Mielőtt elkezdenénk megmutatni, hogyan és miért hackelik meg a hackerek a webhelyeket, meg kell értened a WordPress webhelyed felépítését. Fájlokból és egy adatbázisból áll. A WordPress fájlok többnyire az összes beállítást és konfigurációt tartalmazzák, míg az adatbázis a bejegyzések, hozzászólások, felhasználók és egy csomó más dolog adatait tárolja.
A weboldalad frontendjének létrehozásához mindkét elemre szükség van. De mindkettőt kihasználhatják a hackerek is.
Először nézzük meg, hogyan jutnak be a hackerek a WordPress webhelyekbe.
Megjegyzés: Ez nem egy útmutató arról, hogyan kell feltörni egy WordPress webhelyet. Ez egy tanulságos cikk, amely megmutatja, hogyan használhatják ki a hackerek a sebezhetőségeket, hogy feltörjék webhelyét. Ennek ellenére kezdjük el.
6 gyakori sebezhetőség, amelyek lehetővé teszik a hackerek számára, hogy feltörjék a WordPress webhelyeket
Egy webhely feltöréséhez rendelkeznie kell egy sebezhetőségi ponttal. Felsoroltuk a WordPress webhelyeken található gyakori sebezhetőségeket:
Elavult WordPress telepítés
Egy 2018-as jelentés szerint a feltört WordPress webhelyek mintegy 44%-a elavult telepítésen futott. Webhelytulajdonosként gyakran láthat frissítéseket a WordPress telepítéshez, például így:
A frissítések általában új funkciókat, hibajavításokat hordoznak, vagy inkompatibilitási problémákat oldanak meg. Néha WordPress biztonsági javításokat is hordoznak. Ez azt jelenti, hogy ha biztonsági hibát találtak a szoftverben, a fejlesztők gyorsan kijavítják azt, és kiadnak egy frissítést, amely eltávolítja a hibát.
Mihelyt kiadják, a wp biztonsági hiba jelenlétét nyilvánosságra hozzák. A hackerek ezután megkeresik azokat a webhelyeket, amelyek nem frissítettek, megtalálják a hibát, és azt felhasználva feltörik a webhelyet.
Ha tehát úgy dönt, hogy nem frissíti a WordPress telepítését, akkor nem telepítette az új biztonsági funkciókat, és tálcán kínálta a webhelyét a hackereknek.
Mindig tartsa frissítve a WordPress webhelyét.
Tipp: A biztonsági javításokat kisebb frissítések formájában terjesztik ki. Azt, hogy egy nagyobb frissítésről van-e szó, onnan tudod megmondani, hogy V5.2 vagy V5.3. Egy kisebb frissítés például a V5.2.1 lenne. Alapértelmezés szerint a kisebb frissítések automatikusak, de kikapcsolhatja. Javasoljuk, hogy a kisebb frissítéseknél tartsa bekapcsolva az automatikus frissítés opciót.
A bővítmények, témák és a mag frissítése mellett javasoljuk, hogy a WordPress sói és biztonsági kulcsai is legyenek frissítve.
Gyenge hitelesítő adatok használata
A hackerek másik gyakori belépési pontja a gyenge hitelesítő adatok. A hackerek egy brute force támadásnak nevezett módszert használnak, amelynek során robotokat programoznak be, amelyek az interneten található WordPress oldalakat keresik, és a felhasználónevek és jelszavak különböző kombinációival próbálnak betörni a weboldalra.
Ha a bejelentkezési nevedet “admin”-ként hagytad meg, máris egy lépéssel közelebb kerültek ahhoz, hogy hozzáférjenek a weboldaladhoz. Ha azonban olyan gyakori jelszavakat használtál, mint a ‘password123’, akkor azt könnyen kitalálhatják. Ezek a botok több ezer, ha nem millió hackelési kísérletet tudnak tenni egyetlen másodperc alatt (ajánlott olvasmány – WordPress bejelentkezési oldal védelmi útmutató).
