Злоумышленники Начали менять контент отдельных записей на сайте, из под учетной записи админа. Смена паролей не повлияла на ситуацию.
при просмотре логов, обнаружено, что ко всем измененным записям были запросы типа
104.167.211.60 - - [11/Feb/2017:01:28:23 +0300] "GET //wp-json/wp/v2/posts/ HTTP/1.1" 200 136355 "-" "python-requests/2.11.1"
104.167.211.60 - - [11/Feb/2017:01:28:24 +0300] "POST //wp-json/wp/v2/posts/2119 HTTP/1.1" 200 960 "-" "python-requests/2.11.1"
104.167.211.60 - - [11/Feb/2017:01:28:26 +0300] "GET /by.htm HTTP/1.1" 404 5463 "-" "python-requests/2.11.1"
Про отключение Rest API я знаю, и пока отключил.
Вопросы:
Каким образом злоумышленники получают доступ к управлению записями?
Как защититься без отключения REST и доступа только c определенных ip
