Tóm Tắt
5 Cách phổ biến nhất để hack website sử dụng wordpress
1. Brute Force Attacks – Tấn công vào mật khẩu quản trị yếu
Brute Force Attacks – là phương pháp hacker sử dụng nhằm tìm được tên người dùng và mật khẩu quản trị. Với phương pháp này, hacker sử dụng một hoặc nhiều công cụ gửi thông tin( một list những tên đăng nhập và mật khẩu phổ biến) vào trang đăng nhập của wordpress cho đến khi kết quả trả về thành công.
Một website tôi quản trị bị tiến công bằng Brute Force AttacksCài đặt mặc định của wordpress là không số lượng giới hạn lần đăng nhập – tức bạn hoàn toàn có thể nhập mật khẩu sai hàng chục, hàng trăm lần mà vẫn không bị khóa IP, với những quản trị website sử dụng mật khẩu dễ đoán ( ngày sinh, số điện thoại cảm ứng, tên miền, kí tự mà ai cũng đoán được .. ) thì việc dùng giải pháp này tỷ suất sẽ thành công xuất sắc rất cao .Có một công cụ không tính tiền cho việc này gọi là WPScan :
Chỉ với 1 dòng lệnh để scan password :ruby wpscan – url www.test.local – wordlist pwd_dict. txt – username adminurl : website bạn muốn tấn côngwordlist: danh sách mật khẩu – có thể tìm và tải trên mạng, có thể bổ xung những mật khẩu dễ đoán của quản trị website như :sdt, ngày sinh, tên miền, số cmnd, email…. và0 danh sách này.username: admin – hầu hết các đơn vị thiết kế website đều dữ lại tên quản trị cấp cao nhất là “admin”url : website bạn muốn tấn côngwordlist : list mật khẩu – hoàn toàn có thể tìm và tải trên mạng, hoàn toàn có thể bổ xung những mật khẩu dễ đoán của quản trị website như : sdt, ngày sinh, tên miền, số cmnd, email …. và0 list này. username : admin – hầu hết các đơn vị chức năng phong cách thiết kế website đều dữ lại tên quản trị cấp cao nhất là “ admin ”Không chỉ là công cụ để Brute Force Attacks, WPscan còn là công cụ để quét ra những lỗ hổng bảo mật thông tin trên website .Dù hacker không thành công xuất sắc, nhưng điều này cũng hoàn toàn có thể gây tốn tài nguyên trên hosting của bạn ( thường dẫn đến web chạy chậm, lỗi 500 – không truy vấn được website ), nếu hacker tiến công tiếp tục còn hoàn toàn có thể dẫn đến đơn vị chức năng cung ứng hosting sẽ khóa host của bạn .
2. Khai thác những tệp bị lộ.
Sau Brute Force Attacks, Những lỗ hổng lỗi bảo mật thông tin trên file manager của wordpress là cách hacker tiến công thông dụng nhất. WordPress là mã nguồn mở, vì vậy nó được cho phép những plugin, giao diện sử dụng những thông tin quan trọng để plugin, giao diện đó hoạt động giải trí. Tuy nhiên, nếu người viết plugin, giao diện bị “ yếu ” Open những lỗi bảo mật thông tin, hacker hoàn toàn có thể dùng lỗi này để trích xuất thông tin từ file manager .
Xem thêm: Ca Sĩ Tuấn Cảnh – Ký Ức Lặng Buồn Của “Bé ” Xuân Mai
Một hướng dẫn hack wordpress website tích hợp file explorer và SQL
3. SQL Injections
WordPress quản lý và vận hành trên MySQL database, SQL Injections là phương pháp tiến công vào cơ sở tài liệu SQL của wordpress từ đó trích xuất được những thông tin quan trọng trên website, thông dụng nhất ở đây chính là tên thông tin tài khoản và reset mật khẩu quản trị của website wordpress .
4.Cross-Site Scripting (XSS).
tin tức có được nếu bạn hoàn toàn có thể truy vấn được vào database của wordpress84 % lỗ hổng bảo mật thông tin trên internet được gọi là Cross-Site Scripting hay XSS attacks. Lỗ hổng XSS thường thông dụng nhất ở các plugin wordpress .Cơ chế cơ bản để hacker sử dụng các lổ hổng XSS là : hacker tìm cách để người dùng website có chứa mã không bảo đảm an toàn. Người dùng khi truy vấn sẽ kích hoạt những đoạn mã này, họ không hề biết những thông tin mà họ gửi đểu hoàn toàn có thể bị lấy cắp qua trình duyệt. Phổ biến nhất của việc hacker qua XSS là khi người dùng điền thông tin vào các form, thông tin từ các form này hoàn toàn có thể bị hacker sử dụng .
5.Malware
Malware viết tắt là Malicious Software – Phần mềm ô nhiễm, là mã độc được cài vào website để trích xuất những thông tin quan trọng từ website bị hack .Có 4 loại malware hổ biến nhất là :BackdoorsDrive-by downloadsPharma hacksMalicious redirectsBackdoorsDrive-by downloadsPharma hacksMalicious redirects
Bạn có thể tìm hiểu chi tiết về Malware tại đây
Hiểu được cách hacker tiến công website của bạn, bạn sẽ dể dàng hiểu được cách bảo mật thông tin cho website của mình .Còn nếu bạn muốn thử sức trong việc hack wordpress website ? hãy khởi đầu với Ubuntu, Terminal và WPscan .PS : Tôi không nhận hack bất kể website nào hay hướng dẫn cách hack, làm ơn đừng hỏi
Source: https://final-blade.com
Category: Kiến thức Internet
