Πώς να «θωρακίσετε» το WordPress Site σας μετά από μία επίθεση χάκερ
Δημοσιεύθηκε από SecNews την Τρίτη Οκτ 9, 2012 στην Κατηγορία IT Security
Είναι το WordPress προστατευμένο από επίθεση χάκερ; Ποτέ δε λέμε ποτέ, αλλά είναι κοινώς αποδεκτό ότι ο πυρήνας του WordPress έχει ισχυρή ασφάλεια. Επαγγελματική ανάλυση των hacked ιστοσελίδων σε WordPress αποκαλύπτει ότι συνήθως το σημείο εισόδου των ‘εισβολέων’ είναι το αποτέλεσμα μιας αδύναμης διαχείρισης ή ενός αδύναμου κωδικού πρόσβασης FTP, μίας παραβίασης επίπεδου στο Domain-Hosting λογαριασμό, <…>
ένα ανασφαλές plugin ή θέμα (theme), που τρέχει μια παλιά έκδοση του πυρήνα WordPress, ή ένα σημείο καταχώρησης, εκτός από το Core του WordPress.
Οι έξυπνοι προγραμματιστές γνωρίζουν ότι η διατήρηση του site σας απαλλαγμένου από ιούς, αλλαγμένα αρχεία, και τρωτών σημείων της ασφάλειας είναι πιο εύκολο στα λόγια παρά στην πράξη, αλλά συχνά μια μικρή προσπάθεια πηγαίνει πολύ μακριά. Για παράδειγμα, θα μπορούσατε να ακολουθήσετε 10 entry-level βήματα (χωρίς γνώση προγραμματισμού!) που προτείνουμε παρακάτω για την ασφάλεια του WordPress και να έχετε με αυτό το τρόπο ένα πιό ασφαλές WordPress site από ό, τι πολλοί άλλοι…
Τα ‘χτυπημένα’ site δεν είναι πάντα εύκολο να προσδιοριστούν
Οι ιδιοκτήτες ενός web site πρέπει να γνωρίζουν την απάντηση στο εξής ερώτημα: “Πώς μπορώ να ξέρω, όταν το όριο έχει περάσει – όταν το Site μου έχει παραβιαστεί”;
Τον Μάρτιο του 2012 η ZDNet αναφέρει:
… Πάνω από το 90 % [των ιδιοκτητών website] δεν παρατηρήσε κάποια περίεργη δραστηριότητα, παρά το γεγονός ότι οι ιστοσελίδες τους είχαν αλλοιωθεί για την αποστολή spam mail,host phishing σελίδων , ή για να διανέμουν κακόβουλο λογισμικό.
- “Το 63% των ιδιοκτητών ιστοσελίδας δεν ξέρουν πώς αυτή έγινε hacked”
Τον Απρίλιο του 2012, ο Matt Cutts της Google αποκάλυψε πόσο πολύ αγνοούν τις hacked ιστοσελίδες οι ιδιοκτήτες τους :
“Πέρα από σαφή blackhat ανεπιθύμητων μηνυμάτων του Internet, η δεύτερη μεγαλύτερη κατηγορία των spam που αντιμετωπίζει η Google αφορά τις hacked ιστοσελίδες. Η πιο συχνή αντίδραση που ακούμε από τους webmasters είναι: “Το πρόβλημα είναι με την αναζήτηση στο Google. Δεν υπάρχει τίποτα λάθος με την ιστοσελίδα μας. ”
Το παραπάνω είναι ένα πραγματικό απόσπασμα από ένα e-mail ενός ιδιοκτήτη μίας ιστοσελίδας που μας έστειλε πρόσφατα. Δυστυχώς, αποδεικνύεται ότι το site είναι σχεδόν πάντα πραγματικά hackαρισμενο.”
