Bene, sono qui per dirti che può capitare a te.
Questo sito è stato violato la vigilia di Natale. Ciò che è accaduto fa parte di una tendenza più ampia e preoccupante in cui i siti Web e i blog di piccole imprese vengono attaccati e compromessi. I siti WordPress sembrano essere un obiettivo particolare.
$config[code] not foundHo deciso di condividere la mia storia, nella speranza che possa aiutarti a evitare l'hacking o, se succede, a recuperare rapidamente.
I dettagli brutti
La mattina di Natale, ho provato ad aprire questo sito perché normalmente faccio la prima cosa al mattino, solo per fare un rapido controllo.
La home page del sito era completamente vuota! Niente. Nada. Non potrei postare nulla di nuovo, neanche. Mi sono reso conto che un cracker aveva violato il sito. Come ho investigato più tardi quel giorno ho scoperto un bel po 'di danni al sito, tra cui:
- Tutti i plugin WordPress sono stati disattivati
- Un numero di pagine è stato cancellato, inclusa la directory Esperti, la pagina Newsletter, la pagina Informazioni e altri.
- Il blogroll era stato compromesso, con circa una dozzina di link inseriti nei siti per adulti e nei siti farmaceutici.
- Quasi 50 collegamenti nascosti a siti per adulti, siti farmaceutici e altri siti di posta indesiderata erano stati sparsi nell'intestazione e nel footer. Non è possibile vedere i collegamenti guardando il sito attraverso un browser standard come Internet Explorer, perché sono stati intenzionalmente nascosti usando il codice HTML. Tuttavia, i motori di ricerca potrebbero "vedere" i collegamenti, ovviamente.
Essendo una vacanza, ho fatto quello che potevo da solo per ripristinare il sito, e il giorno dopo ho ricevuto aiuto. Per fortuna uso una società di hosting professionale con un eccellente supporto telefonico. E il nostro webmaster del contratto, Tim Grahl, era super e ha lasciato cadere tutto per rispondere.
Lavorando come una squadra, siamo riusciti a rendere il sito funzionante e di nuovo presentabile alla fine degli affari il 26 dicembre.
Tuttavia, non sapevo che la prova non fosse ancora finita. Avevo appena visto la punta dell'iceberg il primo giorno. Scoprimmo presto ciò che gli hacker REALMENTE avevano fatto.
Gli hacker che giocano con i motori di ricerca
Fin dall'inizio ho continuato a chiedermi, 'Perché qualcuno dovrebbe hackerare questo sito?' Non c'è nulla di valore (per un hacker) in esso. Nessun numero di carta di credito. Nessun dato confidenziale. Nessuna informazione del cliente.
All'inizio l'ho attribuito al vandalismo.
Ma mentre la situazione si è aperta e ho scoperto più danni, ho capito che non si trattava di un semplice vandalismo. Piuttosto, questa attività di hacking è tutto dirottamento di siti Web e blog di piccole imprese e usandoli a generare collegamenti ad altri siti a gioca i motori di ricerca .
Gli hacker trovano un buco nella sicurezza e entrano nel tuo sito. Prendono il controllo tramite script che trasformano il tuo sito in un drone che genera link. I link generati sul tuo sito (a tua insaputa) sono puntati su altri siti, nel tentativo di portare questi altri siti in cima ai risultati dei motori di ricerca.
Ruggito in un anello Splog
Un giorno dopo aver scoperto l'hacking, ho imparato la parte peggiore: gli hacker avevano dirottato parte di questo sito in un anello di spam (blog spam).
Il primo indizio è venuto da Technorati.com quando ho visto il conteggio dei link in entrata Tendenze delle piccole imprese era saltato da un paio di migliaia di link durante la notte. "Oh che bello," pensai - per circa 3 secondi! Il mio piacere si è trasformato in disgusto quando ho visto che tutti i link utilizzavano il testo di ancoraggio come "viagra", "suonerie carine" e altre cianfrusaglie assortite.
I link provenivano da "splogs". Ogni splog consisteva in elenchi di migliaia - letteralmente migliaia - di link che rimandavano a pagine di altri siti Web, incluse centinaia di pagine false che erano state impostate nella directory tmp di questo sito.
In quel momento ho capito cosa avevano fatto davvero gli hacker. Avevano lasciato dietro di sé uno script che ha generato automaticamente centinaia di pagine false su questo sito. Quelle pagine false a loro volta sono state reindirizzate a siti farmaceutici, per adulti e suonerie. Non è possibile vedere le pagine false di guardare questo sito, ma erano lì.
