Новини
Мій блог WordPress міг бути зламаний - Detectify врятував мене
Діджитал
Якби я сказав вам, що є одне місце, куди ви можете прийти, щоб отримати душевний спокій, що ваш сайт захищений, ви б мені повірили? Ну, ви повинні, тому що є. Це називається Detectify.
Я такий власник сайту, який завжди заперечував це. Це не може статися зі мною. Чому хтось захоче зламати мій сайт?
Що ж, всі ці омани обрушилися на мою голову в 2011 році, коли основний файл PHP моєї домашньої сторінки був замінений веб-сторінкою, що оголошує про успішний злом сайту. Мало того, що було потрясінням усвідомити, що хтось фактично замінив файл на моєму веб-сервері, але це було дуже великим ударом по моїй гордості. Який ідіот дозволяє зламати його сайт?
Реальність така, що з часом мій блог на WordPress застарів і ставав все більш вразливим для атак, оскільки хакери шукали в інтернеті пошуки старої версії WordPress з відомими, не виправленими вразливостями. Головний провал з мого боку. Отже, нещодавно я нарешті закінчив оновлювати свій блог на нову тему. Впевнений в тому, що мені нема про що турбуватися у відділі безпеки, я навіть не спромігся перевірити, чи є у теми або будь-якого з моїх встановлених плагінів якісь відомі проблеми безпеки. Тільки коли я зіткнувся з Detectify, я зрозумів, наскільки близький мій блог до цього, щоб бути атакованим і потенційно зламаним, ще раз.
Встановлення Detectify
Без сумніву, існують інші плагіни для сканування, ви можете використовувати на своєму сайті, але Detectify дуже простий у налаштуванні і використанні, навіть для новачка. Detectify являє собою поєднання плагін і веб-сервіс. Перший крок, як це зазвичай буває з веб-сервісами, - вам потрібно зареєструватися.
Сканування Detectify
Як тільки ваш сайт буде пов'язаний, ви побачите його в списку доступних доменів у вашому онлайн-обліковому записі Detectify. Ви можете зареєструватися для сканування декількох доменів, якщо хочете.
:
Коли ви будете готові запустити сканування вразливостей вашого сайту, просто натисніть кнопку Сканувати і дайте йому виконати свою роботу. Кілька рекомендацій на цьому етапі: спробуйте запустити сканування в той час, коли на вашому сайті найменше трафіку. Detectify буде сканувати і сканувати файли на вашому сайті, тому через цю обробку відбудеться невелике зниження продуктивності.
По-друге, дайте службі час, необхідний для сканування і сканування. Це не буде швидка 30-60 хвилинна робота, якщо ваш сайт не буде маленьким. Шанси на блог середнього розміру, який ви переглядаєте більше 6 годин. Для великого блогу, ще багато.
:
Найкращим варіантом для більшості людей є запуск сканування перед сном, і результати чекатимуть вас вранці. У моєму випадку, незважаючи на мій бренд, блискучу нову тему і останню версію WordPress, я виявив, що у мене є кілька попереджень, пов'язаних з безпекою мого блогу.
Розуміння результатів сканування
Перша сторінка панелі інструментів надає вам загальне уявлення про те, скільки файлів було відскановано, які типи файлів були відскановані і скільки часу знадобилося для їх сканування.
:
Це кожен файл на вашому сервері, тому якщо у вас багато мультимедійних файлів, вам краще повірити, що сканування займе багато часу. Отримані результати також деталізують точну розбивку часу сканування, щоб ви могли побачити, яка частина сканування споживає найбільше часу обробки. У моєму випадку тестування сканування та експлуатації склало більшу частину часу сканування.
:
У звіті також буде представлена про історію останніх виконаних вами перевірок з виявленими вразливостями. Коли ви вирішите проблеми на своєму сайті, ви можете повернутися сюди, щоб переконатися, що ваші нові перегляди відображають поліпшення ситуації з вашим сайтом, а не збільшення числа пробле
м
.:Звичайно, найкраща частина Detectify (і весь сенс його використання насправді) - це докладний розділ, в якому описуються дуже специфічні проблеми, виявлені на вашому сайті.
Виправлення проблем безпеки вашого сайту
Отже, ось що врятувало мене. Було кілька попереджень, які змусили мене усвідомити, що на моєму сайті залишилися проблеми, незважаючи на той факт, що я тільки що оновив все і думав, що у мене висока і суха погода. Одне з перших попереджень було не дуже серйозним, але воно було пов'язане з тим, що установка PHP на моєму сервері Apache пропонує «Великоднє яйце», який може дозволити потенційним хакерам визначити, яку версію PHP я використовую, перевіривши який значок відображається при додаванні значка «Код великоднього яйця» на URL мого сайту.
Гарна річ у звіті Detectify полягає в тому, що навіть якщо ви не є веб-дизайнером або програмістом, пояснення проблеми і рекомендоване рішення досить прості, щоб зрозуміти, що ви можете легко виправити більшість виявлених проблем самостійно.
Detectify виявив другу вразливість, пов'язану з тим, що я залишив постійне посилання «Ім'я користувача» в WordPress для перерахування значень, дозволяючи хакерам легко витягувати посилання користувачів і використовувати алгоритми злому паролів для виявлення облікового запису зі слабким паролем.
:
Третя вразливість, виявлена Detectify, була пов'язана зі старим плагіном, який я встановив на сайті, і вразливістю бібліотеки JavaScript, захованої глибоко всередині однієї з демонстраційних папок всередині цього плагіну. Я абсолютно не здогадувався, що ця папка навіть існує на сервері - але там була вразливість, яка просто чекала, поки який-небудь хакер прийде і скористається ним.
:
І там я думав, що стою з непроникним сайтом. Знову ж таки, Detectify надав дуже чіткі і прості для розуміння рішення для кожного попередження про вразливість.
Питання інформаційної безпеки
Detectify робить крок вперед у забезпеченні безпеки, надаючи вам проблеми інформаційної безпеки на вашому сайті. Це в основному дуже незначні проблеми, які не є проблемами безпеки, але можуть бути способом, за допомогою якого хакери можуть отримати більше інформації про ваш веб-сайт, надаючи їм інструменти для пошуку відомих вразливостей в тому, що ви встановили на своєму веб-сервері.
Я помітив, що ці результати навіть включали той факт, що сканер зміг виявити адреси електронної пошти у вигляді простого тексту на моєму сайті. Він навіть включав список всіх знайдених адрес - в основному взятих зі старих коментарів.
:
Що було дивно, так це те, що протягом багатьох років я думав, що заблокував всі публікації адрес електронної пошти на сайті. Detectify порадив мені інакше і перерахував кожну знайдену адресу електронної пошти.
Чи міг мій сайт бути зламаний, якби я не використовував Detectify і не виправив ці попередження? Можливо. Це те, що стосується безпеки сайту. Ви можете подумати, що проблеми, які існують на вашому сервері, не є «достатньо серйозними», щоб гарантувати ваш час і енергію, але все, що потрібно, - це один кмітливий і мотивований хакер, щоб дослідити цю дірку в безпеці, а потім витратити час на фактичну експлуатацію. Це.
Коли ви витрачаєте незліченні години на створення веб-сайту, що ви любите, і вкладаючи невиправдані суми грошей у веб-хостинг та інші витрати на веб-сайт, останнє, що вам потрібно, це якийсь слизовий хакер, що знищує всі Ви коли-небудь будували. Отже, встановіть Detectify. Сканування вашого сайту. Вирішіть ці проблеми. Повірте мені, ви будете раді, що зробили. Я знаю, що я є.