My WordPress Blog Could have Been Hacked - Detectify Saved Me

My WordPress Blog Could have Been Hacked - Detectify Saved Me / Wordpress en webontwikkeling

Als ik je vertel dat er een plaats is waar je naartoe kunt gaan om gemoedsrust te krijgen dat je website veilig is, zou je me dan geloven? Dat zou je wel moeten doen, want er is. Het heet Detectify.

Ik ben het soort website-eigenaar dat altijd al in ontkenning is geweest. Het kan mij niet overkomen. Waarom zou iemand ooit mijn site willen hacken??

Welnu, al die wanen stortten rond mijn hoofd in 2011 toen het hoofd PHP-bestand van mijn startpagina werd vervangen door een webpagina die aankondigde dat de site met succes was gehackt. Het was niet alleen een schok om te beseffen dat iemand daadwerkelijk een bestand op mijn webserver had vervangen, maar het was een enorme klap voor mijn trots. Wat voor soort idioot laat zijn website hacken?

De realiteit is dat mijn WordPress-blog na verloop van tijd verouderd was en steeds kwetsbaarder voor aanvallen toen hackers het internet doorzochten op zoek naar een oudere versie van WordPress met bekende, niet-gepatchte kwetsbaarheden. Grote mislukking van mijn kant. Kort geleden ben ik eindelijk klaar met het bijwerken van mijn blog naar een spiksplinternieuw thema. Ervan overtuigd dat ik me op de beveiligingsafdeling niets te doen had, controleerde ik niet eens of het thema of een van mijn geïnstalleerde plug-ins bekende beveiligingsproblemen had. Pas toen ik Detectify tegenkwam, realiseerde ik me hoe dicht mijn blog was om te worden aangevallen en mogelijk te worden gehackt, nogmaals.

Detectify installeren

Natuurlijk, er zijn andere beveiligingsscanplugins Geef uw website een grondige beveiligingscontrole met HackerTarget Geef uw website een grondige beveiligingscontrole met HackerTarget Naarmate het internet evolueert en de systemen waarop het draait moeilijker te hacken is, zou u denken dat websites minder gehackt zouden worden ! In feite is het tegenovergestelde waar, waarbij het nummer één probleem niet ligt in ... Lees Meer dat je op je site kunt gebruiken, maar Detectify is net zo eenvoudig in te stellen en te gebruiken, zelfs voor een beginneling. Detectify is een combinatieplug-in en webservice. De eerste stap, zoals gebruikelijk bij webservices, moet u aanmelden.

De volgende stap is om de Detectify-plug-in te downloaden en te installeren. Dit is een vrij eenvoudige plug-in, maar het geeft de webgebaseerde beveiligingsapp de mogelijkheid om elk aspect van uw blog te baderen en te analyseren voor beveiligingsfouten. Detecteer zoekopdrachten naar zaken als lokale en externe bestandsindeling, DOM of andere cross-site scriptingproblemen, PHP-arraypadproblemen, uitvoering van externe opdrachten en nog veel meer. U kunt alle kwetsbaarheden waar Detectify naar zoekt op de plug-in-pagina bekijken.


Zodra u zich hebt aangemeld voor de service en de plug-in is geïnstalleerd, is de laatste stap om uw installatie te bevestigen door de verificatiesleutel die u per e-mail ontvangt in het veld in de plug-in te typen. Dan zijn jullie allemaal verbonden en klaar om te rollen.

Een detectiescan uitvoeren

Zodra uw site is gekoppeld, wordt deze weergegeven in uw lijst met beschikbare domeinen in uw online Detectify-account. U kunt zich aanmelden om meerdere domeinen te scannen als u dat wilt.

Wanneer u klaar bent om de kwetsbaarheidsscan van uw website te starten, klikt u gewoon op de knop Scannen en laat u het zijn werk doen. Een paar aanbevelingen in deze fase: probeer de scan uit te voeren in een tijd dat uw site het minste verkeer bevat. Detectify zal bestanden crawlen en scannen op uw site, dus er zal een klein beetje prestatreffer zijn als gevolg van die verwerking.

Ten tweede, geef de service de tijd die het nodig heeft om al dat crawlen en scannen te doen. Het wordt geen snel werk van 30-60 minuten, tenzij je website nietig is. De kansen zijn voor een middelgrote blog die je over meer dan 6 uur bekijkt. Voor een grote blog, nog veel meer.

De beste optie voor de meeste mensen is om de scan te starten voordat u naar bed gaat en u zult 's ochtends de resultaten voor u klaar hebben staan. In mijn geval ontdekte ik, ondanks mijn merk, een glanzend nieuw thema en de nieuwste versie van WordPress, dat ik verschillende waarschuwingen had met betrekking tot de beveiliging van mijn blog.


Als u op de knop Rapport klikt, gaat u naar de pagina met de scandetails voor uw domein.

Uw scanresultaten begrijpen

De eerste dashboardpagina geeft u in feite een overzicht van hoeveel bestanden scans waren, welk type bestanden werden gescand en hoe lang het duurde om ze te scannen.

Dat is elk afzonderlijk bestand op uw server, dus als u veel mediabestanden heeft, kunt u maar beter geloven dat de scan lang zal duren. De gerapporteerde resultaten beschrijven ook de exacte uitsplitsing van de scantijd, zodat u kunt zien welk deel van de scan de meeste verwerkingstijd heeft verbruikt. In mijn geval bestond het testen van crawlen en exploiteren grotendeels uit scantijd.

Het rapport geeft u ook een overzicht van de laatste scans die u hebt uitgevoerd, met ontdekte kwetsbaarheden. Naarmate u problemen op uw site verhelpt, kunt u hier terugkeren om ervoor te zorgen dat uw nieuwe scans een verbetering in de situatie van uw site weerspiegelen in plaats van een toenemend aantal problemen..

