Než vám začneme ukazovat, jak a proč hackeři hacknou stránky, je třeba pochopit strukturu webových stránek WordPressu. Ta se skládá ze souborů a databáze. Soubory WordPressu většinou obsahují veškerá nastavení a konfigurace, zatímco v databázi jsou uložena všechna data příspěvků, komentářů, uživatelů a spousta dalších věcí.
Obě složky jsou nutné k vygenerování frontendu vašeho webu. Oba však mohou být také zneužity hackery.
Nejprve se podíváme na to, jak se hackeři dostávají dovnitř webů WordPress.
Poznámka: Toto není návod, jak hacknout web WordPress. Jedná se o vzdělávací článek, který vám ukáže, jak mohou hackeři využít zranitelnosti a nabourat se do vašeho webu. That said, let’s begin.
6 běžných zranitelností, které umožňují hackerům nabourat se do webů WordPress
Chcete-li se nabourat do webu, měl by mít zranitelný bod. Uvedli jsme seznam běžných zranitelností, které se vyskytují na webech WordPress:
Provozování zastaralé instalace WordPressu
Podle zprávy z roku 2018 běželo přibližně 44 % hacknutých webů WordPress na zastaralé instalaci. Jako majitel webu uvidíte časté aktualizace dostupné pro instalaci WordPress, například takto:
Obvykle aktualizace nesou nové funkce, opravy chyb nebo řeší problémy s nekompatibilitou. Někdy také nesou bezpečnostní záplaty WordPressu. To znamená, že pokud byla v softwaru nalezena bezpečnostní chyba, vývojáři ji rychle opraví a vydají aktualizaci, která chybu odstraní.
Po vydání je přítomnost bezpečnostní chyby wp oznámena veřejnosti. Hackeři pak vyhledávají weby, které nebyly aktualizovány, najdou chybu a použijí ji k nabourání se do webu.
Pokud se tedy rozhodnete instalaci WordPressu neaktualizovat, pak jste nenainstalovali nové bezpečnostní funkce a dali jste svůj web hackerům na talíři.
Vždy udržujte svůj web WordPress aktualizovaný.
Tip: Bezpečnostní záplaty jsou vydávány jako drobné aktualizace. To, že se jedná o větší aktualizaci, poznáte podle toho, že se jedná o verzi V5.2 nebo V5.3. Menší aktualizace by byla například V5.2.1. Ve výchozím nastavení jsou menší aktualizace automatické, ale můžete je vypnout. Doporučujeme, abyste u menších aktualizací měli zapnutou možnost automatických aktualizací.
Kromě aktualizace zásuvných modulů, témat a jádra důrazně doporučujeme udržovat aktualizované soli a bezpečnostní klíče WordPressu.
Používání slabých pověření
Dalším častým místem vstupu hackerů jsou slabá pověření. Hackeři používají metodu zvanou útoky hrubou silou, kdy naprogramují roboty, kteří vyhledávají stránky WordPressu na internetu a zkoušejí různé kombinace uživatelských jmen a hesel, aby se na web dostali.
Pokud jste ponechali přihlašovací jméno jako „admin“, jsou již o krok blíže k získání přístupu na váš web. Pokud jste však použili běžná hesla jako ‚heslo123‘, pak je pro ně snadné je uhodnout. Tito boti mohou provést tisíce, ne-li miliony pokusů o nabourání během jediné sekundy (doporučené čtení – Průvodce ochranou přihlašovací stránky WordPressu).
Doporučujeme změnit heslo na heslovou frázi v kombinaci s čísly a symboly, aby bylo heslo silné jako nikdy, například takto:
Mít nainstalované pirátské motivy
Premiové motivy jsou atraktivní a všichni bychom rádi měli skvělý motiv pro naše webové stránky, aby byly jedinečné. Mnohokrát se majitelé webových stránek stanou obětí bezplatných, cracknutých nebo pirátských verzí těchto témat. Taková témata z nespolehlivých zdrojů mohou nést předinstalovaný malware. Tím, že je nainstalujete na své webové stránky WordPress, nainstalujete také malware. Tím otevíráte dveře hackerům. Jak k tomu dochází, jsme podrobně popsali později.
Vždy stahujte motivy pouze z důvěryhodných zdrojů, jako je repozitář WordPressu nebo tržiště, jako jsou ThemeForest a ThemeTrust.
