Moi Blog, Leaving Work Behind, fue pirateado en abril. Es algo sobre lo que lees con bastante frecuencia pero que nunca esperas votre hasta que être demasiado tarde. Para ser honesto, no me veía a mí mismo como un candidato principal: he escrito sobre la seguridad de WordPress con la suficiente frecuencia como para tener implementadas muchas medidas preventivas. A pesar de todo, esas medidas de forma clara no eran lo suficientemente completas.
Ser pirateado es algo por lo que no quiero volver a pasar. Hay tantas razones por las que el tiempo de inactividad de un sitio la toile es malo para su blog / negocio: aún cuando la pérdida de circulation y los ingresos potenciales son los dos más obvios, no puedo subestimar la cantidad de tiempo que perdí para restaurar el sitio y la cantidad de estrés que genera. Me causó.
Dans cet article, je veux révéler ce qui est arrivé à mon site et vous faire savoir ce que j'ai fait pour augmenter la sécurité de mon site depuis lors.
Se faire pirater: mon histoire
Me desperté el jueves 18 de abril y descubrí que mi sitio estaba caído y lo había estado durante unas horas. Inmediatamente me comuniqué con mi proveedor de alojamiento, Westhost, quien me informó que su firewall ModSecurity había detectado actividad inusual en mi sitio y lo había cerrado de inmediato como medida de precaución. Al ejecutar una restauración inicial en el sitio, pude ver de inmediato que había sido pirateado. Aún cuando los cambios fueron relativamente sutiles, estaba bastante claro que algunos tipos inescrupulosos habían estado husmeando.
Il s'avère qu'un grand nombre de sites WordPress en même temps avaient été piratés, et Westhost avait beaucoup de travail à faire. Heureusement, ils font des sauvegardes quotidiennes du site et l'après-midi suivant, j'étais de retour en ligne avec une version de mon site aussi actuelle que possible.
Voici l'effet du piratage sur mon trafic:
Pour mettre le graphique ci-dessus en perspective, le trafic de cette semaine était en baisse d'environ 30% par rapport à la semaine précédente. En théorie, cela signifiait une baisse des revenus 30%.
Il est juste de dire que j'avais hâte de m'assurer (au mieux de mes capacités) qu'un tel piratage ne pourrait pas être répété. J'ai agi immédiatement.
Mes démarches immédiates
La première chose que j'ai faite a été de vérifier que vous aviez suivi les étapes décrites dans mon récent article sur la protection de votre site Web WordPress.
Ce sont les arguments absolus: mettre à jour mes thèmes et plugins, m'assurer d'avoir une sauvegarde récente, m'assurer que mon profil par défaut n'a pas été nommé "admin", changer mon mot de passe, et vérifier les plugins de sécurité sur mon site. Une fois ces éléments en place, il était temps de passer à autre chose.
Je n'ai aucune illusion sur le fait que mon site est maintenant 100% sécurisé; après tout, il n'y a pas de site 100% sécurisé. Cela dit, je sais qu'il est beaucoup plus sûr qu'avant et continuera d'enquêter sur les mesures de sécurité du site maintenant et à l'avenir. Jusqu'ici, c'est ce que j'ai fait.
1. J'ai installé VaultPress
Pour ceux d'entre vous qui ne connaissent pas (* 5 *) VaultPress est une solution de sauvegarde et de sécurité entièrement automatisée pour WordPress. Est la propriété de Automatique, les "propriétaires" de facto de WordPress.
Après avoir utilisé VaultPress pendant quelques jours, je ne peux pas croire que j'étais si avare de ne pas avoir acheté le service au préalable. Votre forfait de base commence à $ 15 par mois; Je le paierai pour avoir l'esprit tranquille tous les jours de la semaine.
En fait, j'ai choisi leur forfait Premium ($ 40 par mois) qui comprend:
- Sauvegarde en temps réel
- Restauration de site automatisée en un clic
- Fichiers, statistiques et journal d'activité
- Reprise après sinistre prioritaire
- Assistance "conciergerie" prioritaire
- Analyse de sécurité quotidienne
- Notifications de sécurité
- Fixateurs en un clic pour les menaces de sécurité
- Assistance à la migration de site
Fondamentalement, ils vous ont couvert.
Bien que VaultPress ne puisse pas garantir la sécurité de votre site contre les pirates, virtuellement pouvez Assurez-vous que votre site peut être restauré relativement facilement. Il y a quelque chose de très relaxant à voir des instantanés horaires de vos sites stockés sur les serveurs VaultPress:
Même s'il existe de nombreuses solutions de sauvegarde gratuites, je ne pense pas que rien ne bat la tranquillité d'esprit relative que j'obtiens de VaultPress. Ils ont 90 instantanés de mon site disponibles à restaurer aujourd'hui, dont le plus récent ne dure que vingt minutes. Je sais que mon site est en sécurité entre vos mains.
