Ang 5 Mga Hakbang na Kinuha Ko upang mabawi ang Aking WordPress Blog mula sa isang Hack

Ang aking blog, Leaving Work Likod, ay na-hack noong Abril. Ito ay isang bagay na nabasa mo tungkol sa madalas na sapat ngunit hindi mo talaga inaasahan na mangyayari ito ikaw hanggang huli na. Upang maging matapat hindi ko nakita ang aking sarili bilang isang punong kandidato – Sinulat ko ang tungkol sa seguridad ng WordPress na madalas sapat upang magkaroon ng maraming mga hakbang sa pag-iwas sa lugar. Gayunpaman, ang mga hakbang na ito ay malinaw na hindi sapat na kumpleto.


Ang pag-hack ay isang bagay na hindi ko nais na muling dumaan. Maraming mga kadahilanan kung bakit hindi maganda ang downtime ng website para sa iyong blog / negosyo: habang ang pagkawala ng trapiko at potensyal na kita ang dalawang pinaka-halata, hindi ko maibabawas ang dami ng oras na nawala sa pagkuha ng site na maibalik at ang halaga ng stress nito sanhi ako.

Sa post na ito nais kong ibunyag ang nangyari sa aking site at ipaalam sa iyo ang aking nagawa upang madagdagan ang seguridad ng aking site mula pa.

Pag-hack: Aking Kwento

Nagising ako noong Huwebes ika-18 ng Abril upang malaman na ang aking site ay bumagsak at ilang oras. Kaagad kong nakontak ang aking hosting provider, Westhost, na nagpabatid sa akin na ang kanilang ModSecurity firewall ay nakakita ng hindi pangkaraniwang aktibidad sa aking site at isinara ito kaagad bilang pag-iingat. Sa pagpapatakbo ng isang paunang pagpapanumbalik sa site ay nakita ko kaagad na na-hack ito. Habang ang mga pagbabago ay medyo banayad, sapat na malinaw na ang ilang mga hindi ligtas na uri (s) ay na-nod sa paligid.

Ito ay lumiliko na ang isang malaking bilang ng mga site sa WordPress ay na-hack din, at pinatay ang Westhost. Sa kabutihang palad, kumukuha sila ng pang-araw-araw na pag-backup ng site at sa sumunod na hapon ay nakabalik ako sa online kasama ang isang bersyon ng aking site na malapit sa kasalukuyang hangga’t maaari.

Narito ang epekto ng hack sa aking trapiko:

Clicky Stats

Upang ilagay ang pananaw sa itaas sa pananaw, ang trapiko ng linggong iyon ay bumaba ~ 30% kung ihahambing sa nakaraang linggo. Ang teoryang iyon ay nangangahulugang isang 30% na pagbaba ng kita.

Makatarungan na sabihin na masigasig kong tiyakin (sa abot ng aking makakaya) na ang gayong hack ay hindi maaaring ulitin. Kumilos ako kaagad.

Ang Aking Agarang Hakbang

Ang unang ginawa ko ay upang mapatunayan na sinusunod ko ang mga hakbang na nakabalangkas sa aking kamakailang post sa pag-secure ng iyong WordPress website.

Ito ang mga ganap na batayan: pag-update ng aking mga tema at plugin, tinitiyak na mayroon akong isang kamakailang backup, tinitiyak na ang aking default na profile ay hindi pinangalanan na “admin,” binabago ang aking password, at pagsuri para sa mga plugin ng seguridad sa aking site. Sa mga item na nasa lugar ito ay oras na upang magpatuloy.

Wala akong mga ilusyon na ang aking site ay 100% na ligtas – pagkatapos ng lahat, walang bagay tulad ng isang 100% na secure na site. Ang pagkakaroon ng sinabi na, alam ko na ito ay mas ligtas kaysa sa dati at magpapatuloy ako sa pagsasaliksik sa mga hakbang sa seguridad sa site ngayon at sa hinaharap. Sa ngayon, ito ang aking nagawa.

1. Nag-install ako ng VaultPress

Para sa iyo na hindi alam, VaultPress ay isang ganap na awtomatikong backup at security solution para sa WordPress. Pag-aari nito Automattic, ang de facto “mga nagmamay-ari” ng WordPress.