Používání zranitelných zásuvných modulů
Hackeři jsou neustále na lovu a hledají mezery v zabezpečení zásuvných modulů. Pokud nějakou najdou, prohledají na internetu weby WordPress, na kterých je daný zásuvný modul nainstalován. To jim umožňuje nabourat se do tisíců webových stránek během několika minut.
Mnohdy, zejména u bezplatných zásuvných modulů, mohou vývojáři zjistit, že už je nedokážou udržovat, a zásuvný modul opustí. (To se může stát i u témat). V těchto případech zabezpečení zásuvného modulu propadne a jeho instalace na vašich stránkách představuje hrozbu.
Stahujte zásuvné moduly pouze z důvěryhodných zdrojů, jako je repozitář WordPress nebo CodeCanyon. Pravidelně odstraňujte zásuvné moduly WordPress a témata, která již nepoužíváte. Zkontrolujte stav zásuvných modulů, které používáte, a zjistěte, zda jsou aktualizovány a udržovány vývojářem.
Používání nezabezpečeného místního systému
Někdy může být nezabezpečený samotný počítač. Pokud se někdo nabourá do vašeho systému, může snadno získat přístup k vašemu webu WordPress, protože ve většině případů je již wp-admin přihlášen a otevřen.
To se může stát, pokud nemáte v systému nainstalovanou bránu firewall nebo nástroj proti škodlivému softwaru.
Doporučuje se, abyste nikdy nepoužívali veřejný počítač nebo veřejné nezabezpečené připojení wifi na svém lokálním systému, který používáte ke spuštění webu WordPress. Vždy mějte na svých stránkách aktivní nástroje pro detekci malwaru.
Používání špatných webhostingových služeb
Při výběru hostingového plánu máme tendenci hledat ten nejlevnější. Ale to nejlevnější nemusí být vždy zárukou dobrých bezpečnostních opatření.
Sdílené servery jsou sice levnější, ale také ohrožují vaše stránky. Nemůžete zjistit, se kterými weby sdílíte webový server a zda mají implementovány bezpečnostní protokoly. Pokud se do nich někdo nabourá, je pravděpodobné, že se infekce malwarem rozšíří i na vaše stránky.
Stává se také, že jsou hostitelé webových stránek kompromitováni, což znamená, že všechny webové stránky na hostingové platformě jsou vystaveny zneužití hackery.“
Před výběrem webového hostitele si přečtěte, co nabízí a co o něm říkají zákazníci. To vám pomůže získat dobrou představu o tom, jakého webhostitele si vybrat.
K nalezení zranitelného webu si hackeři vytvářejí vlastní roboty nebo používají zdarma dostupné skenery zranitelností, kterými pročesávají internet. Když takový web najdou, využijí bezpečnostní chyby, kterou má (jako ty výše zmíněné), a získají přístup k souborům nebo databázi webu WordPress.
Poté do něj vloží kód, který provede škodlivé činnosti, jako je rozesílání nevyžádaných e-mailů, prodej nelegálních produktů atd. Injektují také kód pro vytvoření nových uživatelských účtů nebo zadních vrátek WordPressu, které jim pomohou kdykoli znovu získat přístup k vašemu webu.
Jak se nabourat do webu WordPress?
Existuje nespočet způsobů, jak se nabourat do webu WordPress. Zde si probereme dva nejčastější způsoby, jak hackeři injektují kód do vašeho webu a vytvoří přihlášení nového uživatele:
I. Prostřednictvím souborů (předinstalovaný škodlivý software v pirátském tématu)
Jak jsme již uvedli, mnoho majitelů webů WordPress se stává obětí pirátských témat. Všechny funkce získáte zdarma! Takový software však může mít skript pro vytvoření nového přihlašovacího ID. Po instalaci tématu se vytvoří nový uživatelský účet a hacker se může jednoduše přihlásit na váš web z administrace WordPressu.
Ukážeme vám, jak můžete vytvořit nový uživatelský účet na webu WordPress pomocí souboru s tématem. To vám pomůže pochopit, jak pirátská témata pomáhají hackerovi získat přístup k vašemu webu.
Tip: To se může hodit i v případě, že jste zablokováni v administraci wp, ale stále máte přístup k účtu webhostingu.
Upozornění:
Vstupovat do zákulisí webu WordPress je riskantní záležitost. Nejlepší je provádět to na testovacím nebo stagingovém webu. Pokud se to rozhodnete provést na svém živém webu, zajistěte si spolehlivou zálohu. V případě, že se něco pokazí, můžete zálohu WordPressu obnovit.
