5 قدم من برای بازیابی وبلاگ وردپرس من از هک

وبلاگ من ، Leaving Work Behind ، در ماه آوریل هک شد. این چیزی است که شما در مورد آن اغلب به اندازه کافی می خوانید اما هرگز انتظار ندارید که اتفاق بیفتد شما تا خیلی دیر نشده صادقانه بگویم ، من خودم را به عنوان کاندیدای اصلی ندیدم – من در مورد امنیت وردپرس غالباً نوشتم که اقدامات پیشگیرانه زیادی را انجام دهم. با این حال ، این اقدامات به وضوح به اندازه کافی جامع نبود.


هک شدن چیزی است که نمی خواهم دوباره از آن عبور کنم. دلایل زیادی وجود دارد که باعث می شود خرابی وب سایت برای وبلاگ / شغل شما بد باشد: در حالی که از بین رفتن ترافیک و درآمد بالقوه دو مورد واضح است ، اما نمی توانم مدت زمانی را که برای از بین بردن سایت از دست دادم و میزان استرس آن را درک کنم. باعث شد.

در این پست می خواهم آنچه را که در سایت من رخ داده است فاش کنم و به شما می خواهم آنچه را که من برای افزایش امنیت سایت خود انجام داده ام را به شما اطلاع دهم.

هک شدن: داستان من

پنجشنبه 18 آوریل از خواب بیدار شدم که متوجه شدم سایت من خراب است و چند ساعت است. من بلافاصله با ارائه دهنده میزبانم ، وستاوست تماس گرفتم ، كه به من اطلاع داد كه فایروال ModSecurance آنها فعالیت غیرمعمول را در سایت من تشخیص داده است و بلافاصله به عنوان احتیاط آن را خاموش كرده است. با اجرای یک بازگرداندن اولیه در سایت ، فوراً می توانم مشاهده کنم که هک شده است. در حالی که تغییرات نسبتاً ظریف بودند ، به اندازه کافی واضح بود که برخی از انواع (های) بی پروا اطراف خود را حسابی دماغ کرده اند.

به نظر می رسد تعداد زیادی از سایت های وردپرس نیز هک شده بودند ، و Westhost کار خود را قطع کرده بود. خوشبختانه آنها پشتیبان روزانه سایت را می گیرند و بعد از ظهر بعد از ظهر من با نسخه ای از سایت خود به اینترنت برگشتم که تا حد ممکن نزدیک به فعلی باشد.

در اینجا تأثیر هک در ترافیک من آورده شده است:

آمار کلیک کنید

برای ترسیم نمودار فوق ، میزان ترافیک آن هفته نسبت به هفته قبل 30 down کاهش یافته است. این به لحاظ نظری به معنای افت 30 درصدی درآمد بود.

منصفانه است كه بگویم من مشتاقانه اطمینان حاصل كردم (تا حد توانم) كه چنین هكی قابل تكرار نیست. من بلافاصله اقدام کردم.

مراحل فوری من

اولین کاری که من کردم این بود که تأیید کنم که من مراحل زیر را در تأمین امنیت وب سایت وردپرس خود ذکر کرده ام.

اینها اصول کاملی بودند: به روز کردن مضامین و افزونه های من ، اطمینان از داشتن نسخه پشتیبان تهیه شده اخیر ، اطمینان از نامگذاری پروفایل پیش فرض من به عنوان “مدیر” ، تغییر رمز عبور من ، و بررسی افزونه های امنیتی در سایت من. با وجود آن وسایل ، زمان آن رسیده بود که حرکت کنیم.

من هیچ مشکلی ندارم که اکنون سایت من 100٪ امن است – از این گذشته ، به هیچ عنوان سایتی 100٪ مطمئن وجود ندارد. با گفتن این موضوع ، من می دانم که این کشور بسیار امن تر از گذشته است و من در حال حاضر و آینده به بررسی اقدامات امنیتی سایت خواهم پرداخت. تاکنون ، این کاری است که من انجام داده ام.

1. VaultPress را نصب کردم

برای کسانی از شما که نمی دانید, VaultPress پشتیبان گیری و راه حل امنیتی کاملاً خودکار برای وردپرس است. متعلق به آن است خودکار, “صاحبان” وردپرس واقعاً.

