Jo, jag är här för att berätta att det kan hända dig.
Den här webbplatsen hackades här förbi julafton. Det som hände är en del av en större och störande trend där småföretagens webbplatser och bloggar attackeras och äventyras. WordPress-webbplatser verkar vara ett visst mål.
$config[code] not foundJag har bestämt mig för att dela med mig av min historia, i hopp om att det hjälper dig att undvika hacking eller om man händer, återhämta sig snabbt.
De fula detaljerna
På julafton försökte jag öppna den här sidan eftersom jag normalt gör det första på morgonen, bara för att göra en snabb check.
Hemsidan på webbplatsen var helt tom! Ingenting. Nada. Jag kunde inte posta något nytt heller. Jag insåg att en cracker hade hackat webbplatsen. Som jag undersökte senare den dagen upptäckte jag ganska mycket skada på webbplatsen, inklusive:
- Alla WordPress-plugins hade avaktiverats
- Ett antal sidor har tagits bort, inklusive Experts-katalogen, Nyhetsbrevssida, Om sida och andra.
- Blogrollen har äventyras, med ungefär ett dussin länkar som läggs in på vuxna webbplatser och pharma-webbplatser.
- Nästan 50 gömda länkar till vuxna platser, läkemedelsställen och andra skräpställen hade spridits i rubriken och i sidfoten. Du kunde inte se länkarna från att titta på webbplatsen via en vanlig webbläsare som Internet Explorer, eftersom de avsiktligt var dolda med hjälp av HTML-kod. Men sökmotorer kan naturligtvis "se" länkarna.
När det var en semester gjorde jag vad jag kunde på egen hand för att återställa platsen och nästa dag fick hjälp. Lyckligtvis använder jag ett professionellt webbhotell med utmärkt telefonsupport. Och vår kontraktsansvarig, Tim Grahl, var super och tappade allt för att svara.
Arbetet som ett team lyckades vi få webbplatsen att fungera och ser fram presentabel igen vid slutet av verksamheten 26 december.
Men lite visste jag att prövningen ännu inte var över. Jag hade just sett toppen av isberget den första dagen. Jag upptäckte snart vad hackarna verkligen hade gjort.
Hackers spelar sökmotorerna
Från början hade jag undrat: "Varför skulle någon hacka den här webbplatsen?" Det finns inget värde för en hackare i den. Inga kreditkortsnummer. Inga konfidentiella uppgifter. Ingen kundinformation.
Först chalkade jag det till vandalism.
Men när situationen utvecklades och jag upptäckte mer skada, insåg jag att det inte var bara vandalism. Snarare handlar denna hackingaktivitet om kapning småföretagens webbplatser och bloggar , och använda dem till generera länkar till andra platser till spela sökmotorerna .
Hackarna hittar ett säkerhetshål och kommer in på din webbplats. De tar kontroll genom skript som gör din webbplats till en länkande generande drone. Länkarna som genereras på din webbplats (utan din kunskap) pekas på andra webbplatser, för att få de andra sidorna till toppen av sökmotorns resultat.
Snared i en Splog Ring
En dag efter att jag upptäckte hackingen lärde jag mig den värsta delen: hackarna hade kapat en del av denna sida till en splog (spam blog) ring.
Den första aningen kom från Technorati.com när jag såg det inkommande länget räknat till Småföretagstendenser hade hoppat av ett par tusen länkar över natten. "Åh, hur bra," tänkte jag - i ungefär 3 sekunder! Nöjet blev avsky när jag såg att alla länkar använde ankare text som "viagra", "söta ringsignaler" och andra diverse skräp.
Länkarna var från "splogs". Varje splog bestod av tusentals - bokstavligen tusentals - av länkar som pekade på sidor på andra webbplatser, inklusive hundratals falska sidor som hade ställts in på tmp-katalogen på denna webbplats.
Det var då jag insåg vad hackarna verkligen hade gjort. De hade lämnat ett skript som automatiskt genererade hundratals falska sidor på den här webbplatsen. De falska sidorna i sin tur omdirigerades till pharma, vuxna och ringsignaler. Du kunde inte se de falska sidorna från att titta på den här sidan, men de var där.
