Πώς να «θωρακήσετε» το WordPress Site σας μετά από μία επίθεση χάκερ

VN:F [1.9.22_1171]
Rating: 5.0/5 (2 votes cast)
FavoriteLoadingΠροσθήκη στα Αγαπημένα μου
8/10/2012 από
Gveronis

Είναι το WordPress προστατευμένο από επίθεση χάκερ; Ποτέ δε λέμε ποτέ, αλλά είναι κοινώς αποδεκτό ότι ο πυρήνας του WordPress έχει ισχυρή ασφάλεια. Επαγγελματική ανάλυση των hacked ιστοσελίδων σε WordPress αποκαλύπτει ότι συνήθως το σημείο εισόδου των ‘εισβολέων’ είναι το αποτέλεσμα μιας αδύναμης διαχείρισης ή ενός αδύναμου κωδικού πρόσβασης FTP, μίας παραβίασης επίπεδου στο Domain-Hosting λογαριασμό, ένα ανασφαλές plugin ή θέμα (theme), που τρέχει μια παλιά έκδοση του πυρήνα WordPress, ή ένα σημείο καταχώρησης, εκτός από το Core του WordPress.

Οι έξυπνοι προγραμματιστές γνωρίζουν ότι η διατήρηση του site σας απαλλαγμένου από ιούς, αλλαγμένα αρχεία, και τρωτών σημείων της ασφάλειας είναι πιο εύκολο στα λόγια παρά στην πράξη, αλλά συχνά μια μικρή προσπάθεια πηγαίνει πολύ μακριά. Για παράδειγμα, θα μπορούσατε να ακολουθήσετε 10 entry-level βήματα (χωρίς γνώση προγραμματισμού!) που προτείνουμε παρακάτω για την ασφάλεια του WordPress και να έχετε με αυτό το τρόπο ένα πιό ασφαλές WordPress site από ό, τι πολλοί άλλοι…

 

Τα ‘χτυπημένα’ site δεν είναι πάντα εύκολο να προσδιοριστούν

Οι ιδιοκτήτες ενός web site πρέπει να γνωρίζουν την απάντηση στο εξής ερώτημα: “Πώς μπορώ να ξέρω, όταν το όριο έχει περάσει – όταν το Site μου έχει παραβιαστεί”;

Τον Μάρτιο του 2012 η ZDNet αναφέρει:

… Πάνω από το 90 % [των ιδιοκτητών website] δεν παρατηρήσε κάποια περίεργη δραστηριότητα, παρά το γεγονός ότι οι ιστοσελίδες τους είχαν αλλοιωθεί για την αποστολή spam mail,host phishing σελίδων , ή για να διανέμουν κακόβουλο λογισμικό.

– “Το 63% των ιδιοκτητών ιστοσελίδας δεν ξέρουν πώς αυτή έγινε hacked”

Τον Απρίλιο του 2012, ο Matt Cutts της Google αποκάλυψε πόσο πολύ αγνοούν τις hacked ιστοσελίδες οι ιδιοκτήτες τους :

“Πέρα από σαφή blackhat ανεπιθύμητων μηνυμάτων του Internet, η δεύτερη μεγαλύτερη κατηγορία των spam που αντιμετωπίζει η Google αφορά τις hacked ιστοσελίδες. Η πιο συχνή αντίδραση που ακούμε από τους webmasters είναι: “Το πρόβλημα είναι με την αναζήτηση στο Google. Δεν υπάρχει τίποτα λάθος με την ιστοσελίδα μας. ”

Το παραπάνω είναι ένα πραγματικό απόσπασμα από ένα e-mail ενός ιδιοκτήτη μίας ιστοσελίδας που μας έστειλε πρόσφατα. Δυστυχώς, αποδεικνύεται ότι το site είναι σχεδόν πάντα πραγματικά hackαρισμενο.”

 

Πώς να καταλάβετε ένα Hacked Website
Ένα από τα οφέλη της χρήσης ενός δικτυακού τόπου κοινής πλατφόρμας, όπως το WordPress, είναι ότι οι σαρωτές ασφαλείας ξέρουν τι να περιμένουν. Μπορούν να πουν ότι τα αρχεία πυρήνα του WordPress δεν πρέπει να περιέχουν ορισμένο κώδικα ή φορτίο από εξωτερικούς τομείς ή να περιέχουν ασαφή κώδικα.

