Die 5 Schritte, die ich unternommen habe, um meinen WordPress-Blog von einem Hack wiederherzustellen

Mein Blog Leaving Work Behind wurde im April gehackt. Es ist etwas, worüber Sie oft genug lesen, aber nie wirklich damit rechnen Du bis es zu spät ist Um ehrlich zu sein, habe ich mich nicht als Hauptkandidaten gesehen – ich habe oft genug über WordPress-Sicherheit geschrieben, um viele vorbeugende Maßnahmen zu ergreifen. Diese Maßnahmen waren jedoch eindeutig nicht umfassend genug.


Gehackt zu werden ist etwas, das ich nicht noch einmal durchmachen möchte. Es gibt so viele Gründe, warum Ausfallzeiten von Websites für Ihr Blog / Unternehmen schlecht sind: Obwohl ein Verlust an Datenverkehr und potenzielle Einnahmen die beiden offensichtlichsten sind, kann ich die Zeit, die ich bei der Wiederherstellung der Website verloren habe, und die Menge an Stress nicht unterschätzen hat mich verursacht.

In diesem Beitrag möchte ich Ihnen mitteilen, was mit meiner Website passiert ist, und Ihnen mitteilen, was ich seitdem getan habe, um die Sicherheit meiner Website zu erhöhen.

Gehackt werden: Meine Geschichte

Ich bin am Donnerstag, dem 18. April, aufgewacht und habe festgestellt, dass meine Website einige Stunden lang nicht verfügbar war. Ich habe sofort meinen Hosting-Anbieter Westhost kontaktiert, der mir mitgeteilt hat, dass die ModSecurity-Firewall ungewöhnliche Aktivitäten auf meiner Website erkannt und vorsorglich sofort heruntergefahren hat. Bei einer ersten Wiederherstellung auf der Site konnte ich sofort feststellen, dass sie gehackt wurde. Obwohl die Änderungen relativ subtil waren, war klar genug, dass einige skrupellose Sorten herumgeschnüffelt hatten.

Es stellt sich heraus, dass auch eine große Anzahl von WordPress-Sites gehackt wurde und Westhost ihre Arbeit eingestellt hatte. Glücklicherweise erstellen sie tägliche Backups der Site und am folgenden Nachmittag war ich wieder online mit einer Version meiner Site, die so aktuell wie möglich war.

Hier ist die Auswirkung des Hacks auf meinen Datenverkehr:

Clicky Stats

Um die obige Grafik ins rechte Licht zu rücken, war der Verkehr in dieser Woche im Vergleich zur Vorwoche um ~ 30% gesunken. Das bedeutete theoretisch einen Einkommensrückgang von 30%.

Es ist fair zu sagen, dass ich (nach bestem Wissen und Gewissen) sicherstellen wollte, dass ein solcher Hack nicht wiederholt werden kann. Ich habe sofort gehandelt.

Meine unmittelbaren Schritte

Als erstes habe ich überprüft, ob ich die in meinem letzten Beitrag beschriebenen Schritte zum Sichern Ihrer WordPress-Website ausgeführt habe.

Dies waren die absoluten Grundlagen: Aktualisieren meiner Designs und Plugins, Sicherstellen, dass ich kürzlich ein Backup erstellt habe, Sicherstellen, dass mein Standardprofil nicht “admin” heißt, Ändern meines Kennworts und Überprüfen auf Sicherheits-Plugins auf meiner Website. Mit diesen Gegenständen war es Zeit, weiterzumachen.

Ich mache mir keine Illusionen darüber, dass meine Website jetzt 100% sicher ist – schließlich gibt es keine 100% sichere Website. Trotzdem weiß ich, dass es weitaus sicherer ist als zuvor, und ich werde jetzt und in Zukunft weiterhin nach Sicherheitsmaßnahmen für Websites suchen. Bisher habe ich das getan.

