Е, аз съм тук, за да ви кажа, че може да ви се случи.
Този уебсайт е бил хакнат миналата Бъдни вечер.Това, което се случи, е част от по-голяма и тревожна тенденция, в която се атакуват и компрометират уебсайтовете и блоговете на малките предприятия. WordPress сайтове изглеждат като конкретна цел.
$config[code] not foundРеших да споделя историята си с надеждата, че ще ви помогне да избегнете хакването или ако се случи, да се възстановите бързо.
Грозните детайли
На Коледа сутринта се опитах да отворя този сайт, както обикновено правя на сутринта, само за да направя бърза проверка.
Началната страница на сайта беше напълно празна! Нищо. Нада. Не можех да публикувам нищо ново. Осъзнах, че един крак е хакнал мястото. Докато разследвах по-късно същия ден, открих доста малко щети на сайта, включително:
- Всички приставки на WordPress бяха деактивирани
- Изтрити са няколко страници, включително директорията на експертите, страницата на бюлетина, страницата „За“ и други.
- Блогролът беше компрометиран с около дузина връзки, вмъкнати в сайтове за възрастни и фармацевтични сайтове.
- Почти 50 скрити връзки към сайтове за възрастни, фармацевтични сайтове и други нежелани сайтове бяха разпръснати в заглавната част и в долния колонтитул. Не можете да виждате връзките да гледат сайта чрез стандартен браузър, като Internet Explorer, защото те умишлено са били скрити с HTML код. Разбира се, търсачките могат да „видят“ връзките.
Тъй като това е празник, аз направих каквото мога сам да възстановя сайта и на следващия ден получих помощ. За щастие използвам професионална хостинг компания с отлична телефонна поддръжка. А нашият уебмастър Тим Грел беше супер и пусна всичко, за да отговори.
Работейки като екип, успяхме да подобрим функционирането на сайта и да изглеждаме представителен отново до края на работата 26 декември.
Обаче, не знаех, че изпитанието още не е приключило. Току-що видях върха на айсберга първия ден. Скоро открих какво хакерите наистина са направили.
Хакерите играят търсачките
Още от самото начало се чудех: "Защо някой би харесал този сайт?" В него няма нищо ценно (за един хакер). Няма номера на кредитни карти. Няма поверителни данни. Няма информация за клиента.
Първоначално го начертах на вандализъм.
Но тъй като ситуацията се разгърна и открих повече щети, осъзнах, че това не е просто вандализъм. Вместо това, тази хакерска дейност е свързана отвличане на уебсайтове и блогове за малки фирми и да ги използвате генериране на връзки към други сайтове игра на търсачките .
Хакерите намират дупка за сигурност и влизат във вашия сайт. Те поемат контрола чрез скриптове, които превръщат сайта ви в генериращ връзка канал. Връзките, генерирани на вашия сайт (без вашето знание) са насочени към други сайтове, в усилието да се получи тези други сайтове на върха на резултатите от търсенето.
Влязъл е в пръстен с Splog
Ден след като открих хакването, научих най-лошото: хакерите са откраднали част от този сайт в звънец за splog (спам).
Първата следа дойде от Technorati.com, когато видях, че входящите връзки се броят до Тенденции в малкия бизнес скочи с няколко хиляди връзки за една нощ. - О, колко хубаво - помислих си - за около 3 секунди! Удоволствието ми се превърна в отвращение, когато видях, че всички връзки използваха котва като "виагра", "сладки мелодии" и други разнообразни боклуци.
Връзките са от "splogs". Всеки splog се състои от списъци с хиляди - буквално хиляди - връзки, сочещи към страници на други уебсайтове, включително стотици фалшиви страници, които са били създадени в tmp директорията на този сайт.
Тогава разбрах какво наистина са направили хакерите. Те оставиха скрипт, който автоматично генерира стотици фалшиви страници на този сайт. Тези фалшиви страници на свой ред бяха пренасочени към сайтове за фармацевтични, възрастни и мелодии. Не можахте да видите фалшивите страници от този сайт, но те бяха там.
