Nå, jeg er her for at fortælle dig det kan ske for dig.
Denne hjemmeside blev hacket dette sidste juleaften. Hvad der skete er en del af en større og forstyrrende tendens, hvor små virksomheder og blogs bliver angrebet og kompromitteret. WordPress-websteder synes at være et bestemt mål.
$config[code] not foundJeg har besluttet at dele min historie, i håb om, at det vil hjælpe dig med at undgå hacking, eller hvis man gør det, skal du hurtigt komme dig.
De grimme detaljer
På julemorgen prøvede jeg at åbne dette websted, som jeg normalt gør første ting om morgenen, bare for at lave en hurtig check.
Hjemmesiden på webstedet var helt blank! Ikke noget. Nada. Jeg kunne heller ikke poste noget nyt. Jeg indså, at en cracker havde hacket stedet. Som jeg undersøgte senere den dag opdagede jeg en hel del skade på webstedet, herunder:
- Alle WordPress-plugins var blevet deaktiveret
- En række sider er blevet slettet, herunder ekspertmappen, nyhedsbreve side, om side og andre.
- Blogrollet var blevet kompromitteret, med omkring et dusin links indsat til voksne websteder og pharma sites.
- Næsten 50 skjulte links til voksne websteder, farmaceutiske steder og andre junk-steder var blevet spredt i overskriften og i fodfoden. Du kunne ikke se linkene fra at kigge på webstedet via en standardbrowser som Internet Explorer, fordi de var bevidst skjult ved hjælp af HTML-kode. Men søgemaskiner kunne selvfølgelig "se" linkene.
Da det var en ferie, gjorde jeg hvad jeg kunne alene for at genoprette stedet, og den næste dag fik hjælp. Heldigvis bruger jeg et professionelt hostingfirma med fremragende telefon support. Og vores kontrakt webmaster, Tim Grahl, var super og faldt alt for at reagere.
Vi har arbejdet som et team, og vi har fået det til at fungere og ser frem til præsentationen igen pr. 26. december.
Men lidt vidste jeg, at prøvelsen endnu ikke var overstået. Jeg havde lige set toppen af isbjerget den første dag. Jeg fandt snart ud af, hvad hackerne virkelig havde gjort.
Hackere Gaming søgemaskinerne
Fra starten holdt jeg mig wondering: "Hvorfor ville nogen hack dette websted?" Der er intet af værdi (til en hacker) i den. Ingen kreditkortnumre. Ingen fortrolige data. Ingen kundeoplysninger.
Først gjorde jeg det til vandalisme.
Men da situationen udviklede sig og jeg opdagede mere skade, indså jeg, at det ikke var kun vandalisme. I stedet handler denne hackingaktivitet om kapring små virksomheder websteder og blogs , og bruger dem til generere links til andre steder til spil søgemaskinerne .
Hackerne finder et sikkerhedshul og kommer ind på dit websted. De tager kontrol gennem scripts, der gør dit websted til en linkgenererende drone. De links, der genereres på dit websted (uden din viden) peges på andre websteder, i et forsøg på at få de andre websteder til toppen af søgemaskinens resultater.
Skubbet i en Splog Ring
En dag efter at jeg opdagede hackingen, lærte jeg den værste del: hackerne havde kapret en del af dette websted til en splog (spam blog) ring.
Den første anelse kom fra Technorati.com, da jeg så indgående link tæller til Small Business Trends havde hoppet af et par tusind links natten over. "Åh, hvor godt," tænkte jeg - i ca. 3 sekunder! Min fornøjelse vendte sig til afsky da jeg så, at alle links brugte ankertekst som "viagra", "søde ringetoner" og andre forskellige junk.
Linksne var fra "splogs". Hver splog bestod af tusindvis - bogstaveligt tusindvis - af links, der pegede på sider på andre hjemmesider, herunder hundredvis af falske sider, der var oprettet på tmp-biblioteket på dette websted.
Det var da jeg indså, hvad hackerne virkelig havde gjort. De havde efterladt et script, der automatisk genererede hundredvis af falske sider på dette websted. Disse falske sider blev omdirigeret til pharma-, voksen- og ringetone-websteder. Du kunne ikke se de falske sider fra at se på dette websted, men de var der.