Πώς να καταλάβετε ένα Hacked Website
Ένα από τα οφέλη της χρήσης ενός δικτυακού τόπου κοινής πλατφόρμας, όπως το WordPress, είναι ότι οι σαρωτές ασφαλείας ξέρουν τι να περιμένουν. Μπορούν να πουν ότι τα αρχεία πυρήνα του WordPress δεν πρέπει να περιέχουν ορισμένο κώδικα ή φορτίο από εξωτερικούς τομείς ή να περιέχουν ασαφή κώδικα.
Άσχετα πώς ο ιστοχώρος σας είναι κατασκευασμένος ή διαχειρίζεται, μερικά κοινά σημάδια μιας hacked ιστοσελίδα είναι τα ακόλουθα:
Εμφανίζονται αναδυόμενα παράθυρα που δεν έχετε υλοποιήσει
Εμφάνιση περίεργου κειμένου στο υποσέλιδο (footer) ή στην “Προβολή κώδικα” (View Source)
Σύνδεσμοι προς άλλους δικτυακούς τόπους ή αυτόματη σύνδεση των λέξεων-κλειδιών που δεν δημιουργήσατε συνδέσεις προς αυτούς
Βλέποντας ασαφή / κωδικοποιημένο κείμενο σε plugins
Ανακατεύθυνση της Ιστοσελίδας (αμέσως ή μετά από ένα σύντομο χρονικό διάστημα) σε ένα άλλο URL
Οποιαδήποτε ασυνήθιστη δραστηριότητα ή καθυστερήσεις στο φόρτωμα ή τη χρήση παραπάνω bandwidth της σύνδεσης σας
Τα παραπάνω είναι τα σημάδια με τα οποία είστε σε θέση να προσδιορίσετε με το απλό browsing στο δικό σας site.
Στη συνέχεια παρουσιάζουμε αυτοματοποιημένες μεθόδους για τον εντοπισμό των Site που έχουν παραβιαστεί.
Google Webmaster Tools Email Alerts
To Google Webmaster Tools είναι μια μεγάλη πηγή για webmasters, τo οποίο ίσως ήδη γνωρίζετε. Ένα από τα σημαντικά χαρακτηριστικά γνωρίσματα είναι οι ειδοποιήσεις μέσω ηλεκτρονικού ταχυδρομείου , όταν εντοπίσουν κακόβουλη δραστηριότητα (δηλαδή hacked!) στο δικτυακό σας τόπο. Έχετε ελεγχθεί ως ιδιοκτήτης της ιστοσελίδας, έτσι ώστε να σας στείλουν άμεσα την ειδοποίηση. Έτσι, τώρα ξέρετε ότι αν λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου σχετικά με αυτό, η Google πραγματοποίησε ένα σκανάρισμα στο σαιτ σας με μεγάλο ποσοστό ακρίβειας και θα πρέπει αμέσως να αρχίσετε να παίρνετε μέτρα αντιμετώπισης της κατάστασης.
Σαρωτές Google
Εργαλεία όπως το Google και το Google Safe Browsing diagnostic (google.com/safebrowsing/diagnostic?site=YOURDOMAIN) είναι δύο τρόποι που μπορείτε να σαρώσετε το site σας για να δείτε πώς η Google το βλέπει.
StopBadware Clearinghouse
Το StopBadware Clearinghouse μπορεί να αναζητηθεί γρήγορα, αλλά είναι πιθανό να έχει ήδη συμπεριληφθεί στα αποτελέσματα των Εργαλείων για Webmasters της Google. Με άλλα λόγια, θα λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου κατά πάσα πιθανότητα από το Google Webmaster Tools πριν από τον έλεγχο του StopBadware Clearinghouse. Ωστόσο, είναι καλό να το ελέγξετε κατά τη διάρκεια της διαδικασίας αποκατάστασης του σαιτ σας.
