Hướng dẫn exploit wordpress - khai thác wordpress
|
Bạn có biết rằng mỗi năm có khoảng 170.000 website sử dụng wordpress bị hack Show Số liệu từ năm 2013 – Con số này có lẽ đã tăng lên rất rất nhiều! 51% trong số đó bị hack bởi sử dụng các plugin/ giao diện được phát triển kém về bảo mật, 41% bị hack qua hosting kém chất lượng, và chỉ có 8% website bị website wordpress bị hack vì sử dụng mật khẩu quản trị yếu. 5 Cách phổ biến nhất để hack website sử dụng wordpress
1. Brute Force Attacks – Tấn công vào mật khẩu quản trị yếuBrute Force Attacks – là phương pháp hacker sử dụng nhằm tìm được tên người dùng và mật khẩu quản trị. Với phương pháp này, hacker sử dụng một hoặc nhiều công cụ gửi thông tin( một list những tên đăng nhập và mật khẩu phổ biến) vào trang đăng nhập của wordpress cho đến khi kết quả trả về thành công.  Cài đặt mặc định của wordpress là không giới hạn lần đăng nhập – tức bạn có thể nhập mật khẩu sai hàng chục, hàng trăm lần mà vẫn không bị khóa IP, với những quản trị website sử dụng mật khẩu dễ đoán (ngày sinh, số điện thoại, tên miền, kí tự mà ai cũng đoán được..) thì việc dùng phương pháp này tỷ lệ sẽ thành công rất cao. Có một công cụ miễn phí cho việc này gọi là WPScan: miễn phí cho việc này gọi là WPScan: Chỉ với 1 dòng lệnh để scan password:
Dù hacker không thành công, nhưng điều này cũng có thể gây tốn tài nguyên trên hosting của bạn( thường dẫn đến web chạy chậm, lỗi 500- không truy cập được website), nếu hacker tấn công thường xuyên còn có thể dẫn đến đơn vị cung cấp hosting sẽ khóa host của bạn. 2. Khai thác những tệp bị lộ.Sau Brute Force Attacks, Những lỗ hổng lỗi bảo mật trên file manager của wordpress là cách hacker tấn công phổ biến nhất. WordPress là mã nguồn mở, vì thế nó cho phép những plugin, giao diện sử dụng những thông tin quan trọng để plugin, giao diện đó hoạt động. Tuy nhiên, nếu người viết plugin, giao diện bị “yếu” xuất hiện những lỗi bảo mật, hacker có thể dùng lỗi này để trích xuất thông tin từ file manager. Một hướng dẫn hack wordpress website kết hợp file explorer và SQL 3. SQL InjectionsWordPress vận hành trên MySQL database, SQL Injections là phương thức tấn công vào cơ sở dữ liệu SQL của wordpress từ đó trích xuất được những thông tin quan trọng trên website, phổ biến nhất ở đây chính là tên tài khoản và reset mật khẩu quản trị của website wordpress. 4.Cross-Site Scripting (XSS).84% lỗ hổng bảo mật trên internet được gọi là Cross-Site Scripting hay XSS attacks. Lỗ hổng XSS thường phổ biến nhất ở các plugin wordpress. Cơ chế cơ bản để hacker sử dụng các lổ hổng XSS là : hacker tìm cách để người dùng trang web có chứa mã không an toàn. Người dùng khi truy cập sẽ kích hoạt những đoạn mã này, họ không hề biết những thông tin mà họ gửi đểu có thể bị lấy cắp qua trình duyệt. Phổ biến nhất của việc hacker qua XSS là khi người dùng điền thông tin vào các form, thông tin từ các form này có thể bị hacker sử dụng. 5.MalwareMalware viết tắt là Malicious Software – Phần mềm độc hại, là mã độc được cài vào website để trích xuất những thông tin quan trọng từ website bị hack . Có 4 loại malware hổ biến nhất là :
Bạn có thể tìm hiểu chi tiết về Malware tại đây Hiểu được cách hacker tấn công website của bạn, bạn sẽ dể dàng hiểu được cách bảo mật cho website của mình. Còn nếu bạn muốn thử sức trong việc hack wordpress website? hãy bắt đầu với Ubuntu, Terminal và WPscan. PS: Tôi không nhận hack bất cứ website nào hay hướng dẫn cách hack, làm ơn đừng hỏi |