След това хакерите са създали пръстени от други сайтове, предимно блогове, за да се свържат с фалшивите страници Тенденции в малкия бизнес, Всичко е проектирано така, че в крайна сметка да изпрати комбинираното тегло на връзката към сайтовете на pharma, adult и ringtone, които искат да се класират високо в търсачките.
Ето как работи:
Splog A >>> връзки към фалшива страница на отвлечен сайт B >>> коя фалшива страница е пренасочена към фармацевтичен сайт, който продава OxyContin.
Изплакнете и повторете. Хиляди пъти.
Резултат = бързо увеличаване в класацията на търсачките за сайта, който продава OxyContin.
Както можете да видите, това не беше изолирана атака на едно място. Това беше оркестрирана схема, включваща стотици ако не хиляди сайтове. Оказа се, че мина е един от многото сайтове.
Как хакерите влязоха
Смятаме, че хакерите са преминали през несигурна версия на WordPress чрез сървъра. Освен това няма да кажа повече, за да не давам пътна карта за това как да разбием други сайтове. Атаката сякаш идваше от руски IP адрес.
Атаката се възползва от времето за почивка, тъй като домакинът ми имаше скелетен персонал, който работеше на Бъдни вечер. Удивително, но по-малко от 2 дни след първата атака, докато бяхме в средата на фиксирането на касапницата, хакерите се върнаха! Този път опитът за хакерство беше предотвратен чрез бързи действия от страна на хостинг компанията, блокирайки IP адреса, който бе лудо разпръсква сайта.
Докато изследвах други хакерства, бях зашеметен да открия, че има над дузина версии на WordPress с известни уязвимости. С приблизително 2 до 3 милиона блогове, използващи WordPress, това означава много блогове, потенциално изложени на риск. Вероятно уеб сайтове и блогове, които са съществували от известно време, и надеждни сайтове, могат да бъдат атакувани.
Просто направете търсене в Google и ще намерите доклади за други блогове на WordPress, които са хакнати, включително някои от най-добрите и най-ярките. Дори блогът на Ал Гор беше хакнат.
Освен това, моите изследвания разкриха поне половин дузина начини за компрометиране на блоговете на WordPress. И за всеки метод, който видях, сигурни съм, че лошите момчета знаят още две дузини.
Коригиращи действия
Направихме няколко стъпки, за да защитим сайта, включително:
- Обновен до последната версия на WordPress.
- Елиминиран е един плъгин, чието изследване предполага, че може да има уязвимости в сигурността и актуализира всички останали приставки, ако съществуват нови версии.
- Почисти всичките суровини, оставени от хакерите, изтривайки техните скриптове и неоторизирани връзки и страници. Ние не само трябваше да претърсваме кода на нашия сайт, но и трябваше да го направим за цялата сървър.
- Връща се в чист MySQL база данни от преди атаката.
- Блокирана саморегистрация на този сайт.
- Променени пароли; прегледа сървърните регистри за подозрителни IP адреси и ги блокира; и променихме редица други неща, на които не искам да обръщам внимание.
Някой ме попита дали планирам да премина от WordPress към друг софтуер. Не, планирам да се придържам към него. WordPress е добър софтуерен пакет и е без главоболие 99% от времето. Разбирам, че общността на разработчиците на WordPress работи за решаване на проблемите на сигурността - да се надяваме, че ще го направят преди WordPress да развие необратимо лошо рап.
Въпреки това, аз съм вдигнал мерки за сигурност няколко прорези. Вярвам, че решен хакер може да намери начин да влезе който и да е сайт, ако наистина искат. Но защо да си лесна мишена?
Така че точно сега вероятно се чудите какво можете да направите, за да защитите блога или уебсайта си. Имам няколко указания за вас. Но тъй като тази статия вече е дълга, поставям ги в отделна статия: Как да защитим Вашия WordPress сайт.
56 Коментари ▼