Sucuri SiteCheck Scanner
Ο σαρωτής του Sucuri SiteCheck για malware ελέγχει σε σχέση με τις βάσεις των Google Safe Browsing, Norton Safe Web, Phish tank, Opera browser, SiteAdvisor, και πολλές άλλες βάσεις δεδομένων μαύρης λίστας. Τρέχει επίσης τις δικές του αναζητήσεις για κακόβουλο ή ύποπτο iframes, scripts, downloads, ανακατευθύνσεις, και άλλα αντικείμενα. Επίσης, παρέχει μια λίστα με τις διευθύνσεις URL και scripts, το λογισμικό διαχείρισης της ιστοσελίδας (π.χ. WordPress), καθώς και πληροφορίες για την έκδοση του λογισμικού.
Στην πραγματικότητα το ManageWP plugin ενσωματώνει το Sucuri SiteCheck στο dashboard του, και η εταιρία Sucuri είναι Partner του ManageWP .
Σάρωση ασφάλειας του Browser
Ίσως αυτό που δεν περίμενες(!), το Qualys BrowserCheck σαρώνει το πρόγραμμα περιήγησης στο Internet ψάχνοντας για τρωτά σημεία της ασφάλειας, συμπεριλαμβανομένων των ξεπερασμένων λογισμικών και πρόσθετα του Browser, όπως Java, Adobe Flash, Adobe Reader, καθώς και το Microsoft Silverlight. Είναι πιθανό ότι το πρόγραμμα περιήγησης, FTP client, ή άλλο σημείο πρόσβασης να θέτει σε κίνδυνο το σαιτ σας.
Πώς να επιδιορθώσετε ένα Hacked WordPress Website (και όχι μόνο..)
Μόλις μάθετε ή υποψιάζεστε ότι το site σας έχει παραβιαστεί , η Google σας συνιστά:
Βάλτε το site σας offline
Εκτιμήστε τις ζημιές
Αρχίστε τις εργασίες για την ανάκτηση των δεδομένων
Επαναφέρετε το σαιτ σας Online
Η εταιρία StopBadware αναφέρει παρόμοια βήματα:
Προσδιορισμός συμπεριφοράς επιβλαβούς λογισμικού για το σαιτ μας
Αφαίρεση του επιβλαβούς λογισμικού
Αποτροπή μελλοντικής μόλυνσης
Αίτηση επανεξέτασης για να αφαιρέσετε το site σας από τους καταλόγους επιβλαβούς λογισμικού (η μαύρη λίστα που αναφέρετε παραπάνω)
Ακολουθούν μερικές WordPress-συγκεκριμένες προτάσεις για να σας βάλει πίσω στο σωστό δρόμο για τη μακροπρόθεσμη προστασία του σαιτ σας…..
Δημιουργία αντιγράφων ασφαλείας… Επαναφορά;
Αν εντοπίσετε την ημερομηνία και την ώρα την οποία ο δικτυακού σας τόπος παραβιάστηκε, η απλούστερη λύση είναι να αποκαταστήσετε (restore) την ιστοσελίδα σας σε ένα αντίγραφο ασφαλείας πριν από εκείνη την (δύσκολη!) στιγμή. Για το λόγο αυτό είναι σημαντικό να χρησιμοποιήσετε ένα αξιόπιστο εργαλείο για δημιουργία αντιγράφου ασφαλείας (backup), ένα εργαλείο δηλαδή που όχι μόνο δημιουργεί αντίγραφο ασφαλείας, αλλά καθιστά εύκολο να αποκατασταθεί.
Ωστόσο, αυτό το προηγούμενο backup είναι αυτό που ήταν ευάλωτο σε επιθέσεις, εκτός εάν το σημείο εισόδου της επίθεσης ήταν στο Domain, Server, FTP επίπεδο και όχι σε επίπεδο λογισμικού. Ανεξάρτητα απο το προηγούμενο, είναι σημαντικό να βεβαιωθείτε ότι αυτή η καινούργια έκδοση του site σας είναι απαλλαγμένο από την ίδια ευπάθεια (ες) σε επιθέσεις Hacker.
Είναι μια καλή ιδέα να κάνετε backup το .htaccess αρχείο σας και το wp-config.php αρχείο, το wp-content directory σας, και τη βάση δεδομένων σας, ξεχωριστά από το πλήρες . Zip backup σας , έτσι ώστε να μπορούν να αντικαταστήσουν τμήματα του site σας, όπως τα αρχεία πυρήνα του WordPress.
