Wordpress og webutvikling

Min WordPress Blog kan ha blitt hakket - oppdag Saved Me

Min WordPress Blog kan ha blitt hakket - oppdag Saved Me / Wordpress og webutvikling

Hvis jeg fortalte deg at det er ett sted du kan gå for å få trygghet om at nettstedet ditt er sikkert, vil du tro på meg? Vel, det burde du, fordi det er. Det kalles Detectify.

Jeg er den typen nettsideeier som alltid har vært i fornektelse. Det kan ikke skje med meg. Hvorfor ville noen noen gang ha hack på nettstedet mitt?

Vel, alle de vrangforestillingene kom ned i hodet mitt i 2011 da den viktigste PHP-filen på hjemmesiden min ble erstattet med en nettside som annonserte at nettstedet hadde blitt vellykket hacket. Ikke bare var det et sjokk å innse at noen faktisk hadde erstattet en fil på min webserver, men det var et veldig stort slag mot min stolthet. Hva slags idiot gjør at nettstedet hans kan bli hacket?

Virkeligheten er at over tid har WordPress-bloggen min blitt utdatert, og stadig mer sårbar for angrep som hackere renset Internett på jakt etter eldre versjon av WordPress med kjente, upakket sårbarhet. Major mislykkes fra min side. Så, for nylig fullførte jeg endelig oppdateringen av bloggen min til et splitter nytt tema. Forvisset meg om at jeg ikke hadde noe å bekymre seg for i sikkerhetsavdelingen, og jeg trengte ikke engang å sjekke om temaet eller noen av mine installerte plugins hadde noen kjente sikkerhetsproblemer. Det var ikke før jeg kom over Detectify at jeg skjønte hvor nært bloggen min var å bli angrepet og potensielt hacket, igjen.

Installere detektere

Sikker på at det er andre sikkerhetssøkingsplugger Gi nettstedet ditt en grundig sikkerhetskontroll med HackerTarget Gi nettstedet ditt en grundig sikkerhetskontroll med HackerTarget Etter hvert som internett utvikler seg og systemene det kjører på, blir vanskeligere å hacke, tror du at nettsteder ville bli hacket mindre ! Faktisk er motsatt sant, med nummer ett problem som ikke ligger i ... Les mer du kan bruke på nettstedet ditt, men Detectify er bare så enkelt å sette opp og bruke, selv for en nybegynner. Detectify er en kombinasjon plugin og web service. Det første trinnet, som det vanligvis er tilfelle med webtjenester - du må registrere deg.

Det neste trinnet er å laste ned og installere Detectify Plugin. Dette er en ganske enkel plugin, men den gir den webbaserte sikkerhetsappen muligheten til å tappe inn i alle aspekter av bloggen din og analysere den for sikkerhetsfeil. Oppdag søk etter ting som lokal og ekstern filintegrasjon, DOM eller andre skriptproblemer på tvers av nettsteder, PHP-baneproblemer, fjernkontroll av kommandoer og mye mer. Du kan se alle de sårbarhetene som Detectify søker etter på plugin-siden.


Når du har registrert deg for tjenesten og pluginet er installert, er det siste trinnet å bekrefte installasjonen din ved å skrive verifiseringsnøkkelen du mottar via e-post i feltet i plugin. Så er du koblet sammen og klar til å rulle.

Kjører en detekteringsskanning

Når nettstedet ditt er koblet, vil du se det vises i listen over tilgjengelige domener på den elektroniske registreringskontoen din. Du kan registrere deg for å skanne flere domener hvis du vil.

Når du er klar til å starte nettstedet ditt sårbarhetssøk, klikker du bare på skanneknappen og lar den gjøre jobben sin. Noen anbefalinger på dette stadiet: Prøv å kjøre skanningen i løpet av en tid da nettstedet ditt har minst trafikk. Detectify vil gjennomsøke og skanne filer på nettstedet ditt, så det vil bli litt ytelse hit på grunn av at behandlingen.

For det andre, gi tjenesten den tiden den trenger for å gjøre alt som gjennomsøker og skanner. Det kommer ikke til å være en rask 30-60 minutters jobb, med mindre nettstedet ditt er uanstendig. Odds er for en mellomstor blogg du ser på over 6 timer. For en stor blogg, mange flere.

Det beste alternativet for de fleste er å starte skanningen før du går i seng, og du får resultatene venter på deg om morgenen. I mitt tilfelle, til tross for mitt merke, skinnende nytt tema og kjører den nyeste versjonen av WordPress, oppdaget jeg at jeg hadde flere advarsler knyttet til sikkerheten til bloggen min.


Ved å klikke på knappen Rapport kommer du til siden med skanningsdetaljer for domenet ditt.

Forstå resultatene for skanningen

Den første dashbordsiden gir deg i utgangspunktet en oversikt over hvor mange filer som ble skannet, hvilke typer filer som ble skannet og hvor lang tid det tok å skanne dem.

Det er hver enkelt fil på serveren din, så hvis du har mange mediefiler, tror du bedre at skanningen tar lang tid. De rapporterte resultatene viser også nøyaktig nedbryting av skannetid, slik at du kan se hvilken del av skanningen som er brukt mest behandlingstid. I mitt tilfelle gjorde Crawling og Exploitation testing mesteparten av skanningstiden.

