Cách phá pass wordpress xâm nhập vào hệ thống quản trị

Theo nghiên cứu tìm hiểu thì việc người dùng sử dụng plugin kém bảo mật, hosting kém chất lượng nên các hacker dễ dàng sử dụng thủ thật tinh vi để xâm nhập vào trang quản trị. Dưới đây là một số cách phá pass WordPress phổ biến nhất bạn có thể tham khảo qua. Hy vọng những thông tin dưới đây sẽ giúp bạn cập nhật thêm nhiều kiến thức cần thiết để trang bị cho website an toàn tuyệt đối.

Vì sao cần lấy lại pass wordpress?

Việc quên mật khẩu WordPress thường xảy ra rất nhiều lần, vì thế việc lấy lại mật khẩu là điều vô cùng cần thiết giúp bạn truy vấn và tiếp tục quá trình xây dựng website. Để tránh mất mật khẩu thì bạn nên chú ý đổi pass thường xuyên.

Nếu gặp những trường hợp quên mật khẩu WordPress, bạn cần triển khai và gửi nhu yếu WordPress reset lại mật khẩu cho bạn.

5 Cách phá pass WordPress phổ biến đượcc hacker sử dụng

Sau đây Donaweb xin tổng hợp cách phá pass wordpress mà bạn không nên bỏ qua:

Cách phá pass WordPress
Hướng dẫn cách phá pass WordPress chi tiết từ A-Z

Brute Force Attacks – Tấn công vào mật khẩu quản trị yếu

Brute Force Attacks là cách phá pass wordpress nhằm tìm được tên người dùng và mật khẩu quản trị. Với phương pháp này, hacker sử dụng một hoặc nhiều công cụ gửi thông tin vào trang đăng nhập của wordpress cho đến khi kết quả trả về thành công.

Cài đặt mặc định của WordPress là không giới hạn số lần đăng nhập, bạn có thể nhập sai mật khẩu nhiều lần mà vẫn không lo bị khóa IP, với những quản trị website sử dụng mật khẩu dễ đoán thì việc dùng phương pháp này đem lại tỷ lệ thành công cao.

Có một công cụ miễn phí cho việc này gọi là WPScan:

  • ruby wpscan –url www.test.local –wordlist pwd_dict.txt –username admin
  • url: Website bạn muốn tấn công wordlist: danh sách mật khẩu thì có thể tìm và tải trên mạng, bổ sung mật khẩu dễ đoán của quản trị website như :sdt, ngày sinh, tên miền, số cmnd, email…
  • Username: admin – hầu hết các đơn vị thiết kế website đều dữ lại tên quản trị cấp cao nhất là “admin”

Ngoài ra, WPscan còn là công cụ để quét ra lỗ hổng bảo mật trên website. Cho dù cách phá pass wordpress này không thành công thì vẫn có thể gây tiêu tốn tài nguyên của bạn, hoặc thậm chí dẫn đến đơn vị cung cấp hosting khóa host của bạn.

Cách phá pass WordPress Toolkit

Hướng dẫn phá pass WordPress Toolkit
Hướng dẫn phá pass WordPress Toolkit

Nếu bạn đang sử dụng wordpress Hosting 2018 thì công cụ WordPress Toolkit đã được tích hợp sẵn trên Control Panel của Hosting giúp quản lý các trình cắm (Plugins), Themes, nâng cấp phiên bản, kiểm tra lỗi bảo mật, đăng nhập tự động. Hoặc nếu bạn không thể đăng nhập vào website thì bạn không thể đăng nhập tự động vào quản trị website. Ngoài ra, bạn có thể Reset lại mật khẩu theo các bước:

Bước 1: Đăng nhập vào Công cụ quản trị Hosting

  • Đầu tiên đăng nhập vào Hositng WordPress bằng thông tin tài khoản quản trị hoặc đăng nhập tự động từ ID.MATBAO.NET mà không cần nhớ mật khẩu Quản trị Hosting.

Bước 2: Thực hiện

  • Sau khi đăng nhập vào Control Panel của Hosting, click vào WordPress để bắt đầu thao tác.
  • Khi đó màn hình xuất hiện giao diện WordPress Toolkit, click vào [Setup] để bắt đầu đặt lại mật khẩu cho tài khoản admin cùa website WordPress.
  • Tiếp theo, tại khung New password, nhập mật khẩu hoặc click nút Generate để tự phát sinh mật khẩu, sau đó click vào nút Change để thay đổi mật khẩu.

