Mich Blog, Leaving Work Behind, fue pirateado en abril. Es algo sobre lo que lees con bastante frecuencia pero que nunca esperas Ihre hasta que Sein demasiado tarde. Para ser honesto, no me veía a mí mismo como un candidato principal: he escrito sobre la seguridad de WordPress con la suficiente frecuencia como para tener implementadas muchas medidas preventivas. A pesar de todo, esas medidas de forma clara no eran lo suficientemente completas.
Ser pirateado es algo por lo que no quiero volver a pasar. Hay tantas razones por las que el tiempo de inactividad de un sitio Netz es malo para su blog / negocio: aún cuando la pérdida de der Verkehr y los ingresos potenciales son los dos más obvios, no puedo subestimar la cantidad de tiempo que perdí para restaurar el sitio y la cantidad de estrés que genera. Me causó.
In diesem Beitrag möchte ich Ihnen mitteilen, was mit meiner Website passiert ist, und Ihnen mitteilen, was ich seitdem getan habe, um die Sicherheit meiner Website zu erhöhen.
Gehackt werden: meine Geschichte
Me desperté el jueves 18 de abril y descubrí que mi sitio estaba caído y lo había estado durante unas horas. Inmediatamente me comuniqué con mi proveedor de alojamiento, Westhost, quien me informó que su Firewall ModSecurity había detectado actividad inusual en mi sitio y lo había cerrado de inmediato como medida de precaución. Al ejecutar una restauración inicial en el sitio, pude ver de inmediato que había sido pirateado. Aún cuando los cambios fueron relativamente sutiles, estaba bastante claro que algunos tipos inescrupulosos habían estado husmeando.
Es stellt sich heraus, dass eine große Anzahl von WordPress-Sites gleichzeitig gehackt wurde und Westhost viel zu tun hatte. Zum Glück machen sie tägliche Backups der Site und am nächsten Nachmittag war ich wieder online mit einer Version meiner Site, die so aktuell wie möglich war.
Dies ist der Effekt, den der Hack auf meinen Verkehr hatte:
Um das obige Diagramm ins rechte Licht zu rücken, war der Datenverkehr in dieser Woche im Vergleich zur Vorwoche um ~ 30% gesunken. Theoretisch bedeutete dies einen Umsatzrückgang von 30%.
Es ist fair zu sagen, dass ich (nach besten Kräften) unbedingt sicherstellen wollte, dass ein solcher Hack nicht wiederholt werden kann. Ich habe sofort gehandelt.
Meine unmittelbaren Schritte
Als erstes habe ich überprüft, ob Sie die in meinem letzten Beitrag beschriebenen Schritte zum Schutz Ihrer WordPress-Website ausgeführt haben.
Dies waren die absoluten Argumente: Aktualisieren meiner Designs und Plugins, Sicherstellen, dass ich eine aktuelle Sicherung habe, Sicherstellen, dass mein Standardprofil nicht "admin" heißt, Ändern meines Kennworts und Suchen nach Sicherheits-Plugins auf meiner Website. Mit diesen Gegenständen war es Zeit, weiterzumachen.
Ich habe keine Illusionen, dass meine Site jetzt 100% sicher ist. Schließlich gibt es keine sichere 100%-Site. Trotzdem weiß ich, dass es viel sicherer ist als zuvor und werde die Sicherheitsmaßnahmen der Site jetzt und in Zukunft weiter untersuchen. Bisher habe ich das getan.
1. Ich habe VaultPress installiert
Für diejenigen unter Ihnen, die (* 5 *) VaultPress nicht kennen ist eine vollautomatische Backup- und Sicherheitslösung für WordPress. Ist Eigentum von Automatisch, die de facto "Besitzer" von WordPress.
Nachdem ich VaultPress einige Tage lang verwendet habe, kann ich nicht glauben, dass ich so geizig war, dass ich den Service nicht vorher gekauft habe. Ihr Basispaket beginnt bei $ 15 pro Monat. Ich bezahle es an jedem Tag der Woche für Seelenfrieden.
Tatsächlich habe ich mich für das Premium-Paket ($ 40 pro Monat) entschieden, das Folgendes umfasst:
- Echtzeit-Backup
- Automatische Wiederherstellung von Websites mit einem Klick
- Dateien, Statistiken und Aktivitätsprotokoll
- Priority Disaster Recovery
- Vorrangige "Concierge" -Hilfe
- Täglicher Sicherheitsscan
- Sicherheitsbenachrichtigungen
- One-Click-Fixer für Sicherheitsbedrohungen
- Unterstützung bei der Site-Migration
Grundsätzlich haben sie Sie abgedeckt.
Obwohl VaultPress die Sicherheit Ihrer Website vor Hackern praktisch nicht gewährleisten kann kann Stellen Sie sicher, dass Ihre Site relativ einfach wiederhergestellt werden kann. Das Anzeigen von stündlichen Schnappschüssen Ihrer auf VaultPress-Servern gespeicherten Websites ist sehr entspannend:
Obwohl es viele kostenlose Backup-Lösungen gibt, glaube ich nicht, dass irgendetwas die relative Sicherheit übertrifft, die ich von VaultPress bekomme. Sie können heute 90 Schnappschüsse meiner Website wiederherstellen, von denen der letzte nur 20 Minuten lang ist. Ich weiß, dass meine Website in Ihren Händen sicher ist.
