5 žingsniai, kuriuos aš ėmiausi norėdamas atkurti savo „WordPress“ tinklaraštį iš įsilaužimo

Mano tinklaraštis „Palikdamas darbą už nugaros“ buvo nulaužtas balandžio mėn. Tai kažkas, apie ką jūs skaitote pakankamai dažnai, bet niekada nesitikite, kad taip nutiks tu kol dar nevėlu. Tiesą sakant, nemačiau savęs kaip pagrindinio kandidato – pakankamai dažnai rašiau apie „WordPress“ saugumą, kad būtų įdiegta daugybė prevencinių priemonių. Tačiau akivaizdu, kad šios priemonės nebuvo pakankamai išsamios.


Įsilaužti yra tai, ko nenoriu dar kartą peržvelgti. Yra tiek daug priežasčių, dėl kurių prastovos svetainėje blogai veikia jūsų tinklaraštį / verslą: nors srauto praradimas ir galimos pajamos yra dvi akivaizdžiausios, negaliu neįvertinti laiko, kurį praradau atkurdama svetainę, ir jos patiriamo streso. sukėlė mane.

Šiame įraše noriu atskleisti, kas nutiko mano svetainei, ir pranešti jums, ką padariau, kad padidinčiau savo svetainės saugumą.

Įsiskverbimas: Mano istorija

Aš prabudau balandžio 18 d., Ketvirtadienį, sužinojau, kad mano svetainė neveikia ir buvo kelias valandas. Aš nedelsdamas susisiekiau su savo prieglobos paslaugų teikėju „Westhost“, kuris informavo mane, kad jų „ModSecurity“ užkarda aptiko neįprastą veiklą mano svetainėje ir kaip atsargumo sumetimą nedelsdama ją uždarė. Vykdydamas pirminį atkūrimą svetainėje, iškart pamačiau, kad jis buvo nulaužtas. Nors pokyčiai buvo santykinai subtilūs, buvo pakankamai aišku, kad kažkas nesąžiningo (-ų) būdo (-ų) sukosi aplink.

Pasirodo, buvo nulaužta ir daugybė „WordPress“ svetainių, o „Westhost“ jų darbai buvo nutraukti. Laimei, jie kasdien daro atsargines svetainės atsargines kopijas ir jau kitą popietę aš vėl prisijungiau prie savo svetainės versijos, kuri buvo kuo artimesnė dabartinei..

Štai toks įsilaužimo poveikis mano srautui:

Paspaudimų statistika

Jei norite pateikti aukščiau pateiktą diagramą, šios savaitės srautas sumažėjo ~ 30%, palyginti su praėjusią savaitę. Tai teoriškai reiškė pajamų sumažėjimą 30%.

Teisinga sakyti, kad aš norėjau užtikrinti (kiek galėjau), kad tokio įsilaužimo negalima pakartoti. Aš nedelsdamas ėmiausi veiksmų.

Mano tiesioginiai žingsniai

Pirmas dalykas, kurį aš padariau, buvo patikrinti, ar aš vykdžiau veiksmus, aprašytus mano naujausiame įraše, kaip apsaugoti jūsų „WordPress“ svetainę..

Tai buvo absoliutus pagrindas: atnaujinti mano temas ir papildinius, įsitikinti, kad neseniai turėjau atsarginę kopiją, įsitikinti, kad mano numatytasis profilis nebuvo pavadintas „admin“, pakeisti slaptažodį ir patikrinti saugos papildinius mano svetainėje. Turėdamas laiko tuos daiktus, pats laikas judėti toliau.

Aš nesu iliuzija, kad mano svetainė dabar yra 100% saugi – juk nėra tokio dalyko kaip 100% saugi svetainė. Tai pasakius, aš žinau, kad jis yra kur kas saugesnis nei buvo anksčiau, ir toliau tyrinėsiu svetainių saugumo priemones dabar ir ateityje. Kol kas tai padariau.