Άσχετα πώς ο ιστοχώρος σας είναι κατασκευασμένος ή διαχειρίζεται, μερικά κοινά σημάδια μιας hacked ιστοσελίδα είναι τα ακόλουθα:

  • Εμφανίζονται αναδυόμενα παράθυρα που δεν έχετε υλοποιήσει
  • Εμφάνιση περίεργου κειμένου στο υποσέλιδο (footer) ή στην “Προβολή κώδικα” (View Source)
  • Σύνδεσμοι προς άλλους δικτυακούς τόπους ή αυτόματη σύνδεση των λέξεων-κλειδιών που δεν δημιουργήσατε συνδέσεις προς αυτούς
  • Βλέποντας ασαφή / κωδικοποιημένο κείμενο σε plugins
  • Ανακατεύθυνση της Ιστοσελίδας (αμέσως ή μετά από ένα σύντομο χρονικό διάστημα) σε ένα άλλο URL
  • Οποιαδήποτε ασυνήθιστη δραστηριότητα ή καθυστερήσεις στο φόρτωμα ή τη χρήση παραπάνω bandwidth της σύνδεσης σας

Τα παραπάνω είναι τα σημάδια με τα οποία είστε σε θέση να προσδιορίσετε με το απλό browsing στο δικό σας site.

Στη συνέχεια παρουσιάζουμε αυτοματοποιημένες μεθόδους για τον εντοπισμό των Site που έχουν παραβιαστεί.

Google Webmaster Tools Email Alerts
To Google Webmaster Tools είναι μια μεγάλη πηγή για webmasters, τo οποίο ίσως ήδη γνωρίζετε. Ένα από τα σημαντικά χαρακτηριστικά γνωρίσματα είναι οι ειδοποιήσεις μέσω ηλεκτρονικού ταχυδρομείου , όταν εντοπίσουν κακόβουλη δραστηριότητα (δηλαδή hacked!) στο δικτυακό σας τόπο. Έχετε ελεγχθεί ως ιδιοκτήτης της ιστοσελίδας, έτσι ώστε να σας στείλουν άμεσα την ειδοποίηση. Έτσι, τώρα ξέρετε ότι αν λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου σχετικά με αυτό, η Google πραγματοποίησε ένα σκανάρισμα στο σαιτ σας με μεγάλο ποσοστό ακρίβειας και θα πρέπει αμέσως να αρχίσετε να παίρνετε μέτρα αντιμετώπισης της κατάστασης.

Σαρωτές Google
Εργαλεία όπως το Google και το Google Safe Browsing diagnostic (google.com/safebrowsing/diagnostic?site=http://YOURDOMAIN) είναι δύο τρόποι που μπορείτε να σαρώσετε το site σας για να δείτε πώς η Google το βλέπει.

StopBadware Clearinghouse
Το StopBadware Clearinghouse μπορεί να αναζητηθεί γρήγορα, αλλά είναι πιθανό να έχει ήδη συμπεριληφθεί στα αποτελέσματα των Εργαλείων για Webmasters της Google. Με άλλα λόγια, θα λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου κατά πάσα πιθανότητα από το Google Webmaster Tools πριν από τον έλεγχο του StopBadware Clearinghouse. Ωστόσο, είναι καλό να το ελέγξετε κατά τη διάρκεια της διαδικασίας αποκατάστασης του σαιτ σας.

Sucuri SiteCheck Scanner
Ο σαρωτής του Sucuri SiteCheck για malware ελέγχει σε σχέση με τις βάσεις των Google Safe Browsing, Norton Safe Web, Phish tank, Opera browser, SiteAdvisor, και πολλές άλλες βάσεις δεδομένων μαύρης λίστας. Τρέχει επίσης τις δικές του αναζητήσεις για κακόβουλο ή ύποπτο iframes, scripts, downloads, ανακατευθύνσεις, και άλλα αντικείμενα. Επίσης, παρέχει μια λίστα με τις διευθύνσεις URL και scripts, το λογισμικό διαχείρισης της ιστοσελίδας (π.χ. WordPress), καθώς και πληροφορίες για την έκδοση του λογισμικού.

Στην πραγματικότητα το ManageWP plugin ενσωματώνει το Sucuri SiteCheck στο dashboard του, και η εταιρία Sucuri είναι Partner του ManageWP .

 

security-scan

 

 

sucuri WP scan

 

 

Σάρωση ασφάλειας του Browser
Ίσως αυτό που δεν περίμενες(!), το Qualys BrowserCheck σαρώνει το πρόγραμμα περιήγησης στο Internet ψάχνοντας για τρωτά σημεία της ασφάλειας, συμπεριλαμβανομένων των ξεπερασμένων λογισμικών και πρόσθετα του Browser, όπως Java, Adobe Flash, Adobe Reader, καθώς και το Microsoft Silverlight. Είναι πιθανό ότι το πρόγραμμα περιήγησης, FTP client, ή άλλο σημείο πρόσβασης να θέτει σε κίνδυνο το σαιτ σας.

