Mon blog Wordpress aurait pu être piraté

Publicité

Si je vous disais qu'il y a un endroit où vous pouvez aller pour avoir la tranquillité d'esprit que votre site Web est sécurisé, me croiriez-vous? Eh bien, vous devriez, car il y en a. C'est appelé Détectifier.

Je suis le genre de propriétaire de site Web qui a toujours été en quelque sorte dans le déni. Ça ne peut pas m'arriver. Pourquoi voudrait-on jamais pirater mon site?

Eh bien, toutes ces illusions se sont écroulées autour de ma tête en 2011 lorsque le fichier PHP principal de ma page d'accueil a été remplacé par une page Web annonçant que le site avait été piraté avec succès. Non seulement ce fut un choc de réaliser que quelqu'un avait effectivement remplacé un fichier sur mon serveur Web, mais c'était un très gros coup pour ma fierté. Quel genre d'idiot permet à son site Web d'être piraté?

La réalité est qu'au fil du temps, mon blog WordPress était devenu obsolète et de plus en plus vulnérable aux attaques alors que les pirates ont parcouru Internet à la recherche d'une version plus ancienne de WordPress avec des vulnérabilités. Échec majeur de ma part. Donc, récemment, j'ai finalement terminé la mise à jour de mon blog vers un nouveau thème flambant neuf. Confiant que je n'avais rien à craindre dans le service de sécurité, je n'ai même pas pris la peine de vérifier si le thème ou l'un de mes plugins installés avait des problèmes de sécurité connus. Ce n'est que lorsque je suis tombé sur Detectify que j'ai réalisé à quel point mon blog était proche d'être attaqué et potentiellement piraté,

encore une fois.

Installation de Detectify

Bien sûr, il y a d'autres plugins d'analyse de sécurité Donnez à votre site Web un contrôle de sécurité approfondi avec HackerTargetÀ mesure qu'Internet évolue et que les systèmes sur lesquels il fonctionne deviennent plus difficiles à pirater, vous penseriez que les sites Web seraient moins piratés! En fait, l'inverse est vrai, le problème numéro un ne résidant pas dans ... Lire la suite vous pouvez utiliser sur votre site, mais Detectify est tellement facile à configurer et à utiliser, même pour un novice. Detectify est un plugin combiné et un service Web. La première étape, comme c'est généralement le cas avec les services Web - vous devez vous inscrire.

L'étape suivante consiste à télécharger et installer le Détecter le plugin. Il s'agit d'un plugin assez simple, mais il donne à l'application de sécurité basée sur le Web la possibilité d'exploiter tous les aspects de votre blog et de l'analyser pour détecter les failles de sécurité. Détectez les recherches telles que l'inclusion de fichiers locaux et distants, DOM ou d'autres problèmes de script intersite, les problèmes de chemin de tableau PHP, l'exécution de commandes à distance et bien plus encore. Vous pouvez voir toutes les vulnérabilités que Detectify recherche sur la page du plugin.

Une fois que vous vous êtes inscrit au service et que le plug-in est installé, la dernière étape consiste à confirmer votre installation en tapant la clé de vérification que vous recevez par e-mail dans le champ du plug-in. Ensuite, vous êtes tous liés et prêts à rouler.

Exécution d'une analyse Detectify

Une fois votre site lié, vous le verrez apparaître dans votre liste de domaines disponibles sur votre compte Detectify en ligne. Vous pouvez vous inscrire pour analyser plusieurs domaines si vous le souhaitez.

Lorsque vous êtes prêt à lancer l'analyse de vulnérabilité de votre site Web, cliquez simplement sur le bouton Analyser et laissez-le faire son travail. Quelques recommandations à ce stade: essayez d'exécuter l'analyse à un moment où votre site a le moins de trafic. Detectify explorera et analysera les fichiers sur votre site, il y aura donc un peu de performances en raison de ce traitement.

Deuxièmement, donnez au service le temps dont il a besoin pour effectuer toutes ces analyses et analyses. Ce ne sera pas un travail rapide de 30 à 60 minutes, à moins que votre site Web ne soit chétif. Les chances sont pour un blog de taille moyenne que vous consultez pendant plus de 6 heures. Pour un grand blog, beaucoup plus.

La meilleure option pour la plupart des gens est de lancer l'analyse avant de vous coucher et vous obtiendrez les résultats le matin. Dans mon cas, malgré ma marque, un nouveau thème brillant et la dernière version de WordPress, j'ai découvert que j'avais plusieurs avertissements liés à la sécurité de mon blog.

En cliquant sur le bouton Rapport, vous accédez à la page contenant les détails de l'analyse de votre domaine.

Comprendre vos résultats d'analyse

La première page du tableau de bord vous donne essentiellement un aperçu du nombre de fichiers analysés, des types de fichiers analysés et du temps nécessaire pour les analyser.

C'est chaque fichier sur votre serveur, donc si vous avez beaucoup de fichiers multimédias, vous feriez mieux de croire que l'analyse va prendre beaucoup de temps. Les résultats rapportés détaillent également la répartition exacte du temps d'analyse afin que vous puissiez voir quelle partie de l'analyse a consommé le plus de temps de traitement. Dans mon cas Rampant Comment créer un robot d'exploration de base pour extraire des informations d'un site WebVous avez toujours voulu capturer des informations à partir d'un site Web? Voici comment écrire un robot pour naviguer sur un site Web et extraire ce dont vous avez besoin. Lire la suite Les tests d'exploitation représentaient la majeure partie du temps d'analyse.