اکنون که چند روز از VaultPress استفاده کرده ام ، نمی توانم باور کنم که آنقدر ارزان قیمت بودم که قبلاً برای این سرویس نپرداختم. بسته بندی پایه آنها از 15 دلار در هر ماه شروع می شود – من این کار را برای آرامش خاطر در هر روز از هفته پرداخت می کنم.

در واقع ، من تصمیم گرفتم تا با بسته بندی Premium (40 دلار در ماه) بروم که شامل موارد زیر است:

  • تهیه نسخه پشتیبان از زمان واقعی
  • بازیابی سایت با یک کلیک خودکار
  • بایگانی ، آمار و فعالیت ها
  • بازیابی اولویت در برابر بلایای طبیعی
  • پشتیبانی “دربان” اولویت
  • اسکن امنیتی روزانه
  • اطلاعیه های امنیتی
  • رفع کننده های یک کلیک برای تهدیدات امنیتی
  • کمک به مهاجرت سایت

در واقع ، آنها به شما پوشانده شده اند.

اگرچه VaultPress نمی تواند امنیت سایت شما در برابر هکرها را تضمین کند ، اما تقریباً زیاد است می توان تضمین می کند که سایت شما با سهولت نسبی قابل ترمیم خواهد بود. در مورد دیدن عکس های ساعتی از سایت های شما در سرورهای VaultPress چیزی آرامش بخش است:

پشتیبان گیری VaultPress

در حالی که راه حل های پشتیبان رایگان زیادی در آنجا وجود دارد ، من فکر نمی کنم هر چیزی آرامش نسبی ذهن شما را از VaultPress بدست آورد. آنها در حال حاضر 90 عکس فوری از سایت من برای بازیابی در دسترس دارند ، که جدیدترین آنها تازه بیست دقیقه است. می دانم سایت من در دست آنها امن است.

2. من پروفایل های خود را مدیریت کردم

یک هکر می تواند به طور بالقوه به سایت شما از هر یک از نمایه های سرپرست در باطن وردپرس شما دسترسی پیدا کند – نه فقط یکی شما استفاده کنید. وقتی پروفایل هایم را بارگذاری کردم ، دیدم که سه پروفایل دیگر دارم – یک پروفایل پوستر میهمان و دو پروفایل دیگر برای (قابل اعتماد) افرادی که به سایت خود دسترسی پیدا کرده ام.

من با خاموش کردن آن دو پروفایل و تغییر نقش پروفایل پوستر مهمان به نویسنده شروع کردم. این چیزی است که من به شما توصیه می کنم – فقط به همان اندازه پروفایل های مدیر را ایجاد کنید که کاملاً ضروری است. علاوه بر این ، مطمئناً باید اطمینان حاصل کنید که هر حساب به عنوان یک رمز عبور مناسب و تصادفی مناسب و منحصر به فرد و رمزهای گفته شده به طور مرتب تغییر می کنند.

مواقعی وجود دارد که شما باید به افراد (مانند طراح وب خود) اجازه دسترسی به سایت خود بدهید. در چنین شرایطی توصیه می کنم با یک رمز عبور جدید ، نمایه ای را برای آنها ایجاد کنید ، به محض اتمام ضرورت آن ، آن پروفایل را حذف کنید.

همیشه درمورد نقاط ورود سایت خود و اینکه آیا آنها کاملاً ضروری هستند فکر کنید.

3. رمزهای عبور خود را تغییر دادم

ممکن است فکر کنید این یک حرکت آشکار بود ، اما من واقعاً در مورد رمزهای عبور وردپرس خود صحبت نمی کنم. هرچند من انجام داد آنها را تغییر دهید ، من همچنین اطمینان داشتم که کلمه عبور را به حسابهای حساس تغییر می دهم ، یعنی:

  • جیمیل
  • فیس بوک
  • توییتر
  • حساب میزبانی من
  • همکاران آمازون
  • و غیره

اگر نمی دانید چرا من این حرکت را انجام داده ام ، فقط داستان مات هون را در نظر بگیرید که کل زندگی دیجیتال او توسط هکرهایی که در اصل به حساب آمازون وی هک شده اند نابود شده است. اگر به هر شکلی نسبت به امنیت آنلاین احساس ناامنی کرده اید ، مقاله فوق الذکر خوانده شده است.

