A Wordpress Blogom feltörődött

Hirdetés

Ha azt mondanám, hogy van egy hely, ahol meglátogathatja a nyugalmát, hogy webhelye biztonságos, hisz nekem? Nos, neked kell, mert van. Ezt hívják Detectify.

Én vagyok a webhelytulajdonos, aki mindig is tagadta. Velem nem történhet meg. Miért akarna valaki feltörni az oldalaimat?

Nos, ezek a téveszmék 2011-ben összeomlottak a fejem körül, amikor a honlapom fő PHP fájlját egy weboldal váltotta fel, amely bejelentette, hogy a webhelyet sikeresen feltörték. Nem csupán sokk volt rájönni, hogy valaki valóban helyettesített egy fájlt a webszerveren, de ez nagyon nagy csapást jelentett a büszkeségemre. Milyen idióta teszi lehetővé webhelyének feltörését?

A valóság az, hogy az idő múlásával a WordPress blogom elavult lett, és egyre inkább veszélyeztetett támadásokkal szemben ahogyan a hackerek az interneten keresették a WordPress régebbi verzióját ismert, nem feltöltött példányokkal réseket. Nagyon sikertelen az én részem. Tehát a közelmúltban végül befejeztem a blogom frissítését egy vadonatúj új témára. Biztos abban, hogy a biztonsági osztályon nem kell aggódnom, és nem is zavartam, hogy megvizsgálom, hogy a témának vagy valamelyik telepített beépülő modulnak vannak-e ismert biztonsági problémái. Csak akkor találtam rá a Detectify-re, hogy rájöttem, milyen szoros a támadása és hackelése blogomban,

még egyszer.

A Detectify telepítése

Persze, vannak más is biztonsági vizsgálat beépülő modulok Adjon webhelyének alapos biztonsági ellenőrzését a HackerTarget segítségévelAmint az internet fejlődik, és a működő rendszereket egyre nehezebb feltörni, azt gondolnád, hogy a weboldalakat kevésbé csapkodnák fel! Valójában az ellenkezője igaz, mivel az első számú probléma nem az, hogy ... Olvass tovább használhatja a webhelyén, de a Detectify telepítése és használata ilyen egyszerű, még kezdő számára is. A Detectify egy plugin és webszolgáltatás kombinációja. Az első lépés, mint általában a webszolgáltatások esetében - regisztrálnia kell.

A következő lépés a letöltés és telepítés Felismerje a beépülő modult. Ez egy nagyon egyszerű bővítmény, de lehetővé teszi a web-alapú biztonsági alkalmazás számára, hogy megismerje a blog minden elemét, és elemezze a biztonsági hibákat. Érdemes felismerni olyan dolgokat, mint a helyi és távoli fájlok beillesztése, a DOM vagy más helyszíni szkriptekkel kapcsolatos problémák, a PHP tömb elérési útjai, a távoli parancs végrehajtása és még sok más. Az összes olyan biztonsági rést, amelyet a Detectify keres, a plugin oldalon láthatja.

Miután feliratkozott a szolgáltatásra és a plugin telepítve van, az utolsó lépés a telepítés megerősítése az e-mailben kapott ellenőrző kulcs gépelésével a plugin mezőjébe. Akkor mind összekapcsolódott és készen áll a gurulásra.

Érzékelő vizsgálat futtatása

Miután összekapcsolta webhelyét, látni fogja azt megjeleníteni az online felismerési fiókjában elérhető domainek listájában. Regisztrálhat, ha több domaint keres be.

Amikor készen áll a webhely sebezhetőségének vizsgálatára, csak kattintson a Beolvasás gombra, és hagyja, hogy elvégezze a munkáját. Néhány javaslat ebben a szakaszban: próbáljon lefuttatni egy olyan időszakban, amikor webhelye forgalma a legkevesebb. A Detectify fájlokat feltérképez és szkennel be a webhelyén, tehát a feldolgozás miatt kissé lesz teljesítmény.

