Wordpress & Webbutveckling

Min WordPress Blog kunde ha varit hackad - upptäcka sparad mig

Min WordPress Blog kunde ha varit hackad - upptäcka sparad mig / Wordpress & Webbutveckling

Om jag berättade att det finns en plats du kan gå för att få lugnet att din webbplats är säker, skulle du tro mig? Tja, du borde, för det finns det. Det heter Detectify.

Jag är den typ av webbplatsägare som alltid har varit i förnekelse. Det kan inte hända mig. Varför skulle någon någonsin vilja hacka min sida?

Nåväl, alla de vansinne kraschar ner runt huvudet 2011 när huvudwebb-filen på min hemsida ersattes med en webbsida som meddelade att webbplatsen hade blivit framgångsrikt hackad. Det var inte bara en chock att inse att någon faktiskt hade ersatt en fil på min webbserver, men det var ett mycket stort slag mot min stolthet. Vilken typ av idiot tillåter hans hemsida att bli hackad?

Verkligheten är att med tiden har mitt WordPress-blogg blivit föråldrat och alltmer sårbart för attacker som hackare skräpade Internet på jakt efter äldre version av WordPress med kända, oöverkomliga sårbarheter. Stora misslyckanden från min sida. Så, nyligen slutade jag äntligen att uppdatera min blogg till ett spännande nytt tema. Förvissad om att jag inte hade något att oroa mig för i säkerhetsavdelningen störde jag inte ens om temat eller någon av mina installerade plugins hade några kända säkerhetsproblem. Det var inte förrän jag kom över upptäcka att jag insåg hur nära min blogg var att bli attackerad och potentiellt hackad, igen.

Installera Detectify

Visst finns det andra säkerhetssökningspluggar Ge din hemsida en noggrann säkerhetskontroll med HackerTarget Ge din hemsida en noggrann säkerhetskontroll med HackerTarget Eftersom internet utvecklas och systemen som det körs blir hårdare att hacka, skulle du tro att webbplatser skulle hackas mindre ! Faktum är att motsatsen är sant, med nummer ett problem som inte ligger i ... Läs mer du kan använda på din webbplats, men Detectify är bara så enkelt att installera och använda, även för en nybörjare. Detectify är en kombination plugin och webbtjänst. Det första steget, som vanligtvis är fallet med webbtjänster - du måste registrera dig.

Nästa steg är att ladda ner och installera Detectify Plugin. Det här är en ganska enkel plugin, men den ger den webbaserade säkerhetsapp möjligheten att utnyttja alla aspekter av din blogg och analysera den för säkerhetsbrister. Detektera sökningar efter saker som lokal och fjärransluten filintegration, DOM eller andra problem med cross-script-scripting, PHP-matrisproblem, fjärrkontroll av kommandon och mycket mer. Du kan se alla de sårbarheter som detekterar sökningar på plugin-sidan.


När du har anmält dig till tjänsten och pluginet är installerat, är det sista steget att bekräfta din installation genom att skriva verifieringsnyckeln som du mottar via e-post i fältet i plugin. Då är du allt knuten och redo att rulla.

Kör en avkänningsskanning

När din webbplats är länkad ser du den visas i din lista över tillgängliga domäner på ditt online-Upptäck konto. Du kan registrera dig för att skanna flera domäner om du vill.

När du är redo att starta din webbplats sårbarhetssökning, klicka bara på knappen Skanna och låt den göra sitt jobb. Några rekommendationer på detta stadium: Försök att köra skanningen under en tid då din webbplats har minst trafik. Detektera kommer att krypa och skanna filer på din webbplats, så det blir lite prestationsfel på grund av att behandlingen.

För det andra, ge tjänsten den tid det behöver för att göra allt som kryper och skannar. Det kommer inte att bli ett snabbt 30-60 minuters jobb, såvida inte din webbplats är krånglig. Odds är för en medelstor blogg du tittar på över 6 timmar. För en stor blogg, många fler.

Det bästa alternativet för de flesta människor är att starta skanningen innan du lägger dig och du får resultatet att vänta på dig på morgonen. I mitt fall, trots mitt varumärke, glänsande nytt tema och kör den senaste versionen av WordPress, upptäckte jag att jag hade flera varningar relaterade till säkerheten i min blogg.


Genom att klicka på knappen Rapport kommer du till sidan med skanningsuppgifterna för din domän.

Förstå dina scanresultat

Den första instrumentbrädan ger dig en översikt över hur många filer som skannades, vilka typer av filer som skannades och hur lång tid det tog att skanna dem.

Det är varje enskild fil på din server, så om du har många mediefiler tror du bättre att skanningen kommer att ta lång tid. De rapporterade resultaten beskriver också den exakta uppdelningen av skanningstiden så att du kan se vilken del av skanningen som förbrukades mest behandlingstid. I mitt fall gjorde Crawling and Exploitation-testning det mesta av scanningstiden.

