Mijn Wordpress-blog kan zijn gehackt

Advertentie

Als ik je zou vertellen dat je naar één plek kunt gaan om er zeker van te zijn dat je website veilig is, zou je me dan geloven? Nou dat zou je moeten doen, want dat is er. Het heet Detecteer.

Ik ben het soort website-eigenaar dat altijd een soort van ontkenning is geweest. Het kan mij niet overkomen. Waarom zou iemand ooit mijn site willen hacken?

Nou, al die waanideeën kwamen in 2011 rond mijn hoofd toen het PHP-hoofdbestand van mijn startpagina werd vervangen door een webpagina die aankondigde dat de site met succes was gehackt. Het was niet alleen een schok om te beseffen dat iemand een bestand op mijn webserver daadwerkelijk had vervangen, maar het was een grote klap voor mijn trots. Door wat voor idioot kan zijn website gehackt worden?

De realiteit is dat mijn WordPress-blog in de loop van de tijd verouderd was en steeds kwetsbaarder werd voor aanvallen terwijl hackers het internet afzochten op zoek naar een oudere versie van WordPress met bekende, niet-gepatchte kwetsbaarheden. Major mislukt van mijn kant. Dus onlangs ben ik eindelijk klaar met het updaten van mijn blog naar een gloednieuw thema. Omdat ik er zeker van was dat ik me geen zorgen hoefde te maken op de beveiligingsafdeling, heb ik niet eens de moeite genomen om te controleren of het thema of een van mijn geïnstalleerde plug-ins bekende beveiligingsproblemen had. Pas toen ik Detectify tegenkwam, realiseerde ik me hoe dichtbij mijn blog was om aangevallen en mogelijk gehackt te worden,

alweer.

Detectify installeren

Natuurlijk zijn er nog andere plug-ins voor beveiligingsscans Geef uw website een grondige beveiligingscontrole met HackerTargetNaarmate het internet evolueert en de systemen waarop het draait moeilijker te hacken zijn, zou je denken dat websites minder gehackt zouden worden! In feite is het tegenovergestelde waar, met het grootste probleem niet in ... Lees verder die u op uw site kunt gebruiken, maar Detectify is net zo eenvoudig in te stellen en te gebruiken, zelfs voor een beginner. Detectify is een combinatie van plug-in en webservice. De eerste stap, zoals meestal het geval is bij webservices, moet u aanmelden.

De volgende stap is het downloaden en installeren van de Detecteer plug-in. Dit is een vrij eenvoudige plug-in, maar het geeft de webgebaseerde beveiligingsapp de mogelijkheid om elk aspect van uw blog aan te boren en te analyseren op beveiligingsfouten. Detecteer zoekopdrachten naar zaken als lokale en externe bestandsopname, DOM of andere cross-site scripting-problemen, problemen met het PHP-array-pad, uitvoering van opdrachten op afstand en nog veel meer. U kunt alle kwetsbaarheden waar Detectify naar zoekt zoeken op de plugin-pagina.

Nadat u zich heeft aangemeld voor de service en de plug-in is geïnstalleerd, is de laatste stap om uw installatie te bevestigen door de verificatiesleutel die u via e-mail ontvangt in het veld in de plug-in te typen. Dan ben je allemaal verbonden en klaar om te rollen.

Een Detectify-scan uitvoeren

Zodra uw site is gelinkt, wordt deze weergegeven in uw lijst met beschikbare domeinen in uw online Detectify-account. U kunt zich aanmelden om meerdere domeinen te scannen als u dat wilt.

Wanneer u klaar bent om de kwetsbaarheidsscan van uw website te starten, klikt u gewoon op de knop Scannen en laat deze zijn werk doen. Enkele aanbevelingen in dit stadium: probeer de scan uit te voeren in een tijd dat uw site het minste verkeer heeft. Detectify crawlt en scant bestanden op uw site, dus er zal een klein beetje prestatieverlies zijn als gevolg van die verwerking.

Ten tweede, geef de service de tijd die nodig is om al dat crawlen en scannen te doen. Het wordt geen snelle klus van 30-60 minuten, tenzij je website nietig is. De kansen zijn voor een middelgrote blog waar je meer dan 6 uur naar kijkt. Voor een grote blog, veel meer.

De beste optie voor de meeste mensen is om de scan te starten voordat je naar bed gaat, en de resultaten staan ​​'s ochtends op je te wachten. In mijn geval ontdekte ik, ondanks mijn merk, een glimmend nieuw thema en de nieuwste versie van WordPress, dat ik verschillende waarschuwingen had met betrekking tot de beveiliging van mijn blog.

Als u op de knop Rapporteren klikt, gaat u naar de pagina met de scandetails voor uw domein.

Inzicht in uw scanresultaten

De eerste dashboardpagina geeft u in feite een overzicht van hoeveel bestanden zijn gescand, de soorten bestanden die zijn gescand en hoe lang het duurt om ze te scannen.

Dat is elk afzonderlijk bestand op uw server, dus als u veel mediabestanden heeft, kunt u maar beter geloven dat de scan lang zal duren. De gerapporteerde resultaten beschrijven ook de exacte uitsplitsing van de scantijd, zodat u kunt zien welk deel van de scan de meeste verwerkingstijd in beslag nam. In mijn geval Kruipen Hoe u een eenvoudige webcrawler maakt om informatie van een website te halenAltijd al informatie van een website willen vastleggen? Hier leest u hoe u een crawler schrijft om door een website te navigeren en eruit te halen wat u nodig heeft. Lees verder en Exploitatie testen vormden het grootste deel van de scantijd.