Rapporten vil også gi deg en historie med siste skanninger du har kjørt, med oppdagede sårbarheter. Når du løser problemer på nettstedet ditt, kan du returnere her for å forsikre deg om at de nye skanningene dine reflekterer en bedre situasjon med nettstedet ditt, i stedet for et økende antall problemer.

Selvfølgelig, den beste delen av Detectify (og hele poenget med å bruke det virkelig), er detaljdelen, som beskriver meget spesifikke problemer som ble oppdaget på nettstedet ditt.

Å fikse nettstedets sikkerhetsproblemer

Så her er det som reddet meg. Det var noen advarsler som fikk meg til å innse at nettstedet mitt hadde langvarige problemer til tross for at jeg nettopp hadde oppgradert alt og trodde jeg var høy og tørr. En av de første advarslene var ikke for alvorlig, men var relatert til det faktum at PHP-installasjonen på Apache-serveren min tilbyr en “Påskeegg 10 morsomt og overraskende operativsystem påske egg 10 morsomt og overraskende operativsystem påske egg finne skjulte hilarity og ellers underlige ting, bygget rett inn i operativsystemet du bruker. De gjemmer seg på vanlig side, i programvare du bruker hver dag, og når du finner dem, vil du bli glad - ... Les mer ” som kan tillate ville hackere å identifisere hvilken versjon av PHP jeg kjører ved å sjekke hvilket ikon som vises når ikonet påskekoden er lagt til webadressen min.


Jeg lurte uvitende om at PHP-versjonen ble avslørt, noe som også viser til hackere hvor å jakte på sårbarheter som kan brukes til å hacke inn på nettstedet mitt. Jeg var ikke veldig glad for å se dette (jeg hadde ingen anelse om disse påskekoder).

Den fine tingen om Detectify-rapporten er at selv om du ikke er webdesigner eller programmerer, er forklaringen av problemet og den anbefalte løsningen lett nok til å forstå at du enkelt kan fikse de fleste oppdagede problemene selv.

Detectify oppdaget et andre sikkerhetsproblem relatert til hvordan jeg hadde forlatt Brukernavn-permalinken på WordPress for å oppsummere verdier, slik at hackere er en enkel måte å siphon ut brukerkoblinger og kjører gjennom passord hackingsalgoritmer for å avdekke en konto med et svakt passord.

Et tredje sikkerhetsproblem som Detectify funnet, var relatert til et gammelt plugin som jeg hadde installert på nettstedet, og et JavaScript-bibliotek sårbarhet begravet dypt inne i en av demo-mappene i det aktuelle plugin. Jeg hadde absolutt ingen anelse om at denne mappen selv eksisterte på serveren - men det var et sårbarhet som bare venter på at noen hacker skulle komme sammen og utnytte.

Og der tenkte jeg at jeg stod sterk med en ugjennomtrengelig nettside. Igjen, Detectify ga veldig tydelig og lett å forstå resolusjoner til hver sårbarhetsadvarsel.

Informasjons sikkerhetsproblemer

Detectify tar sikkerhet et skritt videre ved å gi deg informative sikkerhetsproblemer på nettstedet ditt. Disse er for det meste svært små problemer som ikke er akkurat sikkerhetsproblemer, men kan være måter som hackere kan få mer informasjon om nettstedet ditt, og gi dem forskningsverktøy for å finne kjente sårbarheter i det du har installert på webserveren din.


Du kan fikse disse hvis du er en ekte stickler for sikkerhet, men de fleste av disse er bare anbefalinger. Du er ikke i alvorlig fare hvis du bestemmer deg for å avstå de fleste av disse.

Jeg la merke til at disse resultatene også inkluderte det faktum at crawleren var i stand til å oppdage e-postadresser i vanlig tekst på nettstedet mitt. Det inkluderte også en liste over alle adresser funnet - for det meste trukket fra gamle kommentarer.

Det som var fantastisk er at gjennom årene trodde jeg at jeg hadde blokkert all innlegging av e-postadresser til nettstedet. Detectify rådde meg ellers, og oppført hver enkelt e-postadresse oppdaget.

Kan nettstedet mitt hackes hvis jeg ikke brukte detectify og korrigert disse advarslene? Muligens. Det handler om nettsikkerhet. Du kan kanskje tro at problemene som finnes på serveren din ikke er “seriøs” nok til å garantere tid og energi, men alt som trengs er en ressursfull og motivert hacker for å undersøke sikkerhetshullet, og ta deg tid til å faktisk utnytte det.

Når du bruker utallige timer, bygger du opp et nettsted. Slik bygger du ditt eget nettsted i løpet av få minutter uten koding. Hvordan bygge din egen nettside i minutter uten noen kodingsferdigheter. Etter hvert som nettet vokser, og det gjør det så blendende fort, trenger behovet for en tilstedeværelse på Internett blir stadig mer presserende. I mange deler av verden må du bare ha en tilstedeværelse på nettet i rekkefølge ... Les mer som du elsker, og investere uønskede mengder penger på web hosting og andre nettsideutgifter, det siste du trenger er en slank hacker som ødelegger alt du ve noensinne bygget. Så, installer Detectify. Skann nettstedet ditt. Løs disse problemene. Stol på meg, du vil være glad du gjorde. jeg vet jeg er.

Utforsk mer om: Wordpress, Wordpress-plugins, Wordpress-temaer.