Αντικαταστήστε τα αρχεία πυρήνα WordPress
Οι Hackers συνήθως πάνε για μία υψηλής απόδοσης είσοδο στο σαιτ σας. Για παράδειγμα, αν μπορούν να παραβιάσουν το πυρήνα του WordPress ή ένα δημοφιλές plugin ή ένα ολόκληρο webhost, παραβιάζουν μια φορά και αποκτούν πρόσβαση σε ένα πλήθος από παρόμοια σαιτς. Επιπλέον, μάλλον δεν ενδιαφέρονται να παραβιάσουν πχ το a2fdgd43.com site γιατί είναι μια τοποθεσία που ο τομέας της δεν έχει καμία αξία από την άποψη της κίνησης των επισκεπτών ή δημοφιλία στους ιντερνετικούς χρήστες.
Λόγω αυτής της υψηλής απόδοσης θεωρίας, μπορεί να είναι σωτήρια η αντικατάσταση αντίγραφου του διακομιστή ίντερνετ (web server) από τα αρχεία πυρήνα του WordPress. Μπορείτε να έχετε πάντα την τελευταία έκδοση του WordPress στο wordpress.org/latest.zip.
Επιπλέον, θα πρέπει να εγκαταστήσετε ξανά όλα τα plugins σας και να εξετάσετε τα θέματα σας (themes) πριν από την εκ νέου εγκατάσταση. Προτείνω επίσης τον έλεγχο του υπόλοιπου καταλόγου wp-content για μυστηριώδεις αρχεία.
Αλλαγή όλων των διαπιστευτηρίων σύνδεσης και Προστασία της Συνδέσεις στο WordPress (login) με SSL
Aν και δεν έχει σημασία από που η παραβίαση της ασφάλειας φαίνεται να έχει προέλθει, ποτέ δεν ξέρεις το σύνολο των στοιχείων που θα μπορούσαν να είχαν αποκτηθεί για αυτό τον κακόβουλο σκοπό.
Δημιουργείστε νέους κωδικούς για όλες τις συνδέσεις – SSH, διακομιστή διαχείρισης (server management), FTP, Google, ManageWP και λογαριασμούς χρηστών του WordPress – χωρίς προκαταλήψεις (πχ μην υποθέτεται ότι δεν ήταν σε κίνδυνο). Επίσης, δημιουργείστε ένα νέο σύνολο wp-config.php κλειδιών ασφαλείας.
Αν δεν έχετε ήδη ένα πιστοποιητικό SSL για να εξασφαλίσετε τις συνδέσεις στο WordPress , τώρα είναι η κατάλληλη στιγμή για να το εφαρμόσετε. Ακολουθήστε τα πρόσθετα στοιχεία που προτείνεται από το σαιτ WordPress Codex “Ηardening WordPress”, συμπεριλαμβάνοντας και ένα πιστοποιητικό SSL.
Eπίλυση συγκεκριμένων θεμάτων
Τα παραπάνω βήματα εφαρμόζονται σε όλες τις ιστοσελίδες που προσπαθούν να αποκαταστήσουν την προηγούμενη λειτουργία τους από ένα περιστατικό hacking. Μπορεί επίσης να έχετε προβλήματα με τον webhost, το λογισμικό του σερβερ, ή άλλα ζητήματα να αντιμετωπίσετε. Χρησιμοποιώντας τους σαρωτές παραπάνω θα πρέπει να βοηθηθείτε στο να εντοπίσετε πρόσθετες ανησυχίες για την ασφάλεια του σαιτ σας. Ωστόσο, κανένας σαρωτής δεν είναι τέλειος και η βάση δεδομένων του WordPress θα μπορούσε ακόμη να τεθεί σε κίνδυνο.
