Nou, ik ben hier om je te vertellen dat het met jou kan gebeuren.
Deze website is afgelopen kerst gehackt. Wat er gebeurde maakt deel uit van een grotere en verontrustende trend waarin websites en blogs van kleine bedrijven worden aangevallen en aangetast. WordPress-sites lijken een bepaald doelwit te zijn.
$config[code] not foundIk heb besloten mijn verhaal te delen, in de hoop dat het je zal helpen om te voorkomen dat je wordt gehackt of dat als het gebeurt, je snel herstelt.
The Ugly Details
Op kerstochtend probeerde ik deze site te openen zoals ik normaal 's morgens vroeg doe, gewoon om een snelle controle uit te voeren.
De startpagina van de site was helemaal leeg! Niets. Nada. Ik kon ook niets nieuws posten. Ik realiseerde me dat een cracker de site had gehackt. Zoals ik later die dag heb onderzocht, ontdekte ik nogal wat schade aan de site, waaronder:
- Alle WordPress-plug-ins waren gedeactiveerd
- Een aantal pagina's is verwijderd, inclusief de map Experts, de nieuwsbriefpagina, de pagina Over en nog veel meer.
- De blogroll was aangetast, met ongeveer een dozijn links ingevoegd in sites voor volwassenen en farmaceutische sites.
- Bijna 50 verborgen links naar sites voor volwassenen, farmaceutische sites en andere ongewenste sites waren verspreid in de koptekst en in de voettekst. Je kon de links niet zien via een standaardbrowser zoals Internet Explorer, omdat ze opzettelijk verborgen waren met HTML-code. Echter, zoekmachines zouden de links natuurlijk kunnen "zien".
Omdat het een vakantie was, deed ik in mijn eentje wat ik kon om de site te herstellen en kreeg ik de volgende dag hulp. Gelukkig gebruik ik een professioneel hostingbedrijf met uitstekende telefonische ondersteuning. En onze contract webmaster, Tim Grahl, was super en liet alles vallen om te reageren.
In teamverband slaagden we erin de site op 26 december operationeel te krijgen en er weer presentabel uit te zien.
Hoe dan ook, ik wist dat de beproeving nog niet was afgelopen. Ik had net de top van de ijsberg de eerste dag gezien. Ik ontdekte al snel wat de hackers WERKELIJK hadden gedaan.
Hackers die de zoekmachines gebruiken
Vanaf het begin vroeg ik me af: 'Waarom zou iemand deze site hacken?' Er staat niets van waarde (voor een hacker) in. Geen creditcardnummers. Geen vertrouwelijke gegevens. Geen klantinformatie.
In het begin heb ik het tot vandalisme gekalkt.
Maar toen de situatie zich afspeelde en ik meer schade ontdekte, besefte ik dat dit niet alleen maar vandalisme was. Integendeel, deze hackactiviteit gaat helemaal over het kapen van websites en blogs voor kleine bedrijven en gebruik ze om koppelingen genereren naar andere sites naar speel de zoekmachines .
De hackers vinden een beveiligingslek en komen op uw site terecht. Ze nemen de controle door middel van scripts die van uw site een link-genererende drone maken. De links die op uw site worden gegenereerd (zonder uw medeweten) worden op andere sites gericht, in een poging om die andere sites naar de top van de zoekresultaten te krijgen.
Snared in een Splog-ring
Een dag nadat ik het hacken ontdekte, leerde ik het ergste: de hackers hadden een deel van deze site in een splog (spamblog) -ring gekaapt.
De eerste aanwijzing kwam van Technorati.com toen ik zag dat de inkomende link meetelt Trends voor kleine bedrijven was 's nachts door een paar duizend links gesprongen. "Oh hoe mooi," dacht ik - voor ongeveer 3 seconden! Mijn plezier veranderde in walging toen ik zag dat alle links ankertekst gebruikten zoals 'viagra', 'schattige beltonen' en andere gesorteerde rommel.
De links waren afkomstig van 'splogs'. Elke splog bestond uit duizenden lijsten - letterlijk duizenden - verwijzingen naar pagina's op andere websites, waaronder honderden neppagina's die waren ingesteld in de tmp-directory van deze site.
Toen besefte ik wat de hackers echt hadden gedaan. Ze hadden een script achtergelaten dat automatisch honderden valse pagina's op deze site genereerde. Die valse pagina's werden op hun beurt omgeleid naar farma-, volwassen- en ringtone-sites. Je kon de nep-pagina's niet zien op deze site, maar ze waren er wel.
Vervolgens hadden de hackers ringen van andere sites gemaakt, voornamelijk blogs, om naar de neppagina's te linken Trends voor kleine bedrijven. Alles werd ontworpen om uiteindelijk het gewicht van de koppelingen naar de farma-, volwassen- en ringtone-sites te sturen die ze hoog wilden scoren in de zoekmachines.
Dit is hoe het werkt:
Splog A >>> links naar neppagina op gehackte site B >>> welke valse pagina is omgeleid naar een farmasite die OxyContin verkoopt.
Spoel en herhaal. Duizenden keren.
Resultaat = snelle toename van de positie in zoekmachines voor de site die OxyContin verkoopt.
Zoals je kunt zien, was dit geen geïsoleerde aanval op een enkele site. Dit was een georkestreerd schema met honderden als niet duizenden van sites. De mijne was toevallig een van de vele sites die ik verstrikt had.
Hoe de hackers binnenkwamen
We denken dat de hackers via een server via een onveilige versie van WordPress zijn binnengekomen. Verderop zal ik niet meer zeggen, om geen stappenplan te geven voor het kraken van andere sites. De aanval bleek afkomstig te zijn van een Russisch IP-adres.
De aanval maakte gebruik van de vakantie-timing, omdat mijn gastheer op kerstavond een skeletpersoneel had. Verbazingwekkend genoeg kwamen de hackers terug, minder dan 2 dagen na de eerste aanval, terwijl we midden in het herstel waren. Deze keer werd de hackpoging voorkomen door snelle actie van het hostingbedrijf, waardoor het IP-adres geblokkeerd werd dat de website spookachtig achtervolgde.
Toen ik andere hackings onderzocht, stond ik versteld toen ik ontdekte dat er meer dan een dozijn versies van WordPress met bekende kwetsbaarheden zijn. Met naar schatting 2 tot 3 miljoen blogs met WordPress, betekent dit dat veel blogs mogelijk gevaar lopen. Websites en blogs die al een tijdje bestaan, en vertrouwde sites, zijn degenen die waarschijnlijk worden aangevallen.
Doe gewoon een zoekopdracht in Google en je zult rapporten vinden van andere WordPress-blogs die gehackt worden, inclusief enkele van de beste en slimste. Zelfs de blog van Al Gore is gehackt.
Bovendien heeft mijn onderzoek op zijn minst een half dozijn manieren blootgelegd om WordPress-blogs in gevaar te brengen. En voor elke methode die ik heb gezien, weet ik zeker dat slechteriken twee dozijn anderen kennen.
Corrigerende actie
We hebben een aantal stappen genomen om de site te beveiligen, waaronder:
- Opgewaardeerd naar de nieuwste versie van WordPress.
- Eén plug-in waarvan het voorgestelde onderzoek mogelijk beveiligingsrisico's had, uitgeschakeld en alle resterende plug-ins bijgewerkt als er nieuwe versies beschikbaar waren.
- Alle onzuiverheden van de hackers opgeschoond, hun scripts en ongeoorloofde links en pagina's verwijderd. We moesten niet alleen onze eigen sitecode doorzoeken, maar hadden ons hostingbedrijf nodig om dit voor de hele server te doen.
- Teruggekeerd naar een schone MySQL-databaseback-up van vóór de aanval.
- Geblokkeerde zelfregistratie op deze site.
- Gewijzigde wachtwoorden; herzien van serverlogboeken voor verdachte IP-adressen en deze geblokkeerd; en veranderde een aantal andere dingen waar ik geen aandacht aan wil schenken.
Iemand vroeg of ik van WordPress naar een andere software wilde overschakelen. Nee, ik ben van plan erbij te blijven. WordPress is een goed softwarepakket en is 99% van de tijd zonder hoofdpijn geweest. Ik begrijp dat de ontwikkelingsgemeenschap van WordPress werkt aan het oplossen van de beveiligingsproblemen - laten we hopen dat ze dit doen voordat WordPress een onomkeerbare slechte rap ontwikkelt.
Ik heb de beveiligingsmaatregelen echter een paar keer ingeklapt. Ik geloof dat een vastberaden hacker een manier kan vinden om erin te komen ieder site, als ze dat echt willen. Maar waarom zou je jezelf een gemakkelijk doelwit maken?
Dus nu vraag je je waarschijnlijk af wat je kunt doen om je blog of website te beschermen. Ik heb enkele tips voor je. Maar aangezien dit artikel al lang is, heb ik ze in een apart artikel geplaatst: Hoe je je WordPress-site kunt beschermen.
56 Opmerkingen ▼
