Innan vi börjar visa dig hur och varför hackare hackar webbplatser måste du förstå strukturen på din WordPress-webbplats. Den består av filer och en databas. WordPress-filer innehåller oftast alla inställningar och konfigurationer, medan databasen lagrar alla data om inlägg, kommentarer, användare och ett gäng andra saker.
Båda elementen krävs för att generera frontend på din webbplats. Men båda kan också utnyttjas av hackare.
Först ska vi ta en titt på hur hackare tar sig in på WordPress-webbplatser.
Anmärkningar: Detta är inte en guide om hur man hackar en WordPress-webbplats. Det är en pedagogisk artikel som visar hur hackare kan utnyttja sårbarheter för att hacka din webbplats. Med det sagt, låt oss börja.
6 vanliga sårbarheter som gör det möjligt för hackare att hacka WordPress-webbplatser
För att hacka en webbplats bör den ha en sårbarhetspunkt. Vi har listat de vanligaste sårbarheterna som finns på WordPress-webbplatser:
Körning av föråldrad WordPress-installation
Omkring 44 % av de hackade WordPress-webbplatserna kördes på föråldrade installationer enligt en rapport från 2018. Som webbplatsägare kommer du att se frekventa uppdateringar tillgängliga för WordPress-installationen, så här:
Oftast har uppdateringar nya funktioner, buggfixar eller löser inkompatibilitetsproblem. Ibland innehåller de även säkerhetspatchar för WordPress. Detta innebär att om en säkerhetsbrist har hittats i programvaran, åtgärdar utvecklarna den snabbt och släpper en uppdatering som tar bort bristen.
När den släpps offentliggörs förekomsten av en wp-säkerhetsbrist för allmänheten. Hackare söker då upp webbplatser som inte har uppdaterats, hittar felet och använder det för att hacka sig in på webbplatsen.
Så om du väljer att inte uppdatera din WordPress-installation har du inte installerat de nya säkerhetsfunktionerna och du har gett din webbplats på ett fat till hackarna.
Håll alltid din WordPress-webbplats uppdaterad.
Tip: Säkerhetsborttagningar rullas ut som mindre uppdateringar. Du kan se om det är en större uppdatering om det är V5.2 eller V5.3. En mindre uppdatering skulle till exempel vara V5.2.1. Som standard är mindre uppdateringar automatiska, men du kan stänga av det. Vi rekommenderar att du håller alternativet för automatiska uppdateringar påslaget för mindre uppdateringar.
Förutom att hålla dina plugins, teman och kärnan uppdaterade rekommenderar vi starkt att du håller dina WordPress-salter och säkerhetsnycklar uppdaterade.
Användning av svaga autentiseringsuppgifter
En annan vanlig inkörsport för hackare är svaga autentiseringsuppgifter. Hackare använder en metod som kallas brute force-attacker där de programmerar robotar för att söka efter WordPress-webbplatser på internet och försöker olika kombinationer av användarnamn och lösenord för att bryta sig in på webbplatsen.
Om du har lämnat ditt inloggningsnamn som ”admin” är de redan ett steg närmare att få tillgång till din webbplats. Men om du har använt vanliga lösenord som ”password123” är det lätt för dem att gissa det. Dessa robotar kan göra tusentals, om inte miljontals hackningsförsök på bara en sekund (rekommenderad läsning – Guide för skydd av WordPress inloggningssida).
Vi rekommenderar att du ändrar lösenordet till en lösenfras i kombination med siffror och symboler för att göra ditt lösenord starkt som aldrig förr så här:
Har piratkopierade teman installerade
Premiumteman är attraktiva och vi skulle alla älska att ha ett bra tema för vår webbplats för att göra den unik. Många gånger faller webbplatsägare offer för gratis, knäckta eller piratkopierade versioner av dessa teman. Sådana teman från opålitliga källor kan innehålla förinstallerad skadlig kod. Genom att installera det på din WordPress-webbplats installerar du också skadlig kod. Detta öppnar dörren för hackare. Vi har detaljerat beskrivit hur detta sker senare.
Hämta alltid teman endast från pålitliga källor som WordPress-arkivet eller marknadsplatser som ThemeForest och ThemeTrust.
