Mi blog de wordpress podría haber sido hackeado - detectify me salvó
Si te dijera que hay un lugar donde puedes ir a conseguir la tranquilidad de que su sitio web es seguro, ¿me creerías? Así que debería, porque no lo es. Se llama Detectify.
Soy el tipo de propietario del sitio web que ha sido siempre una especie de negación. No puede pasar a mí. ¿Por qué alguien va a querer cortar mi sitio?
Bueno, todos esos delirios vino abajo alrededor de mi cabeza en 2011 cuando el archivo PHP principal de mi página de inicio fue reemplazado con una página web que anuncia que el sitio había sido hackeado. No sólo fue un shock para darse cuenta de que en realidad había sustituido a un archivo en mi servidor web, pero fue un gran golpe a mi orgullo. ¿Qué clase de idiota permite a su sitio web para obtener hackeado?
La realidad es que con el tiempo mi blog de WordPress se había convertido en obsoleto, y cada vez más vulnerables a los ataques ya que los hackers recorrieron la caza de Internet para la versión anterior de WordPress con vulnerabilidades conocidas, sin parches. Mayor falla de mi parte. Así, recientemente, por fin terminado de actualizar mi blog a un tema nuevo de la marca nalgadas. Seguros de que no tenía nada de qué preocuparse en el departamento de seguridad, ni siquiera me molesté en comprobar si el tema o cualquiera de mis plugins instalados tenían ningún problema de seguridad conocidos. No fue hasta Me encontré con Detectify que me di cuenta de lo cerca que mi blog fue a ser atacado y potencialmente hackeado, Una vez más.
Instalación Detectify
Claro, hay otra plugins del análisis de seguridad se puede utilizar en su sitio, pero Detectify es tan fácil de configurar y usar, incluso para un principiante. Detectify es un plugin de combinación y servicio web. El primer paso, como suele ser el caso con los servicios web - Tienes que registrarte.Dé a su página web Una revisión completa de Seguridad Con HackerTarget Dé a su página web Una revisión completa de Seguridad Con HackerTarget Con el avance de Internet y los sistemas que se está ejecutando se vuelven más difíciles de piratear, uno pensaría que los sitios web se cortaron menos! De hecho, es todo lo contrario, el problema número uno no puesto en ...Lee mas
El siguiente paso es descargar e instalar el plugin Detectify. Este es un plugin bastante simple, pero da la aplicación de seguridad basada en la web la capacidad de aprovechar todos los aspectos de tu blog y analizar en busca de fallos de seguridad. Detectify busca para cosas como la inclusión de archivos local y remoto, DOM u otros problemas de cross-site scripting, con los parches de matriz PHP, ejecución remota de comandos y mucho más. Puede ver todas las vulnerabilidades que Detectify busca de en la página plugin.
Una vez que se haya registrado para el servicio y el complemento está instalado, el último paso es confirmar su instalación escribiendo la clave de verificación que recibirá un correo electrónico en el campo en el complemento. Entonces estás todas ellas unidas y listo para rodar.
Ejecución de una exploración Detectify
Una vez que su sitio está vinculado, verá que se muestre en su lista de dominios disponibles en su cuenta Detectify en línea. Usted puede inscribirse para escanear múltiples dominios, si quieres.
Cuando esté listo para iniciar su análisis de vulnerabilidades web, simplemente haga clic en el botón Scan y dejar que haga su trabajo. Algunas recomendaciones en esta etapa: tratan de ejecutar la exploración en un momento en que su sitio tiene el menor tráfico. Detectify se arrastraba y la exploración de archivos en su sitio, por lo que habrá un poco de impacto en el rendimiento debido a que el procesamiento.
En segundo lugar, dar el servicio el tiempo que necesita para hacer todo de que el rastreo y escaneo. No va a ser un trabajo rápido 30-60 minutos, a menos que su sitio web es insignificante. Las probabilidades son para un blog de tamaño mediano que está viendo más de 6 horas. Para un gran blog, muchos más.
La mejor opción para la mayoría de la gente es poner en marcha el escaneo antes de ir a la cama, y que tendrá los resultados esperando en la mañana. En mi caso, a pesar de mi marca, brillante nuevo tema y ejecutando la última versión de WordPress, he descubierto que tenía varios avisos relacionados con la seguridad de mi blog.
Al hacer clic en el botón Informe le llevará a la página con los detalles de digitalización para su dominio.
Explicación de los resultados del análisis
La primera página del panel básicamente le da una visión general de cómo muchos archivos fueron escaneados, los tipos de archivos escaneados y el tiempo que tomó para escanearlos.
Eso es cada archivo en el servidor, por lo que si usted tiene una gran cantidad de archivos multimedia, es mejor creer que la exploración se va a tomar mucho tiempo. Los resultados reportados también detallan el desglose exacto del tiempo de exploración para que pueda ver qué parte de la exploración consume la mayor parte del tiempo de procesamiento. En mi caso arrastrándose y las pruebas de explotación compone la mayor parte de tiempo de exploración.
