Gestisco un sito Wordpress per la registrazione di un evento. Il sito è attivo solo per alcuni mesi all'anno. Il resto dell'anno è inattivo, come in it's up, ma non mantenuto attivamente.
Ora è giunto il momento di prepararlo di nuovo e ho notato che tutti i post e le pagine sono stati modificati. Nella parte inferiore di ogni pagina / post è stato aggiunto un tag di script. Questo tag crea un collegamento ad alcuni siti web, se spesso link a domyhomework.com
o qualcosa di simile.
Tutte queste modifiche sono state apportate dallo stesso utente che è solo un "editore" e non un amministratore. È chiaro che questo utente in realtà non lo ha fatto, ma è anche chiaro che il suo account è stato utilizzato. Le modifiche sono avvenute tutte nella stessa data, dalle 11:51 alle 11:54.
Ho cambiato la password per l'utente, così come "disconnetti tutte le altre sessioni". Ho anche installato un logger di attività più solido, che monitorerà il sito da ora in poi.
Mi piacerebbe sapere cosa è successo esattamente qui, in modo che possa prevenirlo in futuro.
modifica: sembra che l'utente abbia malware sul suo computer e, una volta effettuato l'accesso al sito, viene eseguito uno script e lo aggiunge a pagine / post, ma non so come prevenire qualcosa del genere, o se ciò è possibile .