Wordpress e sviluppo Web

Il mio blog WordPress potrebbe essere stato hackerato - Detectify Saved Me

Il mio blog WordPress potrebbe essere stato hackerato - Detectify Saved Me / Wordpress e sviluppo Web

Se ti dicessi che c'è un posto dove puoi essere sicuro che il tuo sito è sicuro, mi crederesti? Beh dovresti, perché c'è. Si chiama Detectify.

Sono il tipo di proprietario del sito web che ha sempre rifiutato. Non può succedere a me. Perché mai qualcuno dovrebbe voler hackerare il mio sito?

Bene, tutte quelle delusioni mi sono crollate in testa nel 2011 quando il file PHP principale della mia home page è stato sostituito con una pagina web che annunciava che il sito era stato violato con successo. Non solo è stato uno shock rendermi conto che qualcuno aveva effettivamente sostituito un file sul mio server web, ma è stato un duro colpo per il mio orgoglio. Che tipo di idiota permette che il suo sito Web venga hackerato?

La realtà è che nel tempo il mio blog WordPress era diventato obsoleto e sempre più vulnerabile agli attacchi mentre gli hacker perlustravano Internet alla ricerca di una versione precedente di WordPress con vulnerabilità note e prive di patch. Maggiori fallimenti da parte mia. Così, di recente, ho finalmente completato l'aggiornamento del mio blog a un tema nuovo di zecca. Sicuro di non avere nulla di cui preoccuparmi nel dipartimento di sicurezza, non mi preoccupai nemmeno di controllare se il tema o uno dei miei plugin installati avesse problemi di sicurezza noti. Solo quando mi sono imbattuto in Detectify mi sono reso conto di quanto fosse vicino il mio blog ad essere attaccato e potenzialmente violato, di nuovo.

Installazione Detectify

Certo, ci sono altri plug-in di scansione di sicurezza Dai al tuo sito web un accurato controllo di sicurezza con HackerTarget Dai al tuo sito un controllo approfondito della sicurezza con HackerTarget Con l'evolversi di Internet ei sistemi su cui è in esecuzione diventano più difficili da hackerare, si potrebbe pensare che i siti web vengano hackerati meno ! In realtà, è vero il contrario, con il problema numero uno che non si trova in ... Leggi altro che puoi utilizzare sul tuo sito, ma Detectify è così facile da configurare e utilizzare, anche per i principianti. Detectify è una combinazione di plugin e servizio web. Il primo passo, come di solito accade con i servizi Web, devi registrarti.

Il prossimo passo è scaricare e installare il plugin Detectify. Questo è un plugin piuttosto semplice, ma dà all'app di sicurezza basata sul web la possibilità di attingere a ogni aspetto del tuo blog e analizzarlo per problemi di sicurezza. Rileva le ricerche per cose come l'inclusione di file locali e remoti, DOM o altri problemi di cross-site scripting, problemi del percorso dell'array PHP, esecuzione di comandi da remoto e molto altro. Puoi vedere tutte le vulnerabilità che Detectify cerca nella pagina del plugin.


Una volta che ti sei registrato per il servizio e il plugin è installato, l'ultimo passo è quello di confermare l'installazione digitando la chiave di verifica che ricevi via email nel campo nel plugin. Allora sei tutto collegato e pronto per il lancio.

Esecuzione di una scansione Detecifica

Una volta collegato il tuo sito, lo vedrai comparire nell'elenco dei domini disponibili sul tuo account Detectify online. Puoi iscriverti per scansionare più domini, se lo desideri.

Quando sei pronto per avviare la scansione delle vulnerabilità del tuo sito web, fai semplicemente clic sul pulsante Scansione e lascia che faccia il suo lavoro. Alcuni consigli in questa fase: prova a eseguire la scansione in un momento in cui il tuo sito ha meno traffico. Detectify eseguirà la scansione e la scansione dei file sul tuo sito, quindi ci sarà un po 'di performance hit a causa di tale elaborazione.

In secondo luogo, fornire al servizio il tempo necessario per eseguire tutte queste operazioni di scansione e scansione. Non sarà un lavoro veloce di 30-60 minuti, a meno che il tuo sito web non sia semplice. Le probabilità sono per un blog di medie dimensioni che stai guardando oltre 6 ore. Per un blog di grandi dimensioni, molti altri.

L'opzione migliore per la maggior parte delle persone è di avviare la scansione prima di andare a letto, e avrai i risultati che ti aspettano al mattino. Nel mio caso, nonostante il mio marchio, il nuovo tema brillante e l'esecuzione dell'ultima versione di WordPress, ho scoperto che avevo diversi avvisi relativi alla sicurezza del mio blog.


Facendo clic sul pulsante Segnala ti porterà alla pagina con i dettagli della scansione per il tuo dominio.

Capire i risultati della scansione

La prima pagina della dashboard fornisce in sostanza una panoramica di quanti file sono stati scansiti, i tipi di file scansionati e quanto tempo è occorso per scansionarli.

Questo è ogni singolo file sul tuo server, quindi se hai un sacco di file multimediali, è meglio credere che la scansione richiederà molto tempo. I risultati riportati descrivono anche l'esatta suddivisione del tempo di scansione in modo da poter vedere quale parte della scansione ha consumato il tempo di elaborazione più lungo. Nel mio caso il test di scansione e sfruttamento ha costituito la maggior parte del tempo di scansione.

