Jak boty przejęły świeżą instalację WordPress w kilkanaście minut

Nowy hosting, ledwo co wgrane pliki WordPressa, przygotowana baza danych i podpięta domena. Czyli standardowa sytuacja. Instalator WordPressa został jednak pozostawiony otwarty – nie została dokończona konfiguracji. Efekt? W ciągu kilkudziesięciu minut boty znalazły otwartą instalację i dokończyły ją po swojemu.

---

Co się wydarzyło?

Po wejściu na stronę zamiast instalatora WordPressa pojawił się fałszywy ekran logowania do cPanelu.
W katalogach serwera znaleziono m.in. plik cpanel.php, który wykradał dane logowania i wysyłał je do bota na Telegramie.

Dodatkowo w folderze wp-content/plugins/ pojawiły się katalogi o losowych nazwach, podszywające się pod popularną wtyczkę Yoast Duplicate Post. Wewnątrz znajdował się ukryty webshell – narzędzie pozwalające włamywaczowi na pełną kontrolę nad serwerem.

---

Analiza logów serwera

Logi HTTP wskazały dokładny przebieg ataku:

• 17:41–18:26 – próby wejścia na /wp-admin/setup-config.php i /wp-admin/install.php.

• 18:27 – żądanie POST /wp-admin/install.php?step=2 z adresu 103.150.33.197 (Indonezja). Instalacja została zakończona przez bota, który utworzył konto administratora.

• 18:31–18:33 – logowanie do panelu WordPress i wgranie złośliwej wtyczki przez /wp-admin/update.php?action=upload-plugin.

• Kolejne żądania wykonywały pliki w /wp-content/plugins/[losowa_nazwa]/src/ui/.

Całość zajęła zaledwie kilka minut.

---

Dlaczego tak się stało?

Pozostawiony instalator WordPressa to jak otwarte drzwi bez zamka. Boty nieustannie skanują nowe domeny i jeśli znajdą install.php, przejmują stronę błyskawicznie.

W tym przypadku bot:

• Zakończył instalację i utworzył konto administratora,

• Zalogował się do panelu,

• Wgrał wtyczkę z backdoorem,

• Podmienił pliki, aby zbierać dane i umożliwić dalsze działania.

---

Jak się zabezpieczyć?

1. Nigdy nie zostawiaj otwartego instalatora

Dokończ instalację od razu.
Odkładanie na później to tak, jakbyś rozłożył w salonie ciasto i poszedł na tydzień – możesz być pewien, że ktoś spróbuje kawałek 🐜

Instalację WordPressa należy zakończyć natychmiast po wgraniu plików – otwarty instalator to zaproszenie dla botów.

---

2. Korzystaj z SFTP zamiast FTP

FTP przesyła hasła i pliki otwartym tekstem, a SFTP szyfruje połączenie tak, jak bankowość internetowa.

---

3. Zmieniaj hasła i twórz nową bazę przy reinstalacji

Hasła do panelu hostingu, SFTP, bazy danych i kont administratorów muszą być unikalne i silne.

---

4. Blokuj dostęp do instalatora

Dodaj do pliku .htaccess w katalogu głównym witryny:

---

5. Blokuj wykonywanie PHP w uploads

W katalogu /wp-content/uploads/ utwórz plik .htaccess o treści:

---

6. Włącz dodatkowe zabezpieczenia w WordPressie

• W pliku wp-config.php dodaj:

  define('DISALLOW_FILE_EDIT', true);


• Włącz dwuskładnikowe logowanie (2FA) dla konta administratora.

• Aktualizuj regularnie rdzeń WordPressa, motywy i wtyczki.

---

Atak na świeżą instalację WordPressa to nie jest „historia z internetu” – takie rzeczy dzieją się naprawdę i to bardzo szybko.

Wniosek jest prosty: WordPressa trzeba instalować i zabezpieczać natychmiast, bez odkładania na później.

Kilka prostych kroków (SFTP, blokada instalatora, nowe hasła, 2FA) pozwala uniknąć przykrych niespodzianek i rozpocząć pracę nad stroną w pełni bezpiecznie.

---

🆕 Uzupełnienie: co, jeśli nie ma wp-config.php?

Pojawił się jeszcze jeden ciekawy przypadek.
Okazało się, że gdy na serwerze znajdują się świeże pliki WordPressa, ale nie ma pliku wp-config.php, boty również potrafią przejąć instalację:

• skanują domenę, wykrywają otwarty instalator,

• automatycznie wypełniają formularz,

• tworzą własny wp-config.php, wskazując zdalny serwer bazy danych (nawet na nietypowym porcie, np. :443),

• logują się do panelu i wgrywają backdoora.

Efekt? Strona działa, choć wcale nie korzysta z Twojej bazy – jest podłączona do bazy atakującego.

🔍 Fragment złośliwego wp-config.php

Podczas analizy odkryto, że bot po instalacji WordPressa sam utworzył plik wp-config.php i wskazał zdalny serwer bazy danych zamiast lokalnego.
Poniżej fragment (dane dostępowe celowo pokazane, bo baza była fikcyjna, a host to serwer atakującego):

Analiza IP (194.163.155.171:443) pokazała, że należy ono do sieci Contabo GmbH – popularnego dostawcy serwerów VPS.
To oznacza, że bot korzystał z maszyny wynajętej u tego operatora, a nie że sama firma Contabo miała z tym coś wspólnego.

➡️ Wniosek: samo usunięcie wp-config.php nie chroni.
Jeśli plik nie istnieje, musisz od razu:

• dokończyć instalację z własnymi danymi lub

• wgrać gotowy wp-config.php razem z plikami,

• zablokować dostęp do install.php i setup-config.php w .htaccess.

PS: adres IP należał do sieci Contabo GmbH, ale sama firma oczywiście nie ma nic wspólnego z atakiem – to tylko wynajęty serwer.

📌 Morał? Nawet pusta instalka WordPressa jest dla botów jak otwarta lodówka – jeśli znajdą w niej coś do „skonfigurowania”, sami zrobią sobie kanapkę 😉

Czy zdarzyło Wam się coś podobnego?