Vel, jeg er her for å fortelle deg at det kan skje med deg.
Denne nettsiden ble hacket dette siste julaften. Det som skjedde er en del av en større og forstyrrende trend der småbedrifter nettsteder og blogger blir angrepet og kompromittert. WordPress-nettsteder synes å være et bestemt mål.
$config[code] not foundJeg har bestemt meg for å dele historien min, i håp om at det vil hjelpe deg med å unngå hacking, eller hvis det skjer, gjenopprett raskt.
De stygge detaljene
På julaften prøvde jeg å åpne dette nettstedet som jeg vanligvis gjør første ting om morgenen, bare for å gjøre en rask sjekk.
Hjemmesiden til nettstedet var helt tomt! Ingenting. Nada. Jeg kunne ikke legge inn noe nytt heller. Jeg skjønte at en cracker hadde hacket siden. Som jeg undersøkte senere den dagen, oppdaget jeg ganske mye skade på nettstedet, inkludert:
- Alle WordPress-plugins hadde blitt deaktivert
- En rekke sider ble slettet, inkludert Eksperter-katalogen, Nyhetsbrev-siden, Om side og andre.
- Blogrollet hadde blitt kompromittert, med omtrent et dusin lenker lagt inn på nettsteder for voksne og pharma.
- Nesten 50 skjulte lenker til voksne nettsteder, farmasøytiske steder og andre søppelsteder ble spredt i overskriften og i bunnteksten. Du kunne ikke se koblingene fra å se på nettstedet via en standard nettleser som Internet Explorer, fordi de var forsettlig skjult ved hjelp av HTML-kode. Men søkemotorer kan selvfølgelig "se" koblingene.
Da det var en ferie, gjorde jeg det jeg kunne for å gjenopprette nettstedet, og neste dag fikk jeg hjelp. Heldigvis bruker jeg et profesjonelt vertsfirma med utmerket telefonstøtte. Og vår kontraktsansvarlige, Tim Grahl, var super og droppet alt for å svare.
Vi jobbet som et lag, og vi klarte å få siden til å fungere og se presentabel igjen innen utgangen av virksomheten 26. desember.
Men lite visste jeg at prøvingen ikke var over. Jeg hadde nettopp sett toppen av isfjellet den første dagen. Jeg oppdaget snart hva hackerne virkelig hadde gjort.
Hackere Gaming søkemotorene
Fra begynnelsen holdt jeg meg lurer på: "Hvorfor skulle noen hack dette nettstedet?" Det er ingenting av verdi (til en hacker) i den. Ingen kredittkortnummer. Ingen konfidensielle data. Ingen kundeinformasjon.
I begynnelsen klatret jeg det til vandalisme.
Men da situasjonen utviklet seg og jeg oppdaget mer skade, skjønte jeg at dette ikke var bare vandalisme. Snarere handler denne hackingaktiviteten om kapring småbedrifter nettsteder og blogger , og bruker dem til generere koblinger til andre steder til spill søkemotorene .
Hackerne finner et sikkerhetshull og kommer inn på nettstedet ditt. De tar kontroll gjennom skript som gjør nettstedet ditt til en link-genererende drone. Lenkene som genereres på nettstedet ditt (uten din kunnskap) er pekte på andre nettsteder, i et forsøk på å få de andre nettstedene til toppen av søkemotorens resultater.
Snared i en Splog Ring
En dag etter at jeg oppdaget hackingen, lærte jeg den verste delen: hackerne hadde kapret en del av dette nettstedet til en splog (spam blog) ring.
Den første anledningen kom fra Technorati.com da jeg så innkommende link teller til Småvirksomhetstendenser hadde hoppet av et par tusen koblinger over natten. "Åh, hvor fint," tenkte jeg - i omtrent 3 sekunder! Min fornøyelse snudde seg mot avsky da jeg så at alle koblingene brukte ankertekst som "viagra", "søte ringetoner" og andre forskjellige søppelpost.
Lenkene var fra "splogs". Hver splog besto av tusenlitteratur - bokstavelig talt tusenvis - av lenker som peker på sider på andre nettsteder, inkludert hundrevis av falske sider som ble opprettet på tmp-katalogen på dette nettstedet.
Det var da jeg skjønte hva hackerne egentlig hadde gjort. De hadde etterlatt et skript som automatisk genererte hundrevis av falske sider på dette nettstedet. Disse falske sidene ble omdirigert til pharma-, voksen- og ringetone-nettsteder. Du kunne ikke se de falske sidene fra å se på dette nettstedet, men de var der.