A jelszó megváltoztatását javasoljuk egy számokkal és szimbólumokkal kombinált jelszóra, hogy a jelszavad olyan erős legyen, mint valaha, például így:
Rajzolt témák telepítése
A prémium témák vonzóak, és mindannyian szeretnénk egy nagyszerű témát a weboldalunkhoz, hogy egyedivé tegyük azt. Sokszor a webhelytulajdonosok áldozatul esnek az ilyen témák ingyenes, feltört vagy kalózverzióinak. Az ilyen, megbízhatatlan forrásból származó témák előre telepített malware-t hordozhatnak. Azzal, hogy telepíti a WordPress webhelyére, a rosszindulatú programokat is telepíti. Ez megnyitja az ajtót a hackerek előtt. Később részletezzük, hogyan történik ez.
A témákat mindig csak megbízható forrásokból töltsd le, például a WordPress tárolójából vagy olyan piacterekről, mint a ThemeForest és a ThemeTrust.
Sérülékeny bővítmények használata
A hackerek folyamatosan kutatnak, hogy rést találjanak a bővítmények biztonságán. Ha találnak egyet, akkor átvizsgálják az interneten azokat a WordPress oldalakat, amelyeken a bővítmény telepítve van. Ez lehetővé teszi számukra, hogy percek alatt weboldalak ezreit törjék fel.
Néhányszor, különösen az ingyenes bővítmények esetében, a fejlesztők úgy találhatják, hogy nem tudják tovább karbantartani, és elhagyják a bővítményt. (Ez a témákkal is megtörténhet). Ezekben az esetekben a bővítmény biztonsága megszűnik, és az oldalára telepítve veszélyt jelent.
A bővítményeket csak megbízható forrásból töltse le, például a WordPress tárolójából vagy a CodeCanyonból. Rendszeresen törölje a már nem használt WordPress bővítményeket és témákat. Ellenőrizze az Ön által használt bővítmények állapotát, hogy a fejlesztő frissíti és karbantartja-e őket.
Biztonságtalan helyi rendszer használata
Néha előfordulhat, hogy maga a számítógép nem biztonságos. Ha valaki feltöri a rendszeredet, könnyen hozzáférhet a WordPress oldaladhoz, mert a legtöbb esetben a wp-admin már be van jelentkezve és nyitva van.
Ez akkor történhet meg, ha nincs telepítve tűzfal vagy rosszindulatú programok elleni eszköz a rendszereden.
Soha ne használj nyilvános számítógépet vagy nyilvános, nem biztonságos wifi kapcsolatot a helyi rendszereden, amelyet a WordPress weboldalad futtatására használsz. Mindig tartsa aktívan a rosszindulatú programokat észlelő eszközöket a webhelyén.
Szegény webtárhely szolgáltatás használata
A tárhelycsomag kiválasztásakor hajlamosak vagyunk a legolcsóbbat keresni. De a legolcsóbb nem mindig garantálja a jó biztonsági intézkedéseket.
A megosztott szerverek olcsóbbak lehetnek, de ezek is veszélyeztetik webhelyét. Nem tudhatja, hogy mely oldalakkal osztozik a webszerverén, és hogy azok végrehajtottak-e biztonsági protokollokat. Ha feltörik őket, megvan rá az esély, hogy a rosszindulatú fertőzés az Ön webhelyére is átterjedhet.
Az is előfordul, hogy a webtárhelyeket kompromittálják, ami azt jelenti, hogy a tárhelyplatformon lévő összes webhelyet a hackerek kihasználhatják.”
A webtárhely kiválasztása előtt olvasson utána, mit kínálnak, és mit mondanak róluk az ügyfelek. Ez segít abban, hogy jó képet kapjon arról, hogy melyik webtárhelyet válassza.
A hackerek a sebezhető webhelyek megtalálásához saját botokat készítenek, vagy az interneten elérhető ingyenes sebezhetőségi keresőkkel fésülik át az internetet. Ha találnak egyet, kihasználják a benne lévő biztonsági hibát (mint például a fent említetteket), hogy hozzáférjenek a WordPress webhely fájljaihoz vagy adatbázisához.