1. Įdiegiau „VaultPress“

Tiems iš jūsų, kurie nežino, „VaultPress“ yra visiškai automatizuotas „WordPress“ atsarginių kopijų kūrimo ir saugos sprendimas. Jai ji priklausė Automattic, de facto „WordPress“ savininkai.

Jau kelias dienas naudodamasi „VaultPress“, negaliu patikėti, kad buvau tokia pigi, kad iš anksto nesinaudojau šia paslauga. Jų bazinis paketas prasideda nuo 15 USD per mėnesį – aš sumokėsiu už ramybę bet kurią savaitės dieną.

Tiesą sakant, aš pasirinkau eiti su jų „Premium“ paketu (40 USD per mėnesį), į kurį įeina:

  • Atsarginė kopija realiu laiku
  • Automatizuotas vieno spustelėjimo svetainės atkūrimas
  • Archyvai, statistika ir veiklos žurnalas
  • Prioritetinis nelaimių atkūrimas
  • Prioriteto „Concierge“ palaikymas
  • Kasdienis saugos nuskaitymas
  • Saugumo pranešimai
  • Vieno paspaudimo fiksatoriai, keliantys grėsmę saugumui
  • Svetainių migracijos pagalba

Iš esmės jie jus įtraukė.

Nors „VaultPress“ negali garantuoti jūsų svetainės saugumo nuo įsilaužėlių, ji beveik tokia gali garantuoja, kad jūsų svetainė gali būti atkurta gana lengvai. VaultPress serveriuose saugomų svetainių, esančių valandomis, akimirksnių vaizdai yra kažkas labai raminančio:

„VaultPress“ atsarginės kopijos

Nors yra daugybė nemokamų atsarginių kopijavimo sprendimų, nemanau, kad kas nors pranoksta santykinę ramybę, kurią gaunu iš „VaultPress“. Jie turi 90 mano svetainės nuotraukų, kurias dabar galima atkurti, iš kurių naujausia yra tik dvidešimt minučių. Aš žinau, kad mano svetainė yra saugi jų rankose.

2. Tvarkau savo profilius

Įsilaužėlis gali pasiekti jūsų svetainę iš bet kurio iš „WordPress“ pagrindinės programos administratoriaus profilių, o ne tik iš jo tu naudoti. Kai įkeliau savo profilius, pamačiau, kad turiu dar tris profilius – svečių plakato profilį ir dar du profilius (patikimiems) žmonėms, kuriems suteikiau prieigą prie savo svetainės..

Pradėjau išjungdamas tuos du profilius ir pakeisdamas svečio plakato profilį į Autorius. Tai patarčiau jums padaryti – sukurkite tik tiek administratoriaus profilių, kiek būtina. Be to, jūs, be abejo, turėtumėte užtikrinti, kad kiekviena sąskaita būtų tinkamai atsitiktinis ir unikalus slaptažodis ir kad šie slaptažodžiai būtų reguliariai keičiami..

Kartais gali tekti leisti žmonėms (pvz., Jūsų internetiniam dizaineriui) patekti į jūsų svetainę. Tokiose situacijose patariu susikurti jiems profilį su nauju slaptažodžiu, tada jį ištrinti, kai tik pasibaigia jo būtinybė..

Visada galvokite apie savo svetainės įėjimo taškus ir tai, ar jie būtinai reikalingi.

3. Aš pakeičiau savo slaptažodžius

Galite manyti, kad tai buvo akivaizdus žingsnis, bet aš iš tikrųjų nekalbu apie savo „WordPress“ slaptažodžius. Nors aš padarė pakeisk juos, aš taip pat buvau įsitikinęs, kad visus slaptažodžius pakeičiau į ypač slaptas paskyras, t.

  • „Gmail“
  • Facebook
  • „Twitter“
  • Mano prieglobos sąskaita
  • „Amazon Associates“
  • Ir tt

Jei jums įdomu, kodėl aš ėmiau šio žingsnio, tiesiog pagalvokite apie Mat Honan, kurio visą skaitmeninį gyvenimą sunaikino įsilaužėliai, kurie iš pradžių įsilaužė į jo „Amazon“ paskyrą, istoriją. Jei kokiu nors būdu jaučiate priekaištus apie internetinę saugą, aukščiau pateiktą straipsnį būtina perskaityti.