Användning av sårbara plugins
Hackerare är ständigt på jakt efter luckor i plugins säkerhet. Om de hittar en sådan, söker de på internet efter WordPress-webbplatser som har insticksprogrammet installerat. Detta gör det möjligt för dem att hacka sig in på tusentals webbplatser på några minuter.
Många gånger, särskilt när det gäller kostnadsfria insticksprogram, kan utvecklare upptäcka att de inte kan underhålla det längre och överge insticksprogrammet. (Detta kan också hända med teman). I dessa fall upphör insticksmodulets säkerhet och att ha det installerat på din webbplats utgör ett hot.
Ladda ner insticksmoduler endast från betrodda källor, t.ex. från WordPress-arkivet eller CodeCanyon. Ta regelbundet bort WordPress-plugins och teman som du inte längre använder. Kontrollera statusen för de plugins du använder för att se om de uppdateras och underhålls av utvecklaren.
Användning av ett osäkert lokalt system
Ibland kan det vara själva datorn som är osäker. Om någon hackar sig in i ditt system kan de lätt komma åt din WordPress-webbplats eftersom wp-admin i de flesta fall redan är inloggad och öppen.
Detta kan hända om du inte har en brandvägg eller ett anti-malware-verktyg installerat på ditt system.
Det rekommenderas att du aldrig använder en offentlig dator eller en offentlig osäker wifi-anslutning på ditt lokala system som du använder för att köra din WordPress-webbplats. Håll alltid verktyg för upptäckt av skadlig kod aktiva på din webbplats.
Användning av dålig webbhotellstjänst
När vi väljer en webbhotellsplan tenderar vi att leta efter den billigaste. Men det billigaste garanterar inte alltid bra säkerhetsåtgärder.
Delade servrar kan vara billigare, men de utsätter också din webbplats för risker. Du kan inte veta vilka webbplatser du delar en webbserver med och om de har infört säkerhetsprotokoll. Om de blir hackade finns det en chans att den skadliga infektionen kan spridas till din webbplats också.
Det förekommer också att webbplatsvärdar äventyras, vilket innebär att alla webbplatser på värdplattformen är utsatta för hackare att utnyttja.
För att välja ett webbhotell bör du läsa på vad de erbjuder och vad kunderna har att säga om dem. Detta hjälper dig att få en bra uppfattning om vilket webbhotell du ska välja.
För att hitta en sårbar webbplats skapar hackare sina egna robotar eller använder gratis sårbarhetsskannrar som finns tillgängliga på nätet för att kamma igenom internet. När de hittar en sådan utnyttjar de den säkerhetsbrist som den har (som de som nämns ovan) för att få tillgång till filerna eller databasen på WordPress-webbplatsen.
Därefter injicerar de kod som utför skadliga aktiviteter som att skicka skräppost, sälja olagliga produkter osv. De injicerar också kod för att skapa nya användarkonton eller WordPress-bakdörrar som hjälper dem att återfå tillgång till din webbplats närhelst de vill.
Hur hackar man en WordPress-webbplats?
Det finns otaliga sätt att hacka sig in på en WordPress-webbplats. Här diskuterar vi två av de vanligaste sätten för hackare att injicera kod på din webbplats för att skapa en ny användarinloggning:
I. Genom filer (förinstallerad skadlig kod i ett piratkopierat tema)
Som vi diskuterade tidigare faller många ägare av WordPress-webbplatser offer för piratkopierade teman. Du får alla funktioner gratis! Men sådan programvara kan ha ett skript för att skapa ett nytt inloggnings-ID. När du installerar temat skapas det nya användarkontot och hackaren kan helt enkelt logga in på din webbplats från WordPress admin.
Vi ska visa dig hur du kan skapa ett nytt användarkonto på din WordPress-webbplats med hjälp av din temafil. Detta hjälper dig att förstå hur piratkopierade teman hjälper en hackare att få tillgång till din webbplats.
Tip: Detta kan också vara praktiskt om du är utelåst från din wp-admin men fortfarande har tillgång till ditt webbhotellskonto.
Försiktighet:
Att gå bakom kulisserna på en WordPress-webbplats är en riskfylld sak. Det är bäst att göra detta på en test- eller staging-webbplats. Om du väljer att göra det på din live-webbplats ska du se till att du tar en tillförlitlig säkerhetskopia. Om något går fel kan du återställa din WordPress-backup.
