Pet korakov, ki sem jih potrebovala, da obnovim svoj WordPress blog iz kramp

V mesecu aprilu je bil moj spletni blog Leave Work Behind. To je nekaj, o čemer berete dovolj pogosto, vendar nikoli ne pričakujete, da se bo zgodilo ti dokler ne bo prepozno Iskreno povedano, sebe nisem videl kot glavnega kandidata – o varnosti WordPressa sem že velikokrat pisal, da je na voljo veliko preventivnih ukrepov. Vendar ti ukrepi očitno niso bili dovolj obsežni.


Hakiranje je nekaj, česar nočem več doživljati. Obstaja toliko razlogov, zakaj je izpad spletnega mesta slab za vaš blog / posel: medtem ko sta izguba prometa in potencialni dohodek najočitnejša, ne morem podceniti časa, ki sem ga izgubil z obnavljanjem spletnega mesta in koliko stresa povzročil me.

V tej objavi želim razkriti, kaj se je zgodilo z mojim spletnim mestom, in vas obvestiti, kaj sem storil za večjo varnost svojega spletnega mesta od takrat.

Hacking: Moja zgodba

V četrtek, 18. aprila, sem se zbudil in ugotovil, da je moje spletno mesto propadlo in je bilo nekaj ur. Takoj sem poklical svojega ponudnika gostovanja, Westhost, ki mi je sporočil, da je njihov požarni zid ModSecurity na mojem spletnem mestu zaznal nenavadno dejavnost in jo takoj previdno zaustavil. Ob zagonu začetne obnovitve na spletnem mestu sem lahko takoj videl, da je bil vdrl. Medtem ko so bile spremembe razmeroma subtilne, je bilo dovolj jasno, da so se nekatere brezobzirne vrste (-e) šušljale naokoli.

Izkazalo se je, da je bilo ogromno mest WordPress tudi vdrtih in Westhost je svoje delo prekinil. Na srečo vsak dan izvajajo varnostne kopije spletnega mesta in do naslednjega popoldneva sem bil spet na spletu z različico svojega spletnega mesta, ki je bila čim bližja trenutni.

To je učinek, ki ga je kramp imel na moj promet:

Klikne statistike

Če želimo zgornji graf predstaviti, je bil promet v tem tednu nižji za 30% v primerjavi s prejšnjim tednom. To teoretično pomeni 30-odstotni padec dohodka.

Pošteno lahko rečem, da sem si prizadeval (po svojih najboljših močeh) zagotoviti, da se takšen kramp ne bi mogel ponoviti. Takoj sem ukrepal.

Moji takojšnji koraki

Prva stvar, ki sem jo naredil, je bila, da preverim, ali sem sledila korakom, opisanim v mojem nedavnem postu o varovanju vašega spletnega mesta WordPress.

To so bili absolutni temelji: posodabljanje mojih tem in vtičnikov, zagotovitev nedavne varnostne kopije, zagotovitev, da moj privzeti profil ni bil imenovan “admin”, sprememba gesla in preverjanje varnostnih vtičnikov na mojem spletnem mestu. S temi predmeti je bil čas, da nadaljujemo.

Nisem si zavajal, da je moje spletno mesto zdaj stoodstotno varno – navsezadnje ni 100% varnega spletnega mesta. Ko sem to povedal, vem, da je veliko bolj varen, kot je bil prej, in nadaljeval bom z raziskovanjem varnostnih ukrepov na mestu zdaj in v prihodnosti. Do zdaj sem to naredil.

1. Vgradil sem VaultPress

Za tiste, ki ne veste, VaultPress je popolnoma avtomatizirana rešitev za varnostno kopiranje in varnost za WordPress. To je bilo v njeni lasti Avtomatski, dejanski lastniki WordPressa.

Ker že nekaj dni uporabljam VaultPress, ne morem verjeti, da sem bil tako poceni, da se prej nisem spotaknil za storitev. Njihov osnovni paket se začne pri 15 ameriških dolarjih na mesec – to bom plačal za brezskrbnost vsak dan v tednu.

Pravzaprav sem se odločil za paket Premium (40 USD na mesec), ki vključuje:

  • Varnostno kopiranje v realnem času
  • Samodejno obnavljanje spletnega mesta z enim klikom
  • Arhivi, statistika in dnevnik dejavnosti
  • Prednostna obnova po nesrečah
  • Prednostna podpora za Concierge
  • Dnevno varnostno skeniranje
  • Varnostna obvestila
  • Popravki z enim klikom za varnostne grožnje
  • Pomoč pri migracijah na mestu

V bistvu vas pokrijejo.

Čeprav VaultPress ne more zagotoviti varnosti vašega spletnega mesta pred hekerji, je precej lahko zagotavljamo, da je mogoče spletno mesto obnoviti razmeroma enostavno. Pri gledanju urnih posnetkov spletnih mest, shranjenih na strežnikih VaultPress, je nekaj zelo pomirjujočega:

Varnostne kopije VaultPress

Čeprav je na voljo veliko brezplačnih rešitev za varnostno kopiranje, mislim, da nič ne presega relativnega miru, ki ga dobim od VaultPress-a. Na voljo imajo 90 posnetkov mojega spletnega mesta za trenutno obnovo, od katerih je najnovejši le dvajset minut. Vem, da je moje spletno mesto varno v njihovih rokah.

