Блогът ми, оставяйки работа зад себе си, беше хакнат през април. Това е нещо, за което четете достатъчно често, но всъщност никога не очаквате да се случи Вие докато не стане твърде късно. За да бъда честен, не се видях като основен кандидат – писах за сигурността на WordPress достатъчно често, за да имам достатъчно превантивни мерки. Тези мерки обаче очевидно не са достатъчно изчерпателни.
Да се хакна е нещо, което не искам да преживея отново. Има толкова много причини, поради които прекъсването на уебсайта е лошо за вашия блог / бизнес: макар че загубата на трафик и потенциалният доход са двете най-очевидни, не мога да преценя колко време съм загубил при възстановяването на сайта и колко стрес е предизвика ме.
В тази публикация искам да разкрия какво се случи с моя сайт и да ви уведомя какво съм направил, за да увелича сигурността на моя сайт оттогава.
Contents
Да бъдем хакнати: Моята история
Събудих се в четвъртък на 18 април, за да открия, че сайтът ми е закъсал и е бил в продължение на няколко часа. Веднага се свързах с моя хостинг доставчик, Westhost, който ме информира, че тяхната защитна стена ModSecurity е открила необичайна активност на моя сайт и веднага го е затворила като предпазна мярка. При пускане на първоначално възстановяване на сайта веднага видях, че той е бил хакнат. Въпреки че промените бяха сравнително фини, беше достатъчно ясно, че някои безскрупулни видове (и) се носят наоколо.
Оказва се, че огромен брой сайтове на WordPress също са били хакнати и Westhost е прекратил работата си. За щастие те правят ежедневно архивиране на сайта и до следващия следобед се върнах онлайн с версия на моя сайт, която беше възможно най-близка до текущата.
Ето ефекта, който хакът имаше върху трафика ми:
За да разгледаме горната графика в перспектива, трафикът за тази седмица е намалял с около 30% в сравнение с предходната седмица. Това теоретично означава спад на доходите с 30%.
Честно е да се каже, че аз държах да гарантирам (доколкото е възможно), че подобен хак не може да бъде повторен. Веднага предприех действия.
Моите незабавни стъпки
Първото нещо, което направих, беше да проверя, че следя стъпките, очертани в моята неотдавнашна публикация относно осигуряването на вашия уебсайт WordPress.
Това бяха абсолютните основи: актуализиране на моите теми и плъгини, осигуряване на скорошно архивиране, гарантиране, че профилът ми по подразбиране не е кръстен „администратор“, смяна на паролата ми и проверка на плъгини за сигурност на моя сайт. С тези елементи на мястото беше време да продължите.
Не се илюзирам, че сайтът ми вече е 100% сигурен – в края на краищата няма такова нещо като 100% защитен сайт. Като казах това, знам, че е далеч по-сигурен, отколкото беше преди, и ще продължа да проучвам мерките за сигурност на сайта сега и в бъдеще. Засега това съм направил.
1. Инсталирах VaultPress
За тези от вас, които не знаят, VaultPress е напълно автоматизирано решение за архивиране и сигурност за WordPress. Той е собственост на Automattic, фактическите „собственици“ на WordPress.
Използвайки VaultPress от няколко дни, не мога да повярвам, че съм бил толкова евтин, че не съм се натъкнал за услугата предварително. Базовият им пакет започва от 15 долара на месец – ще го плащам за спокойствие всеки ден от седмицата.
Всъщност избрах да отида с пакета им Premium ($ 40 на месец), който включва:
- Резервно копие в реално време
- Автоматично възстановяване на сайта с едно кликване
- Архиви, статистика и дневник на дейността
- Приоритетно възстановяване при бедствия
- Приоритетна „Консьерж“ поддръжка
- Ежедневно сканиране за сигурност
- Известия за сигурност
- Поправки с едно кликване за заплахи за сигурността
- Помощ за миграция на сайта
По принцип те ви покриват.
Въпреки че VaultPress не може да гарантира сигурността на вашия сайт срещу хакери, това е доста мога гарантират, че вашият сайт може да бъде възстановен сравнително лесно. Има нещо много успокояващо в това да виждате часови снимки на сайтовете си, съхранявани на сървърите на VaultPress:
Въпреки че има много безплатни резервни решения, не мисля, че нещо бие относителното спокойствие, което получавам от VaultPress. Те имат на разположение 90 моментални снимки на моя сайт за възстановяване, от които най-новите са само двадесет минути. Знам, че сайтът ми е в техните ръце.