Πώς να επιδιορθώσετε ένα Hacked WordPress Website (και όχι μόνο..) website-hacking-ασφάλεια
Μόλις μάθετε ή υποψιάζεστε ότι το site σας έχει παραβιαστεί , η Google σας συνιστά:

  • Βάλτε το site σας offline
  • Εκτιμήστε τις ζημιές
  • Αρχίστε τις εργασίες για την ανάκτηση των δεδομένων
  • Επαναφέρετε το σαιτ σας Online

Η εταιρία StopBadware αναφέρει παρόμοια βήματα:

  • Προσδιορισμός συμπεριφοράς επιβλαβούς λογισμικού για το σαιτ μας
  • Αφαίρεση του επιβλαβούς λογισμικού
  • Αποτροπή μελλοντικής μόλυνσης
  • Αίτηση επανεξέτασης για να αφαιρέσετε το site σας από τους καταλόγους επιβλαβούς λογισμικού (η μαύρη λίστα που αναφέρετε παραπάνω)

Ακολουθούν μερικές WordPress-συγκεκριμένες προτάσεις για να σας βάλει πίσω στο σωστό δρόμο για τη μακροπρόθεσμη προστασία του σαιτ σας…..

Δημιουργία αντιγράφων ασφαλείας… Επαναφορά;
Αν εντοπίσετε την ημερομηνία και την ώρα την οποία ο δικτυακού σας τόπος παραβιάστηκε, η απλούστερη λύση είναι να αποκαταστήσετε (restore) την ιστοσελίδα σας σε ένα αντίγραφο ασφαλείας πριν από εκείνη την (δύσκολη!) στιγμή. Για το λόγο αυτό είναι σημαντικό να χρησιμοποιήσετε ένα αξιόπιστο εργαλείο για δημιουργία αντιγράφου ασφαλείας (backup), ένα εργαλείο δηλαδή που όχι μόνο δημιουργεί αντίγραφο ασφαλείας, αλλά καθιστά εύκολο να αποκατασταθεί.

Ωστόσο, αυτό το προηγούμενο backup είναι αυτό που ήταν ευάλωτο σε επιθέσεις, εκτός εάν το σημείο εισόδου της επίθεσης ήταν στο Domain, Server, FTP επίπεδο και όχι σε επίπεδο λογισμικού. Ανεξάρτητα απο το προηγούμενο, είναι σημαντικό να βεβαιωθείτε ότι αυτή η καινούργια έκδοση του site σας είναι απαλλαγμένο από την ίδια ευπάθεια (ες) σε επιθέσεις Hacker.

Είναι μια καλή ιδέα να κάνετε backup το .htaccess αρχείο σας και το wp-config.php αρχείο, το wp-content directory σας, και τη βάση δεδομένων σας, ξεχωριστά από το πλήρες . Zip backup σας , έτσι ώστε να μπορούν να αντικαταστήσουν τμήματα του site σας, όπως τα αρχεία πυρήνα του WordPress.

Αντικαταστήστε τα αρχεία πυρήνα WordPress
Οι Hackers συνήθως πάνε για μία υψηλής απόδοσης είσοδο στο σαιτ σας. Για παράδειγμα, αν μπορούν να παραβιάσουν το πυρήνα του WordPress ή ένα δημοφιλές plugin ή ένα ολόκληρο webhost, παραβιάζουν μια φορά και αποκτούν πρόσβαση σε ένα πλήθος από παρόμοια σαιτς. Επιπλέον, μάλλον δεν ενδιαφέρονται να παραβιάσουν πχ το a2fdgd43.com site γιατί είναι μια τοποθεσία που ο τομέας της δεν έχει καμία αξία από την άποψη της κίνησης των επισκεπτών ή δημοφιλία στους ιντερνετικούς χρήστες.

Λόγω αυτής της υψηλής απόδοσης θεωρίας, μπορεί να είναι σωτήρια η αντικατάσταση αντίγραφου του διακομιστή ίντερνετ (web server) από τα αρχεία πυρήνα του WordPress. Μπορείτε να έχετε πάντα την τελευταία έκδοση του WordPress στο http://wordpress.org/latest.zip.

Επιπλέον, θα πρέπει να εγκαταστήσετε ξανά όλα τα plugins σας και να εξετάσετε τα θέματα σας (themes) πριν από την εκ νέου εγκατάσταση. Προτείνω επίσης τον έλεγχο του υπόλοιπου καταλόγου wp-content για μυστηριώδεις αρχεία.

