Hacking WordPress webbplatser & stjäla WordPress lösenord

en detaljerad förklaring av hur angripare använder Man-in-the-Middle (MitM) för att hacka WordPress webbplatser och inloggningsuppgifter. Denna artikel är endast avsedd för utbildningsändamål.

precis som alla andra webbapplikationer med ett inloggningsformulär skickar WordPress ditt användarnamn och lösenord i en HTTP-begäran när du loggar in. Som standard är HTTP inte ett krypterat protokoll. Det betyder att om inte din WordPress-webbplats använder HTTPS är kommunikationen mellan dig och webbservern mottaglig för avlyssning.

hackare med skadlig avsikt kan enkelt fånga upp och ändra din WordPress-webbplats cleartext (un-encrypted) HTTP-trafik. Naturligtvis skulle en av de mest intressanta informationen för en angripare vara dina WordPress-administratörsuppgifter.

programvaran som används för att utföra Man-In-The-Middle (MitM) attacker är fritt och allmänt tillgänglig. Den här artikeln kommer att täcka några verkliga exempel på hur MitM kan användas för att ta kontroll över din WordPress-webbplats. Då rekommenderar den hur man bäst kan försvara sig mot dem.

Vad är en Man-i-mitten (MitM) attack?

en Man-in-the-Middle (MitM) attack är en allmän term för attacker där en hacker positionerar sig som en mellanhand mellan en avsändare och en mottagare. Till exempel mellan din webbläsare och webbplatsen du besöker. Detta gör det möjligt för angriparen att avlyssna och i många fall också ändra innehållet när det skickas och tas emot mellan de två parterna. I de flesta fall, om de fånga referenser de kan logga in och hacka din WordPress webbplats.

Man i mitten attack

Hur kommer en angripare i mitten?

MITM-attacker (Man-In-The-Middle) innebär vanligtvis (inte alltid) att en angripare befinner sig i samma lokala nätverk (LAN) som du. En av de vanligaste MITM-attackerna innebär ARP-spoofing. De praktiska detaljer om ARP spoofing är utanför ramen för denna artikel. Resultatet av en framgångsrik ARP-spoofing-attack skulle dock leda till att din nätverksswitch eller router luras att tro att angriparens maskin är din maskin och vice versa.

resultatet av detta är att istället för att varje part skickar data direkt till varandra, skickar de först det till angriparen. För att få saker att verka normala vidarebefordrar angriparen trafiken till den rättmätiga destinationen. Detta ger dock angriparen möjlighet att inspektera och till och med ändra innehållet i överföringen.

Hacking WordPress webbplatser-stjäla lösenord & inloggningsuppgifter

för att förstå hur WordPress referenser skulle bli stulen, låt oss först titta på en HTTP-begäran som innehåller inlämnade referenser med hjälp av webbläsarens inbyggda utvecklarverktyg.

Observera att detta inte är en Man-in-the-Middle (MitM) attack, men detta hjälper till att illustrera vad man ska leta efter senare.

HTTP-begäran som innehåller inlämnade referenser

låt oss nu ta en titt på vad en angripare skulle se när man inspekterar okrypterad HTTP-trafik. I det här exemplet använder vi Wireshare, är ett gratis och populärt nätverksanalysverktyg.

okrypterad HTTP-trafik från Wireshark

stjäla autentiseringscookies

förutom att stjäla WordPress-lösenord / referenser kan en angripare också helt enkelt stjäla din autentiseringscookie för att efterlikna dig.

hur relaterar cookies till autentisering?

HTTP är ett statslöst protokoll. I HTTP bifogar inte servern någon speciell betydelse för förfrågningar som kommer över samma TCP-uttag. Det betyder att om du inte vill skriva in ditt lösenord varje gång du begär en sida, måste webbläsaren lagra en tillfällig token. Denna token är känd som en sessionstoken. Webbläsaren skickar denna token automatiskt med varje begäran. Lyckligtvis har Webbläsare en inbyggd mekanism för detta-cookies. Det är därför som du tar bort dina webbläsarcookies kommer du att loggas ut från alla webbplatser.

vad detta innebär är att en angripare inte ens behöver ditt lösenord för att efterlikna dig. Det enda de behöver är att få tag på din sessionstoken.

sessionstoken

återigen är samma information tillgänglig för en angripare inom Wireshark.

sessionstoken inom Wireshark

med hjälp av ett gratis webbläsartillägg som Cookie-Editor kan en angripare enkelt använda värdet på den stulna cookien i sin webbläsare och börja surfa på WordPress-administratören som du.

skydda dig själv / din WordPress-webbplats från MitM-attacker

Man-in-the-Middle-attacker som den som visas i den här artikeln är mycket låga ansträngningar för en angripare att dra av. Särskilt i offentliga eller dåligt säkrade nätverk som en offentlig WiFi. Lyckligtvis är det väldigt enkelt att skydda dig mot dessa hackingattacker-se till att aktivera och genomdriva HTTPS på din WordPress — webbplats.

HTTPS krypterar trafiken mellan din webbläsare och servern. Om en angripare var tvungen att försöka läsa innehållet i HTTPS-trafik, är allt de ser mycket meningslös, förvrängd krypterad text.

krypterad HTTPS-trafik

ytterligare försiktighetsåtgärder för WordPress – säkerhetshärdning

medan du utan tvekan bör aktivera HTTPS på din webbplats som din första prioritet för att motverka MITM-attacker (Man-In-The-Middle), är följande bra uppföljningsmetoder för att titta på shoring up.

  1. Lägg till tvåfaktorsautentisering (2FA) för att öka säkerheten för din WordPress-webbplatsautentiseringsmekanism
  2. genomdriva starka WordPress-lösenord för att göra lösenordsgissningsattacker betydligt svårare
  3. Håll en WordPress-Aktivitetslogg för att övervaka för obehörig åtkomst till WordPress-administratören
  4. installera en WordPress-Filintegritetsmonitor för att upptäcka skadliga filändringar i din WordPress-installation
  5. Ställ in en WordPress-brandvägg och säkerhetslösning för att motverka vanliga webbapplikationsattacker.

Lämna ett svar

Din e-postadress kommer inte publiceras.