1. Ich habe VaultPress installiert

Für diejenigen unter Ihnen, die es nicht wissen, VaultPress ist eine vollständig automatisierte Backup- und Sicherheitslösung für WordPress. Es gehörte ihm Automattic, die de facto “Besitzer” von WordPress.

Nachdem ich VaultPress seit einigen Tagen benutze, kann ich nicht glauben, dass ich so billig war, dass ich mich vorher nicht für den Service entschieden habe. Das Basispaket beginnt bei 15 US-Dollar pro Monat – ich bezahle das für die Sicherheit an jedem Tag der Woche.

Tatsächlich habe ich mich für das Premium-Paket (40 US-Dollar pro Monat) entschieden, das Folgendes umfasst:

  • Echtzeit-Backup
  • Automatisierte One-Click-Site-Wiederherstellung
  • Archiv, Statistiken und Aktivitätsprotokoll
  • Priority Disaster Recovery
  • Vorrangiger Concierge-Support
  • Tägliches Sicherheits-Scannen
  • Sicherheitsbenachrichtigungen
  • One-Click-Fixer für Sicherheitsbedrohungen
  • Unterstützung bei der Site-Migration

Im Grunde haben sie Sie abgedeckt.

VaultPress kann die Sicherheit Ihrer Website gegen Hacker zwar nicht garantieren, ist aber ziemlich genau kann Stellen Sie sicher, dass Ihre Website relativ einfach wiederhergestellt werden kann. Es ist nur sehr beruhigend, stündliche Schnappschüsse Ihrer Websites auf den Servern von VaultPress zu sehen:

VaultPress-Backups

Es gibt zwar viele kostenlose Backup-Lösungen, aber ich glaube nicht, dass irgendetwas die relative Sicherheit übertrifft, die ich von VaultPress bekomme. Derzeit stehen 90 Schnappschüsse meiner Website zur Wiederherstellung zur Verfügung, von denen der letzte nur 20 Minuten alt ist. Ich weiß, dass meine Website in ihren Händen sicher ist.

2. Ich habe meine Profile verwaltet

Ein Hacker kann möglicherweise von jedem der Administratorprofile in Ihrem WordPress-Backend auf Ihre Site zugreifen – nicht nur von diesem Du verwenden. Beim Laden meiner Profile konnte ich feststellen, dass ich drei weitere Profile hatte – ein Gastplakatprofil und zwei weitere Profile für (vertrauenswürdige) Personen, denen ich Zugriff auf meine Website gewährt hatte.

Ich begann damit, diese beiden Profile zu schließen und die Rolle des Gastplakatprofils in Autor zu ändern. Ich würde Ihnen raten, dies zu tun – erstellen Sie nur so viele Administratorprofile, wie unbedingt erforderlich sind. Außerdem sollten Sie natürlich sicherstellen, dass jedes Konto ein entsprechend zufälliges und eindeutiges Passwort ist und dass diese Passwörter regelmäßig geändert werden.

Es gibt Zeiten, in denen Sie Personen (z. B. Ihrem Webdesigner) Zugriff auf Ihre Website gewähren müssen. In solchen Situationen empfehle ich, dass Sie ein Profil für sie mit einem neuen Passwort erstellen und dieses Profil dann löschen, sobald die Notwendigkeit abgelaufen ist.

Denken Sie immer an die Einstiegspunkte Ihrer Website und daran, ob diese unbedingt erforderlich sind.

3. Ich habe meine Passwörter geändert

Sie mögen denken, dass dies ein offensichtlicher Schritt war, aber ich spreche nicht über meine WordPress-Passwörter. obwohl ich tat Ändern Sie sie, ich war auch sicher, alle Passwörter in besonders sensible Konten zu ändern, d.h.

  • Google Mail
  • Facebook
  • Twitter
  • Mein Hosting-Konto
  • Amazon Associates
  • Usw

Wenn Sie sich fragen, warum ich diesen Schritt unternommen habe, denken Sie einfach an die Geschichte von Mat Honan, dessen gesamtes digitales Leben von Hackern zerstört wurde, die sich ursprünglich in sein Amazon-Konto gehackt haben. Wenn Sie in irgendeiner Weise in Bezug auf Online-Sicherheit blasiert sind, ist der obige Artikel ein Muss.