Η Sucuri όχι μόνο παρέχει ένα δωρεάν σαρωτή, αλλά προσφέρει επίσης και πακέτα επί πληρωμή για καθαρισμό και παρακολούθηση. Web Hosts όπως ο WP Engine σαρώνει και επιδιορθώνει τις προσπάθειες hacking αυτόματα, και βρίσκει ακόμη και ιστοσελίδες που είναι επιρεπής σε παραβίαση, χωρίς επιπλέον κόστος.
Υπενθυμίσεις
Επιτρέψτε μου να σας διαβεβαιώσω: Είναι πιο εύκολο, πιο αξιόπιστο, και λιγότερος πονοκέφαλος για να πάρεις μέτρα από πρίν, να λειτουργείτε ένα ασφαλές σαιτ και να λαμβάνετε προφυλάξεις ασφαλείας πιό προχωρημένου επιπέδου σε τακτική βάση, από ό, τι είναι να αποκατασταθεί μια hacked ιστοσελίδα και μόνο στη συνέχεια να δώσουμε προσοχή στην ασφάλεια…..
H φιλοξενία σε ένα πίο ακριβό web host που εστιάζει όμως στην ασφάλεια μπορεί να είναι μια σημαντική βελτίωση σε σχέση με μία εξαιρετικά φθηνή λύση Web Host. Δεν υπάρχει καμία σύγκριση με ένα web hosting πακέτο των 4 €/μήνα “απεριόριστου” bandwidth να μπορεί να συγκριθεί με ένα 20€/μήνα web hosting πακετο που εστιάζει στην ταχύτητα, την ασφάλεια, και εξυπηρέτηση. Μερικές φορές δεν εκτιμάμε υψηλότερες τιμές ποιοτικών υπηρεσιών, μέχρι να είναι πολύ αργά – μέχρι το hack της σελίδας μας να έχει ήδη συμβεί ή στην περίπτωση της ταχύτητας και του χρόνου λειτουργίας (uptime), παρά μόνο μετά την αισθητή πτώση της επισκεψιμότητας της σελίδας μας.
Σας προτείνω να εκτελείτε κάποιες από τις παραπάνω ενέργειες σε μια ημι-τακτική βάση – λαμβάνοντας τακτικά αντίγραφα ασφαλείας και να ελέγχετε ότι είναι σε θέση να αποκατασταθεί πλήρως, αλλάζοντας τα στοιχεία σύνδεσης, κ.λπ. Επιπλέον να χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης, περιορίζοντας τις προσπάθειες σύνδεσης, καθώς και τη λήψη άλλων προφυλάξεων ασφαλείας.
Προσθέτοντας το site σας στο Google Webmaster Tools έχετε μια σειρά από πλεονεκτήματα, ένα από τα οποία είναι να λαμβάνετε ειδοποιήσεις ασφαλείας για το σαιτ σας μέσω email. Φροντίστε να προσθέσετε το site σας στο Google Webmaster Tools σε κάθε περίπτωση….
Βεβαιωθείτε ότι παίρνετε τακτικά αντίγραφα ασφαλείας. Τυπικά, μία ή δύο φορές ανά ημέρα είναι επαρκής. Άλλοι θεωρούν κάθε δεύτερη ημέρα, μία φορά την εβδομάδα, ή μία φορά το μήνα. Το βέλτιστο χρονοδιάγραμμα δημιουργίας αντιγράφων ασφαλείας εξαρτάται από το πόσο συχνές αλλαγές γίνονται στην ιστοσελίδα σας και πόση επισκεψιμότητα έχετε.
Εάν είχατε ποτέ μια hacked ιστοσελίδα ή βοηθήσατε κάποιον άλλο στην επίλυση ζητημάτων με το hacked web site τους, μοιραστήτε την εμπειρία σας εδώ, σχολιάζοντας παρακάτω……μην ξεχνάτε η εμπειρία είναι γνώση και γνώση πρέπει να μοιράζετε με όλους…..
Γιάννης Βερώνης
gveronis.net/επίθεση-χάκερ/