Derefter havde hackerne skabt ringe af andre websteder, hovedsagelig blogs, for at linke til de falske sider på Small Business Trends. Alt var designet til i sidste ende at sende kombineret link vægt til pharma, voksen og ringetone websteder, de ønskede at rangere højt i søgemaskinerne.
Sådan fungerer det:
Splog A >>> links til falsk side på kapret websted B >>> hvilken falsk side er blevet omdirigeret til et pharma-websted, der sælger OxyContin.
Skyl og gentag. Tusindvis af gange.
Resultat = hurtige stigninger i søgemaskinens placeringer for webstedet, der sælger OxyContin.
Som du kan se, var dette ikke et isoleret angreb på et enkelt sted. Dette var en orkestreret ordning med hundreder hvis ikke tusinder af websteder. Mine skete lige for at være en af mange steder snared.
Hvordan hackerne kom ind
Vi tror hackerne kom ind gennem en usikker version af WordPress via serveren. Udover det vil jeg ikke sige mere, for ikke at give en køreplan for, hvordan man kan knække andre steder. Angrebet syntes at komme fra en russisk IP-adresse.
Angrebet udnyttede ferien timing, som min vært havde et skelet personale arbejder juleaften. Forbløffende, mindre end 2 dage efter det første angreb, mens vi var midt i at fastsætte blodbadet, kom hackerne tilbage! Denne gang blev hackingforsøget forhindret af hurtig handling fra hostingfirmaets side, hvilket blokerede IP-adressen, der var galningspidering webstedet.
Da jeg undersøgte andre hackinger, blev jeg bedøvet for at opdage, at der er over et dusin versioner af WordPress med kendte sårbarheder. Med en estimeret 2 til 3 millioner blogs, der bruger WordPress, betyder det mange blogs, der potentielt er i fare. Websites og blogs, der har eksisteret i et stykke tid og betroede websteder, er dem der sandsynligvis vil blive angrebet.
Bare søg i Google, og du vil finde rapporter om, at andre WordPress-blogs bliver hacket, herunder nogle af de bedste og klareste. Selv Al Gores blog blev hacket.
Desuden har min forskning afdækket mindst et halvt dusin måder at kompromittere WordPress blogs. Og for hver metode jeg har set, er jeg sikker på, at dårlige kender 2 dusin andre.
Korrigerende handling
Vi har taget en række trin for at sikre webstedet, herunder:
- Opgraderet til den nyeste version af WordPress.
- Elimineret et plugin, som foreslået forskning kunne have sikkerhedsproblemer, og opdaterede alle de resterende plugins, hvis der var nye versioner.
- Ryddet op alle de råvarer, der blev efterladt af hackerne, ved at slette deres scripts og uautoriserede links og sider. Vi behøvede ikke kun at skure vores egen webstedskode, men havde brug for vores hostingfirma til at gøre det for hele serveren.
- Tilbage til en ren MySQL database backup fra før angrebet.
- Blokeret selvregistrering på denne side.
- Ændrede adgangskoder; gennemgåede serverlogfiler for mistænkelige IP-adresser og blokerede dem og ændret en række andre ting, som jeg ikke ønsker at gøre opmærksom på.
Nogen spurgte, om jeg planlagde at skifte fra WordPress til en anden software. Nej, jeg planlægger at holde fast i det. WordPress er en god softwarepakke og har været hovedpinefri 99% af tiden. Jeg forstår, at WordPress-udviklingssamfundet arbejder for at løse sikkerhedsproblemerne - lad os håbe, at de gør det, før WordPress udvikler en irreversibel dårlig rap.
Men jeg har opsat sikkerhedsforanstaltninger et par indskæringer. Jeg tror en bestemt hacker kan finde en måde at komme ind på nogen websted, hvis de virkelig vil. Men hvorfor gøre dig selv et let mål?
Så lige nu spørger du sikkert hvad du kan gøre for at beskytte din blog eller dit websted. Jeg har nogle pointer til dig. Men da denne artikel allerede er lang, har jeg lagt dem i en separat artikel: Sådan beskytter du din WordPress Site.
56 Kommentarer ▼
