Mój blog Leaving Work Behind został zhakowany w kwietniu. Jest to coś, o czym często czytasz, ale tak naprawdę nigdy się nie spodziewasz ty aż będzie za późno. Szczerze mówiąc, nie uważałem się za głównego kandydata – pisałem o bezpieczeństwie WordPressa wystarczająco często, aby wprowadzić wiele środków zapobiegawczych. Środki te jednak wyraźnie nie były wystarczająco kompleksowe.


Hackowanie jest czymś, czego nie chcę ponownie przechodzić. Jest tak wiele powodów, dla których przestój witryny jest szkodliwy dla Twojego bloga / firmy: chociaż utrata ruchu i potencjalny dochód to dwa najbardziej oczywiste, nie potrafię zrozumieć, ile czasu straciłem na przywrócenie strony i jaki był stres spowodował mnie.

W tym poście chcę ujawnić, co się stało z moją witryną i poinformować, co zrobiłem, aby zwiększyć bezpieczeństwo mojej witryny od.

Getting Hacked: My Story

Obudziłem się w czwartek 18 kwietnia i stwierdziłem, że moja strona nie działa i działała przez kilka godzin. Natychmiast skontaktowałem się z moim dostawcą hostingu, Westhost, który poinformował mnie, że ich zapora sieciowa ModSecurity wykryła nietypową aktywność na mojej stronie i natychmiast ją zamknęła. Po uruchomieniu początkowego przywracania na stronie natychmiast zauważyłem, że został zhakowany. Chociaż zmiany były względnie subtelne, było wystarczająco jasne, że niektórzy pozbawieni skrupułów grzebali w okolicy.

Okazuje się, że włamano się także do ogromnej liczby stron WordPress, a Westhost został odcięty. Na szczęście robią codzienne kopie zapasowe strony i następnego popołudnia wróciłem do sieci z wersją mojej strony, która była jak najbardziej aktualna.

Oto wpływ włamania na mój ruch:

Clicky Stats

Aby umieścić powyższy wykres w perspektywie, ruch w tym tygodniu spadł o około 30% w porównaniu z poprzednim tygodniem. To teoretycznie oznaczało 30% spadek dochodów.

Można śmiało powiedzieć, że chciałem zapewnić (najlepiej jak potrafię), aby taki hack nie mógł się powtórzyć. Natychmiast podjąłem działania.

Moje natychmiastowe kroki

Pierwszą rzeczą, którą zrobiłem, było sprawdzenie, czy postępowałem zgodnie z krokami opisanymi w moim ostatnim poście dotyczącym zabezpieczenia Twojej witryny WordPress.

Były to absolutne podstawy: aktualizacja moich motywów i wtyczek, upewnienie się, że mam ostatnią kopię zapasową, upewnienie się, że mój domyślny profil nie został nazwany „admin”, zmiana hasła i sprawdzenie wtyczek bezpieczeństwa w mojej witrynie. Po umieszczeniu tych przedmiotów nadszedł czas, aby przejść dalej.

Nie mam złudzeń, że moja strona jest teraz w 100% bezpieczna – w końcu nie ma czegoś takiego jak w 100% bezpieczna strona. Powiedziawszy to, wiem, że jest o wiele bezpieczniejszy niż wcześniej i będę nadal badał środki bezpieczeństwa witryny teraz i w przyszłości. Jak dotąd to właśnie zrobiłem.

1. Zainstalowałem VaultPress

Dla tych z was, którzy nie wiedzą, VaultPress to całkowicie zautomatyzowane rozwiązanie do tworzenia kopii zapasowych i bezpieczeństwa dla WordPress. Jest własnością Automatyczny, de facto „właściciele” WordPressa.

Korzystając z VaultPress od kilku dni, nie mogę uwierzyć, że byłem tak tani, że wcześniej nie kupiłem usługi. Pakiet podstawowy zaczyna się od 15 USD miesięcznie – zapłacę to za spokój każdego dnia tygodnia.

W rzeczywistości zdecydowałem się na pakiet Premium (40 USD miesięcznie), który obejmuje:

  • Kopia zapasowa w czasie rzeczywistym
  • Automatyczne przywracanie witryny jednym kliknięciem
  • Archiwa, statystyki i dziennik aktywności
  • Priority Disaster Recovery
  • Priorytetowe wsparcie „Concierge”
  • Codzienne skanowanie bezpieczeństwa
  • Powiadomienia o bezpieczeństwie
  • Narzędzia do naprawy zagrożeń bezpieczeństwa jednym kliknięciem
  • Pomoc w migracji witryny

Zasadniczo zapewniają ci ochronę.

Chociaż VaultPress nie może zagwarantować bezpieczeństwa witryny przed hakerami, to w zasadzie mogą gwarantujemy, że Twoja strona może zostać przywrócona ze względną łatwością. Jest coś bardzo uspokajającego w wyświetlaniu godzinnych migawek twoich witryn przechowywanych na serwerach VaultPress:

Kopie zapasowe VaultPress

Chociaż istnieje wiele bezpłatnych rozwiązań do tworzenia kopii zapasowych, nie sądzę, aby cokolwiek przeważyło we względnym spokoju ducha, jaki otrzymuję z VaultPress. Mają teraz 90 migawek mojej witryny do przywrócenia, z których najnowsza ma zaledwie dwadzieścia minut. Wiem, że moja witryna jest bezpieczna w ich rękach.

