Meu blog Wordpress poderia ter sido invadido

Propaganda

Se eu lhe dissesse que existe um lugar para você ter a certeza de que seu site é seguro, você acredita em mim? Bem, você deveria, porque existe. É chamado Detectar.

Eu sou o tipo de proprietário de site que sempre esteve em negação. Isso não pode acontecer comigo. Por que alguém iria querer invadir meu site?

Bem, todas essas ilusões vieram à minha cabeça em 2011, quando o principal arquivo PHP da minha página inicial foi substituído por uma página da web anunciando que o site havia sido invadido com sucesso. Não foi apenas um choque perceber que alguém havia realmente substituído um arquivo no meu servidor da web, mas foi um golpe muito grande para o meu orgulho. Que tipo de idiota permite que seu site seja invadido?

A realidade é que, com o tempo, meu blog WordPress ficou desatualizado e cada vez mais vulnerável a ataques enquanto hackers vasculhavam a Internet procurando por versões mais antigas do WordPress com códigos conhecidos e sem remendos vulnerabilidades. Grande falha da minha parte. Então, recentemente, eu finalmente terminei de atualizar meu blog para um novo tema de marca. Confiante de que não tinha com o que me preocupar no departamento de segurança, nem me preocupei em verificar se o tema ou qualquer um dos meus plug-ins instalados tinha algum problema de segurança conhecido. Não foi até que me deparei com o Detectify que percebi o quão perto meu blog estava de ser atacado e potencialmente invadido,

de novo.

Instalando o Detectify

Claro, existem outros plugins de verificação de segurança Dê ao seu site uma verificação completa da segurança com o HackerTargetÀ medida que a Internet evolui e os sistemas em que está sendo executada se tornam mais difíceis de invadir, você acha que os sites seriam menos invadidos! De fato, o oposto é verdadeiro, com o problema número um que não está em ... consulte Mais informação você pode usar no seu site, mas o Detectify é tão fácil de configurar e usar, mesmo para iniciantes. Detectify é um plug-in de combinação e serviço da web. A primeira etapa, como geralmente acontece com os serviços da Web - você precisa se inscrever.

O próximo passo é baixar e instalar o Detectify Plugin. Este é um plugin bastante simples, mas oferece ao aplicativo de segurança baseado na Web a capacidade de explorar todos os aspectos do seu blog e analisá-lo quanto a falhas de segurança. Detectar pesquisas para coisas como inclusão de arquivos locais e remotos, problemas de script DOM ou outros sites, problemas de caminho de matriz PHP, execução de comandos remotos e muito mais. Você pode ver todas as vulnerabilidades que o Detectify pesquisa na página do plug-in.

Depois de se inscrever no serviço e o plug-in ser instalado, a última etapa é confirmar sua instalação, digitando a chave de verificação que você recebe por e-mail no campo do plug-in. Então, todos estão vinculados e prontos para o lançamento.

Executando uma verificação de detecção

Depois que o site estiver vinculado, você o verá aparecer na sua lista de domínios disponíveis na sua conta online do Detectify. Você pode se inscrever para verificar vários domínios, se quiser.

Quando você estiver pronto para iniciar a verificação de vulnerabilidades no site, basta clicar no botão Digitalizar e deixar que ele faça seu trabalho. Algumas recomendações nesta fase: tente executar a verificação durante um período em que seu site tenha menos tráfego. O Detectify rastreará e verificará arquivos no seu site; portanto, haverá um pouco de desempenho devido a esse processamento.

Em segundo lugar, forneça ao serviço o tempo necessário para realizar todo esse rastreamento e verificação. Não será um trabalho rápido de 30 a 60 minutos, a menos que seu site seja insignificante. As probabilidades são de um blog de tamanho médio que você procura há mais de 6 horas. Para um blog grande, muito mais.

A melhor opção para a maioria das pessoas é iniciar a verificação antes de ir para a cama, e você terá os resultados à sua espera pela manhã. No meu caso, apesar da minha marca, do novo tema brilhante e da versão mais recente do WordPress, descobri que tinha vários avisos relacionados à segurança do meu blog.

Ao clicar no botão Relatório, você será levado à página com os detalhes da verificação do seu domínio.

Compreendendo os resultados da sua digitalização

A primeira página do painel basicamente fornece uma visão geral de quantos arquivos foram verificados, os tipos de arquivos verificados e quanto tempo levou para verificá-los.

São todos os arquivos do seu servidor. Portanto, se você tiver muitos arquivos de mídia, é melhor acreditar que a verificação levará muito tempo. Os resultados relatados também detalham o detalhamento exato do tempo de verificação, para que você possa ver qual parte da verificação consumiu mais tempo de processamento. No meu caso Crawling Como criar um rastreador básico da Web para extrair informações de um siteSempre quis capturar informações de um site? Veja como escrever um rastreador para navegar em um site e extrair o que você precisa. consulte Mais informação e os testes de exploração representavam a maior parte do tempo de varredura.