Il rapporto fornirà anche una cronologia delle ultime scansioni eseguite, con vulnerabilità scoperte. Mentre risolvi i problemi sul tuo sito, puoi tornare qui per assicurarti che le tue nuove scansioni riflettano una situazione di miglioramento con il tuo sito, piuttosto che un numero crescente di problemi.

Naturalmente, la parte migliore di Detectify (e l'intero punto di utilizzo effettivo), è la sezione dettagli, che delinea problemi molto specifici che sono stati scoperti sul tuo sito.

Risolvere i problemi di sicurezza del tuo sito

Quindi ecco la cosa che mi ha salvato. C'erano alcuni avvertimenti che mi hanno fatto capire che il mio sito aveva problemi persistenti nonostante il fatto che avevo appena aggiornato tutto e pensavo di essere alto e asciutto. Uno dei primi avvertimenti non era troppo serio, ma era legato al fatto che l'installazione PHP sul mio server Apache offre un “Easter Egg 10 Sistema operativo Fun & Surprising Easter Eggs 10 Sistema operativo Fun & Surprising Easter Eggs Trova ilarità nascosta e cose strane, integrate nel sistema operativo che stai utilizzando. Si nascondono in un sito semplice, in un software che utilizzi ogni giorno, e quando li trovi ne resterai deliziato ... Per saperne di più ” ciò potrebbe consentire ai potenziali hacker di identificare quale versione di PHP sono in esecuzione controllando quale icona viene visualizzata quando l'icona del codice Easter Egg viene aggiunta all'URL del mio sito.


Stavo inconsapevolmente permettendo di rivelare la versione di PHP, che rivela anche agli hacker dove cercare le vulnerabilità che possono essere usate per hackerare il mio sito. Non ero molto felice di vederlo (non avevo idea di questi codici Easter Egg).

La cosa bella del rapporto Detectify è che anche se non sei un web designer o programmatore, la spiegazione del problema e la soluzione raccomandata sono abbastanza facili da capire che potresti facilmente risolvere la maggior parte dei problemi scoperti da te.

Detectify ha scoperto una seconda vulnerabilità legata a come avevo lasciato il nome utente permalink su WordPress per enumerare i valori, consentendo agli hacker un modo semplice per sifonare i link degli utenti e eseguire algoritmi di hacking delle password per scoprire un account con una password debole.

Una terza vulnerabilità rilevata da Detectify era legata a un vecchio plug-in che avevo installato sul sito e una vulnerabilità di libreria JavaScript sepolta in profondità all'interno di una delle cartelle demo all'interno di quel plugin. Non avevo assolutamente idea che questa cartella esistesse sul server, ma c'era una vulnerabilità che aspettava solo che un hacker arrivasse e sfruttasse.

E lì pensavo di essere forte con un sito impenetrabile. Ancora una volta, Detectify ha fornito risoluzioni molto chiare e facili da comprendere per ogni avviso di vulnerabilità.

Problemi di sicurezza informativi

Detectify porta la sicurezza ad un ulteriore passo fornendo problemi di sicurezza informatica sul tuo sito. Si tratta principalmente di problemi molto minori che non sono esattamente problemi di sicurezza, ma potrebbero essere i modi in cui gli hacker potrebbero ottenere maggiori informazioni sul tuo sito Web, fornendo loro strumenti di ricerca per individuare vulnerabilità note in ciò che hai installato sul tuo server web.


Puoi sistemarli se sei un vero pignolo per la sicurezza, ma la maggior parte di questi sono solo dei consigli. Non sei in serio pericolo se decidi di rinunciare a gran parte di questi.

Ho notato che questi risultati includevano anche il fatto che il crawler era in grado di scoprire gli indirizzi email in chiaro sul mio sito. Comprendeva anche un elenco di tutti gli indirizzi trovati - per lo più estratti da vecchi commenti.

Quello che è stato sorprendente è che nel corso degli anni ho pensato di aver bloccato tutti gli indirizzi email del sito. Detectify mi ha consigliato diversamente e elencato ogni singolo indirizzo email scoperto.

Il mio sito potrebbe essere stato violato se non avessi usato Detectify e corretto quegli avvertimenti? Possibilmente. Questo è il problema della sicurezza del sito web. Potresti pensare che i problemi che esistono sul tuo server non lo siano “grave” abbastanza da giustificare il tuo tempo e la tua energia, ma tutto quello che serve è un hacker pieno di risorse e motivato per cercare quel buco di sicurezza, e poi prendersi il tempo per sfruttarlo davvero.

Quando trascorri innumerevoli ore a costruire un sito web Come costruire il tuo sito web in pochi minuti senza competenze di codifica Come costruire il tuo sito web in pochi minuti senza competenze di codifica Mentre il Web cresce, e lo fa in modo abbagliante, il bisogno di una presenza sul web sta diventando più pressante. In molte parti del mondo, devi semplicemente avere una presenza sul web per ... Leggi di più che ami, e investendo quantità di denaro ingiuste sul web hosting e altre spese del sito web, l'ultima cosa di cui hai bisogno è un viscido hacker che distrugge tutto ciò che sei mai costruito Quindi, installa Detectify. Scansiona il tuo sito. Risolvi quei problemi. Fidati di me, sarai contento di averlo fatto. So di esserlo.

Scopri di più su: Wordpress, Wordpress Plugin, Wordpress Themes.