De 5 trin, jeg tog for at gendanne min WordPress-blog fra en hack

Min blog, Leaving Work Behind, blev hacket i april. Det er noget, du læser om ofte nok, men aldrig forventer at ske du indtil det er for sent. For at være ærlig så jeg ikke mig selv som en vigtig kandidat – jeg har ofte skrevet om WordPress-sikkerhed ofte nok til at have masser af forebyggende foranstaltninger på plads. Imidlertid var disse foranstaltninger åbenbart ikke omfattende nok.


At blive hacket er noget, jeg ikke ønsker at gennemgå igen. Der er så mange grunde til, at webstedsnedetid er dårlig for din blog / virksomhed: mens et tab af trafik og potentiel indkomst er de to mest indlysende, kan jeg ikke undervurdere den tid, jeg har mistet ved at få webstedet gendannet, og hvor meget stress det er forårsaget mig.

I dette indlæg vil jeg afsløre, hvad der skete med mit websted, og fortælle dig, hvad jeg har gjort for at øge sikkerheden på mit websted siden.

At blive hacket: Min historie

Jeg vågnede torsdag den 18. april for at finde ud af, at mit websted var nede og havde været i et par timer. Jeg kontaktede straks min hostingudbyder, Westhost, som informerede mig om, at deres ModSecurity-firewall havde registreret usædvanlig aktivitet på mit websted og havde lukket det øjeblikkeligt som en forsigtighedsforanstaltning. Da jeg kørte en første gendannelse på webstedet, kunne jeg straks se, at det var blevet hacket. Mens ændringerne var relativt subtile, var det tydeligt nok, at en eller anden skruppelløs slags var blevet næse.

Det viser sig, at et stort antal WordPress-websteder også var blevet hacket, og Westhost fik deres arbejde udskåret. Heldigvis tager de daglige sikkerhedskopier af webstedet, og efterfølgende eftermiddag var jeg tilbage online med en version af mit websted, der var så tæt på det nuværende som muligt.

Her er effekten hacket havde på min trafik:

Clicky Stats

For at sætte ovenstående graf i perspektiv var den uges trafik nede på 30% sammenlignet med den foregående uge. Det betød teoretisk et fald i indkomsten på 30%.

Det er rimeligt at sige, at jeg var ivrig efter at sikre (efter bedste evne), at et sådant hack ikke kunne gentages. Jeg tog straks handling.

Mine øjeblikkelige trin

Den første ting, jeg gjorde, var at kontrollere, at jeg havde fulgt de trin, der er beskrevet i mit nylige indlæg om at sikre dit WordPress-websted.

Dette var de absolutte grundlæggende elementer: opdatering af mine temaer og plugins, sikring af, at jeg havde en nylig sikkerhedskopi, at sikre, at min standardprofil ikke fik navnet “admin”, ændre min adgangskode og kontrollere, om der var sikkerhedsplugins på mit websted. Med disse ting på plads var det tid til at gå videre.

Jeg har ingen illusioner om, at mit websted nu er 100% sikkert – når alt kommer til alt er der ikke noget, der hedder et 100% sikkert sted. Når det er sagt, ved jeg, at det er langt mere sikkert, end det var før, og jeg vil fortsætte med at undersøge sikkerhedsforanstaltninger på stedet nu og i fremtiden. Indtil videre er det dette, jeg har gjort.

1. Jeg installerede VaultPress

For jer der ikke ved det, VaultPress er en helt automatiseret sikkerhedskopi og sikkerhedsløsning til WordPress. Det ejes af Automattic, de facto “ejere” af WordPress.

Efter at have brugt VaultPress i et par dage nu, kan jeg ikke tro, at jeg var så billig at ikke have stumpet op for tjenesten på forhånd. Deres basepakke starter ved $ 15 pr. Måned – det betaler jeg for ro i sindet en hvilken som helst dag i ugen.

Faktisk valgte jeg at gå med deres Premium-pakke ($ 40 pr. Måned), der inkluderer:

  • Realtime Backup
  • Automatiseret et-klik-webstedsgendannelse
  • Arkiv, statistik og aktivitetslog
  • Gendannelse af prioritetskatastrofe
  • Prioriteret “Concierge” -support
  • Daglig sikkerhedsscanning
  • Sikkerhedsmeddelelser
  • Fixere med et klik til sikkerhedstrusler
  • Hjælp til migrering af websteder

Dybest set har de fået dig dækket.

Mens VaultPress ikke kan garantere dit websteds sikkerhed mod hackere, er det stort set kan garantere, at dit websted kan gendannes relativt nemt. Der er bare noget meget beroligende ved at se timebillede af dine websteder, der er gemt på VaultPress ‘servere:

VaultPress-sikkerhedskopier

Selvom der er masser af gratis backup-løsninger derude, tror jeg ikke, at noget slår den relative tryghed, jeg får fra VaultPress. De har 90 snapshots af mit websted til rådighed for at gendanne lige nu, hvoraf det seneste kun er tyve minutter gammelt. Jeg ved, at mit websted er sikkert i deres hænder.

