Mon blog wordpress aurait pu être piraté - detectify m`a sauvé
Si je vous ai dit qu`il ya un endroit où vous pouvez aller pour obtenir la tranquillité d`esprit que votre site est sécurisé, me croiriez-vous? Eh bien, vous devriez, parce qu`il ya. Il est appelé Detectify.
Contenu
Je suis le genre de propriétaire du site qui a toujours été en quelque sorte dans le déni. Il ne peut pas arriver à moi. Pourquoi voudrait-on jamais pirater mon site?
Eh bien, toutes ces illusions se sont écroulé autour de ma tête en 2011 lorsque le principal fichier PHP de ma page d`accueil a été remplacée par une page Web annonçant que le site avait été piraté avec succès. Non seulement il était un choc pour se rendre compte que quelqu`un avait effectivement remplacé un fichier sur mon serveur web, mais il était un très grand coup à ma fierté. Quel genre d`idiot permet à son site Web pour obtenir piraté?
La réalité est que le temps mon blog WordPress était devenu obsolète, et de plus en plus vulnérables aux attaques que les pirates parcouraient la chasse Internet ancienne version de WordPress avec connus, les vulnérabilités non corrigées. Major échec de ma part. Ainsi, récemment, je finalement terminé la mise à jour mon blog à un nouveau thème de la marque-fessée. Confiant que j`avais rien à craindre dans le département de la sécurité, je ne l`ai pas pris la peine de vérifier si le thème ou l`un de mes plugins installés ont des problèmes de sécurité connus. Ce ne fut que Je suis tombé sur Detectify que j`ai réalisé à quel point mon blog était d`être attaqué et potentiellement piraté, encore une fois.
Installation Detectify
Bien sûr, il y a d`autres plugins de balayage de sécurité vous pouvez utiliser sur votre site, mais Detectify est si facile à installer et à utiliser, même pour un novice. Detectify est un plugin combinaison et le service Web. La première étape, comme cela est généralement le cas avec les services Web - tu dois inscrire.Donnez votre site web Une vérification de sécurité approfondie avec HackerTarget Donnez votre site web Une vérification de sécurité approfondie avec HackerTarget Alors que l`Internet évolue et les systèmes, il est en cours d`exécution sur devenir plus difficile à pirater, vous penseriez que les sites seraient piraté moins! En fait, le contraire est vrai, avec le problème numéro un se trouvant pas dans ...Lire la suite
L`étape suivante consiste à télécharger et installer le plug-in Detectify. Ceci est un plugin assez simple, mais il donne l`application de la sécurité basée sur le Web la possibilité de puiser dans tous les aspects de votre blog et analyser les failles de sécurité. Detectify recherche des choses comme l`inclusion de fichiers local et distant, DOM ou d`autres problèmes de cross site scripting, les problèmes de chemin de tableau PHP, l`exécution de commandes à distance et bien plus encore. Vous pouvez voir toutes les vulnérabilités qui Detectify recherches pour la page de plug-in.
Une fois que vous avez signé pour le service et le plug-in est installé, la dernière étape consiste à confirmer l`installation en tapant la clé de vérification que vous recevez par e-mail dans le champ dans le plug-in. Ensuite, vous êtes tous Reliée et prêt à rouler.
Exécution d`un balayage Detectify
Une fois que votre site est lié, vous verrez apparaître dans votre liste de domaines disponibles sur votre compte en ligne Detectify. Vous pouvez vous inscrire pour analyser plusieurs domaines si vous le souhaitez.
Lorsque vous êtes prêt à lancer votre analyse de la vulnérabilité d`un site Web, cliquez sur le bouton Scan et laissez-le faire son travail. Quelques recommandations à ce stade: essayez d`exécuter l`analyse à un moment où votre site a le moins de trafic. Detectify sera rampait et l`analyse des fichiers sur votre site, donc il y aura un peu de performance due en raison de ce traitement.
En second lieu, donner le service le temps dont il a besoin de faire tout cela rampants et la numérisation. Il ne va pas être un emploi 30-60 minutes rapide, à moins que votre site est chétif. Les chances sont pour un blog de taille moyenne que vous regardez plus de 6 heures. Pour un grand blog, beaucoup plus.
La meilleure option pour la plupart des gens est de lancer l`analyse avant d`aller au lit, et vous aurez les résultats pour vous attendre le matin. Dans mon cas, malgré ma marque, brillant nouveau thème et de la dernière version de WordPress, je découvert que j`avais plusieurs avertissements liés à la sécurité de mon blog.
Video: Comment Youtube m'a menacée pour plaire au président Juncker
En cliquant sur le bouton Rapport vous amène à la page avec les détails de numérisation pour votre domaine.
Comprendre vos résultats d`analyse
La première page de tableau de bord vous donne essentiellement un aperçu de la façon dont nombre de fichiers scans, les types de fichiers numérisés et combien de temps il a fallu pour les analyser.
C`est chaque fichier sur votre serveur, donc si vous avez beaucoup de fichiers multimédia, vous feriez mieux de croire que l`analyse va prendre beaucoup de temps. Les résultats présentés également en détail la répartition exacte du temps de balayage vous pouvez donc voir quelle partie de l`analyse consommé le plus de temps de traitement. Dans mon cas Rampant et les tests exploitation fait la majeure partie du temps de balayage.