Ezt követően olyan kódot juttatnak be, amely rosszindulatú tevékenységeket hajt végre, például spam e-maileket küld, illegális termékeket árul stb. Emellett olyan kódot is befecskendeznek, amellyel új felhasználói fiókokat vagy WordPress-hátsó ajtókat hozhatnak létre, amelyek segítségével bármikor újra hozzáférhetnek a webhelyéhez.
Hogyan lehet feltörni egy WordPress webhelyet?
A WordPress webhely feltörésének számtalan módja van. Az alábbiakban a hackerek két leggyakoribb módját tárgyaljuk, ahogyan kódot juttatnak be a webhelyedbe, hogy új felhasználói bejelentkezést hozzanak létre:
I. Fájlokon keresztül (előre telepített rosszindulatú szoftver egy kalóz témában)
Amint arról korábban már beszéltünk, sok WordPress webhelytulajdonos esik áldozatul a kalóz témáknak. Az összes funkciót ingyen kapod! De az ilyen szoftverek tartalmazhatnak egy szkriptet egy új bejelentkezési azonosító létrehozására. A téma telepítése után létrejön az új felhasználói fiók, és a hacker egyszerűen bejelentkezhet a webhelyedre a WordPress adminisztrációjából.
Megmutatjuk, hogyan hozhatsz létre új felhasználói fiókot a WordPress webhelyeden a témafájlod segítségével. Ez segít megérteni, hogyan segít a kalóz témák segítségével egy hacker hozzáférhet a webhelyedhez.
Tipp: Ez akkor is jól jöhet, ha ki vagy zárva a wp-adminból, de még mindig van hozzáférésed a webtárhely-fiókodhoz.
Vigyázat:
Egy WordPress webhely kulisszái mögé behatolni kockázatos dolog. A legjobb, ha ezt egy teszt- vagy staging site-on végzi. Ha úgy dönt, hogy az éles webhelyén végzi el, gondoskodjon megbízható biztonsági mentés készítéséről. Ha valami rosszul sülne el, visszaállíthatja a WordPress biztonsági másolatát.
1. lépés: Jelentkezzen be a WordPress tárhely-fiókjába. Menjen a cPanelbe, és lépjen be a Fájlkezelőbe.
A fájlokat egy FTP-kliens, például a FileZilla segítségével is elérheti az FTP hitelesítő adatokkal.
2. lépés: A WordPress fájljai általában a public_html nevű mappában találhatók. Ezen belül elérheti a wp_content/themes.
3. lépés: Itt ki kell választania a weboldalán aktív témát, és szerkesztenie kell a functions.php.
4. lépés: Másolja ki és illessze be a következő kódot a fájl végére. (Ha van egy záró tag, például így ?>, győződjön meg róla, hogy a kód az ezt megelőző sorba kerül.)
$new_user_email = ’[email protected]’;
$new_user_password = ‘password’;
if(!username_exists($new_user_email)) {
$user_id = wp_create_user($new_user_email, $new_user_password, $new_user_email);
wp_update_user(array(‘ID’ => $user_id, ‘nickname’ => $new_user_email));
$user = new WP_User($user_id);
$user->set_role(‘administrator’);
}
Az első két sort az általad választott e-mail címre és jelszóra módosítod. Amint elmented a fájlt, és megnyitod a weboldaladat, a kód lefut, és ezekkel az új hitelesítő adatokkal tudsz bejelentkezni.
Reméljük, most már érted, hogy amikor telepítesz egy kalóz témát, ha az tartalmazza ezt a kódblokkot, akkor egy új felhasználói fiók jön létre. A hackernek csak annyit kell tennie, hogy megadja a hitelesítő adatokat és bejelentkezik.
II. Adatbázison keresztül – SQL Injection
Ez a másik leggyakoribb ok, amiért a WordPress oldalakat feltörik. Kezdetnek két dolgot kell tudnod az SQL-injekciókról:
-
- A WordPress a MySQL-t használja alapértelmezett adatbázis-rendszerként.