Ang pagkakaroon ng paggamit ng VaultPress ng ilang araw ngayon, hindi ako makapaniwala na sobrang murang hindi ako natigil para sa serbisyo nang una. Ang kanilang base package ay nagsisimula sa $ 15 bawat buwan – babayaran ko iyon para sa kapayapaan ng isip anumang araw ng linggo.

Sa katunayan, pinili kong sumama sa kanilang Premium package ($ 40 bawat buwan) na kasama ang:

  • Pag-backup ng Realtime
  • Ang Awtomatikong Isang I-click ang Site Ibalik
  • Mga Archive, Stats at Pag-log sa Aktibidad
  • Pagbawi ng Masidhi sa Sakuna
  • Punong Suporta ng “Concierge”
  • Pang-araw-araw na Security Scanning
  • Mga Abiso sa Seguridad
  • One-Click Fixers para sa Mga Banta sa Seguridad
  • Tulong sa Migration ng Site

Karaniwan, nasaklaw ka nila.

Habang hindi masiguro ng VaultPress ang seguridad ng iyong site laban sa mga hacker, marami talaga maaari garantiya na ang iyong site ay maaaring maibalik nang may kadalian. Mayroon lamang isang bagay na napakalma tungkol sa nakakakita ng mga oras-oras na mga snapshot ng iyong mga site na nakaimbak sa mga server ng VaultPress:

Mga Backup ng VaultPress

Habang maraming mga libreng backup na solusyon sa labas, hindi ko iniisip na anupaman ang kapayapaan ng kapayapaan ng isip na nakukuha ko mula sa VaultPress. Nakatanggap sila ng 90 snapshot ng aking site na magagamit upang maibalik sa ngayon, kung saan ang pinakabagong ay lamang dalawampung minuto ang edad. Alam kong ligtas ang aking site sa kanilang mga kamay.

2. Pinamamahalaan Ko ang Aking Mga profile

Ang isang hacker ay maaaring ma-access ang iyong site mula sa alinman sa mga profile ng administrator sa loob ng iyong WordPress backend – hindi lamang ang isa ikaw paggamit. Kapag na-load ko ang aking mga profile nakita ko na mayroon akong tatlong iba pang mga profile – isang paningin na profile ng poster, at dalawang iba pang mga profile para sa (mapagkakatiwalaan) mga taong binigyan ko ng access sa aking site.

Nagsimula ako sa pamamagitan ng pag-shut down ng dalawang profile na iyon at binago ang papel ng profile ng guest poster sa May-akda. Ito ay isang bagay na ipapayo ko sa iyo na gumawa – gumawa lamang ng maraming mga profile ng Administrator bilang ganap na kinakailangan. Bilang karagdagan, dapat mong siyempre tiyakin na ang bawat account bilang isang naaangkop na random at natatanging password at ang sinabi ng mga password ay regular na nagbago.

May mga oras na kakailanganin mong pahintulutan ang mga tao (tulad ng iyong web designer) na ma-access sa iyong site. Sa mga ganitong sitwasyon ipinapayo ko na lumikha ka ng isang profile para sa kanila ng isang bagong password, at pagkatapos ay tanggalin ang profile na iyon sa sandaling matapos ang pangangailangan nito.

Palaging isipin ang mga punto ng pagpasok ng iyong site at kung mahigpit na kinakailangan ito.

3. Binago Ko ang Aking Mga Password

Maaari mong isipin na ito ay isang halatang paglipat, ngunit hindi ako tunay na pinag-uusapan ang aking mga password sa WordPress. Bagaman ako ginawa palitan ang mga ito, sigurado rin akong baguhin ang lahat ng mga password sa partikular na mga sensitibong account, i.e .:

  • Gmail
  • Facebook
  • Twitter
  • Aking Account sa Pagho-host
  • Mga Associate ng Amazon
  • Si Etc

Kung nagtataka ka kung bakit ko ginawa ang hakbang na ito, isaalang-alang mo lang ang kwento ni Mat Honan, na ang buong digital na buhay ay nawasak ng mga hacker na orihinal na na-hack sa kanyang account sa Amazon. Kung sa tingin mo sa anumang paraan blasé tungkol sa seguridad sa online kung gayon ang artikulo sa itaas ay isang dapat na basahin.