Le rapport vous donnera également une histoire des derniers scans que vous avez lancé, avec des vulnérabilités découvertes. Comme vous résoudre les problèmes sur votre site, vous pouvez revenir ici pour vous assurer que vos nouvelles analyses reflètent une amélioration de la situation avec votre site, plutôt que d`un nombre croissant de problèmes.
Bien sûr, la meilleure partie de Detectify (et le point de l`ensemble de l`utiliser vraiment), est la section de détail, qui donne un aperçu des questions très spécifiques qui ont été découverts sur votre site.Comment construire un robot Web de base pour extraire des informations d`un site web (Partie 1)Comment construire un robot Web de base pour extraire des informations d`un site web (Partie 1)Lire la suite
Correction des problèmes de sécurité de votre site
Alors, voici la chose qui m`a sauvé. Il y avait quelques avertissements qui m`a fait réaliser mon site avait des problèmes persistants en dépit du fait que j`avais tout juste mis à jour et je pensais que j`étais haut et sec. L`un des premiers avertissements était pas trop grave, mais était liée au fait que l`installation de PHP sur mon serveur Apache offre un «œuf de Pâques» Qui pourrait permettre à bidouilleurs d`identifier quelle version de PHP que je suis en cours d`exécution en vérifiant quelle icône apparaît lorsque l`icône Code Easter Egg est ajouté à l`URL de mon site.
Je permettais sans le savoir, la version de PHP à être révélé, qui révèle également aux pirates où la chasse aux vulnérabilités qui peuvent être utilisés pour pirater mon site. Je n`étais pas très heureux de voir cela (je n`avais aucune idée au sujet de ces codes d`oeufs de Pâques).
La bonne chose à propos du rapport Detectify est que même si vous n`êtes pas un concepteur web ou programmeur, l`explication du problème et la solution recommandée est assez facile de comprendre que vous pouvez facilement corriger la plupart des problèmes découverts vous-même.
Detectify a découvert une seconde vulnérabilité liée à la façon dont je l`avais quitté le permalien Nom d`utilisateur sur WordPress pour énumérer les valeurs, permettant aux pirates un moyen facile de siphonner les liens de l`utilisateur et en cours d`exécution grâce à des algorithmes de piratage de mot de passe pour découvrir un compte avec un mot de passe faible.
Une troisième vulnérabilité qui Detectify trouvée était liée à un ancien plugin que j`avais installé sur le site, et une vulnérabilité de bibliothèque javascript enfoui au plus profond dans l`un des dossiers de démonstration à l`intérieur ce plugin. Je n`avais absolument aucune idée de ce dossier existait même sur le serveur - mais il était, une vulnérabilité que l`attente d`un pirate à venir et exploiter.
Et là, je pensais que j`étais fort avec un site impénétrable. Encore une fois, Detectify fourni très clair et facile à comprendre des résolutions à chaque avertissement de vulnérabilité.
Problèmes de sécurité d`information
Detectify prend la sécurité un peu plus loin en vous fournissant des questions de sécurité d`information sur votre site. Ce sont surtout des questions très mineures qui ne sont pas exactement les problèmes de sécurité, mais ils pourraient être des moyens que les pirates pourraient obtenir plus d`informations sur votre site Web, en leur fournissant des outils de recherche pour trouver des vulnérabilités connues dans ce que vous avez installé sur votre serveur Web.
Vous pouvez corriger ces si vous êtes un vrai pointilleux pour la sécurité, mais la plupart d`entre eux sont seulement des recommandations. Vous n`êtes pas en grave danger si vous décidez de renoncer à la plupart de ces.
J`ai remarqué ces résultats même inclus le fait que le robot a pu découvrir des adresses e-mail dans le texte brut sur mon site. Elle a même inclus une liste de toutes les adresses trouvées - la plupart du temps tiré de vieux commentaires.
Ce qui était étonnant est qu`au fil des années, je pensais avoir bloqué tout affichage des adresses e-mail sur le site. Detectify m`a conseillé autrement, et la liste toutes les adresses e-mail unique découvert.
Pourrait mon site a été piraté si je n`utilisé Detectify et corriger ces mises en garde? Peut-être. C`est la chose au sujet de la sécurité du site. Vous pouvez penser que les problèmes qui existent sur votre serveur ne sont pas assez « sérieux » pour justifier votre temps et d`énergie, mais tout ce qu`il faut est un pirate informatique ingénieux et motivé à la recherche de ce trou de sécurité, puis prenez le temps d`exploiter réellement il.
Lorsque vous passez d`innombrables heures la construction d`un site Web que vous aimez, et investir des sommes d`argent sur ungodly hébergement web et d`autres frais de site Web, la dernière chose dont vous avez besoin est un peu de tout détruire pirate gluant que vous avez déjà construit. Alors, installez Detectify. Numérisez votre site. Résoudre ces problèmes. Croyez-moi, vous serez heureux que vous avez fait. Je sais que je le suis.Comment construire votre propre site Web en quelques minutes sans compétences de codageComment construire votre propre site Web en quelques minutes sans compétences de codageAlors que le Web se développe, et il le fait aveuglante rapide, la nécessité d`une présence sur le Web est de plus en plus pressant. Dans de nombreuses régions du monde, vous devez simplement avoir une présence sur le web pour ...Lire la suite