Natuurlijk, het beste deel van Detectify (en het hele punt van echt gebruiken), is de detailsectie, die zeer specifieke problemen schetst die op uw site werden ontdekt.

Beveiliging van de beveiligingsproblemen van uw site

Dus hier is het ding dat me heeft gered. Er waren een paar waarschuwingen die me deden beseffen dat mijn site aanhoudende problemen had ondanks het feit dat ik net alles had opgewaardeerd en dacht dat ik high en droog was. Een van de eerste waarschuwingen was niet al te serieus, maar hield verband met het feit dat de PHP-installatie op mijn Apache-server een biedt “Easter Egg 10 Leuk en verrassend besturingssysteem Paaseieren 10 Leuk en verrassend besturingssysteem Paaseieren Zoek verborgen hilariteit en andere rare dingen, ingebouwd in het besturingssysteem dat u gebruikt. Ze verstoppen zich op een eenvoudige site, in software die je elke dag gebruikt, en wanneer je ze vindt, zul je blij zijn - ... Lees meer ” waarmee potentiële hackers kunnen achterhalen welke versie van PHP ik gebruik door te controleren welk pictogram wordt weergegeven wanneer de Easter Egg-code wordt toegevoegd aan de URL van mijn site.


Ik stond zonder het te weten toe dat de PHP-versie onthuld werd, wat ook aan hackers onthult waar ze moeten zoeken naar kwetsbaarheden die kunnen worden gebruikt om op mijn site te hacken. Ik was niet erg blij om dit te zien (ik had geen idee over deze Easter Egg-codes).

Het leuke van het Detectify-rapport is dat, zelfs als u geen webontwerper of programmeur bent, de uitleg van het probleem en de aanbevolen oplossing eenvoudig genoeg is om te begrijpen dat u de meeste ontdekte problemen zelf gemakkelijk kunt oplossen.

Detectify ontdekte een tweede kwetsbaarheid in verband met hoe ik de gebruikersnaam permalink op WordPress had achtergelaten om waarden op te sommen, waarmee hackers op een eenvoudige manier gebruikerslinks kunnen overhevelen en algoritmen voor wachtwoordhacking kunnen doorlopen om een ​​account met een zwak wachtwoord te achterhalen.

Een derde kwetsbaarheid die Detectify vond was gerelateerd aan een oude plug-in die ik op de site had geïnstalleerd, en een kwetsbaarheid van een JavaScript-bibliotheek diep begraven in een van de demomappen in die plug-in. Ik had absoluut geen idee dat deze map zelfs op de server bestond - maar daar was het, een kwetsbaarheid die gewoon wachtte tot een hacker zou komen en uitbuiten.

En daar dacht ik dat ik sterk stond met een ondoordringbare website. Nogmaals, Detectify leverde zeer duidelijke en gemakkelijk te begrijpen oplossingen voor elke kwetsbaarheidswaarschuwing.

Informatie beveiligingsproblemen

Detectify neemt beveiliging een stap verder door informatieve beveiligingsproblemen op uw site te bieden. Dit zijn meestal zeer kleine problemen die niet echt beveiligingsproblemen zijn, maar wel manieren zijn waarop hackers meer informatie over uw website kunnen krijgen, waarmee ze onderzoeksinstrumenten kunnen vinden om bekende zwakke plekken te vinden in wat u op uw webserver hebt geïnstalleerd.


Je kunt dit oplossen als je een echte trouwe klusser bent, maar de meeste daarvan zijn slechts aanbevelingen. Je loopt geen groot gevaar als je besluit hiervan af te zien.

Ik merkte dat deze resultaten zelfs het feit omvatten dat de crawler e-mailadressen in platte tekst op mijn site kon ontdekken. Het bevatte zelfs een lijst met alle gevonden adressen - meestal afkomstig van oude reacties.

Wat geweldig was, was dat ik door de jaren heen dacht dat ik alle posting van e-mailadressen naar de site had geblokkeerd. Detectify adviseerde me anders en vermeldde elk ontdekt e-mailadres.

Is mijn site gehackt als ik Detectify niet heb gebruikt en deze waarschuwingen heb gecorrigeerd? Mogelijk. Dat is het probleem met de beveiliging van websites. U denkt misschien dat de problemen die er op uw server zijn, dat niet zijn “ernstig” genoeg om je tijd en energie te verdienen, maar het enige dat nodig is, is een vindingrijke en gemotiveerde hacker om die gaten in de beveiliging te onderzoeken, en dan de tijd te nemen om er daadwerkelijk gebruik van te maken.

Wanneer u talloze uren besteedt aan het opbouwen van een website. Hoe u uw eigen website binnen enkele minuten kunt bouwen zonder enige codeervaardigheden. Hoe u uw eigen website binnen enkele minuten kunt bouwen zonder enige codeervaardigheden Naarmate het web groeit en het verblindt snel, is de behoefte aan een aanwezigheid op het web wordt steeds dringender. In veel delen van de wereld moet je simpelweg een aanwezigheid op het web hebben om ... Lees meer dat je dol bent op, en ongoddelijke hoeveelheden contant geld investeert bij webhosting en andere website-uitgaven, het laatste dat je nodig hebt is een slijmerige hacker die alles vernietigt wat je nodig hebt ' ik heb ooit gebouwd. Installeer Detectify dus. Scan uw site. Los deze problemen op. Vertrouw me, je zult blij zijn dat je het gedaan hebt. ik weet dat ik dat ben.

Ontdek meer over: Wordpress, Wordpress Plugins, Wordpress Themes.