Αλλαγή όλων των διαπιστευτηρίων σύνδεσης και Προστασία της Συνδέσεις στο WordPress (login) με SSL
Aν και δεν έχει σημασία από που η παραβίαση της ασφάλειας φαίνεται να έχει προέλθει, ποτέ δεν ξέρεις το σύνολο των στοιχείων που θα μπορούσαν να είχαν αποκτηθεί για αυτό τον κακόβουλο σκοπό.

Δημιουργείστε νέους κωδικούς για όλες τις συνδέσεις – SSH, διακομιστή διαχείρισης (server management), FTP, Google, ManageWP και λογαριασμούς χρηστών του WordPress – χωρίς προκαταλήψεις (πχ μην υποθέτεται ότι δεν ήταν σε κίνδυνο). Επίσης, δημιουργείστε ένα νέο σύνολο wp-config.php κλειδιών ασφαλείας.

Αν δεν έχετε ήδη ένα πιστοποιητικό SSL για να εξασφαλίσετε τις συνδέσεις στο WordPress , τώρα είναι η κατάλληλη στιγμή για να το εφαρμόσετε. Ακολουθήστε τα πρόσθετα στοιχεία που προτείνεται από το σαιτ WordPress Codex “Ηardening WordPress”, συμπεριλαμβάνοντας και ένα πιστοποιητικό SSL.

Eπίλυση συγκεκριμένων θεμάτων

Τα παραπάνω βήματα εφαρμόζονται σε όλες τις ιστοσελίδες που προσπαθούν να αποκαταστήσουν την προηγούμενη λειτουργία τους από ένα περιστατικό hacking. Μπορεί επίσης να έχετε προβλήματα με τον webhost, το λογισμικό του σερβερ, ή άλλα ζητήματα να αντιμετωπίσετε. Χρησιμοποιώντας τους σαρωτές παραπάνω θα πρέπει να βοηθηθείτε στο να εντοπίσετε πρόσθετες ανησυχίες για την ασφάλεια του σαιτ σας. Ωστόσο, κανένας σαρωτής δεν είναι τέλειος και η βάση δεδομένων του WordPress θα μπορούσε ακόμη να τεθεί σε κίνδυνο.

Η Sucuri όχι μόνο παρέχει ένα δωρεάν σαρωτή, αλλά προσφέρει επίσης και πακέτα επί πληρωμή για καθαρισμό και παρακολούθηση. Web Hosts όπως ο WP Engine σαρώνει και επιδιορθώνει τις προσπάθειες hacking αυτόματα, και βρίσκει ακόμη και ιστοσελίδες που είναι επιρεπής σε παραβίαση, χωρίς επιπλέον κόστος.

Υπενθυμίσεις
Επιτρέψτε μου να σας διαβεβαιώσω: Είναι πιο εύκολο, πιο αξιόπιστο, και λιγότερος πονοκέφαλος για να πάρεις μέτρα από πρίν, να λειτουργείτε ένα ασφαλές σαιτ και να λαμβάνετε προφυλάξεις ασφαλείας πιό προχωρημένου επιπέδου σε τακτική βάση, από ό, τι είναι να αποκατασταθεί μια hacked ιστοσελίδα και μόνο στη συνέχεια να δώσουμε προσοχή στην ασφάλεια…..

H φιλοξενία σε ένα πίο ακριβό web host που εστιάζει όμως στην ασφάλεια μπορεί να είναι μια σημαντική βελτίωση σε σχέση με μία εξαιρετικά φθηνή λύση Web Host. Δεν υπάρχει καμία σύγκριση με ένα web hosting πακέτο των 4 €/μήνα “απεριόριστου” bandwidth να μπορεί να συγκριθεί με ένα 20€/μήνα web hosting πακετο που εστιάζει στην ταχύτητα, την ασφάλεια, και εξυπηρέτηση. Μερικές φορές δεν εκτιμάμε υψηλότερες τιμές ποιοτικών υπηρεσιών, μέχρι να είναι πολύ αργά – μέχρι το hack της σελίδας μας να έχει ήδη συμβεί ή στην περίπτωση της ταχύτητας και του χρόνου λειτουργίας (uptime), παρά μόνο μετά την αισθητή πτώση της επισκεψιμότητας της σελίδας μας.

Σας προτείνω να εκτελείτε κάποιες από τις παραπάνω ενέργειες σε μια ημι-τακτική βάση – λαμβάνοντας τακτικά αντίγραφα ασφαλείας και να ελέγχετε ότι είναι σε θέση να αποκατασταθεί πλήρως, αλλάζοντας τα στοιχεία σύνδεσης, κ.λπ. Επιπλέον να χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης, περιορίζοντας τις προσπάθειες σύνδεσης, καθώς και τη λήψη άλλων προφυλάξεων ασφαλείας.