Steg 1: Logga in på ditt WordPress-hostingkonto. Gå till cPanel och få tillgång till filhanteraren.
Du kan också få tillgång till filerna via en FTP-klient som FileZilla med hjälp av FTP-uppgifter.
Steg 2: Dina WordPress-filer ligger vanligtvis i en mapp som heter public_html. I den kan du komma åt wp_content/themes.
Steg 3: Här måste du välja det aktiva temat på din webbplats och redigera functions.php.
redigera filen functions.php.
redigera filen functions
Steg 4: Kopiera och klistra in följande kod i slutet av filen. (Om det finns en avslutande tagg som t.ex. ?>, se till att koden kommer på raden före denna.)
$new_user_email = ’[email protected]’;
$new_user_password = ’password’;
if(!username_exists($new_user_email)) {
$user_id = wp_create_user($new_user_email, $new_user_password, $new_user_email);
wp_update_user(array(’ID’ => $user_id, ’nickname’ => $new_user_email)));
$user = new WP_User($user_id);
$user->set_role(’administrator’);
}
Redigera de två första raderna till e-post och lösenord som du väljer. När du sparar filen och öppnar din webbplats kommer koden att köras och du kan logga in med dessa nya inloggningsuppgifter.
Vi hoppas att du nu förstår att när du installerar ett piratkopierat tema om det har detta kodblock kommer ett nytt användarkonto att skapas. Allt hackaren behöver göra är att ange inloggningsuppgifterna och logga in.
II. Genom databasen – SQL-injektion
Detta är en annan av de vanligaste orsakerna till att WordPress-webbplatser hackas. Till att börja med måste du veta två saker om SQL-injektioner:
-
- WordPress använder MySQL som standarddatabassystem.
- För att generera frontend på en webbplats använder WordPress SQL-frågor för att hämta data från databasen.
Vi behöver inte oroa oss för vad det här är eller detaljerna kring det för tillfället. Det du behöver veta är att denna databas endast är tillgänglig via cPanel > phpMyAdmin. Men hackare hittar sätt att komma åt den utan att använda cPanel. Ett av de vanligaste sätten för hackare att komma i kontakt med en webbplats databas är genom sårbara formulär på en webbplats.
Ett formulär är ett element där text kan skrivas in, t.ex. WordPress-inloggningsfältet, kontaktformuläret, WordPress-bloggkommentarer, prenumerationspopulär, kassasidor och webbplatsens sökfält.
Istället för att skriva in de uppgifter som efterfrågas i formuläret, skriver hackaren in sina skadliga SQL-kommandon. Eftersom all information som matas in i formuläret lagras i din databas kommer denna skadliga kod att hitta vägen in.
För att förklara hur det här händer ska vi visa hur man skapar ett nytt användarkonto med hjälp av din databas.
→ Skapa nytt användarkonto via databas
Steg 1: Gå in i cPanel och öppna phpMyAdmin > Databaser.
Steg 2: Här ser du en lista över databaser. Du måste välja din databas. (Om du inte vet ditt databasnamn kan du ta reda på denna information i din wp-config, så här).
Vi har valt databasen enligt namnet i wp-config-filen.
Steg 3: Därefter måste du från tabellerna som fylls på i den högra panelen hitta tabellen som slutar på _users (Den kommer troligen att heta wp_users).
Steg 4: Här kan du klicka på ”Insert”.
Steg 5: Det kommer att öppna följande skärm där du kan ange användarens inloggningsnamn, lösenord, e-post och visningsnamn.
Steg 6: Klicka sedan på ”Go” och dina ändringar sparas. Nu kan du logga in i WordPress med de nya inloggningsuppgifterna.
Det samma kan göras genom att infoga ett block av SQL-kod i databasen. I likhet med det piratkopierade temat kommer koden att köras när den kommer in i databasen och en ny användare kommer att skapas. Vi kan se det som att en hackare helt enkelt skapar en egen dörr i ditt hem och går rakt in.
Hur stoppar du hackare från att hacka din webbplats?
Det finns fyra huvudsakliga steg som du måste ta för att göra din webbplats tillräckligt säker för att hålla hackare på avstånd:
Installera en WordPress-säkerhetstilläggsfunktion
Varje WordPress-webbplats behöver en säkerhetstilläggsfunktion som MalCare. Skydda din WordPress-webbplats med ett sådant plugin som skannar webbplatsen regelbundet. Det kommer att upptäcka all misstänkt aktivitet, blockera skadlig trafik och hålla hackare borta. Om en hackare tar sig in kommer du att bli varnad omedelbart och du kan rensa din webbplats omedelbart innan de kan göra någon skada.
Installera ett SSL-certifikat
Detta certifikat kommer att förse din webbplats med datakryptering. Det innebär att när någon besöker din webbplats överförs data mellan deras dator och din webbplats server.
Om data överförs i klartext kan ibland hackare som ligger på lur ta del av dessa data. De kan läsa den, stjäla den eller ändra den efter eget tycke.
Men om den är krypterad kommer en hackare inte att kunna tyda den, även om han eller hon får tag på den.
Du kan skaffa ett SSL-certifikat från ditt webbhotell eller från en SSL-leverantör. Om du är orolig för att spendera för mycket pengar på ett certifikat erbjuder leverantörer som LetsEncrypt gratis SSL.
Om du vill veta hur du installerar ett SSL-certifikat kan du ta en titt på den här guiden – Moving HTTP to HTTPS.
Rättar kända sårbarheter
Som vi nämnde tidigare finns det vanliga sårbarheter i WordPress. Vi rekommenderar att du vidtar följande åtgärder för att minimera sårbarheterna.
-
- Uppdatering av WordPress och dess teman och plugins måste ha högsta prioritet.
- Säkerställ att du alltid använder starka inloggningsuppgifter för att undvika brute forcing-attacker.
- Släpp regelbundet oanvända teman och plugins
- Använd aldrig piratkopierade teman och plugins. Ladda alltid ner sådan programvara från betrodda källor som WordPress-förrådet, CodeCanyon eller ThemeForest.
- Använd en pålitlig webbhotellleverantör.
- Skydda din lokala dator genom att installera program mot skadlig kod.
Härda din WordPress-webbplats
WordPress rekommenderar att varje webbplats på deras plattform vidtar vissa åtgärder för att härda sina webbplatser. Några av dessa åtgärder är bland annat följande:
- Håll en aktiv WordPress-brandvägg. Detta hjälper till att blockera Begränsning av antalet inloggningsförsök. Varje användare får bara tre chanser att ange inloggningsuppgifterna korrekt, varefter de måste välja ”Glömt lösenord” eller kontakta administratören. Du kan använda samma MalCare-plugin för att genomföra detta steg.
- Inaktivera plugininstallationer om du har flera användare som arbetar på webbplatsen. Du vill försäkra dig om att ingen installerar ett insticksprogram fritt utan att kontrollera om de är pålitliga och trovärdiga för att ha din webbplats. Detta kan göras manuellt genom att redigera en fil som heter wp-config.php i din WordPress-installation. Du kan också använda insticksprogrammet MalCare för detta.
- Implementera 2-faktorsautentisering för att verifiera den person som loggar in. Detta görs genom att skicka ett engångslösenord till den registrerade mobilen eller e-postadressen, eller genom att använda appar som Google Authenticator som genererar ett realtidslösenord var 30:e sekund.
Det finns många fler sätt som du kan använda för att skydda din webbplats. Det rekommenderas att du implementerar dessa steg enligt kraven för din webbplats.
För övrigt kan du vidta ytterligare några säkerhetsåtgärder. Vi rekommenderar starkt att du följer den här guiden – Secure Your WordPress Site With wp-config.php.
Sluttliga tankar
Vi hoppas att den här artikeln har gett dig en bättre förståelse för hur sårbarheter kan dyka upp på din webbplats och hur hackare tar sig in. Hackare är inte partiska och kommer att rikta in sig på nästan vilken webbplats som helst. Om din webbplats är sårbar finns det en riktigt bra chans att du blir hackad.
Så för att sammanfatta rekommenderar vi att du minimerar sårbarheter, installerar ett säkerhetsinsticksprogram och härdar din webbplats så att hackare inte har en chans att ta sig in på din webbplats.
Håll din webbplats säker med vårt MalCare Security Plugin!