Sedan hade hackarna skapat ringar från andra webbplatser, främst bloggar, för att länka till de falska sidorna på Småföretagstendenser. Allt var utformat för att slutligen skicka kombinerad länkvikt till pharma-, vuxen- och ringsignalerna som de ville ranka högt i sökmotorerna.
Så här fungerar det:
Splog A >>> länkar till falsk sida på kapningsplats B >>> vilken falsk sida har omdirigerats till en pharma-webbplats som säljer OxyContin.
Skölj och upprepa. Tusentals gånger.
Resultat = Snabba ökningar i sökmotorrangeringar för webbplatsen som säljer OxyContin.
Som du kan se var det inte en isolerad attack på en enda webbplats. Detta var ett orkestrerat system som involverade hundratals om inte tusentals av webbplatser. Mine råkade bara vara en av många platser snara.
Hur hackarna kom in
Vi tror att hackarna kom in genom en osäker version av WordPress via servern. Utöver det kommer jag inte säga mer, för att inte ge en färdplan för hur man kan knäcka andra webbplatser. Attacken tycktes komma från en rysk IP-adress.
Anfallet utnyttjade semestertidpunkten, eftersom min värd hade en skelettpersonal som jobbade på julafton. Förvånansvärt, mindre än 2 dagar efter den första attacken, medan vi var mitt i att fixa blodbadet, kom hackarna tillbaka! Den här gången hindrades hackningsförsöket genom snabb åtgärd från värdföretaget, vilket blockerade den IP-adress som galen spridde webbplatsen.
När jag undersökte andra hackingar blev jag bedövas för att upptäcka att det finns över ett dussin versioner av WordPress med kända sårbarheter. Med en uppskattad 2 till 3 miljoner bloggar som använder WordPress betyder det att många bloggar kan komma i fara. Webbplatser och bloggar som har funnits på ett tag och betrodda webbplatser är de som sannolikt kommer att bli attackerade.
Gör bara en sökning i Google och du kommer att hitta rapporter om att andra WordPress-bloggar hackas, inklusive några av de bästa och ljusaste. Även Al Gores blogg hade hackats.
Dessutom har min forskning upptäckt minst ett halvt dussin sätt att kompromissa med WordPress-bloggar. Och för varje metod jag har sett är jag säker på att dåliga killar vet 2 dussintals andra.
Korrigerande åtgärder
Vi tog ett antal steg för att säkra webbplatsen, inklusive:
- Uppgraderad till den senaste versionen av WordPress.
- Eliminerad en plugin vilken forskning som föreslog kan ha säkerhetsproblem och uppdaterade alla återstående plugins om nya versioner fanns.
- Rensade upp alla crud kvar av hackarna, radera sina skript och obehöriga länkar och sidor. Vi behövde inte bara skura vår egen webbplatsskod, men behövde vårt webbhotell att göra det för hela servern.
- Återgå till en ren MySQL-databas backup från före attacken.
- Blockerad självregistrering på denna sida.
- Ändrade lösenord granskade serverns loggar för misstänkta IP-adresser och blockerade dem och ändrade ett antal andra saker som jag inte vill uppmärksamma.
Någon frågade om jag planerade att byta från WordPress till en annan programvara. Nej, jag planerar att hålla fast vid det. WordPress är ett bra mjukvarupaket och har varit huvudvärkfri 99% av tiden. Jag förstår att WordPress utvecklingsgemenskap arbetar för att ta itu med säkerhetsproblemen - låt oss hoppas att de gör det innan WordPress utvecklar en irreversibel dålig rap.
Jag har dock sparkat upp säkerhetsåtgärder ett par skåror. Jag tror att en bestämd hacker kan hitta ett sätt att komma in några plats, om de verkligen vill. Men varför gör du ett enkelt mål?
Så, just nu undrar du förmodligen vad du kan göra för att skydda din blogg eller hemsida. Jag har några tips för dig. Men eftersom denna artikel redan är lång har jag lagt dem i en separat artikel: Hur skyddar du din WordPress-webbplats.
56 Kommentarer ▼