2. Upravljal sem svoje profile

Heker lahko do vašega spletnega mesta potencialno dostopa iz katerega koli od skrbniških profilov znotraj vašega WordPressa – ne le tistega ti uporaba. Ko sem naložil svoje profile, sem lahko videl, da imam tri druge profile – profil plakata gostov in dva druga profila (zaupanja vrednih) ljudi, ki sem jim omogočil dostop do svoje strani.

Začel sem z zaustavitvijo teh dveh profilov in spreminjanjem vloge profila plakata gostov v Avtor. To bi vam svetoval – ustvarite samo toliko skrbniških profilov, kot je nujno potrebno. Poleg tega morate seveda zagotoviti, da je vsak račun kot ustrezno naključno in edinstveno geslo in da se navedena gesla redno spreminjajo.

Včasih bodo ljudje (na primer vaš spletni oblikovalec) morali dovoliti dostop do vašega spletnega mesta. V takih situacijah svetujem, da si ustvarite profil z novim geslom in ga nato izbrišete takoj, ko se izkaže potreba po njem..

Vedno razmišljajte o vstopnih točkah vašega spletnega mesta in o tem, ali so nujno potrebni.

3. Spremenil sem gesla

Morda mislite, da je bila to očitna poteza, vendar v resnici ne govorim o svojih geslih za WordPress. Čeprav jaz storila jih spremenite, prav tako sem bil prepričan, da sem vsa gesla spremenil v posebej občutljive račune, tj .:

  • Gmail
  • Facebook
  • Twitter
  • Moj račun za gostovanje
  • Amazon Associates
  • Itd

Če se sprašujete, zakaj sem naredil to potezo, samo pomislite na zgodbo Matta Honana, čigar celotno digitalno življenje so uničili hekerji, ki so prvotno vdrli v njegov račun Amazon. Če na kakršen koli način čutite, da gre za varnost v spletu, je treba zgornji članek prebrati.

Razmislite o tej preprosti verigi: heker pridobi dostop do vašega e-poštnega računa, s katerega ste pred kratkim poslali e-poštno sporočilo spletnemu oblikovalcu s podatki o prijavi za vaše spletno mesto WordPress. To je vse, kar potrebujejo za dostop do vašega spletnega mesta in po svojih željah. Hakiranje je lahko tisto osnovno.

4. Nadgrajen sem na SFTP

Tukaj je nekaj, česar morda ne veste: vsi podatki, ki jih prenašate prek FTP (vključno z uporabniškim imenom in geslom), so popolnoma nezašifrirani. Zato lahko vsakdo, ki uspešno prestreže prenos FTP, prevzame vaše podatke za prijavo in pridobi dostop do vašega računa.

To jim omogoča ne samo dodajanje in odstranjevanje datotek, kot se jim zdi primerno, ampak lahko tudi prek phpMyAdmin pridobijo dostop do vaše baze podatkov WordPress in se na koncu prijavijo na vaše spletno mesto.

Preprosto povedano, ni pomembno, kako varen je neposreden dostop do vašega WordPress spletnega mesta, če lahko hekerji vstopijo prek FTP. Zato toplo priporočam, da onemogočite FTP dostop do svojega spletnega mesta in prenesete datoteke z alternativnim protokolom SFTP, ki naredi šifriranje podatkov. Vsak dober ponudnik gostovanja bi vam moral biti v pomoč pri tem.

Ko že govorimo o ponudnikih gostovanja …

5. Razmislite o primernosti svoje gostovalne rešitve

Vesel sem, da sem z Westhostom. Prav njihov požarni zid ModSecurity je v prvi vrsti opazil kramp in ugasnil moje spletno mesto, preden bi lahko bila storjena resna škoda. Izvajajo tudi samodejne varnostne kopije dnevno (ki so bile uporabljene za obnovo spletnega mesta) in imajo zagonsko podporo strankam.

Ali lahko rečete isto za svojega ponudnika gostovanja? Obstaja toliko odličnih možnosti, da bi bilo noro ostati pri ponudniku, s katerim niste zadovoljni. Razmislite o prehodu na eno od upravljanih rešitev gostovanja (na primer WPEngine), kot je WPExplorer pred kratkim.

Ne glede na izbiro, se pozanimajte o varnostnih ukrepih. Upoštevajte zgornje ukrepe in se prepričajte, da so združljivi z vašo gostinsko rešitev.


Morala zgodbe je naslednja: ne kompromitirajte varnosti. Navsezadnje je varovanje vaše spletne strani bolj pomembno kot karkoli drugače. Nima smisla z veliko vsebino ali osupljivo novim dizajnom, če je nihče ne bo mogel videti, ker so vaše spletno mesto raztrgali neusmiljeni hekerji.

Zloglasni tipi, ki nimajo ničesar boljšega v življenju kot kraji spletna mesta, ne bodo kmalu minili. Prej ko to sprejmete in sprejmete razumne ukrepe za zaščito spletnega mesta pred napadom, tem bolje bo dolgoročna varnost spletnih sredstev.

Zanima me, kaj menite o ukrepih, ki sem jih sprejela. Ali imate kakšna dodatna priporočila? Sporočite nam v razdelku za komentarje!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map