Apsvarstykite šią paprastą grandinę: įsilaužėlis gauna prieigą prie jūsų el. Pašto abonemento, iš kurio neseniai išsiuntėte el. Laišką savo interneto dizaineriui su prisijungimo informacija prie savo „WordPress“ svetainės. Tai viskas, ko jiems reikia norint patekti į jūsų svetainę ir elgtis taip, kaip patinka. Piratai gali būti tas elementarus.

4. Aš atnaujinau į SFTP

Štai kažkas, ko galbūt nežinote: visi duomenys, kuriuos perduodate per FTP (įskaitant jūsų vartotojo vardą ir slaptažodį), yra visiškai nešifruoti. Todėl visi, kurie sėkmingai sugeba perimti FTP perkėlimus, galės pasirinkti jūsų prisijungimo duomenis ir gauti prieigą prie jūsų sąskaitos.

Tai ne tik leidžia jiems pridėti ir pašalinti failus, kaip jiems atrodo tinkama, bet taip pat gali pasiekti „WordPress“ duomenų bazę per „phpMyAdmin“ ir galiausiai prisijungti prie savo svetainės.

Paprasčiau tariant, nesvarbu, kokia saugi tiesioginė prieiga prie „WordPress“ svetainės, jei įsilaužėliai gali patekti per FTP. Todėl aš labai rekomenduoju išjungti FTP prieigą prie savo svetainės ir perkelti failus naudodamas alternatyvų SFTP protokolą, kuris daro užšifruoti duomenis. Bet kuris geras prieglobos paslaugų teikėjas turėtų galėti jums tai padėti.

Kalbant apie prieglobos paslaugų teikėjus …

5. Apsvarstykite savo hostingo sprendimo tinkamumą

Džiaugiuosi, kad esu su „Westhost“. Būtent jų „ModSecurity“ ugniasienė pirmiausia pastebėjo įsilaužimą ir uždarė mano svetainę, kad būtų galima padaryti didelę žalą. Jie taip pat kasdien automatiškai sukuria atsargines kopijas (kurios buvo naudojamos atkurti svetainę) ir, naudodamiesi kliento palaikymu, įsibrovė.

Ar galite pasakyti tą patį savo prieglobos paslaugų teikėjui? Yra tiek daug puikių variantų, kad jums būtų beprotiška likti pas paslaugų teikėją, kuriuo esate nepatenkinti. Galite apsvarstyti galimybę pereiti prie vieno iš valdomų prieglobos sprendimų (pvz., „WPEngine“), nes „WPExplorer“ tai padarė neseniai.

Nepriklausomai nuo jūsų pasirinkimo, būtinai pasidomėkite, kokių saugumo priemonių jie imasi. Apsvarstykite aukščiau nurodytas priemones ir įsitikinkite, kad jos suderinamos su jūsų prieglobos sprendimu.


Pasakojimo moralas yra toks: nedarykite kompromisų dėl saugumo. Galų gale svarbiau išlaikyti savo svetainę nieko Kitas. Nėra prasmės turėti puikų turinį ar nepaprastai naują dizainą, jei jo niekas nemato, nes jūsų svetainę sutriuškino negailestingi įsilaužėliai.

Neapsaugoti tipai, kurie nieko daugiau neturi bendro su savo gyvenimu, nei nulaužė žmonių svetaines, greitai niekur nedings. Kuo anksčiau tai sutiksite ir imsis pagrįstų priemonių apsaugoti savo svetainę nuo užpuolimo, tuo ilgalaikiam jūsų interneto išteklių saugumui bus geriau..

Aš norėčiau sužinoti, ką jūs manote apie mano priimtas priemones. Ar yra kokių papildomų rekomendacijų, kurias galėtumėte pateikti? Praneškite mums komentarų skiltyje!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me