Tóm Tắt
5 Cách phổ cập nhất để hack website sử dụng wordpress
Nguồn : 5 Common WordPress Security Issues
Bạn đang đọc: Cách Hack Website WordPress Như Thế Nào ? » Vĩnh XD
1. Brute Force Attacks – Tấn công vào mật khẩu quản trị yếu
Brute Force Attacks – là chiêu thức hacker sử dụng nhằm mục đích tìm được tên người dùng và mật khẩu quản trị. Với chiêu thức này, hacker sử dụng một hoặc nhiều công cụ gửi thông tin ( một list những tên đăng nhập và mật khẩu phổ cập ) vào trang đăng nhập của wordpress cho đến khi hiệu quả trả về thành công xuất sắc .
Cài đặt mặc định của wordpress là không số lượng giới hạn lần đăng nhập – tức bạn hoàn toàn có thể nhập mật khẩu sai hàng chục, hàng trăm lần mà vẫn không bị khóa IP, với những quản trị website sử dụng mật khẩu dễ đoán ( ngày sinh, số điện thoại cảm ứng, tên miền, kí tự mà ai cũng đoán được .. ) thì việc dùng chiêu thức này tỷ suất sẽ thành công xuất sắc rất cao .Có một công cụ không lấy phí cho việc này gọi là WPScan :
Chỉ với 1 dòng lệnh để scan password :
ruby wpscan –url www.test.local –wordlist pwd_dict.txt –username admin
- url : website bạn muốn tấn công
- wordlist: danh sách mật khẩu – có thể tìm và tải trên mạng, có thể bổ xung những mật khẩu dễ đoán của quản trị website như :sdt, ngày sinh, tên miền, số cmnd, email…. và0 danh sách này.
- username: admin – hầu hết các đơn vị thiết kế website đều dữ lại tên quản trị cấp cao nhất là “admin”
Không chỉ là công cụ để Brute Force Attacks, WPscan còn là công cụ để quét ra những lỗ hổng bảo mật thông tin trên website .
Dù hacker không thành công xuất sắc, nhưng điều này cũng hoàn toàn có thể gây tốn tài nguyên trên hosting của bạn ( thường dẫn đến web chạy chậm, lỗi 500 – không truy vấn được website ), nếu hacker tiến công tiếp tục còn hoàn toàn có thể dẫn đến đơn vị chức năng phân phối hosting sẽ khóa host của bạn .
2. Khai thác những tệp bị lộ .
Sau Brute Force Attacks, Những lỗ hổng lỗi bảo mật trên file manager của wordpress là cách hacker tấn công phổ biến nhất. WordPress là mã nguồn mở, vì thế nó cho phép những plugin, giao diện sử dụng những thông tin quan trọng để plugin, giao diện đó hoạt động. Tuy nhiên, nếu người viết plugin, giao diện bị “yếu” xuất hiện những lỗi bảo mật, hacker có thể dùng lỗi này để trích xuất thông tin từ file manager.
Xem thêm: Ngôn ngữ HTML – Lập Trình Từ Đầu
Một hướng dẫn hack wordpress website phối hợp file explorer và SQL
3. SQL Injections
WordPress quản lý và vận hành trên MySQL database, SQL Injections là phương pháp tiến công vào cơ sở tài liệu SQL của wordpress từ đó trích xuất được những thông tin quan trọng trên website, thông dụng nhất ở đây chính là tên thông tin tài khoản và reset mật khẩu quản trị của website wordpress .
4. Cross-Site Scripting ( XSS ) .
84 % lỗ hổng bảo mật thông tin trên internet được gọi là Cross-Site Scripting hay XSS attacks. Lỗ hổng XSS thường thông dụng nhất ở những plugin wordpress .Cơ chế cơ bản để hacker sử dụng những lổ hổng XSS là : hacker tìm cách để người dùng website có chứa mã không bảo đảm an toàn. Người dùng khi truy vấn sẽ kích hoạt những đoạn mã này, họ không hề biết những thông tin mà họ gửi đểu hoàn toàn có thể bị lấy cắp qua trình duyệt. Phổ biến nhất của việc hacker qua XSS là khi người dùng điền thông tin vào những form, thông tin từ những form này hoàn toàn có thể bị hacker sử dụng .
5. Malware
Malware viết tắt là Malicious Software – Phần mềm ô nhiễm, là mã độc được cài vào website để trích xuất những thông tin quan trọng từ website bị hack .Có 4 loại malware hổ biến nhất là :
- Backdoors
- Drive-by downloads
- Pharma hacks
- Malicious redirects
Bạn hoàn toàn có thể khám phá chi tiết cụ thể về Malware tại đây
Hiểu được cách hacker tấn công website của bạn, bạn sẽ dể dàng hiểu được cách bảo mật cho website của mình.
Còn nếu bạn muốn thử sức trong việc hack wordpress website ? hãy mở màn với Ubuntu, Terminal và WPscan .
PS: Tôi không nhận hack bất cứ website nào hay hướng dẫn cách hack, làm ơn đừng hỏi
Source: https://final-blade.com
Category: Kiến thức Internet
