Segítség, túszul ejtették a weboldalam!

Egy vállalkozó nemrégiben kétségbeesve keresett meg minket azzal a problémával, hogy egy budapesti cég elkészítette a weboldalát, és vállalta a tartalomkezelést, marketing feladatokat, cikkírást és hasonló szolgáltatásokat. Az ügyfél jóhiszeműen kifizette a weboldal készítésének díját, majd havonta több százezer forintot fizetett reklám és külföldi bevezetés címen. Fél év után azonban a marketing tevékenység semmilyen kézzelfogható eredményt nem hozott, így az ügyfél úgy döntött, megszünteti a munkakapcsolatot. Ekkor a weboldalt készítő cég jelezte, hogy további díjakat kíván kiszámlázni, és csak ezek rendezése után adja át az oldalhoz a hozzáférést, ami akár zsarolásnak is minősülhet. Meglepő módon, az ilyen esetek egyáltalán nem ritkák. Ekkor kérte a kétségbeesett ügyfél a segítségünket, hogy visszanyerhesse a kontrollt a saját weboldala felett.

Helyzetértékelés

Szerencsére a domain név a vállalkozás tulajdonában volt, de ez önmagában nem sokat ért, hiszen egy olyan webszerverre mutatott, ahol a weboldal hozzáférése zárolva volt. A domain-t lehet persze hordozni, átirányítani, de az igazi cél nem ez volt, hanem hogy az ügyfél hozzáférhessen a weboldal admin felületéhez. A weboldal WordPress alapú volt, tehát a frontend és az adminisztráció egy helyen volt. A tulajdonosnak nem volt FTP hozzáférése, nem rendelkezett phpMyAdmin belépéssel, nem volt szerverhez SSH vagy SFTP hozzáférése sem, sem más, a weboldal fájljait kezelő lehetősége. Végül az ügyfél visszaemlékezett, hogy évente kap számlát „valamilyen internetes szolgáltatásról”. Egy ilyen e-mail segítségével sikerült kideríteni, hogy melyik tárhelyszolgáltató biztosította a weboldalhoz a tárhelyet. Fontos kiemelni, hogy az ügyfél nem volt felelőtlen, vagy technikai analfabéta; normális esetben ezekkel a dolgokkal egy megrendelőnek nem kell foglalkoznia, a weboldal működik, és kész.

Akcióba lendülünk

A tárhelyszolgáltatóhoz rendelt e-mail címmel megkíséreltünk egy jelszóemlékeztetőt kérni, és csodák csodájára kaptunk egy egyszerhasználatos linket a hozzáféréshez. Belépve az ügyfélkapuba megtekinthetővé váltak a tárhely és számlázási információk, de a weboldalhoz való teljes hozzáférés még ekkor sem állt rendelkezésre. Első lépésként módosítottuk az ügyfélkapu jelszavát, és kizártuk a külsős cég felhasználóját.

A WordPress admin felület felhasználói neve és jelszava az adatbázisban tárolódik. Bizonyos esetekben az adatbázis kezelő grafikus felületen, például phpMyAdmin-ban közvetlenül lehet admin hozzáférést generálni, de itt csak a számlaadatokhoz és felhasználó menedzsmenthez volt hozzáférésünk. Innen azonban létre tudtunk hozni egy FTP hozzáférést, amivel a weboldal fájlrendszerét elértük. Az adatbázis jelszavak WordPress esetén hash-elve vannak, általában bcrypt vagy MD5 formátumban, így közvetlenül nem olvasható.

Megszületik a megoldás

A túszul ejtett weboldalon lehetett új felhasználót regisztrálni, ami természetesen csak igen korlátozott jogokkal rendelkezik. Mi viszont immár a rendszer által frissen generált mezítlábas user, és az admin jelszavát könnyedén felcserélhettük. Ezután az új jelszót felhasználva adminisztrátori jogosultsággal léphettünk be a weboldalba. Ezzel az admin felülethez való hozzáférés teljesen visszanyerhetővé vált. Első lépésként eltávolítottuk a korábbi, külső cég által létrehozott felhasználókat. Így az összes hozzáférés a megfelelő tulajdonos kezébe került: domain a tulajdonosnál, ügyfélkapu hozzáférés, FTP fiók, adatbázis hozzáférés és WordPress admin felhasználói név/jelszó.

A történet tanulsága egyértelmű: ha lehet, a WordPress-ben soha ne adjunk admin jogosultságot külső személyeknek, maximum szerkesztői szintű hozzáférést. Egykor lojális és kedves munkatárs is tud komoly problémát okozni egy esetleges nem túl harmonikus szakítás után. Ha technikai segítségre van szüksége, nézze meg weboldal készítés szolgáltatásainkat vagy írjon nekünk és amennyiben jogilag és technikailag lehetséges, szívesen állunk a rendelkezésére.