2. Zarządzałem moimi profilami

Haker może potencjalnie uzyskać dostęp do Twojej witryny z dowolnego profilu administratora w backendie WordPress – nie tylko z tego ty posługiwać się. Po załadowaniu moich profili zobaczyłem, że mam trzy inne profile – profil plakatu gościa i dwa inne profile dla (godnych zaufania) osób, którym dałem dostęp do mojej witryny.

Zacząłem od wyłączenia tych dwóch profili i zmiany roli profilu plakatu gościnnego na Autor. Radzę Ci to zrobić – utwórz tylko tyle profili Administratora, ile to absolutnie konieczne. Ponadto należy oczywiście upewnić się, że każde konto jest odpowiednio losowym i unikalnym hasłem oraz że wspomniane hasła są regularnie zmieniane.

Są chwile, kiedy będziesz musiał zezwolić innym osobom (np. Projektantowi stron internetowych) na dostęp do Twojej witryny. W takich sytuacjach radzę, aby utworzyć dla nich profil z nowym hasłem, a następnie usunąć ten profil, gdy tylko jego konieczność dobiegnie końca.

Zawsze myśl o punktach wejścia na Twoją stronę i czy są one absolutnie konieczne.

3. Zmieniłem moje hasła

Możesz myśleć, że to oczywisty ruch, ale tak naprawdę nie mówię o moich hasłach WordPress. Chociaż ja zrobił zmień je, byłem pewien, że zmienię wszystkie hasła na konta szczególnie wrażliwe, tj .:

  • Gmail
  • Facebook
  • Świergot
  • Moje konto hostingowe
  • Amazon Associates
  • Itp

Jeśli zastanawiasz się, dlaczego to zrobiłem, zastanów się nad historią Mat Honana, którego całe życie cyfrowe zostało zniszczone przez hakerów, którzy pierwotnie włamali się na jego konto Amazon. Jeśli czujesz się w jakikolwiek sposób bluźnierczy w kwestii bezpieczeństwa online, to powyższy artykuł jest koniecznością.

Zastanów się nad tym prostym łańcuchem: haker uzyskuje dostęp do twojego konta e-mail, z którego ostatnio wysłałeś e-mail do projektanta stron internetowych z danymi do logowania do witryny WordPress. To wszystko, czego potrzebują, aby uzyskać dostęp do Twojej witryny i robić to, co chcą. Hakowanie może być tak elementarne.

4. Uaktualniłem do SFTP

Oto coś, czego możesz nie wiedzieć: wszelkie dane przesyłane przez FTP (w tym nazwa użytkownika i hasło) są całkowicie niezaszyfrowane. Dlatego każdy, kto z powodzeniem przechwytuje przelewy FTP, będzie mógł odebrać dane logowania i uzyskać dostęp do konta.

Pozwala to nie tylko dodawać i usuwać pliki, które uznają za stosowne, ale mogą również uzyskać dostęp do bazy danych WordPress za pośrednictwem phpMyAdmin i ostatecznie zalogować się do Twojej witryny.

Krótko mówiąc, nie ma znaczenia, jak bezpieczny jest bezpośredni dostęp do Twojej witryny WordPress, jeśli hakerzy mogą uzyskać dostęp za pośrednictwem FTP. W związku z tym zdecydowanie zalecamy wyłączenie dostępu FTP do witryny i przesyłanie plików przy użyciu alternatywnego protokołu SFTP, który robi szyfrować dane. Każdy dobry dostawca hostingu powinien być w stanie Ci w tym pomóc.

Mówiąc o dostawcach hostingu…

5. Zastanów się, czy Twoje rozwiązanie hostingowe jest odpowiednie

Cieszę się, że jestem z Westhostem. To ich firewall ModSecurity zauważył włamanie w pierwszej kolejności i zamknął moją stronę, zanim doszło do poważnych szkód. Przeprowadzają także automatyczne codzienne kopie zapasowe (które zostały użyte do przywrócenia strony) i mają crack do obsługi klienta w celu uruchomienia.

Czy możesz powiedzieć to samo o swoim dostawcy hostingu? Jest tak wiele świetnych opcji, że szalenie byłoby pozostać z dostawcą, z którego jesteś niezadowolony. Możesz rozważyć przejście na jedno z zarządzanych rozwiązań hostingowych (takich jak WPEngine), tak jak niedawno WPExplorer.

Niezależnie od wyboru, zapytaj, jakie środki bezpieczeństwa podejmują. Rozważ środki, które podjąłem powyżej i upewnij się, że są one zgodne z Twoim rozwiązaniem hostingowym.


Morał tej historii jest następujący: nie rezygnuj z bezpieczeństwa. W ostatecznym rozrachunku bezpieczeństwo witryny jest ważniejsze niż byle co jeszcze. Nie ma sensu mieć świetnej zawartości ani niesamowicie nowego projektu, jeśli nikt go nie widzi, ponieważ Twoja strona została rozdarta przez bezwzględnych hakerów.

Nikczemni ludzie, którzy nie mają nic lepszego do roboty niż zhakowanie stron internetowych, nie znikną w najbliższym czasie. Im szybciej to zaakceptujesz i podejmiesz rozsądne środki w celu ochrony witryny przed atakiem, tym lepiej dla długoterminowego bezpieczeństwa twoich zasobów online.

Chciałbym wiedzieć, co myślisz o podjętych przeze mnie działaniach. Czy są jakieś dodatkowe zalecenia? Daj nam znać w sekcji komentarzy!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me