Krok 1: Přihlaste se ke svému hostitelskému účtu WordPress. Přejděte do panelu cPanel a přistupte ke správci souborů.
Přístup k souborům můžete získat také prostřednictvím klienta FTP, například FileZilla, pomocí přihlašovacích údajů FTP.
Krok 2: Vaše soubory WordPress se obvykle nacházejí ve složce nazvané public_html. V ní máte přístup ke složce wp_content/themes.
Krok 3: Zde musíte vybrat aktivní téma na svém webu a upravit soubor functions.php.
Krok 4: Zkopírujte a vložte na konec souboru následující kód. (Pokud je zde uzavírací značka jako například ?>, ujistěte se, že kód je na řádku před ní.)
$new_user_email = ‚[email protected]‘;
$new_user_password = ‚password‘;
if(!username_exists($new_user_email)) {
$user_id = wp_create_user($new_user_email, $new_user_password, $new_user_email);
wp_update_user(array(‚ID‘ => $user_id, ‚nickname‘ => $new_user_email));
$user = new WP_User($user_id);
$user->set_role(‚administrator‘);
}
Pravte první dva řádky na vámi zvolený e-mail a heslo. Po uložení souboru a otevření webu se kód spustí a vy se budete moci přihlásit pomocí těchto nových přihlašovacích údajů.
Doufáme, že nyní chápete, že při instalaci pirátského tématu, pokud obsahuje tento blok kódu, bude vytvořen nový uživatelský účet. Jediné, co musí hacker udělat, je zadat přihlašovací údaje a přihlásit se.
II. Prostřednictvím databáze – SQL Injection
Toto je další z nejčastějších důvodů, proč jsou weby WordPress napadány. Pro začátek je třeba vědět dvě věci o SQL injection:
-
- WordPress používá jako výchozí databázový systém MySQL.
- Pro generování frontendu webu používá WordPress SQL dotazy, které z databáze tahají data.
Nemusíme se zatím zabývat tím, co to je, ani podrobnostmi. Co potřebujete vědět, je, že tato databáze je přístupná pouze prostřednictvím panelu cPanel > phpMyAdmin. Hackeři však našli způsob, jak se k ní dostat i bez použití cPanelu. Jedním z nejčastějších způsobů, jak hackeři kontaktují databázi webu, jsou zranitelné formuláře na webu.
Formulář je jakýkoli prvek, do kterého lze zadat text, například přihlašovací lišta WordPressu, kontaktní formulář, komentáře na blogu WordPressu, vyskakovací okna pro odběr, pokladní stránky a vyhledávací panel webu.
Místo zadání údajů požadovaných ve formuláři by hacker zadal své škodlivé příkazy SQL. Protože se všechny informace zadané do formuláře uloží do vaší databáze, tento škodlivý kód si do ní najde cestu.
Pro vysvětlení, jak k tomu dochází, si ukážeme, jak vytvořit nový uživatelský účet pomocí vaší databáze.
→ Vytvoření nového uživatelského účtu prostřednictvím databáze
Krok 1: Vstupte do panelu cPanel a otevřete phpMyAdmin > Databáze.
Krok 2: Zde se zobrazí seznam databází. Musíte vybrat svou databázi. (Pokud neznáte název databáze, můžete tuto informaci zjistit v souboru wp-config, například takto).
Vybrali jsme databázi podle názvu v souboru wp-config.
Krok 3: Dále je třeba z tabulek, které se vyplní na pravém panelu, najít tabulku, která končí na _users (Pravděpodobně se bude jmenovat wp_users).
Krok 4: Zde můžete kliknout na tlačítko „Vložit“.
Krok 5: Otevře se následující obrazovka, kde můžete zadat přihlašovací jméno, heslo, e-mail a zobrazované jméno uživatele.
Krok 6: Dále klikněte na „Go“ a změny se uloží. Nyní se můžete přihlásit do WordPressu pomocí nových přihlašovacích údajů.
To samé lze provést vložením bloku kódu SQL do databáze. Podobně jako u pirátského tématu se po vložení kódu do databáze spustí a vytvoří se nový uživatel. Můžeme si to představit tak, že si hacker jednoduše vytvoří vlastní dveře ve vašem domě a vejde přímo dovnitř.
Jak zabránit hackerům v nabourání se do vašeho webu?
