás, a phpMyAdmin okoz némi aggodalmat a múltban történtek miatt, ezért személyesen használom a Navicat eszközt. Van mindent, amit akar. Más megoldások nem működtek.