Rapporten kommer också att ge dig en historia av senaste skanningar som du har kört, med upptäckta sårbarheter. När du löser problem på din webbplats kan du återvända hit för att se till att dina nya skanningar speglar en förbättrad situation med din webbplats, snarare än ett ökande antal problem.

Självklart är den bästa delen av Detectify (och hela meningen med att använda den verkligen), detaljerad sektion, som beskriver mycket specifika problem som upptäcktes på din webbplats.

Fixa din webbplats säkerhetsproblem

Så här är det som räddade mig. Det fanns några varningar som fick mig att inse att min webbplats hade långvariga problem trots att jag bara hade uppgraderat allt och trodde att jag var hög och torr. En av de första varningarna var inte för allvarlig, men var relaterad till det faktum att PHP-installationen på min Apache-server erbjuder en “Påskägg 10 Roligt och överraskande operativsystem Påskägg 10 Roligt och överraskande Operativsystem Påskägg Hitta dold hilaritet och annars udda saker, byggda direkt in i operativsystemet du använder. De gömmer sig på vanlig plats, i programvara som du använder varje dag, och när du hittar dem kommer du att vara glad - ... Läs mer ” som skulle kunna tillåta hackare att identifiera vilken version av PHP jag kör genom att kolla vilken ikon som visas när ikonen påskäggskoden bifogas min webbplatsadress.


Jag lät omedvetet låta PHP-versionen avslöjas, vilket också avslöjar hackare där jag ska söka efter sårbarheter som kan användas för att hacka in på min webbplats. Jag var inte så glad att se detta (jag hade ingen aning om dessa påskäggskoder).

Det fina med Detectify-rapporten är att även om du inte är webbdesigner eller programmerare är förklaringen av problemet och den rekommenderade lösningen lätt att förstå att du enkelt kan ordna de flesta av de upptäckta problemen själv.

Detektera upptäckte en andra sårbarhet i samband med hur jag hade lämnat användarnamnslänken på WordPress för att räkna upp värden, vilket möjliggör för hackare ett enkelt sätt att sippra ut användarlänkar och springa igenom lösenordshackningsalgoritmer för att avslöja ett konto med ett svagt lösenord.

En tredje sårbarhet som upptäckts upptäcktes relaterade till ett gammalt plugin som jag hade installerat på webbplatsen, och ett JavaScript-bibliotek sårbarhet begravdes djupt inne i en av demomappen i det plugin. Jag hade absolut ingen aning om att denna mapp ens existerade på servern - men det var en sårbarhet som bara väntade på att någon hacker skulle komma med och utnyttja.

Och där tänkte jag att jag stod stark med en ogenomtränglig hemsida. Återigen gav Detectify mycket tydliga och lätta att förstå resolutioner för varje varningsrisk.

Informationssäkerhetsfrågor

Detectify tar säkerhet ytterligare ett steg genom att ge dig informativa säkerhetsproblem på din webbplats. Det här är oftast mycket små problem som inte exakt är säkerhetsproblem, men kan vara sätt att hackare kan få mer information om din webbplats, förse dem med forskningsverktyg för att hitta kända sårbarheter i vad du har installerat på din webbserver.


Du kan fixa dessa om du är en riktig stickler för säkerhet, men de flesta av dem är bara rekommendationer. Du är inte i allvarlig fara om du bestämmer dig för att avstå från de flesta.

Jag märkte att resultaten även innehöll det faktum att sökroboten kunde hitta e-postadresser i vanlig text på min webbplats. Det inkluderade även en lista över alla adresser som hittades - för det mesta drogs från gamla kommentarer.

Det som var fantastiskt är att genom åren trodde jag att jag hade blockerat all utstationering av e-postadresser till webbplatsen. Detectify rådde mig annars, och listade varje enskild emailadress upptäckt.

Kan min webbplats hackats om jag inte använt detektera och korrigerade dessa varningar? Eventuellt. Det är saken med webbplatsens säkerhet. Du kanske tror att problemen som finns på din server inte är “allvarlig” tillräckligt för att motivera din tid och energi, men allt som krävs är en resursfull och motiverad hackare för att undersöka säkerhetshålet och ta sedan tid att faktiskt utnyttja den.

När du spenderar otaliga timmar bygga upp en webbplats Hur man bygger din egen hemsida i några minuter utan några kodningsförmågor Hur man bygger din egen hemsida i några minuter utan några kodningsförmågor När webben växer, och det gör det så bländande snabbt, behovet av en närvaro på nätet blir alltmer pressande. I många delar av världen måste du helt enkelt ha en närvaro på nätet för att ... Läs mer som du älskar och investera orättvisa mängder pengar på webbhotell och andra webbutgifter, det sista du behöver är en viss smal hacker som förstör allt du " ve någonsin byggt. Så, installera Detectify. Skanna din webbplats. Lös de här problemen. Lita på mig, du kommer att vara glad att du gjorde det. jag vet att jag är.

Utforska mer om: Wordpress, Wordpress-plugins, Wordpress-teman.