5 krokov, ktoré som podnikol, aby som obnovil môj blog WordPress z hacku

Môj blog, Leaving Work Behind, bol napadnutý v apríli. Je to niečo, o čom ste čítali dosť často, ale nikdy sa naozaj neočakáva, že sa tak stane vy kým nie je neskoro. Aby som bol úprimný, nevidel som sa ako hlavný kandidát – o bezpečnosti WordPress som písal dosť často na to, aby som mal dostatok preventívnych opatrení. Tieto opatrenia však zjavne neboli dostatočne komplexné.


Hacking je niečo, čo nechcem znova absolvovať. Existuje toľko dôvodov, prečo je výpadok webovej stránky zlý pre váš blog / podnikanie: zatiaľ čo strata prenosu a potenciálny príjem sú dve najzreteľnejšie, nemôžem podceňovať množstvo času, ktoré som stratil pri obnovovaní stránky, a množstvo stresu spôsobil ma.

V tomto príspevku chcem odhaliť, čo sa stalo s mojou stránkou, a dáme ti vedieť, čo som urobil pre zvýšenie bezpečnosti svojej stránky od tej doby.

Hacking: My Story

Zobudil som sa vo štvrtok 18. apríla, aby som zistil, že moje stránky boli mimo prevádzky a boli na pár hodín. Okamžite som sa obrátil na svojho poskytovateľa hostingu Westhost, ktorý ma informoval, že ich firewall ModSecurity zistil nezvyčajnú aktivitu na mojich stránkach a ako preventívne opatrenie som ho okamžite vypol. Po spustení pôvodnej obnovy na webe som okamžite videl, že došlo k jeho napadnutiu. Kým zmeny boli relatívne jemné, bolo dosť jasné, že okolo nich šokujú nejaké bezohľadné druhy.

Ukazuje sa, že tiež bolo nabouraných veľké množstvo webových stránok WordPress, a Westhost nechal prerušiť svoju prácu. Našťastie si robia denné zálohy stránky a nasledujúce popoludnie som bol späť online s verziou svojej stránky, ktorá bola čo najbližšie k súčasnej dobe..

Tu je účinok, ktorý mal hack na moju komunikáciu:

Clicky Stats

Ak chcete dať vyššie uvedený graf do perspektívy, prevádzka v tomto týždni bola o 30% nižšia v porovnaní s predchádzajúcim týždňom. To teoreticky znamenalo 30% pokles príjmu.

Je spravodlivé tvrdiť, že som chcel zabezpečiť (podľa môjho najlepšieho vedomia), že taký hack sa nedá opakovať. Okamžite som podnikla kroky.

Moje okamžité kroky

Prvú vec, ktorú som urobil, bolo overiť, či som postupoval podľa krokov uvedených v mojom nedávnom príspevku na zabezpečenie vašej webovej stránky WordPress..

To boli absolútne základy: aktualizácia mojich tém a doplnkov, zabezpečenie toho, aby som mal poslednú zálohu, zabezpečenie toho, aby môj predvolený profil nebol nazvaný „admin“, zmena hesla a kontrola bezpečnostných doplnkov na mojich stránkach. S týmito položkami na mieste bol čas ísť ďalej.

Nemám žiadne ilúzie, že moje stránky sú teraz 100% zabezpečené – koniec koncov, neexistuje nič také ako 100% zabezpečené stránky. Po tom, čo som povedal, viem, že je oveľa bezpečnejšie ako predtým a budem pokračovať vo výskume bezpečnostných opatrení na stavenisku teraz a v budúcnosti. Zatiaľ som to urobil.

1. Nainštaloval som VaultPress

Pre tých z vás, ktorí to nevedia, VaultPress je úplne automatizované riešenie pre zálohovanie a zabezpečenie pre WordPress. Vlastnil ju Automattic, de facto „vlastníci“ WordPress.

Po tom, čo používam VaultPress už niekoľko dní, nemôžem uveriť, že som bol taký lacný, že som sa za túto službu vopred nevyčíslil. Ich základný balík začína na $ 15 za mesiac – zaplatím to za pokoj v duši každý deň v týždni.

V skutočnosti som sa rozhodol ísť s ich prémiovým balíkom (40 dolárov mesačne), ktorý zahŕňa:

  • Zálohovanie v reálnom čase
  • Automatické obnovenie stránok jedným kliknutím
  • Archívy, štatistiky a denník aktivít
  • Obnova prioritných katastrof
  • Podpora prioritného „vrátnika“
  • Denné bezpečnostné skenovanie
  • Bezpečnostné upozornenia
  • Opravy bezpečnostných hrozieb jedným kliknutím
  • Pomoc pri migrácii stránok

V podstate vás dostali.

Aj keď VaultPress nemôže zaručiť bezpečnosť vašich stránok proti hackerom, je to do značnej miery môcť zaručte, že vaše stránky sa dajú relatívne ľahko obnoviť. Zobrazovanie hodinových snímok vašich stránok uložených na serveroch VaultPress je veľmi upokojujúce:

Zálohy VaultPress

Aj keď existuje veľa bezplatných riešení pre zálohovanie, nemyslím si, že by relatívna pohoda, ktorú získam z aplikácie VaultPress, nepokladala nič. Majú teraz k dispozícii 90 snímok môjho webu, z ktorých najnovšia je stará len dvadsať minút. Viem, že moje stránky sú v bezpečí v ich rukách.

