Уязвимость WordPress. Google взломывает базы данных

Сегодня со мной приключился весёлый казус. Случайно наткнулся на старый и забытый сайт продажи копипасты для сайта — «сайтс.ру».

Как-то так вышло, что я решил проверить их примеры сайтов. Половина из примеров не работала, а один ещё даже не был установлен до конца. WordPress движок был загружен, но не нажата кнопка «отправить» и не введены параметры базы данных.

Я решил попробовать и ввёл данные по умолчанию как показано на скриншоте ниже:

К моему удивлению, всё сработало и сайт «http://sayts.ru/referats» стал моим. Временно. Я просто очень случайно поменял адрес WordPress и он сломался. А так бы мог использовать с профитом.

Но долго я не отчаивался, ведь я получил материал для статьи.

Причём здесь Google?

Всё просто. Я был уверен, что такой «устанавливающийся» сайт не один и был прав.  Возможно, люди просто забыли установить WordPress или процесс установки показался им очень сложным и они забыли на свой сайт. Но Google не забыл их проиндексировать своими роботами.

Собрав «умный» поисковой запрос мы получаем ссылки на сайты с установкой WordPress.

Английский запрос:

(intitle:»WordPress › Setup Configuration File»)|(inurl:»setup-config.php?step=») (1,780 результатов)

Русский запрос:

(intitle:»WordPress › Настройка файла конфигурации»)|(inurl:»setup-config.php?step=») (1, 770 результатов)

Если что, то результаты выдачи в Google по русскому и английскому запросу немного сходятся.

Кстати, этот способ взлома WordPress был ещё известен 2006 году. Не знаю насколько массово, но с поиска я не смог забрать себе не один сайт. Чаще всего, их либо уже активировали, либо данные базы данных не подходят. Тут может помочь брут, а его снова можно найти с помощью нашего верного друга — Google.

Совет:не будьте слоупком и устанавливайте Wordpress за 5 минут, чтобы не возникало каких-нибудь казусов.

Вот такая хакерская статейка. Если что взломаете, то говорите мне. Всем спасибо.