Másodszor, adjon időt a szolgálatnak a feltérképezéshez és a beolvasáshoz. Ez nem lesz gyors 30–60 perces munka, kivéve, ha webhelye rossz. Az esély egy közepes méretű blogra vonatkozik, amelyet 6 óránál megnéz. Egy nagy bloghoz, még sok máshoz.

A legtöbb ember számára a legjobb megoldás az, ha a letapogatást lefekvés előtt indítja el, és az eredmények reggel várnak rád. Az én esetemben, a márkám, a fényes új téma és a WordPress legújabb verziójának futtatása ellenére rájöttem, hogy több figyelmeztetésem van a blogom biztonságával kapcsolatban.

A Jelentés gombra kattintva eljuthat az oldalára, amelyen megtalálhatja a domain szkennelési részleteit.

A szkennelési eredmények megértése

Az első műszerfallap alapvetően áttekintést nyújt arról, hogy hány fájlt szkenneltek be, a beolvasott fájltípusokat és mennyi időbe telt a beolvasás.

Ez a szerver minden egyes fájlja, tehát ha sok médiafájl van, akkor inkább hiszi, hogy a vizsgálat hosszú időt vesz igénybe. A jelentett eredmények a letapogatás idejének pontos lebontását is részletezik, így láthatja, hogy a letapogatás melyik része töltötte a legtöbb feldolgozási időt. Esetemben Csúszó Hogyan lehet felépíteni egy alapvető webrobotot, hogy információkat szerezzen egy webhelyrőlValaha is szeretett volna információkat gyűjteni egy weboldalról? Így írhat bejárót egy weboldalon való navigáláshoz és a szükséges információk kibontásához. Olvass tovább és a kizsákmányolás tesztelése a vizsgálati idő nagy részét tette ki.

A jelentés az Ön által végzett legutóbbi szkennelésekről, valamint a felfedezett sebezhetőségekről is ad áttekintést. A webhelyen felmerülő problémák megoldásával visszatérhet ide, hogy megbizonyosodjon arról, hogy az új vizsgálatok a webhely javuló helyzetét tükrözik, nem pedig a növekvő számú problémát.

Természetesen a Detectify legjobb része (és a lényeg az, hogy valóban használjuk) a részlet rész, amely felvázolja a webhelyén felfedezett nagyon konkrét kérdéseket.

Javítja a webhely biztonsági kérdéseit

Tehát itt van ez a dolog, amely megmentett. Néhány figyelmeztetés arra késztette, hogy felismerjem, hogy a webhelyemben továbbra is problémák vannak, annak ellenére, hogy éppen frissítettem mindent, és azt gondoltam, hogy magas vagyok és száraz. Az egyik első figyelmeztetés nem volt túl komoly, de azzal kapcsolatos, hogy a PHP telepítése az Apache szerverre egy „Húsvéti tojás 10 szórakoztató és meglepő operációs rendszer húsvéti tojásKeressen rejtett vidámságot és egyébként furcsa dolgokat, közvetlenül a használt operációs rendszerbe építve. Rejtekhelyen rejtőznek, a szoftverben, amelyet minden nap használ, és ha megtalálja őket, örülni fog ... Olvass tovább ”Amely lehetővé teheti a hackerek számára, hogy azonosítsák a futó PHP verziót annak ellenőrzésével, hogy melyik ikon jelenik meg, amikor a Húsvét ikra kódot csatolják a webhelyem URL-jéhez.

Tudatlanul engedtem, hogy a PHP verziója feltárásra kerüljön, amely azt is felfedi a hackerek számára, hogy hol lehetnek olyan sebezhetőségeket vadászni, amelyek felhasználhatók az oldalamon való feltöréshez. Nem voltam nagyon boldog, hogy ezt láttam (fogalmam sem volt erről a Húsvéti tojás kódról).