Jsou čtyři hlavní kroky, které musíte udělat, aby byl váš web dostatečně zabezpečený a hackeři byli na uzdě:
Instalace bezpečnostního pluginu WordPress
Každý web WordPress potřebuje bezpečnostní plugin, například MalCare. Chraňte svůj web WordPress pomocí takového pluginu, který bude web pravidelně skenovat. Odhalí jakoukoli podezřelou aktivitu, zablokuje škodlivý provoz a zabrání přístupu hackerů. V případě, že se hacker dostane dovnitř, budete okamžitě upozorněni a můžete web okamžitě vyčistit dříve, než stihne napáchat nějaké škody.
Instalace SSL certifikátu
Tento certifikát zajistí vašemu webu šifrování dat. To znamená, že když někdo navštíví vaše webové stránky, data se přenášejí mezi jeho počítačem a serverem vašich webových stránek.
Pokud se přenášejí v prostém textu, někdy se těchto dat mohou zmocnit hackeři, kteří číhají v okolí. Mohou si je přečíst, ukrást nebo upravit podle svých představ.
Pokud je ale zašifrovaný, i když se k němu hacker dostane, nebude schopen ho rozluštit.
Certifikát SSL si můžete pořídit u svého webového hostitele nebo u poskytovatele SSL. Pokud se obáváte příliš vysokých výdajů za certifikát, poskytovatelé jako LetsEncrypt nabízejí SSL zdarma.
Chcete-li se dozvědět, jak nainstalovat certifikát SSL, podívejte se na tohoto průvodce – Přechod z HTTP na HTTPS.
Oprava známých zranitelností
Jak jsme již zmínili, ve WordPressu existují běžné zranitelnosti. Pro minimalizaci zranitelností doporučujeme přijmout následující opatření.
-
- Aktualizace WordPressu a jeho témat a zásuvných modulů musí být nejvyšší prioritou.
- Ujistěte se, že vždy používáte silné přihlašovací údaje, abyste zabránili útokům hrubou silou.
- Pravidelně odstraňujte nepoužívaná témata a zásuvné moduly
- Nikdy nepoužívejte pirátská témata a zásuvné moduly. Vždy stahujte takový software z důvěryhodných zdrojů, jako je repozitář WordPressu, CodeCanyon nebo ThemeForest.
- Používejte spolehlivého poskytovatele webhostingu.
- Dbejte na ochranu svého lokálního počítače instalací antimalwarového softwaru.
Zpevněte své stránky WordPress
WordPress doporučuje, aby každý web na jejich platformě podnikl určité kroky ke zpevnění svých stránek. Mezi tato opatření patří např:
- Udržujte aktivní firewall WordPress. To pomůže zablokovat Omezení počtu pokusů o přihlášení. Každý uživatel dostane pouze tři šance na správné zadání přihlašovacích údajů, poté bude muset zvolit možnost „Zapomenuté heslo“ nebo kontaktovat správce. K realizaci tohoto kroku můžete použít stejný zásuvný modul MalCare.
- Zakázání instalací zásuvných modulů v případě, že na webu pracuje více uživatelů. Chtěli byste zajistit, aby nikdo volně neinstaloval zásuvný modul, aniž byste si ověřili, zda je spolehlivý a důvěryhodný pro vaše stránky. To lze provést ručně úpravou souboru wp-config.php v instalaci WordPressu. Můžete k tomu také použít zásuvný modul MalCare.
- Zavedení dvoufaktorového ověřování pro ověření osoby, která se přihlašuje. To se provádí zasláním jednorázového hesla na registrovaný mobilní telefon nebo e-mail nebo pomocí aplikací, jako je Google Authenticator, které generují heslo v reálném čase každých 30 sekund.
Existuje mnoho dalších způsobů, jak můžete svůj web zabezpečit. Doporučujeme tyto kroky implementovat podle požadavků vašeho webu.
Kromě toho můžete přijmout několik dalších bezpečnostních opatření. Důrazně doporučujeme postupovat podle tohoto návodu – Zabezpečte svůj web WordPress pomocí souboru wp-config.php.
Závěrečné myšlenky
Doufáme, že jste díky tomuto článku lépe pochopili, jak se na vašem webu mohou objevit zranitelnosti a jak se na něj dostanou hackeři. Hackeři nejsou předpojatí a zaměří se na téměř jakýkoli web. Pokud je váš web zranitelný, je opravdu velká šance, že budete hacknuti.
Abychom to tedy shrnuli, doporučujeme minimalizovat zranitelnosti, nainstalovat bezpečnostní plugin a zpevnit váš web tak, aby hackeři neměli šanci se na váš web dostat.
Udržujte svůj web bezpečný s naším bezpečnostním pluginem MalCare!