Việc tạo mật khẩu tự động sẽ cho ra mật khẩu mạnh nhất, tuy nhiên bạn cần phải lưu mật khẩu để copy khi đăng nhập.

Khai thác tệp bị lộ

Những lỗ hổng bảo mật trên file manager chính là cách phá pass WordPress phổ biến nhất. Bởi WordPress là một mã nguồn mở cho phép giao diện sử dụng thông tin quan trọng để plugin đó hoạt động. Tuy nhiên nếu giao diện yếu xuất hiện nhiều lỗi bảo mật thì những hacker rất dễ trích xuất từ file manager.

Cách phá pass WordPress với SQL Injections

SQL Injections là phương thức tấn công vào cơ sở dữ liệu SQL, từ đó trích xuất thông tin quan trọng trên website là tên tài khoản và reset mật khẩu quản trị của website wordpress.

Cross-Site Scripting (XSS)

Đa phần mọi lỗ hổng trên Internet là Cross-Site Scripting hay XSS attacks. Các hacker thường sử dụng lỗ hổng XSS để người dùng trang web có chứa mã không an toàn. Người dùng truy cập sẽ kích hoạt những đoạn mã này, họ không biết được những thông tin họ gửi có thể bị lấy cắp thông qua trình duyệt, phổ biến là khi điền thông tin vào form.

Các cuộc tiến công mạng con

Một vài nhà phân phối hosting có những sever cơ sở tài liệu riêng cho phép các trang từ nhiều sever web khác nhau kết nối tới cùng một sever cơ sở dữ liệu. Các máy chủ cơ sở tài liệu được cấu hình cho phép kết nối từ nhiều IP trên cùng mạng con khiến cho các cuộc hack hàng loạt sử dụng thông tin cơ sở dữ liệu đánh cắp thành công. Các hacker chỉ cần một website bị xâm nhập trên mỗi mạng con để bắt đầu phá pass WordPress thành công.

Trong trường hợp này, script sẽ có dạng như sau:

$ip=trim(fgets(STDIN,1024));
$ip = explode(‘.’,$ip);
$ip = $ip[0].’.’.$ip[1].’.’.$ip[2].’.’;
for($i=0;$i <= 255;$i++)
{
$sites = array_map(“site”, bing(“ip:$ip.$i wordpress”));

Tìm hiểu nguy cơ tiềm ẩn để bảo mật trang web

Chúng tôi luôn nhấn mạnh tới yếu tố cross-contaminations, khi một trang bị bỏ rơi có thể là nguyên ngân khiến các cập nhật bị tiến công lại trên cùng máy chủ web. Bài viết này cho thấy rằng mắt xích yếu nhất là một trang không thuộc về bạn và chỉ dùng cùng máy chủ như trang của bạn. Trong các trường hợp này, website có thể bị hack kể cả khi bạn đã thiết lập quyền hạn cho wp-config.php và cơ sở dữ liệu không cho phép các kết nối từ bên ngoài.

Tất nhiên, các hacker vẫn cần đánh cắp thông tin cơ sở dữ liệu bị dính lỗ hổng chưa được biết tới hoặc được phát hiện. Vì thế, để ngăn chặn các cuộc tấn công đòn kích, bạn nên vô hiệu càng nhiều mắt xích yếu càng tốt.

  • Di chuyển trang tới máy chủ riêng
  • Trang web để các máy quét lỗ hổng độc hại không thể tìm các lỗ hổng bảo mật trên trang
  • Bất kỳ lỗi nào cũng nên xem xét về các lỗ hổng bảo mật zero-day giúp bạn nhanh gọn phục phồi từ cuộc lây nhiễm WordPress
  • Bạn cũng có thể có lợi từ Website Firewall cung ứng bản vá và bảo vệ mưu trí chống lại các cuộc tấn công dựa trên lỗi bảo mật.

Kết luận

Các cách phá pass WordPress trên đây được các hacker thường xuyên sử dụng nhằm xâm nhập vào hệ thống bất hợp pháp. Sau khi tham khảo qua các thông tin trên đây, hy vọng bạn đã có thêm một số kiến thức để cập nhật các tính năng bảo mật trang web an toàn hơn.

Đánh giá post
0899679539 Email Zalo Messenger