Le rapport vous donnera également un historique des dernières analyses que vous avez effectuées, avec les vulnérabilités découvertes. Lorsque vous corrigez des problèmes sur votre site, vous pouvez revenir ici pour vous assurer que vos nouvelles analyses reflètent une amélioration de la situation de votre site, plutôt qu'un nombre croissant de problèmes.

Bien sûr, la meilleure partie de Detectify (et tout l'intérêt de l'utiliser vraiment), est la section détaillée, qui décrit les problèmes très spécifiques qui ont été découverts sur votre site.

Résoudre les problèmes de sécurité de votre site

Voici donc ce qui m'a sauvé. Il y a eu quelques avertissements qui m'ont fait réaliser que mon site avait des problèmes persistants malgré le fait que je venais de tout mettre à jour et pensais que j'étais haut et sec. L'un des premiers avertissements n'était pas trop grave, mais était lié au fait que l'installation PHP sur mon serveur Apache offre un "œuf de Pâques 10 oeufs de Pâques amusants et surprenantsTrouvez l'hilarité cachée et d'autres choses étranges, intégrées directement dans le système d'exploitation que vous utilisez. Ils se cachent dans un site simple, dans les logiciels que vous utilisez tous les jours, et quand vous les trouverez, vous serez ravis ... Lire la suite »Qui pourrait permettre aux pirates potentiels d'identifier la version de PHP que j'utilise en vérifiant quelle icône s'affiche lorsque le code de l'œuf de Pâques est ajouté à l'URL de mon site.

J'étais inconsciemment en train de révéler la version PHP, qui révèle également aux pirates où rechercher des vulnérabilités pouvant être utilisées pour pirater mon site. Je n'étais pas très content de voir ça (je n'avais aucune idée de ces codes d'oeufs de Pâques).

Ce qui est bien avec le rapport Detectify, c'est que même si vous n'êtes pas concepteur ou programmeur Web, l'explication du problème et la solution recommandée est assez facile à comprendre que vous pouvez facilement résoudre la plupart des problèmes découverts toi même.

Detectify a découvert une deuxième vulnérabilité liée à la façon dont j'avais laissé le permalien du nom d'utilisateur sur WordPress pour énumérer les valeurs, permettant les pirates un moyen facile de siphonner les liens des utilisateurs et d'exécuter des algorithmes de piratage de mot de passe pour découvrir un compte avec un mot de passe faible.

Une troisième vulnérabilité trouvée par Detectify était liée à un ancien plugin que j'avais installé sur le site, et une vulnérabilité de la bibliothèque JavaScript enfouie profondément dans l'un des dossiers de démonstration à l'intérieur de ce brancher. Je n'avais absolument aucune idée que ce dossier existait même sur le serveur - mais il était là, une vulnérabilité qui attendait qu'un pirate informatique vienne l'exploiter.

Et là, je pensais que je me tenais fort avec un site Web impénétrable. Encore une fois, Detectify a fourni des résolutions très claires et faciles à comprendre pour chaque avertissement de vulnérabilité.

Problèmes de sécurité informationnelle

Detectify pousse la sécurité un peu plus loin en vous fournissant des problèmes de sécurité informationnelle sur votre site. Ce sont principalement des problèmes très mineurs qui ne sont pas exactement des problèmes de sécurité, mais pourraient être des moyens pour les pirates d'obtenir plus des informations sur votre site Web, en leur fournissant des outils de recherche pour trouver des vulnérabilités connues dans ce que vous avez installé sur votre serveur Web.

Vous pouvez résoudre ces problèmes si vous êtes un véritable adepte de la sécurité, mais la plupart ne sont que des recommandations. Vous n'êtes pas en grand danger si vous décidez de renoncer à la plupart d'entre eux.

J'ai remarqué que ces résultats incluaient même le fait que le robot a pu découvrir des adresses e-mail en texte brut sur mon site. Il comprenait même une liste de toutes les adresses trouvées - tirées pour la plupart d'anciens commentaires.

Ce qui était étonnant, c'est qu'au fil des années, j'ai pensé que j'avais bloqué toute publication d'adresses e-mail sur le site. Detectify m'a avisé du contraire et a répertorié chaque adresse e-mail unique découverte.

Mon site aurait-il pu être piraté si je n'avais pas utilisé Detectify et corrigé ces avertissements? Peut-être. C’est ça la sécurité des sites Web. Vous pensez peut-être que les problèmes qui existent sur votre serveur ne sont pas suffisamment «graves» pour justifier votre temps et votre énergie, mais tous il faut un pirate ingénieux et motivé pour rechercher ce trou de sécurité, puis prendre le temps d'exploiter réellement il.

Quand vous passez d'innombrables heures construire un site web Comment créer votre propre site Web en quelques minutes sans aucune compétence en codageAu fur et à mesure que le Web se développe, et qu'il le fait à une vitesse fulgurante, la nécessité d'une présence sur le Web devient de plus en plus pressante. Dans de nombreuses régions du monde, vous devez simplement avoir une présence sur le Web pour ... Lire la suite que vous aimez et en investissant des sommes impies d'argent sur l'hébergement Web et d'autres dépenses de site Web, la dernière chose dont vous avez besoin est un pirate visqueux détruisant tout ce que vous avez jamais construit. Alors, installez Detectify. Analysez votre site. Résolvez ces problèmes. Croyez-moi, vous serez content de l'avoir fait. Je sais que je le suis.