Deretter hadde hackerne opprettet ringer av andre nettsteder, hovedsakelig blogger, for å koble til de falske sidene på Småvirksomhetstendenser. Alt var designet for å til slutt sende kombinert lenkevekt til pharma-, voksen- og ringetone-nettstedene de ønsket å rangere høyt i søkemotorene.
Slik fungerer det:
Splog A >>> lenker til falsk side på hijacked site B >>> hvilken falsk side er omdirigert til et pharma-nettsted som selger OxyContin.
Skyll og gjenta. Tusenvis av ganger.
Resultat = raske økninger i søkemotorrangeringer for nettstedet som selger OxyContin.
Som du kan se, var dette ikke et isolert angrep på et enkelt sted. Dette var en orkestrert ordning som involverer hundrevis Hvis ikke tusener av nettsteder. Mine skjedde bare for å være en av mange steder snart.
Hvordan hackerne kom inn
Vi tror hackerne kom inn gjennom en usikker versjon av WordPress via serveren. Utover det vil jeg ikke si mer, for ikke å gi en veikart for hvordan man kan knekke andre steder. Angrepet syntes å komme fra en russisk IP-adresse.
Angrepet tok fordel av ferien timing, som min vert hadde en skjelettpersonell jobber julaften. Utrolig, mindre enn 2 dager etter det første angrepet, mens vi var midt i å fikse blodbadet, kom hackerne tilbake! Denne gangen ble forhindringsforsøket forhindret ved rask handling fra vertsfirmaet, blokkering av IP-adressen som var gal spider på nettstedet.
Da jeg forsket på andre hackinger, ble jeg bedøvet for å oppdage at det er over et dusin versjoner av WordPress med kjente sårbarheter. Med en estimert 2 til 3 millioner blogger ved hjelp av WordPress, betyr det at mange blogger kan være i fare. Nettsteder og blogger som har eksistert på en stund, og pålitelige nettsteder, er de som sannsynligvis vil bli angrepet.
Bare gjør et søk i Google, og du vil finne rapporter om at andre WordPress-blogger blir hacket, inkludert noen av de beste og klareste. Selv Al Gores blogg ble hacket.
Videre har min forskning avslørt minst et halvt dusin måter å kompromittere WordPress blogger. Og for hver metode jeg har sett, er jeg sikker på at dårlige kjenner 2 dusin andre.
Korrigerende tiltak
Vi tok en rekke skritt for å sikre nettstedet, inkludert:
- Oppgradert til den nyeste versjonen av WordPress.
- Eliminerte en plugin som foreslått forskning kan ha sikkerhetsproblemer, og oppdaterte alle de gjenværende pluginene hvis nye versjoner eksisterte.
- Ryddet opp alle råvarer som ble igjen av hackerne, sletting av skript og uautoriserte lenker og sider. Vi måtte ikke bare skure vår egen nettstedskode, men trengte at vårt vertsfirma skulle gjøre det for hele serveren.
- Omvendt til en ren MySQL-database backup fra før angrepet.
- Blokkert selvregistrering på dette nettstedet.
- Endrede passord; gjennomgåtte serverlogger for mistenkelige IP-adresser og blokkert dem og endret en rekke andre ting som jeg ikke vil være oppmerksom på.
Noen spurte om jeg planla å bytte fra WordPress til en annen programvare. Nei, jeg planlegger å holde fast i det. WordPress er en god programvarepakke og har vært hodepinefri 99% av tiden. Jeg forstår at WordPress-utviklingssamfunnet jobber for å takle sikkerhetsproblemene - la oss håpe de gjør det før WordPress utvikler en irreversibel dårlig rap.
Men jeg har sparket opp sikkerhetsforanstaltninger et par hakk. Jeg tror en bestemt hacker kan finne en måte å komme inn på noen nettsted, hvis de virkelig vil. Men hvorfor lage deg et enkelt mål?
Så, akkurat nå, lurer du sikkert på hva du kan gjøre for å beskytte bloggen din eller nettsiden din. Jeg har noen tips til deg. Men siden denne artikkelen er allerede lenge, har jeg satt dem i en egen artikkel: Hvordan beskytte ditt WordPress-nettsted.
56 kommentarer ▼