- A weboldal frontendjének létrehozásához a WordPress SQL-lekérdezéseket használ az adatok adatbázisból történő lehívásához.
Ezzel és a részletekkel egyelőre nem kell foglalkoznunk. Amit tudnod kell, hogy ez az adatbázis csak a cPanel > phpMyAdminon keresztül érhető el. De a hackerek megtalálják a módját, hogy a cPanel használata nélkül is hozzáférjenek. Az egyik leggyakoribb módja annak, hogy a hackerek kapcsolatba lépnek egy webhely adatbázisával, a webhelyen található sebezhető űrlapokon keresztül történik.
Az űrlap minden olyan elem, ahol szöveget lehet beírni, például a WordPress bejelentkezési sávja, a kapcsolatfelvételi űrlap, a WordPress blogkommentárok, a feliratkozási felugró oldalak, a pénztárgépoldalak és a webhely keresősávja.
Ahelyett, hogy a hacker megadná az űrlapon kért adatokat, a rosszindulatú SQL-parancsait írná be. Mivel az űrlapba beírt összes információ az Ön adatbázisában kerül tárolásra, ez a rosszindulatú kód utat talál magának.
Azért, hogy elmagyarázzuk, hogyan történik ez, megmutatjuk, hogyan hozzon létre egy új felhasználói fiókot az Ön adatbázisának segítségével.
→ Új felhasználói fiók létrehozása az adatbázison keresztül
1. lépés: Lépj be a cPanelbe, és nyisd meg a phpMyAdmin > Adatbázisok.
2. lépés: Itt megjelenik az adatbázisok listája. Ki kell választania az adatbázisát. (Ha nem tudod az adatbázisod nevét, akkor ezt az információt a wp-config fájlban találod meg, így).
A wp-config fájlban szereplő név alapján választottuk ki az adatbázist.
3. lépés: Ezután a jobb oldali panelen megjelenő táblák közül meg kell keresnünk azt a táblát, amely _users-re végződik (valószínűleg wp_users lesz a neve).
Szakasz 4: Itt kattints a ‘Beszúrás’ gombra.
Szakasz 5: Megnyílik a következő képernyő, ahol megadhatod a felhasználó bejelentkezési nevét, jelszavát, e-mail címét és megjelenítési nevét.
Step 6: Ezután kattintson a ‘Go’ gombra, és a módosítások mentésre kerülnek. Most már be tudsz jelentkezni a WordPressbe az új hitelesítő adatokkal.
Az adatbázisba ugyanezt egy SQL kódblokk beillesztésével is megteheted. A kalóz témához hasonlóan, amint a kód bekerül az adatbázisba, lefut, és egy új felhasználó jön létre. Ezt úgy képzelhetjük el, mintha egy hacker egyszerűen létrehozná a saját ajtaját az otthonában, és besétálhatna rajta.
Hogyan akadályozhatja meg, hogy a hackerek feltörjék a webhelyét?
Négy fő lépést kell tennie ahhoz, hogy webhelyét elég biztonságossá tegye ahhoz, hogy a hackereket távol tartsa:
Telepítsen egy WordPress biztonsági plugint
Minden WordPress webhelynek szüksége van egy biztonsági pluginra, például a MalCare-re. Védje WordPress webhelyét egy ilyen pluginnal, amely rendszeresen ellenőrzi a webhelyet. Minden gyanús tevékenységet kiszúr, blokkolja a rosszindulatú forgalmat, és távol tartja a hackereket. Abban az esetben, ha mégis bejut egy hacker, azonnal figyelmeztetést kap, és azonnal megtisztíthatja webhelyét, mielőtt még kárt tehetne.
Telepítsen SSL-tanúsítványt
Ez a tanúsítvány biztosítja webhelye számára az adatok titkosítását. Ez azt jelenti, hogy amikor valaki meglátogatja a webhelyét, az adatok az ő számítógépe és az Ön webhelyének szervere között kerülnek átvitelre.
Ha az adatok egyszerű szövegben kerülnek átvitelre, akkor néha a környéken ólálkodó hackerek meg tudják szerezni ezeket az adatokat. Elolvashatják, ellophatják vagy kedvükre módosíthatják.
