Cách phá pass wordpress xâm nhập vào hệ thống quản trị
Ngày đăng: 12/10/2022
Theo nghiên cứu tìm hiểu thì việc người dùng sử dụng plugin kém bảo mật, hosting kém chất lượng nên các hacker dễ dàng sử dụng thủ thật tinh vi để xâm nhập vào trang quản trị. Dưới đây là một số cách phá pass WordPress phổ biến nhất bạn có thể tham khảo qua. Hy vọng những thông tin dưới đây sẽ giúp bạn cập nhật thêm nhiều kiến thức cần thiết để trang bị cho website an toàn tuyệt đối.
Vì sao cần lấy lại pass wordpress?
Việc quên mật khẩu WordPress thường xảy ra rất nhiều lần, vì thế việc lấy lại mật khẩu là điều vô cùng cần thiết giúp bạn truy vấn và tiếp tục quá trình xây dựng website. Để tránh mất mật khẩu thì bạn nên chú ý đổi pass thường xuyên.
Nếu gặp những trường hợp quên mật khẩu WordPress, bạn cần triển khai và gửi nhu yếu WordPress reset lại mật khẩu cho bạn.
5 Cách phá pass WordPress phổ biến đượcc hacker sử dụng
Sau đây Donaweb xin tổng hợp cách phá pass wordpress mà bạn không nên bỏ qua:
Brute Force Attacks – Tấn công vào mật khẩu quản trị yếu
Brute Force Attacks là cách phá pass wordpress nhằm tìm được tên người dùng và mật khẩu quản trị. Với phương pháp này, hacker sử dụng một hoặc nhiều công cụ gửi thông tin vào trang đăng nhập của wordpress cho đến khi kết quả trả về thành công.
Cài đặt mặc định của WordPress là không giới hạn số lần đăng nhập, bạn có thể nhập sai mật khẩu nhiều lần mà vẫn không lo bị khóa IP, với những quản trị website sử dụng mật khẩu dễ đoán thì việc dùng phương pháp này đem lại tỷ lệ thành công cao.
Có một công cụ miễn phí cho việc này gọi là WPScan:
- ruby wpscan –url www.test.local –wordlist pwd_dict.txt –username admin
- url: Website bạn muốn tấn công wordlist: danh sách mật khẩu thì có thể tìm và tải trên mạng, bổ sung mật khẩu dễ đoán của quản trị website như :sdt, ngày sinh, tên miền, số cmnd, email…
- Username: admin – hầu hết các đơn vị thiết kế website đều dữ lại tên quản trị cấp cao nhất là “admin”
Ngoài ra, WPscan còn là công cụ để quét ra lỗ hổng bảo mật trên website. Cho dù cách phá pass wordpress này không thành công thì vẫn có thể gây tiêu tốn tài nguyên của bạn, hoặc thậm chí dẫn đến đơn vị cung cấp hosting khóa host của bạn.
Cách phá pass WordPress Toolkit
Nếu bạn đang sử dụng wordpress Hosting 2018 thì công cụ WordPress Toolkit đã được tích hợp sẵn trên Control Panel của Hosting giúp quản lý các trình cắm (Plugins), Themes, nâng cấp phiên bản, kiểm tra lỗi bảo mật, đăng nhập tự động. Hoặc nếu bạn không thể đăng nhập vào website thì bạn không thể đăng nhập tự động vào quản trị website. Ngoài ra, bạn có thể Reset lại mật khẩu theo các bước:
Bước 1: Đăng nhập vào Công cụ quản trị Hosting
- Đầu tiên đăng nhập vào Hositng WordPress bằng thông tin tài khoản quản trị hoặc đăng nhập tự động từ ID.MATBAO.NET mà không cần nhớ mật khẩu Quản trị Hosting.
Bước 2: Thực hiện
- Sau khi đăng nhập vào Control Panel của Hosting, click vào WordPress để bắt đầu thao tác.
- Khi đó màn hình xuất hiện giao diện WordPress Toolkit, click vào [Setup] để bắt đầu đặt lại mật khẩu cho tài khoản admin cùa website WordPress.
- Tiếp theo, tại khung New password, nhập mật khẩu hoặc click nút Generate để tự phát sinh mật khẩu, sau đó click vào nút Change để thay đổi mật khẩu.
Việc tạo mật khẩu tự động sẽ cho ra mật khẩu mạnh nhất, tuy nhiên bạn cần phải lưu mật khẩu để copy khi đăng nhập.
Khai thác tệp bị lộ
Những lỗ hổng bảo mật trên file manager chính là cách phá pass WordPress phổ biến nhất. Bởi WordPress là một mã nguồn mở cho phép giao diện sử dụng thông tin quan trọng để plugin đó hoạt động. Tuy nhiên nếu giao diện yếu xuất hiện nhiều lỗi bảo mật thì những hacker rất dễ trích xuất từ file manager.
Cách phá pass WordPress với SQL Injections
SQL Injections là phương thức tấn công vào cơ sở dữ liệu SQL, từ đó trích xuất thông tin quan trọng trên website là tên tài khoản và reset mật khẩu quản trị của website wordpress.
Cross-Site Scripting (XSS)
Đa phần mọi lỗ hổng trên Internet là Cross-Site Scripting hay XSS attacks. Các hacker thường sử dụng lỗ hổng XSS để người dùng trang web có chứa mã không an toàn. Người dùng truy cập sẽ kích hoạt những đoạn mã này, họ không biết được những thông tin họ gửi có thể bị lấy cắp thông qua trình duyệt, phổ biến là khi điền thông tin vào form.
