Van egy visszatérő rémálma minden háztulajdonosnak: mi van, ha valaki más is lakik a házban, csak nem vesszük észre? A padláson, a pincében, nesztelenül. Van kulcsa, bejárkál, eszik a hűtőből, de sosem találkozunk vele.
A weboldalak világában 2025-re ez a rémálom valósággá vált.
A „láthatatlan adminisztrátorok” (Ghost Admins) jelensége az év egyik legsunyibb támadási formája. A hackerek rájöttek, hogy ha feltörnek egy weboldalt és azonnal tönkreteszik (például egy halálfejes képet tesznek a címlapra), a tulajdonos azonnal észbe kap és törli őket. De ha létrehoznak egy titkos admin fiókot, és csendben meghúzzák magukat? Akkor hónapokig, akár évekig is visszajárhatnak, hogy adatokat lopjanak vagy spameket küldjenek.
Hogyan lehetséges, hogy nem veszem észre az új admint?
A legtöbb weboldal-tulajdonos azt hiszi, hogy a biztonság ellenőrzése annyiból áll, hogy belép a WordPress vezérlőpultjára, rákattint a „Felhasználók” menüpontra, és ha ott csak saját magát látja, akkor minden rendben van.
Ez 2025-ben már sajnos naivitás.
A modern támadó kódok nem egyszerűen csak regisztrálnak egy felhasználót. Képesek arra, hogy manipulálják a WordPress listázó funkcióját. Gyakorlatilag „szólna” a WordPressnek, hogy: „Amikor listázod az adminokat a tulajdonosnak, akkor engem (a hacker fiókját) hagyj ki a sorból.”
Tehát te megnézed a listát, látsz 2 adminisztrátort. A valóságban viszont 3 van. A harmadiknak ugyanúgy teljes jogosultsága van mindenhez, csak éppen láthatatlanná tette magát a felületen.
Technikai részletek: hogyan működik az álcázás?
(Ez a rész a fejlesztőknek és IT biztonság iránt érdeklődőknek szól)
2025-ben a „Ghost Admin” támadások technikailag kifinomultabbak lettek. Íme a leggyakoribb trükkök:
SQL Injection (Közvetlen adatbázis beszúrás): A támadó nem a regisztrációs űrlapot használja, hanem egy sebezhetőségen keresztül közvetlenül a
wp_userséswp_usermetaadatbázis táblákba írja be magát. Így nem fut le auser_registerhook, tehát nem kapsz email értesítést az új regisztrációról.
pre_user_querymanipuláció: A hacker elhelyez egy kis kódrészletet afunctions.php-ben vagy egy mu-pluginban, ami módosítja a felhasználók lekérdezését. Például:WHERE ID != 123. Így a WordPress admin felülete egyszerűen nem tölti be azt a felhasználót a listába.Rejtett Meta-Jellemzők: A felhasználó szerepköre (role) papíron nem „Administrator”, hanem valami egyedi név, amihez viszont hozzákapcsolták az
all_caps(minden jog) képességet. Mivel sok admin felület szűri a listát szerepkörök szerint, ez a felhasználó „kiesik” a látómezőből.
Milyen neveket használnak a behatolók?
Régen a hackerek lusták voltak, és olyan neveket használtak, mint hacker123 vagy pwned. Ezek azonnal szemet szúrtak.
Ma a pszichológiai hadviselés a divat. Olyan neveket választanak, amikről azt hiszed, hogy a rendszer részei, ezért nem mered kitörölni őket. Tipikus 2025-ös példák:
wp_update_systembackup_service_userhosting_support_helperauth_token_manager
Ha ilyet látsz (például az adatbázisban), és nem emlékszel rá, hogy te hoztad volna létre, akkor szinte biztos, hogy baj van.
A Wppajzs megoldása: Miért jobb a gép a szemnél?
Mivel a szemünkkel a WordPress admin felületén keresztül már nem feltétlenül látjuk a valóságot, olyan eszközre van szükség, ami „belát a falak mögé”.
A Wppajzs plugin egyik leghasznosabb, ám sokszor láthatatlan funkciója pontosan ezt a problémát orvosolja.
A rendszerünk nem a WordPress manipulálható listáját nézi, hanem közvetlenül az adatbázisban végzi az ellenőrzést. Tudjuk, hogy egy átlagos cég életében ritkán születnek új adminisztrátorok. Nem veszünk fel minden nap új informatikust.
Ezért a Wppajzs naponta automatikusan ellenőrzi az adminisztrátori joggal rendelkező felhasználók számát.
Ha tegnap 2 admin volt…
…de ma a rendszer 3-at talál az adatbázis mélyén…
…akkor azonnal riasztást küldünk neked, függetlenül attól, hogy az új felhasználó elrejtette-e magát a listáról vagy sem.
Ez a funkció életmentő lehet, mert a behatolás pillanatában értesülsz a „hívatlan vendégről”, nem pedig hónapokkal később, amikor már ellopták az ügyfélbázisodat.
Mit tegyek, ha gyanús felhasználót találok?
Ne töröld azonnal (pánikszerűen)! Bár ez az első ösztön, előtte készíts egy biztonsági mentést az adatbázisról, és írd fel a gyanús felhasználó adatait (mikor regisztrált, milyen email címmel). Ez bizonyíték.
Változtass jelszót! Az összes többi, valós admin fiók jelszavát azonnal cseréld le, mert nem tudhatod, melyiket kompromittálták.
Kényszerítsd ki a kijelentkezést: A Wppajzs vagy más biztonsági eszközök segítségével léptess ki minden aktív felhasználót a rendszerből.
Szakértői takarítás: Ha volt egy rejtett admin, valószínűleg van egy rejtett „hátsó ajtó” (backdoor) fájl is valahol a rendszerben, amivel bármikor létrehozhatnak egy újat. A felhasználó törlése önmagában csak tüneti kezelés, a rést is be kell tömni.