El informe también le dará un historial de las últimas exploraciones se le han acabado, con vulnerabilidades descubiertas. Al preparar los temas en su sitio, puede volver aquí para asegurarse de que sus nuevas exploraciones reflejan una mejora de la situación con su sitio, en lugar de un número creciente de problemas.
Por supuesto, la mejor parte de Detectify (y todo el punto de usarlo en realidad), es la sección de detalle, que se describen problemas muy específicos descubiertos en su sitio.Cómo construir un rastreador web básico para extraer información de un sitio web (Parte 1)Cómo construir un rastreador web básico para extraer información de un sitio web (Parte 1)Lee mas
La fijación de problemas de seguridad de su sitio
Así que aquí es lo que me salvó. Había algunas advertencias que me hizo comprender mi sitio había problemas persistentes a pesar del hecho de que tenía acaba de actualizar todo y pensaba que era alto y seco. Una de las primeras advertencias no era demasiado grave, pero estaba relacionado con el hecho de que la instalación de PHP en mi servidor Apache ofrece una “Huevo de Pascua”Que podría permitir a los posibles piratas informáticos para identificar qué versión de PHP Estoy corriendo por la comprobación de qué icono se muestra cuando el icono del código de huevo de Pascua se añade a la URL de mi sitio.
Yo estaba permitiendo, sin saberlo, la versión de PHP que se reveló, que también revela que los piratas informáticos, donde a la caza de vulnerabilidades que pueden ser utilizados para cortar en mi sitio. No estaba muy feliz de ver esto (que no tenía idea acerca de estos códigos de huevo de Pascua).
Lo bueno de informe Detectify es que incluso si usted no es un diseñador web o programador, la explicación del problema y la solución recomendada es bastante fácil de entender que fácilmente se podría solucionar la mayoría de los problemas detectados por sí mismo.
Detectify descubrió una segunda vulnerabilidad está relacionada con la forma en que había dejado el nombre de usuario enlace permanente en WordPress para enumerar los valores, lo que permite a los piratas informáticos una manera fácil de sifón de enlaces de usuario y contraseña corriendo a través de algoritmos de hacking para destapar una cuenta con una contraseña débil.
Una tercera vulnerabilidad que Detectify encontró estaba relacionado con una antigua plugin que me había instalado en el sitio, y una vulnerabilidad de la biblioteca javascript enterrado profundamente dentro de una de las carpetas de demostración dentro de ese plugin. No tenía ni idea de que existiera esta carpeta en el servidor - pero allí estaba, una vulnerabilidad a la espera de algún hacker a venir y explotar.
Y allí estaba pensando que yo estaba de pie fuerte con una página web impenetrable. Una vez más, Detectify siempre muy clara y fácil de entender resoluciones a cada aviso de vulnerabilidad.
Problemas de seguridad informativa
Detectify se toma la seguridad un paso más allá que le proporciona los problemas de seguridad de información en su sitio. Se trata principalmente de cuestiones muy menores que no son exactamente los problemas de seguridad, pero podría haber maneras de que los hackers podrían obtener más información acerca de su sitio web, proporcionándoles herramientas de investigación para encontrar vulnerabilidades conocidas en lo que tiene instalado en su servidor web.
Puede solucionar estos si eres un verdadero purista de seguridad, pero la mayoría de estos son sólo recomendaciones. Usted no está en grave peligro si decide renunciar a la mayor parte de éstos.
Me di cuenta de estos resultados, incluso incluyen el hecho de que el rastreador era capaz de descubrir direcciones de correo electrónico en texto plano en mi sitio. Incluso se incluye una lista de todas las direcciones que encuentra - en su mayoría extraídos de los comentarios de edad.
Lo que fue sorprendente es que a través de los años pensé que había bloqueado toda publicación de las direcciones de correo electrónico al sitio. Detectify me aconsejó lo contrario, y se enumeran todas las direcciones de correo electrónico única descubierto.
Podría mi sitio ha sido hackeado no había utilizado Detectify y corregido esas advertencias? Posiblemente. Eso es lo que pasa con la seguridad web. Usted puede pensar que los problemas que existen en su servidor no son “graves” como para justificar su tiempo y energía, pero todo lo que se necesita es un hacker de recursos y motivados para investigar ese agujero de seguridad, y luego se toma el tiempo para explotar realidad eso.
Cuando se está gastando incontables horas la construcción de un sitio web que se amen, y la inversión de cantidades impíos de dinero en alojamiento web y otros gastos de sitios web, la última cosa que necesita es un poco de todo lo viscoso hacker de destruir que se ha construido nunca. Por lo tanto, instale Detectify. Escanear su sitio. Resolver esos problemas. Confía en mí, usted será feliz de haberlo hecho. Sé quien soy.Cómo construir su propio sitio web en minutos sin conocimientos de programaciónCómo construir su propio sitio web en minutos sin conocimientos de programaciónA medida que la Web crece, y lo hace asombrosamente rápido, la necesidad de una presencia en la web es cada vez más apremiante. En muchas partes del mundo, simplemente debe tener una presencia en la web con el fin de ...Lee mas