De ha titkosítva van, akkor még ha egy hacker meg is szerzi, nem lesz képes megfejteni.
Szerezhet SSL-tanúsítványt a webhostjától vagy egy SSL-szolgáltatótól. Ha aggódik amiatt, hogy túl sokat kell költenie egy tanúsítványra, az olyan szolgáltatók, mint a LetsEncrypt ingyenes SSL-t kínálnak.
Az SSL-tanúsítvány telepítésének megtanulásához tekintse meg ezt az útmutatót – A HTTP HTTPS-re való áttérése.
Az ismert sebezhetőségek javítása
Amint korábban említettük, a WordPressben gyakori sebezhetőségek vannak. Javasoljuk, hogy a következő intézkedéseket tegye meg a sebezhetőségek minimalizálása érdekében.
-
- A WordPress, valamint a témák és bővítmények frissítése elsődleges prioritás kell, hogy legyen.
- Gondoskodjon arról, hogy mindig erős bejelentkezési adatokat használjon a brute forcing támadások elkerülése érdekében.
- Rendszeresen törölje a nem használt témákat és bővítményeket
- Soha ne használjon kalóz témákat és bővítményeket. Az ilyen szoftvereket mindig megbízható forrásból töltse le, például a WordPress-tárból, a CodeCanyonból vagy a ThemeForestből.
- Megbízható webtárhelyszolgáltatót használjon.
- Védje helyi számítógépét rosszindulatú programok elleni szoftverek telepítésével.
Védje a WordPress webhelyét
A WordPress azt ajánlja, hogy minden, a platformján működő webhely tegyen bizonyos lépéseket webhelye keményítése érdekében. Ezek közül néhány intézkedés a következő:
- Fenntartani egy aktív WordPress tűzfalat. Ez segít blokkolni a bejelentkezési kísérletek számának korlátozását. Minden felhasználó csak három esélyt kap a hitelesítő adatok helyes megadására, utána a “Jelszó elfelejtése” lehetőséget kell választania, vagy kapcsolatba kell lépnie az adminisztrátorral. Ugyanezt a MalCare bővítményt használhatja ennek a lépésnek a megvalósításához.
- A bővítménytelepítések letiltása abban az esetben, ha több felhasználó dolgozik a weboldalon. Biztosítani szeretné, hogy senki sem telepít szabadon egy plugint anélkül, hogy ellenőrizné, hogy megbízható és megbízható-e a webhelye. Ezt manuálisan megteheted a wp-config.php nevű fájl szerkesztésével a WordPress telepítésedben. Használhatja ehhez a MalCare plugint is.
- 2-faktoros hitelesítés bevezetése a bejelentkező személy ellenőrzésére. Ez úgy történik, hogy egyszeri jelszót küldünk a regisztrált mobilra vagy e-mail címre, vagy olyan alkalmazásokat használunk, mint a Google Authenticator, amelyek 30 másodpercenként valós idejű jelszót generálnak.
Még sok más módon is keményíthetjük a webhelyünket. Javasoljuk, hogy ezeket a lépéseket a webhely követelményeinek megfelelően hajtsa végre.
Ezeken kívül még néhány további biztonsági intézkedést is megtehet. Erősen javasoljuk, hogy kövesse ezt az útmutatót – Secure Your WordPress Site With wp-config.php.
Végső gondolatok
Reméljük, hogy ez a cikk jobban megértette, hogyan jelenhetnek meg a sebezhetőségek a webhelyén, és hogyan jutnak be a hackerek. A hackerek nem elfogultak, és szinte bármilyen webhelyet megcéloznak. Ha webhelye sebezhető, nagyon nagy az esélye annak, hogy feltörik.
Azért összefoglalva, javasoljuk a sebezhetőségek minimalizálását, egy biztonsági bővítmény telepítését és webhelyének megkeményítését, hogy a hackereknek ne legyen esélyük bejutni webhelyére.
Védje webhelyét a MalCare biztonsági bővítményünkkel!