2. Spravoval som svoje profily

Hacker môže potenciálne pristupovať na vaše stránky z ktoréhokoľvek z profilov správcu v rámci vášho backendu WordPress – nielen z jedného vy použiť. Keď som načítal svoje profily, videl som, že mám ďalšie tri profily – profil hosťa a dva ďalšie profily pre (dôveryhodných) ľudí, ktorým som dal prístup na svoju stránku..

Začal som ukončením týchto dvoch profilov a zmenou úlohy profilu hosťujúceho plagátu na autora. Toto by som vám rád odporučil – vytvorte iba toľko profilov správcu, koľko je absolútne nevyhnutné. Okrem toho by ste sa mali samozrejme ubezpečiť, že každý účet je vhodne náhodným a jedinečným heslom a že uvedené heslá sa pravidelne menia.

Sú časy, keď budete musieť umožniť ľuďom (napríklad webový dizajnér) prístup na vaše stránky. V takýchto situáciách odporúčam, aby ste pre nich vytvorili profil s novým heslom, a potom ho odstráňte, len čo skončí jeho nevyhnutnosť..

Vždy premýšľajte o vstupných miestach svojich stránok ao tom, či sú nevyhnutne potrebné.

3. Zmenil som svoje heslá

Možno si myslíte, že to bol jasný krok, ale v skutočnosti nehovorím o mojich heslách WordPress. hoci ja urobil zmeniť ich, bol som si istý, že som zmenil všetky heslá na zvlášť citlivé účty, tzn .:

  • Gmail
  • Facebook
  • cvrlikání
  • Môj hostingový účet
  • Amazon Associates
  • Atď

Ak by vás zaujímalo, prečo som urobil tento krok, zvážte iba príbeh Mata Honana, ktorého celý digitálny život zničili hackeri, ktorí pôvodne prenikli na jeho účet Amazon. Ak sa cítite akýmkoľvek spôsobom o online bezpečnosti, potom je potrebné prečítať si vyššie uvedený článok.

Zvážte tento jednoduchý reťazec: hacker získa prístup k vášmu e-mailovému účtu, z ktorého ste nedávno poslali e-mail svojmu webovému dizajnérovi s prihlasovacími údajmi pre váš web WordPress. To je všetko, čo potrebujú, aby získali prístup na vaše stránky a urobili, čo chcú. Hacking môže byť tým elementárnym.

4. Inovoval som na SFTP

Tu je niečo, čo nemusíte vedieť: akékoľvek údaje, ktoré prenášate prostredníctvom FTP (vrátane vášho používateľského mena a hesla), sú úplne nezašifrované. Preto každý, kto úspešne zachytí prenosy FTP, bude schopný vyzdvihnúť svoje prihlasovacie údaje a získať prístup k vášmu účtu.

Nielenže im to umožňuje pridávať a odstraňovať súbory podľa vlastného uváženia, ale môžu tiež získať prístup k vašej databáze WordPress prostredníctvom phpMyAdmin a nakoniec sa prihlásiť na vaše stránky..

Zjednodušene povedané, nezáleží na tom, aký bezpečný je priamy prístup na vaše stránky WordPress, ak sa hackeri môžu prihlásiť cez FTP. Preto dôrazne odporúčame zakázať prístup FTP na vaše stránky a prenášať súbory pomocou alternatívneho protokolu SFTP, ktorý robí šifrovať dáta. S týmto by vám mal byť schopný pomôcť každý dobrý poskytovateľ hostingu.

Keď už hovoríme o poskytovateľoch hostingu…

5. Zvážte vhodnosť vášho riešenia hostingu

Som rád, že som so spoločnosťou Westhost. Bol to ich firewall ModSecurity, ktorý napadol hack na prvom mieste a vypol moje stránky skôr, ako mohlo dôjsť k vážnemu poškodeniu. Vykonávajú tiež automatické denné zálohy (ktoré sa použili na obnovenie lokality) a majú prelomenú zákaznícku podporu.

Môžete povedať to isté pre svojho poskytovateľa hostingu? Existuje toľko skvelých možností, že by ste boli šialení, aby ste zostali u poskytovateľa, s ktorým nie ste spokojní. Môžete zvážiť prechod na jedno zo spravovaných riešení hostenia (napríklad WPEngine), ako to nedávno urobil program WPExplorer.

Nech sa rozhodnete čokoľvek, nezabudnite sa opýtať na bezpečnostné opatrenia, ktoré prijímajú. Zvážte vyššie uvedené opatrenia a uistite sa, že sú kompatibilné s vašim hostingovým riešením.


Morálka príbehu je takáto: neohrozujte bezpečnosť. V konečnom dôsledku je udržiavanie zabezpečenia vášho webu dôležitejšie ako čokoľvek inde. Nemá zmysel mať skvelý obsah alebo nápadne nový dizajn, ak to nikto nevidí, pretože váš web bol rozdrvený drsnými hackermi..

Nepokojné typy, ktoré nemajú so svojím životom nič lepšie ako hackerské webové stránky, sa čoskoro nezmenia. Čím skôr to prijmete a podniknete primerané opatrenia na ochranu svojich stránok pred napadnutím, tým lepšie pre dlhodobé zabezpečenie vašich online aktív.

Chcel by som vedieť, čo si myslíte o opatreniach, ktoré som prijal. Existujú nejaké ďalšie odporúčania? Dajte nám vedieť v sekcii komentárov!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map