Унутар базе зараженог/хакованог сајта можемо наћи спам садржај и/или помоћни код који ће бити искоришћен од стране малициозног кода у фајловима сајта. Ево на шта треба да обратимо пажњу:
Лажни налози
Лажни налози најчешће имају статус администратора и лако их је уочити јер сајтови обично немају огроман број администратора и уколико сте упућени у то ко су све администратори на сајту, лако је видети ко је „вишак“. Приликом већине напада добијају генеричка имена и имејл адресе, попут wpadmin, wpsupport, [email protected] итд.
Спам садржај
Гомила линкова ка сајтовима који продају лекове, порно или дејтинг сајтовима или једноставно ка другим сајтовима који садрже малвер који су убачени у чланке и странице сајта су уобичајена појава. Ово се може негативно одразити на сајт у контексту резултата Гугл претраге.
Уклањање се своди углавном на едитовање садржаја или кроз едитор стране или директно у бази података. Уколико је у питању велика количина података, додаци попут могу бити од помоћи. А уколико спам уноси нису истог формата (нпр. на једном месту имате линкове, на другом текст, и све од овога је различито), може се десити да сав посао морате да одрадите ручно.
Табела wp_options
Ова табела, наравно, чува већину подешавања самог WP-a, тема и додатака. Код неких врста напада, међу опције се убацује малициозни JS код, спам текст или нека друга врста payloada.
На пример, релативно популарна Newspaper тема је имала велики сигурносни пропуст. У то време, сваки сајт на ком сам радио а имао је наведену тему, увек је био мета напада – што ми је значајно олакшавало посао. Овај пропуст је дозволио људима који нису улоговани на сајт да уносе подешавања у базу, односно да мењају постојећа. Тако смо дошли до овога:
Или познати WP_VCD малвер који у неким својим верзијама у wp_options зна да дода истоимену опцију коју даље користи за своје потребе.
Закључак
Поменућу још и спам коментаре, мада у већини случајева ово само значи да имате лошу анти-спам заштиту на формама за коментаре (tl;dr – користите Акисмет).
Дакле, код базе података је потребно обратити пажњу на: лажне кориснике, спам линкове, малициозни JS код, податке и опције енкодиране користећи base64 и др.