Home / Sharenewshort / Quy Trình Đầy Đủ Hack WordPress Từ “How To Hack WordPress: 2025 Guide”

Quy Trình Đầy Đủ Hack WordPress Từ “How To Hack WordPress: 2025 Guide”

By
Không có bình luận
1 Tháng 12, 2025 11:47 chiều

1. Xác định website có dùng WordPress

  • Kiểm tra footer: tìm dòng “Powered by WordPress”.

  • Mở View Page Source và tìm các chuỗi nhận diện:

  • wp-content/

  • wp-includes/

  • wp-json/

  • Hoặc bất kỳ đường dẫn đặc trưng của WordPress.

2. Thu thập thông tin (Recon / Enumeration)

2.1. WPScan

Chạy trực tiếp:

wpscan --url <TARGET_URL> --api-token <API_TOKEN>

Liệt kê:

  • Phiên bản WordPress
  • Plugin / theme
  • Lỗ hổng (CVE)
  • Username

2.2. Gobuster

gobuster dir -u <TARGET_URL> -w <wordlist>

Tìm:

  • /wp-admin/
  • /wp-login.php
  • Đường dẫn ẩn
  • Endpoint có khả năng khai thác

3. Tấn công mật khẩu (Brute-force)

Dùng WPScan:

wpscan --url <TARGET_URL> -U <username> -P <password_dictionary>

Áp dụng khi:

  • Username enum thành công
  • Site dùng mật khẩu yếu
  • Không bật giới hạn login

4. Khai thác plugin/theme có lỗ hổng

Nếu WPScan phát hiện plugin lỗi:

  1. Tìm exploit public (GitHub, Exploit-DB)
  2. Chạy exploit
  3. Thực thi SQLi, LFI, RCE hoặc lấy credential

Ví dụ bài viết:
Plugin BookingPress < 1.0.11 → SQL injection → lấy thông tin database.

5. Đăng nhập WordPress Dashboard

Sau khi có credential:

  • Mở: /wp-login.php
  • Đăng nhập user admin / đã lấy được

Từ Dashboard hacker có thể:

  • Sửa theme/plugin
  • Upload file độc hại
  • Inject PHP
  • Tạo user admin mới

6. Upload web shell & chiếm quyền

6.1. Mở Editor

  • Appearance → Theme Editor
  • Plugins → Plugin Editor

6.2. Thay file bằng shell

Ví dụ chỉnh 404.php thành web shell PHP.

6.3. Kích hoạt shell

Mở URL file vừa sửa → thực thi lệnh, tải file, reverse shell.

7. Duy trì truy cập (Persistence)

  • Thêm user admin mới
  • Cấy backdoor trong functions.php
  • Tải shell khác và giấu sâu hơn
  • Tạo cronjob tự động thực thi

8. Khai thác sâu (Privilege Escalation)

Nếu server yếu:

  • Chạy local privilege escalation
  • Lấy quyền root
  • Dump database đầy đủ
  • Truy cập toàn bộ hệ thống

Tóm tắt quy trình

  1. Xác định site dùng WordPress
  2. WPScan enumeration
  3. Gobuster dò đường dẫn
  4. Brute-force
  5. Tìm CVE plugin/theme
  6. Khai thác lỗ hổng
  7. Đăng nhập Dashboard
  8. Upload shell / backdoor
  9. Kiểm soát toàn bộ server

Source link: How To Hack WordPress: 2025 Complete Guide

bugineverything

Related Posts

AdaptixC2 v1.2 — Framework Hậu Khai Thác (Post-Exploitation) ...
5 Tháng 5, 2026
Mobile Security Framework (MobSF) – Framework Đánh Giá Bảo ...
4 Tháng 5, 2026
Open ASM (OASM) – Nền tảng mã nguồn mở quản lý bề ...
4 Tháng 5, 2026

Leave a Reply

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *