Пришлось недавно чистить один (чужой) блог на WordPress от последствий взлома хакерами. Ну кое-какие мысли осели в голове. Решил поделиться. Ничего нового не узнаете, но все же...
В большинстве случаев, взлом сайтов элементарное дело. Почему? Да потому, что мы сами стремимся облегчить работу хакерам. Еще встречаются люди, которые в качестве пароля указывают свой день рождения. (День рождения мужа, детей и т.п.). Узнать такие данные проще простого. Сейчас практически все присутствуют в социальных сетях. Ну да, можно сделать чтобы показывалась только день и месяц рождения. Этого достаточно. Остается только подобрать год. А все потому, что день рождения запомнить легче, чем такой, к примеру, наборчик: "DF47Jkle3"
Далее идут плагины. Да, плагины проверяют на уязвимости. Но не факт, что находят все. Ну и это только в том случае, если их скачивать с официальных сайтов. А если скачали с обменника? В этом случае никаких гарантий, что в плагине нет закладок, никто вам не даст. А еще стоит подумать, нужны ли вам все эти плагины? Конечно, есть крайне важные и нужные. А есть и такие, без которых вполне можно обойтись. К примеру, есть плагины по встраиванию кода аналитики. Ну неужели сложно зайти в шаблон и вставить несколько строк кода в нужное место? Или плагин расшаривания контента. Тут чуть сложнее, но стоит немного напрячь аппарат между ушами, и все получится. Просто стоит понять, что зачастую плагины облегчают работу, которую вполне можно сделать самим. Ну еще одна вещь, которую не стоит забывать: каждый активированный плагин увеличивает время загрузки блога. Так что думайте, надо оно вам?
Ну и третье замечание. Про хостинг. Зачастую хакер не будет время на подбор паролей. Если пароль "правильный", то это может занять длительное время. Бывает проще найти уязвимость на одном из сайтов, расположенных на том же хостинге. Если неправильны настроены права доступа, то можно получить доступ к данным всех остальных сайтов. И, даже если буду права только на чтение, этого будет достаточно. А я встречал хостера даже с правами на запись. Жил он не долго :). Хостер был не коммерческий, но там были сайты бюджетных организаций всей области. Так что выбор хостера это первый шаг по безопасности своего детища. Я рекомендую Надёжный хостинг BeGet. Надежно и не очень дорого.
Ну и о блоге который я чистил. Его сломали дважды. Вначале туда залили шелл и тихо им пользовались. А потом кто-то нашел шелл и провел deface. Тут то все и всплыло.
Все вышеописанное касается вас только в том случае, если у вас автономные блоги. Если блог размещен на платформе blogger.com то таких проблем с безопасностью у вас не будет. Можете даже создать автонаполняемый блог на блогспоте. Правда могут забанить. Так что думаете, и еще раз думаете. Что там у вас между ушами?
Подписаться на:
Комментарии к сообщению (Atom)
0 коммент.:
Отправить комментарий