Quindi gli hacker hanno creato anelli di altri siti, principalmente blog, per collegarsi alle pagine false su Tendenze delle piccole imprese. Tutto è stato progettato per inviare in ultima analisi il peso del collegamento combinato ai siti farmaceutici, per adulti e suoneria che desideravano posizionarsi in alto nei motori di ricerca.
Ecco come funziona:
Splog A >>> rimanda alla falsa pagina sul sito dirottato B >>> che la pagina falsa è stata reindirizzata a un sito farmaceutico che vende OxyContin.
Risciacqua e ripeti. Migliaia di volte.
Risultato = aumenti rapidi nei ranking dei motori di ricerca per il sito che vende OxyContin.
Come puoi vedere, questo non era un attacco isolato su un singolo sito. Questo era uno schema orchestrato che coinvolgeva centinaia altrimenti migliaia di siti. Il mio è appena capitato di essere uno dei tanti siti presi in giro.
Come sono arrivati gli hacker
Pensiamo che gli hacker abbiano ottenuto attraverso una versione insicura di WordPress tramite il server. Oltre a questo non dirò di più, in modo da non dare una tabella di marcia su come violare altri siti. L'attacco sembrava provenire da un indirizzo IP russo.
L'attacco ha approfittato del cronometraggio delle festività, in quanto il mio ospite aveva uno staff di scheletri che lavorava alla vigilia di Natale. Sorprendentemente, meno di 2 giorni dopo il primo attacco, mentre eravamo nel bel mezzo di riparare la carneficina, gli hacker sono tornati! Questa volta, il tentativo di hacking è stato impedito da un'azione rapida da parte della società di hosting, bloccando l'indirizzo IP che stava follemente spidering il sito.
Mentre studiavo altri hackings, sono rimasto sbalordito nello scoprire che esistono oltre una dozzina di versioni di WordPress con vulnerabilità note. Con una stima di 2-3 milioni di blog che utilizzano WordPress, significa che molti blog sono potenzialmente a rischio. I siti web e i blog che sono in circolazione da un po 'di tempo e i siti attendibili sono quelli che potrebbero essere attaccati.
Fai una ricerca su Google e troverai segnalazioni di altri blog di WordPress che sono stati violati, inclusi alcuni tra i migliori e più brillanti. Persino il blog di Al Gore è stato violato.
Inoltre, la mia ricerca ha scoperto almeno una mezza dozzina di modi per compromettere i blog di WordPress. E per ogni metodo che ho visto, sono sicuro che i cattivi ne conoscono altre 2 dozzine.
Azione correttiva
Abbiamo preso una serie di passaggi per proteggere il sito, tra cui:
- Aggiornato all'ultima versione di WordPress.
- Eliminato un plug-in che la ricerca suggeriva potrebbe presentare vulnerabilità di sicurezza e ha aggiornato tutti i plug-in rimanenti in caso di nuove versioni.
- Pulito tutto il crudino lasciato dagli hacker, cancellando i loro script e link e pagine non autorizzate. Non abbiamo solo dovuto setacciare il nostro codice del sito, ma avevamo bisogno della nostra società di hosting per farlo per l'intero server.
- Ripristinato a un pulito backup del database MySQL prima dell'attacco.
- Autoregistrazione bloccata su questo sito.
- Password modificate; ha controllato i log del server per gli indirizzi IP sospetti e li ha bloccati; e ha cambiato una serie di altre cose a cui non voglio richiamare l'attenzione.
Qualcuno mi ha chiesto se intendevo passare da WordPress a un altro software. No, ho intenzione di seguirlo. WordPress è un buon pacchetto software ed è stato privo di mal di testa il 99% delle volte. Comprendo che la comunità di sviluppo di WordPress sta lavorando per risolvere i problemi di sicurezza - speriamo che lo facciano prima che WordPress sviluppi un brutto colpo irreversibile.
Tuttavia, ho preso a calci le misure di sicurezza un paio di tacche. Credo che un determinato hacker possa trovare un modo per entrare qualunque sito, se lo vogliono davvero. Ma perché renderti un bersaglio facile?
Quindi, proprio ora, probabilmente ti starai chiedendo cosa puoi fare per proteggere il tuo blog o sito web. Ho alcune indicazioni per te. Ma dal momento che questo articolo è già lungo, li ho messi in un articolo a parte: Come proteggere il tuo sito WordPress.
56 commenti ▼
