系统用户更改的系统设置

Question

上周，我们从我们的WordPress收到一封电子邮件，说通过使用WP活动日志插件检查日志，管理电子邮件被更改为admin@example.com，我可以看到这个操作是由来自IP 185.212.131.78的'System‘用户完成的。需要注意的是:它似乎不是一个有效的用户，日志上的任何其他记录都显示了执行该操作的实际用户。当然，IP已经被阻止了，现在我想知道为什么有人在没有有效帐户的情况下远程更改了系统设置。有人知道发生了什么事吗？

运行WordPress 5.8.2，所有插件都更新了

Answer 1

通过PHPMyAdmin访问数据库，可以更改管理电子邮件地址。此更改可能会在WP活动日志插件中显示为来自“System”(我还没有检查这个)。因此，在这一点上，我会假设一个被黑的网站和/或黑客主机。

与其弄清楚它是如何发生的，我还会查看它发生的时间，看看是否可以在此日期之前恢复备份。然后，我会更改我的所有密码，并开始进行详细的wordpress.org后黑客步骤。

在一个测试站点上更新，我已经通过PHPMyAdmin更改了管理电子邮件，而WP活动日志插件是活动的，而且这个更改没有被插件记录下来。

此插件支持主题指出：

插件报告用户系统，然后通过系统本身进行更改。这意味着更改很可能是通过您的网站上的一个自动化过程完成的。它可能是WordPress本身，也可能是运行...的插件。

另一个想法是，有人可以创建一个(可能是隐藏的)名为“System”的用户，并对其进行更改。如果更改记录在WP活动日志中，那么这将表明更改是在WordPress中进行的，而不是您的宿主环境。

仍然觉得这个网站被黑了--或者这就是我认为是安全的。