A Detectify jelentésnél az a jó dolog, hogy még ha nem is webes tervező vagy programozó, akkor a probléma és az ajánlott megoldás elég egyszerű ahhoz, hogy megértse, hogy a felfedezett problémák nagy részét könnyen meg tudja oldani saját magad.

A Detectify felfedezett egy második biztonsági rést azzal kapcsolatban, hogy miként hagytam el a Felhasználónév Állandó linket a WordPress-en az értékek felsorolása érdekében, lehetővé téve a hackerek egyszerű módja a felhasználói linkek kiszűrésének, valamint a jelszó-hacker algoritmusok futtatásának, hogy egy fiókot gyenge jelszóval fedezzenek fel.

A harmadik sérülékenység, amelyet a Detectify talált, egy régi pluginnel kapcsolatos, amelyet én telepítettem webhelyet, és a JavaScript könyvtár sebezhetőségét az egyik demonstrációs mappa mélyére eltemették csatlakoztat. Semmi értelme sem volt róla, hogy ez a mappa létezik még a szerveren - de ott volt egy biztonsági rés, amely csak arra vár, hogy néhány hackert eljusson és kihasználjon.

És ott gondoltam, hogy erős vagyok egy áthatolhatatlan weboldallal. A Detectify ismét nagyon világos és könnyen érthető megoldásokat adott az egyes sebezhetőségi figyelmeztetésekre.

Információs biztonsági kérdések

A felismerés egy lépéssel tovább halad a biztonsággal azáltal, hogy webhelyén információs biztonsági problémákkal látja el Önt. Ezek többnyire nagyon kisebb kérdések, amelyek nem pontosan biztonsági problémák, de lehetnek olyan módszerek, amelyekkel a hackerek többet szerezhetnek információk a webhelyéről, kutatási eszközökkel biztosítva számukra az ön által telepített, ismert biztonsági réseit web szerver.

Megjavíthatja ezeket, ha valódi ragaszkodsz a biztonsághoz, de ezek többsége csak ajánlások. Nem áll fenn a súlyos veszély, ha úgy dönt, hogy lemond ezek többségéről.

Észrevettem, hogy ezek az eredmények tartalmazzák azt a tényt is, hogy a bejáró képes volt e-mail címeket felfedezni webhelyem sima szöveges formájában. Még a talált címek listáját is tartalmazza - többnyire a régi megjegyzésekből.

Csodálatos az, hogy az évek során azt hittem, hogy blokkoltam az e-mail címek weboldalon történő minden feladását. A Detectify egyébként javasolt, és felsorolt ​​minden felfedezett e-mail címet.

Támadhattam volna webhelyem, ha nem használtam a Felismerés szolgáltatást, és nem javítottam ki ezeket a figyelmeztetéseket? Esetleg. Ez a helyzet a webhely biztonságával kapcsolatban. Gondolhatja, hogy a kiszolgálón létező problémák nem elég „komolyak” ahhoz, hogy garantálják az idejét és energiáját, de minden egy találékony és motivált hackert igényel annak a biztonsági lyuknak a felkutatására, majd időt vesz igénybe a tényleges kiaknázáshoz azt.

Ha számtalan órát töltesz weboldal felépítése Hogyan lehet saját webhelyet felállítani perc alatt, kódolási ismeretek nélkülA web növekedésével és káprázatosan gyors ütemben növekszik a webes jelenlét iránti igény. A világ sok részén egyszerűen csak webes jelenléttel kell rendelkeznie, hogy ... Olvass tovább amit szeretsz, és istentelen pénzösszegeket fektessen be a webtárhelybe és egyéb webhelyi költségekbe, az utolsó dolog, amire szükséged van, egy vékony hackerek, amelyek elpusztítanak minden eddig elkészített anyagot. Tehát telepítse a Detectify alkalmazást. Vizsgálja meg webhelyét. Oldja meg ezeket a kérdéseket. Bízz bennem, örülni fogsz, hogy megtetted. Tudom, hogy vagyok.