O relatório também fornecerá um histórico das últimas verificações executadas, com vulnerabilidades descobertas. Ao corrigir problemas em seu site, você pode voltar aqui para garantir que suas novas verificações reflitam uma situação melhorada com seu site, em vez de um número crescente de problemas.

Obviamente, a melhor parte do Detectify (e todo o sentido de usá-lo realmente) é a seção de detalhes, que descreve problemas muito específicos que foram descobertos no seu site.

Corrigindo problemas de segurança do seu site

Então aqui está a coisa que me salvou. Houve alguns avisos que me fizeram perceber que meu site continuava com problemas, apesar do fato de eu ter acabado de atualizar tudo e achar que estava alto e seco. Um dos primeiros avisos não era muito sério, mas estava relacionado ao fato de a instalação do PHP no meu servidor Apache oferecer uma "ovos de pascoa 10 Ovos de Páscoa divertidos e surpreendentes para o sistema operacionalEncontre hilaridades ocultas e coisas estranhas, integradas ao sistema operacional que você está usando. Eles estão escondidos no site, no software que você usa todos os dias e, quando os encontrar, ficará encantado - ... consulte Mais informação ”Que poderia permitir que hackers identificassem qual versão do PHP eu estou executando, verificando qual ícone é exibido quando o código do ovo da páscoa é anexado ao URL do meu site.

Eu estava, sem saber, permitindo que a versão do PHP fosse revelada, o que também revela aos hackers onde procurar por vulnerabilidades que podem ser usadas para invadir o meu site. Não fiquei muito feliz ao ver isso (não fazia ideia sobre esses códigos de ovos de páscoa).

O bom do relatório Detectify é que, mesmo que você não seja um web designer ou programador, a explicação do problema e a solução recomendada é fácil o suficiente para entender que você pode corrigir facilmente a maioria dos problemas descobertos você mesmo.

O Detectify descobriu uma segunda vulnerabilidade relacionada a como eu havia deixado o permalink de Nome de Usuário no WordPress para enumerar valores, permitindo hackers, uma maneira fácil de desviar links de usuários e executar algoritmos de hackers de senhas para descobrir uma conta com uma senha fraca.

Uma terceira vulnerabilidade encontrada pelo Detectify estava relacionada a um plug-in antigo que eu havia instalado no site e uma vulnerabilidade da biblioteca JavaScript escondida nas profundezas de uma das pastas de demonstração dentro desse plugar. Eu não tinha absolutamente nenhuma pista de que essa pasta existisse no servidor - mas havia uma vulnerabilidade apenas esperando que algum hacker aparecesse e explorasse.

E lá estava eu ​​pensando que estava forte com um site impenetrável. Novamente, o Detectify forneceu resoluções muito claras e fáceis de entender para cada aviso de vulnerabilidade.

Questões informativas de segurança

Detectify leva a segurança um passo adiante, fornecendo a você problemas de segurança informativos em seu site. Esses são principalmente problemas muito pequenos que não são exatamente problemas de segurança, mas podem ser maneiras pelas quais os hackers podem obter mais informações sobre seu site, fornecendo a eles ferramentas de pesquisa para encontrar vulnerabilidades conhecidas no que você instalou no seu servidor web.

Você pode corrigi-los se for realmente um defensor da segurança, mas a maioria deles são apenas recomendações. Você não está em sério perigo se decidir renunciar à maioria deles.

Percebi que esses resultados incluíam o fato de que o rastreador conseguiu descobrir endereços de email em texto sem formatação no meu site. Inclusive incluiu uma lista de todos os endereços encontrados - principalmente extraídos de comentários antigos.

O que foi surpreendente é que, ao longo dos anos, pensei ter bloqueado todas as postagens de endereços de e-mail no site. Detectify me aconselhou o contrário e listou todos os endereços de e-mail descobertos.

Meu site poderia ter sido invadido se eu não tivesse usado o Detectify e corrigido esses avisos? Possivelmente. Esse é o problema da segurança do site. Você pode pensar que os problemas existentes no servidor não são "sérios" o suficiente para garantir seu tempo e energia, mas todos é preciso um hacker habilidoso e motivado para pesquisar essa falha de segurança e, em seguida, dedicar um tempo para realmente explorar isto.

Quando você passa inúmeras horas construindo um site Como criar seu próprio site em minutos sem habilidades de codificaçãoÀ medida que a Web cresce, e o faz incrivelmente rápido, a necessidade de uma presença na Web está se tornando cada vez mais premente. Em muitas partes do mundo, você simplesmente deve ter uma presença na Web para ... consulte Mais informação que você ama e investindo quantias injustas de dinheiro em hospedagem na web e outras despesas de sites, a última coisa que você precisa é de um hacker viscoso que destrói tudo o que você já construiu. Então, instale o Detectify. Analise o seu site. Resolva esses problemas. Confie em mim, você ficará feliz por ter feito. Sei quem eu sou.