Левые адреса в строках home и siteurl в базе данных
Если на сайте следующее:
- В настройках в админке WordPress в полях Адрес WordPress (URL) и Адрес сайта (URL) адрес моего сайта указан верно.
- В фале wp-config.php в строках define( 'WP_HOME'.... и define( 'WP_SITEURL',... адрес сайта также указан верный.
- В базе данных в таблице wp-options в строке siteurl стоит
https://line.storerightdesicion.com/ping/?time.js, а в строке home стоитhttps://get.belonnanotservice.ga/away?.
Я правильно понимаю, что это взлом с редиректами? Никаких явных редиректов ни на сайте,ни в админке нет.
Встречались кому эти адреса?
Да. Это вредоносная подмена siteurl/home, домены line.storerightdesicion.com и belonnanotservice.ga давно фигурируют в WP-редирект-инфекциях.
Что проверять
На сайте были юзвери с никами xtw+куча цифр. Судя по отчетам плагина защиты, эти логины постоянно пытаются авторизоваться. По несколько раз разные за сутки.
Это из той же серии или самостоятельные уродцы?
я бы еще посоветовал посмотреть, через панель, даты изменения файлов - так можно старенький эксплойт найти. У меня сайтам по 5 и более лет после взлома и до сих пор некоторые 404 долбятся по URL.
А ещё мой горький опыт, сайт ломанули 2 раза подряд - не заметил юзера в базе данных: -
Я так думаю, что у меня в БД тоже хвосты старого взлома. Пользователей с именами XTW... мочканул года три назад. Антивирус хостера тогда сайт вылечил. А вот в БД две строки эти остались как минимум с конца 22 года. Более ранних бекапов БД у меня нет посмотреть.
Будем искать. Может, ещё где-нибудь хвост есть. Не зря же запросы на логины от XTW... идут постоянно и только на этот сайт.
Я вход сделал через мыло, без всяких вводов паролей. Но до конца не уверен в безопасности, но удобнее однозначно, если ты один логинешся на сайте.
Мои админские пароли задолбаются подбирать. Только в случае целенаправленного взлома есть смысл заморачиваться. Проще поломать другие. В сети миллионы сайтов с минимальной или вообще без защиты.