2. Jeg administrerede mine profiler

En hacker kan potentielt få adgang til dit websted fra en hvilken som helst af administratorprofilerne i din WordPress-backend – ikke kun den du brug. Da jeg indlæste mine profiler kunne jeg se, at jeg havde tre andre profiler – en gæsteplakatprofil og to andre profiler til (troværdige) mennesker, som jeg havde givet adgang til mit websted.

Jeg begyndte med at lukke de to profiler ned og ændre gæsteplakatprofilens rolle til Forfatter. Dette er noget, jeg vil anbefale dig at gøre – opret kun så mange administratorprofiler, som det er absolut nødvendigt. Derudover skal du naturligvis sikre dig, at hver konto som en passende tilfældig og unik adgangskode og at nævnte adgangskoder regelmæssigt ændres.

Der er tidspunkter, hvor du bliver nødt til at give folk (såsom din webdesigner) adgang til dit websted. I sådanne situationer anbefaler jeg, at du opretter en profil til dem med en ny adgangskode, og derefter sletter den profil, så snart dens nødvendighed kommer til ophør.

Tænk altid på dit websteds indgangspunkter, og om de er strengt nødvendige.

3. Jeg har ændret mine adgangskoder

Du synes måske, dette var et indlysende træk, men jeg taler faktisk ikke om mine WordPress-adgangskoder. selvom jeg gjorde ændre dem, jeg var også sikker på at ændre alle adgangskoder til særligt følsomme konti, dvs.

  • Gmail
  • Facebook
  • Twitter
  • Min hosting-konto
  • Amazon Associates
  • etc

Hvis du undrer dig over, hvorfor jeg lavede dette skridt, skal du bare overveje historien om Mat Honan, hvis hele det digitale liv blev ødelagt af hackere, der oprindeligt hackede på hans Amazon-konto. Hvis du føler dig på nogen måde blasé om online sikkerhed, er ovenstående artikel en must-read.

Overvej denne enkle kæde: en hacker får adgang til din e-mail-konto, hvorfra du for nylig har sendt en e-mail til din webdesigner med loginoplysninger til dit WordPress-sted. Det er alt, hvad de har brug for for at få adgang til dit websted og gøre, som de vil. Hacking kan være så elementært.

4. Jeg opgraderede til SFTP

Her er noget, du måske ikke ved: alle data, du overfører via FTP (inklusive dit brugernavn og din adgangskode), er helt ukrypteret. Derfor kan enhver, der med succes kan opfange FTP-overførsler, hente dine loginoplysninger og få adgang til din konto.

Dette tillader ikke kun dem at tilføje og fjerne filer, som de synes, men de kan også få adgang til din WordPress-database via phpMyAdmin og til sidst logge ind på dit websted.

Kort sagt betyder det ikke noget, hvor sikker direkte adgang til dit WordPress-sted er, hvis de hackere kan komme ind via FTP. Som sådan anbefaler jeg kraftigt, at du deaktiverer FTP-adgang til dit websted og overfører filer ved hjælp af den alternative SFTP-protokol, som gør krypter data. Enhver god hostingudbyder skal kunne hjælpe dig med dette.

Apropos hostingudbydere …

5. Overvej egnetheden af ​​din hosting-løsning

Jeg er glad for, at jeg er sammen med Westhost. Det var deres ModSecurity-firewall, der i første omgang opdagede hacket og lukkede mit websted, før der blev gjort alvorlig skade. De udfører også automatisk daglige sikkerhedskopier (som blev brugt til at gendanne webstedet) og har cracking kundesupport til at starte.

Kan du sige det samme for din hostingudbyder? Der er så mange gode muligheder derude, at du ville være skør over at blive hos en udbyder, du ikke er tilfreds med. Du kan overveje at skifte til en af ​​de styrede hostingløsninger (som WPEngine), som WPExplorer for nylig gjorde.

Uanset hvad du vælger, skal du huske på de sikkerhedsforanstaltninger, de træffer. Overvej de foranstaltninger, jeg har truffet ovenfor, og sørg for, at de er kompatible med din hosting-løsning.


Historiens moral er denne: ikke gå på kompromis med sikkerhed. I sidste ende er det vigtigere at holde dit websted sikkert hvad som helst andet. Der er ingen mening med stort indhold eller et spankly nyt design, hvis ingen kan se det, fordi dit websted er blevet revet til strimler af hensynsløse hackere.

Nefarious typer, der ikke har noget bedre at gøre med deres liv end at hacke folks websteder, forsvinder ikke snart. Jo før du accepterer det og træffer rimelige forholdsregler for at beskytte dit websted mod at blive angrebet, desto bedre er det for langvarig sikkerhed for dine online aktiver.

Jeg vil meget gerne vide, hvad du synes om de foranstaltninger, jeg har truffet. Er der nogle yderligere anbefalinger, du vil komme med? Fortæl os det i kommentarfeltet!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map