2. Ich habe meine Profile verwaltet
Ein Hacker kann von jedem der Administratorprofile in Ihrem WordPress-Backend auf Ihre Website zugreifen, nicht nur von Ihre utilizar. Cuando cargué mis perfiles, pude ver que tenía otros tres perfiles: un perfil de póster invitado y otros dos perfiles para Personen (confiables) a las que les había dado acceso a mi sitio.
Ich begann damit, diese beiden Profile zu schließen und die Rolle des Gastplakatprofils in Autor zu ändern. Ich rate Ihnen dazu: Erstellen Sie einfach so viele Administratorprofile wie unbedingt erforderlich. Gleichzeitig müssen Sie jedoch sicherstellen, dass jedes Konto ein geeignetes zufälliges und eindeutiges Kennwort ist und dass diese Kennwörter normal geändert werden.
Es gibt Zeiten, in denen Sie Personen (wie Ihrem Webdesigner) den Zugriff auf Ihre Website ermöglichen müssen. In solchen Situationen empfehle ich Ihnen, ein Profil für sie mit einem neuen Passwort zu erstellen und dieses Profil dann zu löschen, sobald Ihr Bedarf endet.
Denken Sie immer an die Einstiegspunkte Ihrer Website und ob diese unbedingt erforderlich sind.
3. Ich habe meine Passwörter geändert
Sie mögen denken, dass dies ein offensichtlicher Schritt war, aber tatsächlich spreche ich nicht über meine WordPress-Passwörter. Obwohl ich gemacht Ändern Sie sie, zur gleichen Zeit war ich sicher, alle Passwörter in besonders sensible Konten zu ändern, anders ausgedrückt:
- Google Mail
- Mein Hosting-Konto
- Asociados de Amazonas
- Usw.
Wenn Sie sich fragen, warum ich diesen Schritt unternommen habe, denken Sie einfach an die Geschichte von Mat Honan, dessen gesamtes digitales Leben von Hackern zerstört wurde, die sich ursprünglich in sein Amazon-Konto gehackt haben. Wenn Ihnen die Online-Sicherheit in irgendeiner Weise gleichgültig ist, ist der obige Artikel ein Muss.
Considere esta cadena simple: un pirata informático obtiene acceso a su cuenta de correo electrónico desde la cual envió recientemente un correo electrónico a su diseñador web con los detalles de inicio de sesión para su sitio de WordPress. Eso es todo lo que necesitan para acceder a su sitio y hacer lo que quieran. Hacken puede ser así de elemental.
4. Ich habe ein Upgrade auf SFTP durchgeführt
Aquí hay algo que tal vez no sepa: cualquier dato que transfiera por medio de de FTP (incluido su nombre de Nutzername y contraseña) está completamente sin cifrar. Por lo tanto, cualquier persona que pueda interceptar transferencias FTP con éxito podrá recoger sus datos de inicio de sesión y acceder a su cuenta.
Dies ermöglicht es ihnen nicht nur, Dateien nach Belieben hinzuzufügen und zu entfernen, sondern gleichzeitig über phpMyAdmin auf Ihre WordPress-Datenbank zuzugreifen und sich schließlich bei Ihrer Site anzumelden.
Einfach ausgedrückt spielt es keine Rolle, wie sicher der direkte Zugriff auf Ihre WordPress-Site ist, wenn Hacker über FTP zugreifen können. Aus diesem Grund empfehle ich, den FTP-Zugriff auf Ihre Site zu deaktivieren und Dateien mithilfe des alternativen SFTP-Protokolls zu übertragen machen Daten verschlüsseln. Jeder gute Hosting-Anbieter sollte Ihnen dabei helfen können.
Apropos Hosting-Anbieter ...
5. Berücksichtigen Sie die Eignung Ihrer Hosting-Lösung
Me alegro de estar con Westhost. Fue su cortafuegos ModSecurity el que detectó el ataque en primer lugar y cerró mi sitio antes de que se pudieran producir daños graves. Al mismo tiempo realizan copias de seguridad diarias automáticas (que se utilizaron para restaurar el sitio) y cuentan con un excelente soporte al Klient para arrancar.
¿Puede decir lo mismo de su proveedor de alojamiento? Hay tantas opciones excelentes que sería una locura quedarse con un proveedor con el que no está satisfecho. Puede considerar cambiar a una de las soluciones de alojamiento administrado (como WPEngine) como lo hizo R Digitales Marketing recientemente.
Fragen Sie unabhängig von Ihrer Wahl nach den Sicherheitsmaßnahmen, die sie ergreifen. Bitte beachten Sie die Maßnahmen, die ich zuvor ergriffen habe, und stellen Sie sicher, dass sie mit Ihrer Hosting-Lösung kompatibel sind.
Die Moral der Geschichte lautet: Gehen Sie keine Kompromisse bei der Sicherheit ein. Letztendlich ist die Sicherheit Ihrer Website wichtiger als etwas más. No tiene sentido tener un gran Inhalt o un diseño nuevo y espectacular si nadie puede verlo debido a que su sitio ha sido destrozado por hackers despiadados.
Die schändlichen Typen, die nichts Besseres mit ihrem Leben zu tun haben, als sich in die Websites der Leute zu hacken, werden nicht so schnell verschwinden. Je früher Sie dies akzeptieren und angemessene Maßnahmen ergreifen, um Ihre Website vor Angriffen zu schützen, desto besser ist die langfristige Sicherheit Ihrer Online-Assets.
Ich würde gerne hören, was Sie von den Schritten halten, die ich unternommen habe. Gibt es zusätzliche Empfehlungen, die ich machen würde? Lass es uns im Kommentarbereich wissen!
