Помощь с wordpress - непонятная смена роли админа на покупателя

А новый админ при этом не появляется случаем? ;)

Список с версиями показывай текстом. (С пом https://ru.wordpress.org/plugins/health-check/ можно не только произвести нужную диагностику сайту, но и получить этот список в удобном для копипасте виде)

Судя по следами мышевозки (композера) имею предположение о наличии темы/плагинов как минимум древних, а то и с помоек, а значит с дырами.

См в базе др. админов.

Скрин плагинов в фуллрезолюшене, для увеличения достаточно нажать плюсик, не вижу в этом проблемы. Все плагины актуальны и обновлены до последних версий. Health Check & Troubleshooting скачал, смотрю что как. Нет, новых админов к сожалению не создается, так бы было бы понятно куда копать.

Вот списком:

• Выключить Health Check & Troubleshooting
• Включить Error Log Monitor
• Включить Akismet Anti-Spam
• Включить Comment Whitelist
• Включить Ultimate GDPR
• Включить Webcraftic Cyr to Lat reloaded
• Включить Envato Market
• Включить Jetpack от WordPress.com
• Включить WPBakery Page Builder
• Включить Loco Translate
• Включить One Click Demo Import
• Включить PGS Woo Api
• Включить WP REST API - OAuth 1.0a Server
• Включить WP REST API
• Включить RH Grandchild Custom
• Включить WooCommerce
• Включить WordPress Importer
• Включить Yoast SEO Premium
• Включить WP Super Cache

Мало того, что разгадывать эти кроссворды говносервисов (есть же нормальные имж хостинги), так ещё и прося помощи предлагаешь набирать их вручную для поиска?

"С версиями" не развидел? Тем более что про первый плаг я тебе говорил.

Лучше конечно сразу со ссылками на них.

Как-то ты не очень хочешь помощь получить.

Вот какой из них https://wordpress.org/plugins/search/WP+REST+API/ ? И нафига вообще?..

Это просто как примере бесполезности такого предоставления инфы.

Вот тут берут сомнения. ВП вроде не может без админа работать. В таблице юзеров смотришь или где?

---------- Добавлено 03.01.2019 в 13:11 ----------

Супер нужный плагин :)

Как и ещё несколько.

А на картинке на взгляд плагов в 2 раза больше.

---------- Добавлено 03.01.2019 в 13:13 ----------

Тема (какая? версия?) и ком. плаги - куплены или с помоек?

Скрин залит на Google Drive. Это не гавносервис ок?

Плагин включил первый раз в жизни, какой нашел список такой и выложил. Зачем грубить?

Вот сейчас нашел где с версиями можно посмотреть:

• Активные плагины (21)
• Akismet Anti-Spam Версия 4.1 автора Automattic
• BuddyPress Версия 4.1.0 автора The BuddyPress Community
• Comment Whitelist Версия 0.9.1 автора Alejandro Carravedo (Blogestudio)
• Envato Market Версия 2.0.1 автора Envato
• Error Log Monitor Версия 1.6.3 автора Janis Elsts
• Health Check & Troubleshooting Версия 1.2.3 автора The WordPress.org community
• Jetpack by WordPress.com Версия 6.8.1 автора Automattic
• Loco Translate Версия 2.2.0 автора Tim Whitlock
• One Click Demo Import Версия 2.5.1 автора ProteusThemes
• PGS Woo Api Версия 3.1.2 автора Potenza Global Solutions
• RH Grandchild Custom Версия 1.0.3 автора Check docs
• Ultimate GDPR Версия 1.6.8 автора CreateIT
• WC Vendors Marketplace Версия 2.1.3 автора WC Vendors
• Webcraftic Cyr to Lat reloaded Версия 1.2.0 автора Webcraftic
• WooCommerce Версия 3.5.3 автора Automattic
• WordPress Importer Версия 0.6.4 автора wordpressdotorg
• WPBakery Page Builder Версия 5.6 автора Michael M - WPBakery.com
• WP REST API Версия 2.0-beta15 автора WP REST API Team
• WP REST API - OAuth 1.0a Server Версия 0.3.0 автора WP REST API Team
• WP Super Cache Версия 1.6.4 автора Automattic
• Yoast SEO Premium Версия 8.4 автора Team Yoast

WP REST API я использую для получения списка товаров в json, плагин использую.

Админ есть, я имею ввиду нет второго админа например, т.е если бы был второй админ было бы понятно что сайт хакнули, основного админа отрубили, а своим мутят что хотят, но второго админа нет. Сейчас создал сам еще одного админа для теста изменится ли его статус с админа на покупателя спустя какое-то время. Ну и плюс обновил тему ВП до последней, вдруг поможет.

Да.

(вот сделал на свою голову исключение и пошел на него...)

Вообще-то REST API включён в ядро с какой-то 4й мохнатой версии ВП (с 4,4 кацца), а GDPR с 4,9.8(или чуть раньше). Зачем сейчас эти плаги - я слабо представляю. Но дело хозяйское.

Да и так понятно что хакнули.

Надо смотреть по плагам и теме (на это нужно время). Тем более что стоят бадипресс и маркетплейс..

Это едва ли. Им нужен основной админ, чтобы пароль записать и потом использовать ещё где-то, на случай, если он у Вас "универсальный". Ну там на почте проверить, на хостинге, в кошельке каком-нибудь. Так-то если админа не отрубить - жди полгода, когда Вы пароль начнёте вводить, а отруби админа - сразу все подряд пароли забахаете. ;)

HenzO, Взламывать могут и через неактивные плагины...(На скрине Активные - 19, неактивные - 3) Такие лучше удалять. Ну и темы туда же не нужные.. Да и те плагины, что активные, зачастую могут быть вовсе не нужны...

Неужели в логах нет ничего подозрительного и не видно куда долбят для изменения прав админа?

---------- Добавлено 03.01.2019 в 17:21 ----------

Плагины WP, вообще довольно сомнительное удовольствие.:)

Как пример недавней уязвимости в одном из плагинов(WP GDPR Compliance), где мутили с правами пользователей

https://xakep.ru/2018/11/12/wp-gdpr-compliance-flaw/

Нашел в чем проблема. Проблема была в плагине PGS Woo Api от Potenza Global Solutions. Я покупал их лицензию, а оказалось что она распространяется только на один домен, а я ключ ввел на 2 домена. В итоге разработчик плагина через доступ к апи менял админ юзера на покупателя. Якобы хочешь юзать - купи еще одну версию для второго домена и юзай.

Как по мне это какая-то херня, т.е одно дело если бы вылазило уведомление типа чувак, купи лицензию и плагин бы не работал. Я бы может и купил 2ую лицуху да и все. А менять роль админа на покупателя в этом случае имхо дичь дикаяи неадекват и я из принципа не куплю их 2ую лицензию. Такие дела.

Нормальный такой плагин - с официально зашитым шеллом 😂

Про какие только чудеса не узнаешь на форуме...