2. J'ai géré mes profils
Un pirate informatique peut accéder à votre site à partir de l'un des profils d'administrateur de votre backend WordPress, pas seulement du votre utilizar. Cuando cargué mis perfiles, pude ver que tenía otros tres perfiles: un perfil de póster invitado y otros dos perfiles para gens (confiables) a las que les había dado acceso a mi sitio.
J'ai commencé par fermer ces deux profils et changer le rôle du profil de l'affiche invité en Auteur. C'est quelque chose que je vous conseille de faire: créez simplement autant de profils d'administrateur que nécessaire. Dans le même temps, cependant, vous devez vous assurer que chaque compte est un mot de passe aléatoire et unique approprié et que ces mots de passe sont modifiés normalement.
Il y a des moments où vous devrez autoriser des personnes (comme votre concepteur Web) à accéder à votre site. Dans de telles situations, je vous conseille de créer un profil pour eux avec un nouveau mot de passe puis de supprimer ce profil dès que votre besoin prend fin.
Pensez toujours aux points d'entrée de votre site et s'ils sont strictement nécessaires.
3. J'ai changé mes mots de passe
Vous pensez peut-être que c'était une décision évidente, mais en fait, je ne parle pas de mes mots de passe WordPress. Même si je fait changez-les, en même temps j'étais sûr de changer tous les mots de passe pour des comptes particulièrement sensibles, en d'autres termes:
Si vous vous demandez pourquoi j'ai pris cette décision, considérez simplement l'histoire de Mat Honan, dont toute la vie numérique a été détruite par des pirates qui ont à l'origine piraté son compte Amazon. Si vous êtes indifférent de quelque manière que ce soit à la sécurité en ligne, alors l'article ci-dessus est à lire absolument.
Considere esta cadena simple: un pirata informático obtiene acceso a su cuenta de correo electrónico desde la cual envió recientemente un correo electrónico a su diseñador web con los detalles de inicio de sesión para su sitio de WordPress. Eso es todo lo que necesitan para acceder a su sitio y hacer lo que quieran. A pirater puede ser así de elemental.
4. Je suis passé à SFTP
Aquí hay algo que tal vez no sepa: cualquier dato que transfiera por medio de de FTP (incluido su nombre de Nom d'utilisateur y contraseña) está completamente sin cifrar. Por lo tanto, cualquier persona que pueda interceptar transferencias FTP con éxito podrá recoger sus datos de inicio de sesión y acceder a su cuenta.
Cela leur permet non seulement d'ajouter et de supprimer des fichiers comme bon leur semble, mais en même temps, ils peuvent accéder à votre base de données WordPress via phpMyAdmin et finalement se connecter à votre site.
En termes simples, peu importe la sécurité de l'accès direct à votre site WordPress si les pirates peuvent entrer via FTP. En tant que tel, je vous recommande de désactiver l'accès FTP à votre site et de transférer des fichiers en utilisant le protocole alternatif SFTP, qui fait du crypter les données. Tout bon fournisseur d'hébergement devrait être en mesure de vous aider.
En parlant de fournisseurs d'hébergement ...
5. Considérez la pertinence de votre solution d'hébergement
Me alegro de estar con Westhost. Fue su cortafuegos ModSecurity el que detectó el ataque en primer lugar y cerró mi sitio antes de que se pudieran producir daños graves. Al mismo tiempo realizan copias de seguridad diarias automáticas (que se utilizaron para restaurar el sitio) y cuentan con un excelente soporte al client para arrancar.
¿Puede decir lo mismo de su proveedor de alojamiento? Hay tantas opciones excelentes que sería una locura quedarse con un proveedor con el que no está satisfecho. Puede considerar cambiar a una de las soluciones de alojamiento administrado (como WPEngine) como lo hizo R Le marketing numérique recientemente.
Quel que soit votre choix, assurez-vous de vous renseigner sur les mesures de sécurité qu'ils prennent. Veuillez considérer les mesures que j'ai prises précédemment et assurez-vous qu'elles sont compatibles avec votre solution d'hébergement.
La morale de l'histoire est la suivante: ne faites pas de compromis sur la sécurité. En fin de compte, assurer la sécurité de votre site est plus important que quoi que ce soit más. No tiene sentido tener un gran Contenu o un diseño nuevo y espectacular si nadie puede verlo debido a que su sitio ha sido destrozado por hackers despiadados.
Les hommes infâmes qui n'ont rien de mieux à faire de leur vie que de pirater les sites des gens ne s'en vont pas de si tôt. Plus tôt vous l'acceptez et prenez des mesures raisonnables pour protéger votre site contre les attaques, meilleure sera la sécurité à long terme de vos actifs en ligne.
J'aimerais entendre ce que vous pensez des mesures que j'ai prises. Y a-t-il des recommandations supplémentaires que je ferais? Faites-nous savoir dans la section commentaires!
