Wpis z mikrobloga

Widziałem już trochę włamów do #wordpress ale takiego jeszcze nie:

109.234.37.214 - - [08/Nov/2018:14:37:43 +0100] "GET / HTTP/1.1" 200 15399 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
109.234.37.214 - - [08/Nov/2018:14:37:44 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 617 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
109.234.37.214 - - [08/Nov/2018:14:37:44 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 617 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
109.234.37.214 - - [08/Nov/2018:14:37:45 +0100] "POST /wp-login.php?action=register HTTP/1.1" 302 550 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
109.234.37.214 - - [08/Nov/2018:14:37:56 +0100] "GET /wp-login.php?checkemail=registered HTTP/1.1" 200 2797 "[https://trololo.pl/wp-login.php?action=register"](https://trololo.pl/wp-login.php?action=register") "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
109.234.37.214 - - [08/Nov/2018:14:37:56 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 617 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
109.234.37.214 - - [08/Nov/2018:14:37:57 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 617 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
Bot po prostu wysłał sobie posta i zarejestrował konto z rolą admina w serwisie na adres trollherten@mail.com. Jakim cudem?
Przejrzałem logi i nie widzę nic podejrzanego, żadnego skanowania czy hackowania plug-inów, których swoją drogą w tym wp praktycznie nie ma (woocommerce, redux i page builder). WP aktualny (4.9.8). Rejestracja wyłączona.

#security #php