2. Управлявах моите профили
Хакерът може потенциално да получи достъп до вашия сайт от всеки от администраторските профили в рамките на вашия WordPress бекенд – не само този Вие използвате. Когато заредих профилите си, видях, че имам три други профила – профил за плакати за гости и два други профила за (надеждни) хора, на които бях дал достъп до моя сайт.
Започнах със затварянето на тези два профила и смяната на ролята на профила на гост афиша на Автор. Това е нещо, което бих ви посъветвал да направите – създайте само толкова администраторски профили, колкото е абсолютно необходимо. Освен това, трябва да се уверите, че всеки акаунт като подходяща случайна и уникална парола и че споменатите пароли редовно се променят.
Има моменти, в които ще трябва да разрешите на хората (като вашия уеб дизайнер) достъп до вашия сайт. В такива ситуации ви съветвам да създадете профил за тях с нова парола, след което да изтриете този профил веднага щом необходимостта му приключи.
Винаги помислете за точките на влизане на вашия сайт и дали те са крайно необходими.
3. Промених паролите си
Може да мислите, че това е очевиден ход, но всъщност не говоря за паролите си в WordPress. въпреки че аз Направих променете ги, аз също бях сигурен, че промених всички пароли на особено чувствителни акаунти, т.е.:
- Gmail
- кикотене
- Моят хостинг акаунт
- Amazon Associates
- И т.н.
Ако се чудите защо направих този ход, просто помислете за историята на Мат Хонан, чийто цял дигитален живот беше унищожен от хакери, които първоначално са хакнали в акаунта му в Amazon. Ако по някакъв начин се чувствате ужасно относно сигурността онлайн, то горната статия е задължително прочетена.
Помислете за тази проста верига: хакер получава достъп до вашия имейл акаунт, от който наскоро сте изпратили имейл до вашия уеб дизайнер с подробности за вход за вашия WordPress сайт. Това е всичко, което им е необходимо, за да получат достъп до вашия сайт и да правят както желаят. Хакването може да бъде толкова елементарно.
4. Надградих до SFTP
Ето нещо, което може да не знаете: всички данни, които прехвърляте чрез FTP (включително вашето потребителско име и парола), са напълно незашифровани. Следователно, всеки, който успешно успее да прихване FTP прехвърлянията, ще може да вземе вашите данни за вход и да получи достъп до вашия акаунт..
Това не само им позволява да добавят и премахват файлове, както сметнат за добре, но и могат да получат достъп до вашата база данни на WordPress чрез phpMyAdmin и в крайна сметка да влязат на вашия сайт.
Казано по-просто, няма значение колко е сигурен директен достъп до вашия WordPress сайт, ако хакерите могат да влязат чрез FTP. Поради това горещо препоръчвам да деактивирате достъпа до FTP до вашия сайт и да прехвърляте файлове, като използвате алтернативния протокол SFTP, който прави криптиране на данни. Всеки добър доставчик на хостинг услуги трябва да може да ви помогне в това.
Говорейки за доставчици на хостинг услуги …
5. Помислете за целесъобразността на вашето хостинг решение
Радвам се, че съм с Westhost Именно тяхната защитна стена ModSecurity забеляза хака на първо място и затвори сайта ми, преди да бъдат нанесени сериозни щети. Те също така извършват ежедневни автоматични резервни копия (които са били използвани за възстановяване на сайта) и имат крекинг поддръжка на клиенти за зареждане.
Можете ли да кажете същото за вашия хостинг доставчик? Има толкова много страхотни опции, че бихте луди да останете при доставчик, от когото сте недоволни. Може да помислите да преминете към едно от управляваните хостинг решения (като WPEngine), както WPExplorer направи наскоро.
Какъвто и да е вашият избор, не забравяйте да се допитате до мерките за сигурност, които предприемат. Обмислете мерките, които предприех по-горе, и се уверете, че те са съвместими с вашето хостинг решение.
Моралът на историята е следният: не правете компромиси със сигурността. В крайна сметка запазването на вашия сайт е по-важно от нищо друго. Няма смисъл да имате страхотно съдържание или строго нов дизайн, ако никой не може да го види, тъй като вашият сайт е разкъсан от безскрупулни хакери.
Коварните типове, които нямат нищо по-добро от живота си от хакерските сайтове на хората, няма да заминат скоро. Колкото по-рано приемете това и вземете разумни мерки, за да защитите вашия сайт от атака, толкова по-добре за дългосрочната сигурност на вашите онлайн активи.
Бих искал да знам какво мислите за мерките, които съм предприел. Има ли допълнителни препоръки, които бихте направили? Уведомете ни в секцията за коментари!