این زنجیره ساده را در نظر بگیرید: یک هکر به اکانت ایمیل شما که اخیراً برای آن ایمیل ارسال کرده اید با جزئیات ورود به سایت وردپرس خود به طراح وب خود ارسال می کنید ، دسترسی پیدا می کند. این تنها چیزی است که آنها برای دستیابی به سایت شما نیاز دارند و آنطور که می خواهند انجام می دهند. هک شدن می تواند آن ابتدایی باشد.

4. من به SFTP ارتقا دادم

در اینجا چیزی است که شما نمی دانید: هر داده ای که از طریق FTP منتقل می شوید (از جمله نام کاربری و رمزعبور خود را) کاملاً رمز نشده است. بنابراین ، هرکسی که با موفقیت بتواند از انتقال FTP جلوگیری کند ، می تواند جزئیات ورود به سیستم را انتخاب کرده و به حساب شما دسترسی پیدا کند.

این امر نه تنها به آنها اجازه می دهد فایلهایی را که مناسب دیدند اضافه و حذف کنند ، بلکه می توانند از طریق phpMyAdmin به پایگاه داده WordPress شما دسترسی پیدا کرده و در نهایت به سایت خود وارد شوند.

به عبارت ساده ، مهم نیست که دسترسی هکرها از طریق FTP دسترسی مستقیم به سایت وردپرس شما چقدر امن باشد. به همین ترتیب ، من اکیداً توصیه می کنم که دسترسی FTP به سایت خود را غیرفعال کرده و فایل ها را با استفاده از پروتکل جایگزین SFTP ، که انتقال داده شده است ، انتقال دهید میکند رمزگذاری داده ها هر ارائه دهنده میزبانی خوب باید بتواند در این زمینه به شما کمک کند.

صحبت از ارائه دهندگان میزبانی …

5- مناسب بودن راه حل میزبانی خود را در نظر بگیرید

خوشحالم که با Westhost هستم. این فایروال ModSecurance آنها بود که در وهله اول هک را کشف کردند و قبل از اینکه آسیب جدی وارد شود ، سایت من را خاموش کردند. آنها همچنین از پشتیبان گیری روزانه اتوماتیک (که برای بازیابی سایت استفاده می شود) انجام داده و از پشتیبانی مشتری برای بوت شدن برخوردار هستند.

آیا می توانید همین مورد را برای ارائه دهنده میزبان خود بگویید؟ گزینه های بسیار خوبی در خارج وجود دارد که شما را مجبور به ماندن با ارائه دهنده ای که از آن ناراضی هستید ، عصبانی می شوید. ممکن است تغییر در یکی از راه حل های میزبانی مدیریت شده (مانند WPEngine) را در نظر بگیرید همانطور که WPExplorer همین اواخر انجام داد.

انتخاب شما هر چه باشد ، حتما درباره اقدامات امنیتی که انجام می دهند ، تحقیق کنید. اقداماتی را که در بالا انجام دادم در نظر بگیرید و از سازگاری آنها با راه حل میزبانی شما اطمینان حاصل کنید.


اخلاقی داستان این است: برای امنیت سازش نکنید. در نهایت ، ایمن نگه داشتن سایت شما از اهمیت بیشتری برخوردار است هر چیزی دیگر اگر کسی نتواند آن را ببیند ، محتوای عالی و یا طراحی جدید و بی نظیری وجود ندارد ، زیرا سایت شما توسط هکرهای بی رحمان خرد شده است.

انواع مفید که هیچ ارتباطی بهتر با زندگی خود نسبت به سایت های هک افراد ندارند ، به زودی از بین نمی روند. هرچه زودتر این موضوع را بپذیرید و اقدامات منطقی را برای محافظت از حمله سایت خود انجام دهید ، برای امنیت طولانی مدت دارایی های آنلاین خود بهتر خواهید بود.

من دوست دارم بدانم که درباره اقدامات من چه اتفاقی می افتد. آیا توصیه های دیگری که ارائه می دهید وجود دارد؟ در بخش نظرات با ما در میان بگذارید!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map