Création de users “nobodyXXX@mondomaine” : cron ? (Créer un compte)

  • WordPress :5.5
  • Statut : non résolu
  • Ce sujet contient 6 réponses, 2 participants et a été mis à jour pour la dernière fois par Yoda, le il y a 1 mois.
7 sujets de 1 à 7 (sur un total de 7)
  • Auteur
    Messages
  • #2367519
    Yoda
    Participant
    Initié WordPress
    4 contributions

    Bonjour,

    Ma configuration WP actuelle

    • Version de PHP/MySQL : 7.3.23/10.3.27
    • Thème utilisé : Spacious 1.9.0
    • Extensions en place : Checkout Field Editor for WooCommerce,Everest Forms,Extraits de code,IP2Location Country Blocker ,iThemes Security,Mailchimp for WooCommerce,My WordPress Login Logo,Notification,Post Grid by PickPlugins,Rename wp-login.php,Slimstat Analytics,Ultimate Member,UpdraftPlus – Sauvegarde/Restauration,WooCommerce,WooCommerce Admin,WP Dashboard Notes,WP Maintenance Mode,wp tarteaucitron.js self Hosted,WP-Optimize – Clean, Compress, Cache,WPForms Lite
    • Nom de l’hébergeur : o2switch
    • Adresse du site : Pas directement accessible sur le net car accès restreint

    PS : le sélecteur de choix de version du forum s’arrête à 5.5, mais le site est en 5.6. Toutes les extensions sont à jour.

    Problème(s) rencontré(s) :

    Avant de décrire le problème, la situation générale.
    Le site est en fonctionnement depuis un bon moment déjà sans soucis. Il n’est pas directement accessible et pour s’enregistrer, il faut avoir un lien spécifique (d’où l’utilisation du plugin rename wp-login.php).
    Une fois que la personne qui a obtenu le lien s’est enregistrée, il y a une intervention manuelle de l’admin pour mettre cet utilisateur dans un groupe spécifique.

    Depuis un changement de domaine (juste le nom de domaine, l’hébergement n’a pas changé) réalisé il y a 2 jours, j’ai des utilisateurs qui se créent avec comme identifiant nobodyXXX@monnomdedomaine.  Je n’avais jamais vu ça jusqu’à présent (et je ne débute pas, je gère une petite dizaine de sites wordpress différents depuis des années)

    En cherchant dans les logs d’ou viennent ces utilisateurs, je me rends compte que ce ne sont pas des utilisateurs qui se créent par la page de création de compte, mais au moment ou ces utilisateurs se créent, dans les logs, c’est une tâche cron qui se lance.
    Exemples :
    Un utilisateur “nobody391@mondomaine” se crée le 26.01.2021 à 7h30 dans le log je trouve

    XXX.XXX.XXX.XXX – – [26/Jan/2021:07:30:03 +0100] “POST /wp-cron.php?doing_wp_cron=1611642603.5580399036407470703125 HTTP/1.1” 200 – “https://www.mondomaine/wp-cron.php?doing_wp_cron=1611642603.5580399036407470703125” “WordPress/5.6; https://www.mondomaine”

     

    Un utilisateur “nobody392@mondomaine” se crée le 26.01.2021 à 22h20 dans le log je trouve

    XXX.XXX.XXX.XXX – – [26/Jan/2021:22:20:27 +0100] “POST /wp-cron.php?doing_wp_cron=1611696027.0622069835662841796875 HTTP/1.1” 200 – “https://www.mondomaine/wp-cron.php?doing_wp_cron=1611696027.0622069835662841796875” “WordPress/5.6; https://www.mondomaine”

    Depuis lundi (jour du changement de domaine), j’ai 6 utilisateurs qui ont été créés comme ça.
    Du coup, sans comprendre pourquoi (d’où ce post 🙂 ) je me dis que ça doit avoir un lien avec le changement de domaine. Mais je n’ai aucune idée d’où ça peut venir et comment corriger ça.

    Si quelqu’un a une idée, une piste, je suis preneur 🙂

    Merci d’avance.

    #2367526
    ferman
    Participant
    Maître WordPress
    3691 contributions

    Bonjour,

    Il y a des chances que vous ayez été piraté.  Pour vérifier, testez votre site ici.

     

    #2367534
    Yoda
    Participant
    Initié WordPress
    4 contributions

    Merci de votre réponse.

    Je viens de le faire : RAS, tout est vert.
    Hormis les pages en jaune qu’il n’a pas pu scanner car pas accessibles (Unable to scan the page. 403 Forbidden), ce qui est normal.

    Website Malware & Security>
    No malware detected by scan  (Low Risk)

    No injected spam detected  (Low Risk)

    No defacements detected  (Low Risk)

    Site issues detected (Medium Risk)  => il relève que je n’ai pas de firewall installé sur le site

    Site is up to date (Low Risk) : using WordPress 5.6

     

    • Cette réponse a été modifiée le il y a 1 mois par Yoda.
    #2367543
    ferman
    Participant
    Maître WordPress
    3691 contributions

    Il doit quand même y avoir un problème que Sucuri ne peut pas voir.

    Où voyez-vous ces utilisateurs? Sont-ils créés dans la base de données? S’ils ne passent pas par la page login, ils peuvent très bien passer (les robots) par XLM-RPC, c’est fréquent. Si XLM-RPC n’est pas utilisé dans votre site, vous pouvez le protéger (l’inactiver) sans problème et voir pendant quelque temps si les inscriptions continuent. Regardez ICI et ICI.

    • Cette réponse a été modifiée le il y a 1 mois par ferman.
    #2367618
    Yoda
    Participant
    Initié WordPress
    4 contributions

    Bon, je crois que j’ai trouvé l’origine du problème.
    Ce n’est pas un souci de piratage, mais un souci avec le plugin ultimate Member.

    J’ai une page d’enregistrement spécifique avec des champs personnalisés.

    Il semblerait que depuis la dernière mise à jour de ce plugin, les formulaires que j’avais créé soient perdus.

    Si j’essaie de créer un nouveau compte, j’arrive sur une page “basique” (je n’ai plus mes champs personnalisés) et j’ai d’office un user de ce type qui s’affiche

    Exemple ci joints:
    L’écran d’accueil => je clique sur inscription
    J’arrive sur le choix inscription ou connexion => je clique sur inscription
    Au lieu d’avoir ma page personnalisée, je suis directement inscrit en user xxxxx (393 dans l’exemple ci-joint) sans avoir rien à remplir

     

     

    Fichiers joints :
    Vous devez être connecté pour voir les fichiers joints.
    #2367638
    ferman
    Participant
    Maître WordPress
    3691 contributions

    il semblerait que depuis la dernière mise à jour de ce plugin, les formulaires que j’avais créé soient perdus.

    C’est mieux que du piratage mais c’est quand même pas terrible. Vous les avez contactés vous verrez bien ce qu’ils disent. Il semble qu’il y ait quelques problèmes avec cette mise à jour.

    • Cette réponse a été modifiée le il y a 1 mois par ferman.
    #2367712
    Yoda
    Participant
    Initié WordPress
    4 contributions

    Oui, je ne semble pas être le seul à avoir ce problème.

7 sujets de 1 à 7 (sur un total de 7)
  • Vous devez être connecté pour répondre à ce sujet.