Isaalang-alang ang simpleng kadena na ito: ang isang hacker ay nakakakuha ng access sa iyong email account kung saan ka kamakailan ay nagpadala ng isang email sa iyong web designer na may mga detalye sa pag-login para sa iyong WordPress site. Iyon lang ang kailangan nila upang makakuha ng access sa iyong site at gawin ayon sa gusto nila. Ang pag-hack ay maaaring maging elementarya.

4. Nag-upgrade ako sa SFTP

Narito ang isang bagay na hindi mo maaaring malaman: ang anumang data na ililipat mo sa pamamagitan ng FTP (kasama ang iyong username at password) ay ganap na hindi nai-encrypt. Samakatuwid, ang sinumang matagumpay na makagambala sa paglilipat ng FTP ay makakapili ng iyong mga detalye sa pag-login at makakuha ng access sa iyong account.

Hindi lamang pinapayagan ang mga ito upang magdagdag at alisin ang mga file na nakikita nilang angkop, ngunit maaari rin silang makakuha ng access sa iyong database ng WordPress sa pamamagitan ng phpMyAdmin at sa huli mag-login sa iyong site.

Sa madaling salita, hindi mahalaga kung paano ligtas na direktang pag-access sa iyong site ng WordPress kung ang mga hacker ay maaaring makapasok sa pamamagitan ng FTP. Tulad nito, mariing inirerekumenda kong huwag paganahin ang pag-access sa FTP sa iyong site at ilipat ang mga file gamit ang kahaliling SFTP protocol, na kung saan ay encrypt data. Ang anumang mabuting tagapagbigay ng serbisyo ay dapat makatulong sa iyo sa ito.

Nagsasalita ng mga nagbibigay ng hosting …

5. Isaalang-alang ang Angkop ng Iyong Hosting Solution

Natutuwa ako na kasama ko si Westhost. Ito ang kanilang ModSecurity firewall na nakita ang hack sa una at isinara ang aking site bago magawa ang malubhang pinsala. Nagsasagawa rin sila ng awtomatikong pang-araw-araw na pag-backup (na ginamit upang maibalik ang site) at may pag-crack ng suporta sa customer upang mag-boot.

Maaari mo bang sabihin ang pareho para sa iyong hosting provider? Maraming magagaling na mga pagpipilian sa labas doon na magiging mabaliw ka upang manatili sa isang tagabigay ng serbisyo na hindi ka nasisiyahan. Maaari mong isaalang-alang ang paglipat sa isa sa mga pinamamahalaang mga solusyon sa pagho-host (tulad ng WPEngine) tulad ng ginawa ng WPExplorer kamakailan.

Anuman ang iyong pinili, siguraduhing magtanong tungkol sa mga hakbang sa seguridad na kanilang ginagawa. Isaalang-alang ang mga hakbang na aking ginawa sa itaas at tiyakin na ang mga ito ay katugma sa iyong solusyon sa pagho-host.


Ang moral ng kuwento ay ito: huwag kompromiso sa seguridad. Sa huli, ang pagpapanatiling ligtas ang iyong site ay mas mahalaga kaysa sa anumang bagay iba pa. Walang punto sa pagkakaroon ng mahusay na nilalaman o isang spangly bagong disenyo kung walang makakakita dito dahil ang iyong site ay napunit sa mga walang awa na hacker.

Ang mga kamangha-manghang uri na walang mas mahusay na gawin sa kanilang buhay kaysa sa mga hack ng mga site ng mga tao ay hindi mawawala sa anumang oras sa lalong madaling panahon. Ang mas maaga mong tanggapin na at gumawa ng makatuwirang mga hakbang upang maprotektahan ang iyong site mula sa pag-atake, mas mahusay para sa pangmatagalang seguridad ng iyong online na mga assets.

Gusto kong malaman kung ano ang iniisip mo tungkol sa mga hakbang na aking ginawa. Mayroon bang mga karagdagang rekomendasyon na gagawin mo? Ipaalam sa amin sa seksyon ng mga komento!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map