Προσθέτοντας το site σας στο Google Webmaster Tools έχετε μια σειρά από πλεονεκτήματα, ένα από τα οποία είναι να λαμβάνετε ειδοποιήσεις ασφαλείας για το σαιτ σας μέσω email. Φροντίστε να προσθέσετε το site σας στο Google Webmaster Tools σε κάθε περίπτωση….

Βεβαιωθείτε ότι παίρνετε τακτικά αντίγραφα ασφαλείας. Τυπικά, μία ή δύο φορές ανά ημέρα είναι επαρκής. Άλλοι θεωρούν κάθε δεύτερη ημέρα, μία φορά την εβδομάδα, ή μία φορά το μήνα. Το βέλτιστο χρονοδιάγραμμα δημιουργίας αντιγράφων ασφαλείας εξαρτάται από το πόσο συχνές αλλαγές γίνονται στην ιστοσελίδα σας και πόση επισκεψιμότητα έχετε.

Εάν είχατε ποτέ μια hacked ιστοσελίδα ή βοηθήσατε κάποιον άλλο στην επίλυση ζητημάτων με το hacked web site τους, μοιραστήτε την εμπειρία σας εδώ, σχολιάζοντας παρακάτω……μην ξεχνάτε η εμπειρία είναι γνώση και γνώση πρέπει να μοιράζετε με όλους…..

Γιάννης Βερώνης

www.gveronis.net/επίθεσηχάκερ/








Hide ↑

WEB DEVELOPER-DESIGNER (www.gveronis.net) ΠΤΥΧΙΟΥΧΟΣ ΠΛΗΡΟΦΟΡΙΚΗΣ & ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ ΠΑΝΕΠΙΣΤΗΜΙΟΥ ΑΘΗΝΩΝ Τηλ. 697 7570145

Follow gveronis on Twitter

10 λόγοι για τους οποίους μπορεί να έχετε ένα αποτυχημένο site...

05 June 2013

Ξεκινώντας αυτό το θέμα ας ξεκαθαρίσουμε από την αρχή ότι τα Site  δεν αποτυγχάνουν αλλά οι άνθρωποι

Read more...

To Social Commerce είναι το μέλλον!

08 April 2013

Καθημερινά εκατομμύρια χρήστες του Διαδικτύου επισκέπτονται online καταστήματα ψάχνοντας για τις καλύτερες προσφορές. Αφού βρούν ένα  καταπληκτικό[…]

Read more...

Η Google επιβραβεύει τη responsive κατασκευή ιστοσελίδων για κινητά

15 February 2013

Σύμφωνα με τις τελευταίες εξελίξεις σχετικά με τον σχεδιασμό ιστοσελίδων για κινητές συσκευές που είχαμε αναφέρει σε Read more...







Σχόλια

Δεν υπάρχουν σχόλια ακόμα.

Αφήστε ένα σχόλιο

 






RSS για τα σχόλια σε αυτό το άρθρο.  |  TrackBack URL



 
 
 

Eταιρείες παροχής υπηρεσιών διαδικτύου




 

Το Όραμά Μας

3d2 3d2

Η νέα εποχή ξεκινάει…

Είστε έτοιμοι;

Παρά τις όποιες δυσκολίες συναντήσαμε, τελικά μετά από 1 χρόνο περίπου, καταφέραμε να συγκεντρώσουμε τις δυνάμεις μας και να βάλουμε τις σκέψεις μας στο σωστό μονοπάτι.

Ξεκινάμε μια νέα εποχή για τα Ελληνικά δεδομένα. Κοιτάμε μπροστά και οραματίζομαστε το μέλλον με αισιοδοξία σε μία πολύ δύσκολη εποχή!

Αν είστε digital artist (web designer. web developer, programmer, 3d animator, graphic designer κτλ)  δώστε λίγα λεπτά από τον χρόνο σας να διαβάσετε το παρακάτω άρθρο. Σίγουρα σας ενδιαφέρει

 
web design forum

  • Προσεγγίστε νέους αναγνώστες και φίλους
  • Αποκτήστε το δικαίωμα να προωθήστε την σελίδα σας μέσω διαφημιστικών banner στο web design forum
  • Αποκτήστε συνδέσμους και backlinks δωρεάν
  • Αυτόματη προωθηση του άρθρου σας, σε διάφορες ιστοσελίδες κοινωνικής δικτύωσης.