Các cuộc tiến công mạng con
Một vài nhà phân phối hosting có những sever cơ sở tài liệu riêng cho phép các trang từ nhiều sever web khác nhau kết nối tới cùng một sever cơ sở dữ liệu. Các máy chủ cơ sở tài liệu được cấu hình cho phép kết nối từ nhiều IP trên cùng mạng con khiến cho các cuộc hack hàng loạt sử dụng thông tin cơ sở dữ liệu đánh cắp thành công. Các hacker chỉ cần một website bị xâm nhập trên mỗi mạng con để bắt đầu phá pass WordPress thành công.
Trong trường hợp này, script sẽ có dạng như sau:
$ip=trim(fgets(STDIN,1024));
$ip = explode(‘.’,$ip);
$ip = $ip[0].’.’.$ip[1].’.’.$ip[2].’.’;
for($i=0;$i <= 255;$i++)
{
$sites = array_map(“site”, bing(“ip:$ip.$i wordpress”));
Tìm hiểu nguy cơ tiềm ẩn để bảo mật trang web
Chúng tôi luôn nhấn mạnh tới yếu tố cross-contaminations, khi một trang bị bỏ rơi có thể là nguyên ngân khiến các cập nhật bị tiến công lại trên cùng máy chủ web. Bài viết này cho thấy rằng mắt xích yếu nhất là một trang không thuộc về bạn và chỉ dùng cùng máy chủ như trang của bạn. Trong các trường hợp này, website có thể bị hack kể cả khi bạn đã thiết lập quyền hạn cho wp-config.php và cơ sở dữ liệu không cho phép các kết nối từ bên ngoài.
Tất nhiên, các hacker vẫn cần đánh cắp thông tin cơ sở dữ liệu bị dính lỗ hổng chưa được biết tới hoặc được phát hiện. Vì thế, để ngăn chặn các cuộc tấn công đòn kích, bạn nên vô hiệu càng nhiều mắt xích yếu càng tốt.
- Di chuyển trang tới máy chủ riêng
- Trang web để các máy quét lỗ hổng độc hại không thể tìm các lỗ hổng bảo mật trên trang
- Bất kỳ lỗi nào cũng nên xem xét về các lỗ hổng bảo mật zero-day giúp bạn nhanh gọn phục phồi từ cuộc lây nhiễm WordPress
- Bạn cũng có thể có lợi từ Website Firewall cung ứng bản vá và bảo vệ mưu trí chống lại các cuộc tấn công dựa trên lỗi bảo mật.
Kết luận
Các cách phá pass WordPress trên đây được các hacker thường xuyên sử dụng nhằm xâm nhập vào hệ thống bất hợp pháp. Sau khi tham khảo qua các thông tin của thiết kế web Đồng Nai trên đây, hy vọng bạn đã có thêm một số kiến thức để cập nhật các tính năng bảo mật trang web an toàn hơn.
Tin tức liên quan
17/02/2023
Bài viết sau đây tổng hợp cho bạn các plugins wordpress ecommerce tốt nhất giúp bạn có thêm lựa chọn cho bản thân nếu bạn có ý định bắt đầu kinh doanh trực tuyến trên các sàn thương mại điện tử bằng plugins wordpress. Ngày nay, với sự phổ biến mở rộng ngày càng tăng […]
17/02/2023
Tạo file htaccess cho wordpress dường như đã không còn quá xa lạ với những lập trình viên lâu năm kinh nghiệm. Nhưng đối với người mới thì sẽ hơi khó khăn trong việc tạo file htaccess cho wordpress đơn giản một cách nhanh chóng. Hãy cùng thiết kế web Đồng Nai tìm ra giải […]
17/10/2022
Sau một khoảng thời gian dài sử dụng website thì có thể gặp một số lỗi ngoài ý muốn. Nhiều người đang lo sợ website sẽ mất sạch toàn bộ thông tin nếu xảy ra sự cố. Khoan hãy lo lắng vì chúng tôi sẽ giúp bạn khắc phục ngay đây. Cách restore phục hồi […]
26/09/2022
WordPress là mã nguồn hỗ trợ quá trình tạo website miễn phí. Nếu bạn muốn tạo một website chuyên nghiệp thì WordPress chính là sự lựa chọn hàng đầu của hàng triệu người dùng trên toàn thế giới. Bài viết dưới đây xin hướng dẫn cài đặt WordPress cơ bản nếu bạn không quá rành […]
21/09/2022
Trong thời đại công nghệ 4.0 phát triển thì thiết kế website là nhu cầu cần thiết của mọi doanh nghiệp, cá nhân hay bất kỳ tổ chức nào. Vậy thiết kế web là làm gì mà giúp đem lại hiệu quả bán hàng cao, giúp sản phẩm và thương hiệu được nhiều người biết […]
19/09/2022
Nhu cầu sử dụng website phục vụ các hoạt động quảng bá thương hiệu, sản phẩm, dịch vụ đã trở nên rất phổ biến trong thời đại công nghệ số hóa phát triển. Phần lớn các doanh nghiệp tìm đến các dịch vụ thiết kế website chuyên nghiệp. Tuy nhiên vì nhiều lý do nên […]