Het rapport geeft je ook een geschiedenis van de laatste scans die je hebt uitgevoerd, met ontdekte kwetsbaarheden. Terwijl u problemen op uw site oplost, kunt u hier terugkeren om ervoor te zorgen dat uw nieuwe scans een verbetering van de situatie op uw site weerspiegelen, in plaats van een toenemend aantal problemen.

Natuurlijk is het beste deel van Detectify (en het hele nut ervan) de detailsectie, die zeer specifieke problemen beschrijft die op uw site zijn ontdekt.

De beveiligingsproblemen van uw site oplossen

Dus dit is het ding dat me heeft gered. Er waren een paar waarschuwingen waardoor ik besefte dat mijn site slepende problemen had, ondanks het feit dat ik zojuist alles had geüpgraded en dacht dat ik high en dry was. Een van de eerste waarschuwingen was niet al te ernstig, maar hield verband met het feit dat de PHP-installatie op mijn Apache-server een "Paasei 10 leuk en verrassend besturingssysteem Easter EggsVind verborgen hilariteit en anderszins vreemde dingen, ingebouwd in het besturingssysteem dat je gebruikt. Ze verstoppen zich op een simpele site, in software die je elke dag gebruikt, en als je ze vindt, zul je blij zijn --... Lees verder "Waarmee potentiële hackers kunnen bepalen welke versie van PHP ik gebruik door te controleren welk pictogram wordt weergegeven wanneer het pictogram Easter Egg-code wordt toegevoegd aan de URL van mijn site.

Ik wist onbewust dat de PHP-versie werd onthuld, die ook aan hackers onthult waar ze moeten zoeken naar kwetsbaarheden die kunnen worden gebruikt om mijn site te hacken. Ik was niet erg blij om dit te zien (ik had geen idee van deze Easter Egg-codes).

Het leuke van het Detectify-rapport is dat zelfs als je geen webdesigner of programmeur bent, de uitleg van de probleem en de aanbevolen oplossing is gemakkelijk genoeg om te begrijpen dat u de meeste van de ontdekte problemen gemakkelijk kunt oplossen jezelf.

Detectify ontdekte een tweede kwetsbaarheid met betrekking tot hoe ik de gebruikersnaam permalink op WordPress had achtergelaten om waarden op te sommen, waardoor hackers een gemakkelijke manier om gebruikerslinks over te hevelen en algoritmen voor wachtwoordhacking te doorlopen om een ​​account met een zwak wachtwoord te ontdekken.

Een derde kwetsbaarheid die Detectify vond, was gerelateerd aan een oude plug-in die ik op de had geïnstalleerd site en een kwetsbaarheid in de JavaScript-bibliotheek die diep in een van de demomappen daarin verborgen ligt inpluggen. Ik had absoluut geen idee dat deze map zelfs op de server bestond - maar daar was het, een kwetsbaarheid die wachtte tot een of andere hacker langs kwam en misbruik maakte.

En daar dacht ik dat ik sterk stond met een ondoordringbare website. Nogmaals, Detectify leverde zeer duidelijke en gemakkelijk te begrijpen oplossingen voor elke kwetsbaarheidswaarschuwing.

Informatieve beveiligingsproblemen

Detectify gaat een stap verder met beveiliging door u informatieve beveiligingsproblemen op uw site aan te bieden. Dit zijn meestal zeer kleine problemen die niet echt beveiligingsproblemen zijn, maar manieren kunnen zijn waarop hackers er meer kunnen krijgen informatie over uw website, door hen onderzoekstools te bieden om bekende kwetsbaarheden te vinden in wat u op uw computer hebt geïnstalleerd web Server.

Je kunt deze oplossen als je een echte voorstander bent van beveiliging, maar de meeste zijn slechts aanbevelingen. U loopt geen ernstig gevaar als u besluit de meeste hiervan af te zien.

Ik merkte dat deze resultaten zelfs het feit omvatten dat de crawler e-mailadressen in platte tekst op mijn site kon ontdekken. Het bevatte zelfs een lijst met alle gevonden adressen - meestal afkomstig uit oude opmerkingen.

Het verbazingwekkende was dat ik door de jaren heen dacht dat ik alle berichten over e-mailadressen op de site had geblokkeerd. Detectify adviseerde me anders en vermeldde elk gevonden e-mailadres.

Kan mijn site zijn gehackt als ik Detectify niet had gebruikt en deze waarschuwingen had gecorrigeerd? Mogelijk. Dat is het probleem met websitebeveiliging. U denkt misschien dat de problemen die zich op uw server voordoen niet 'serieus' genoeg zijn om uw tijd en energie te garanderen, maar alles er is een vindingrijke en gemotiveerde hacker voor nodig om dat beveiligingslek te onderzoeken en vervolgens de tijd te nemen om daadwerkelijk te profiteren het.

Als je ontelbare uren doorbrengt een website opbouwen Hoe u binnen enkele minuten uw eigen website kunt bouwen zonder codeervaardighedenNaarmate het web groeit en het oogverblindend snel wordt, wordt de behoefte aan aanwezigheid op het web steeds dringender. In veel delen van de wereld moet je gewoon op het web aanwezig zijn om ... Lees verder waar je van houdt, en door goddeloze hoeveelheden geld te investeren in webhosting en andere website-uitgaven, is het laatste dat je nodig hebt een slijmerige hacker die alles vernietigt wat je ooit hebt gebouwd. Installeer dus Detectify. Scan uw site. Los deze problemen op. Geloof me, je zult blij zijn dat je het gedaan hebt. Ik weet dat ik dat ben.