Stellen Sie sich diese einfache Kette vor: Ein Hacker erhält Zugriff auf Ihr E-Mail-Konto, von dem aus Sie kürzlich eine E-Mail mit Anmeldedaten für Ihre WordPress-Site an Ihren Webdesigner gesendet haben. Das ist alles, was sie benötigen, um Zugriff auf Ihre Website zu erhalten und zu tun, was sie möchten. Hacking kann so elementar sein.

4. Ich habe ein Upgrade auf SFTP durchgeführt

Folgendes wissen Sie möglicherweise nicht: Alle Daten, die Sie über FTP übertragen (einschließlich Ihres Benutzernamens und Passworts), sind vollständig unverschlüsselt. Daher kann jeder, der FTP-Übertragungen erfolgreich abfangen kann, Ihre Anmeldedaten abrufen und Zugriff auf Ihr Konto erhalten.

Auf diese Weise können sie nicht nur Dateien nach Belieben hinzufügen und entfernen, sondern auch über phpMyAdmin auf Ihre WordPress-Datenbank zugreifen und sich schließlich bei Ihrer Site anmelden.

Einfach ausgedrückt spielt es keine Rolle, wie sicher der direkte Zugriff auf Ihre WordPress-Site ist, wenn Hacker über FTP zugreifen können. Aus diesem Grund empfehle ich dringend, den FTP-Zugriff auf Ihre Site zu deaktivieren und Dateien mithilfe des alternativen SFTP-Protokolls zu übertragen tut Daten verschlüsseln. Jeder gute Hosting-Anbieter sollte Ihnen dabei helfen können.

Apropos Hosting-Anbieter…

5. Berücksichtigen Sie die Eignung Ihrer Hosting-Lösung

Ich bin froh, dass ich bei Westhost bin. Es war ihre ModSecurity-Firewall, die den Hack überhaupt entdeckt und meine Website geschlossen hat, bevor ernsthafte Schäden angerichtet werden konnten. Sie führen auch automatische tägliche Sicherungen durch (die zum Wiederherstellen der Site verwendet wurden) und verfügen über einen hervorragenden Kundensupport.

Können Sie dasselbe für Ihren Hosting-Anbieter sagen? Es gibt so viele großartige Möglichkeiten, dass Sie verrückt wären, bei einem Anbieter zu bleiben, mit dem Sie unzufrieden sind. Sie könnten in Betracht ziehen, zu einer der verwalteten Hosting-Lösungen (wie WPEngine) zu wechseln, wie dies WPExplorer erst kürzlich getan hat.

Fragen Sie unabhängig von Ihrer Wahl nach den Sicherheitsmaßnahmen, die sie ergreifen. Betrachten Sie die oben getroffenen Maßnahmen und stellen Sie sicher, dass sie mit Ihrer Hosting-Lösung kompatibel sind.


Die Moral der Geschichte lautet: Gehen Sie keine Kompromisse bei der Sicherheit ein. Letztendlich ist es wichtiger als etwas sonst. Es macht keinen Sinn, großartigen Inhalt oder ein völlig neues Design zu haben, wenn niemand es sehen kann, weil Ihre Website von rücksichtslosen Hackern in Stücke gerissen wurde.

Schändliche Typen, die nichts Besseres mit ihrem Leben zu tun haben, als die Websites von Menschen zu hacken, werden nicht so schnell verschwinden. Je früher Sie dies akzeptieren und angemessene Maßnahmen ergreifen, um Ihre Website vor Angriffen zu schützen, desto besser für die langfristige Sicherheit Ihrer Online-Assets.

Ich würde gerne wissen, was Sie über die Maßnahmen denken, die ich ergriffen habe. Gibt es zusätzliche Empfehlungen, die Sie abgeben würden? Lass es uns in den Kommentaren wissen!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map