Mein Blog, Leaving Work Behind, wurde im April gehackt. Es ist etwas, worüber man oft genug liest, aber nie wirklich erwartet, dass es passiert Sie bis es zu spät ist. Um ehrlich zu sein, sah ich mich nicht als Hauptkandidatin – ich habe oft genug über WordPress-Sicherheit geschrieben, um viele vorbeugende Maßnahmen zu ergreifen. Diese Maßnahmen waren jedoch eindeutig nicht umfassend genug.
Gehackt zu werden ist etwas, das ich nicht noch einmal durchmachen möchte. Es gibt so viele Gründe, warum Website-Ausfälle schlecht für Ihren Blog/Ihr Geschäft sind: Während Trafficverlust und potenzielles Einkommen die beiden offensichtlichsten sind, kann ich die Zeit, die ich bei der Wiederherstellung der Website verloren habe, und den Stress, den ich damit verliere, nicht unterschätzen verursachte mich.
In diesem Beitrag möchte ich enthüllen, was mit meiner Site passiert ist und Sie wissen lassen, was ich seitdem unternommen habe, um die Sicherheit meiner Site zu erhöhen.
Gehackt werden: Meine Geschichte
Ich wachte am Donnerstag, den 18. April, auf und stellte fest, dass meine Seite nicht mehr erreichbar war und das schon seit ein paar Stunden. Ich kontaktierte sofort meinen Hosting-Provider Westhost, der mir mitteilte, dass seine ModSecurity-Firewall ungewöhnliche Aktivitäten auf meiner Seite festgestellt und vorsorglich sofort abgeschaltet hatte. Als ich eine erste Wiederherstellung der Site durchführte, konnte ich sofort sehen, dass sie gehackt wurde. Obwohl die Änderungen relativ subtil waren, war es klar genug, dass einige skrupellose Sorte herumschnüffelten.
Es stellte sich heraus, dass auch eine große Anzahl von WordPress-Sites gehackt wurde und Westhost ihre Arbeit abgeschnitten hatte. Glücklicherweise machen sie tägliche Backups der Site und am folgenden Nachmittag war ich wieder online mit einer Version meiner Site, die so aktuell wie möglich war.
Hier ist die Auswirkung des Hacks auf meinen Datenverkehr:
Um die obige Grafik ins rechte Licht zu rücken, ging der Traffic dieser Woche im Vergleich zur Vorwoche um ~30 % zurück. Das bedeutete theoretisch einen Einkommensrückgang von 30 %.
Es ist fair zu sagen, dass ich (nach besten Kräften) darauf bedacht war, dass ein solcher Hack nicht wiederholt werden konnte. Ich habe sofort gehandelt.
Meine sofortigen Schritte
Das erste, was ich tat, war zu überprüfen, ob ich die Schritte befolgt hatte, die in meinem letzten Beitrag zur Sicherung Ihrer WordPress-Website beschrieben wurden.
Dies waren die absoluten Grundlagen: Aktualisieren meiner Themes und Plugins, Sicherstellen, dass ich ein aktuelles Backup habe, Sicherstellen, dass mein Standardprofil nicht „admin“ heißt, Ändern meines Passworts und Überprüfen auf Sicherheits-Plugins auf meiner Website. Mit diesen Gegenständen war es an der Zeit, weiterzumachen.
Ich mache mir keine Illusionen, dass meine Website jetzt 100 % sicher ist – schließlich gibt es keine 100 % sichere Website. Trotzdem weiß ich, dass es viel sicherer ist als zuvor, und ich werde jetzt und in Zukunft weiterhin über die Sicherheitsmaßnahmen der Site nachdenken. Bisher habe ich das so gemacht.
1. Ich habe VaultPress installiert
Für diejenigen unter euch, die es nicht wissen, TresorPresse ist eine vollständig automatisierte Backup- und Sicherheitslösung für WordPress. Es gehört ihm Automatik, die de facto „Eigentümer“ von WordPress.
Nachdem ich VaultPress jetzt seit ein paar Tagen benutze, kann ich nicht glauben, dass ich so billig war, nicht vorher für den Service zu stolpern. Ihr Basispaket beginnt bei 15 US-Dollar pro Monat – das bezahle ich für jeden Tag der Woche für Seelenfrieden.
Tatsächlich habe ich mich für das Premium-Paket (40 USD pro Monat) entschieden, das Folgendes beinhaltet:
- Echtzeit-Backup
- Automatisierte One-Click-Site-Wiederherstellung
- Archive, Statistiken und Aktivitätsprotokoll
- Notfallwiederherstellung mit Priorität
- Priorität „Concierge“-Support
- Tägliche Sicherheitsüberprüfung
- Sicherheitsbenachrichtigungen
- One-Click-Fixer für Sicherheitsbedrohungen
- Unterstützung bei der Site-Migration
Im Grunde haben sie dich abgedeckt.
Obwohl VaultPress die Sicherheit Ihrer Website vor Hackern nicht garantieren kann, ist es so ziemlich kann garantieren, dass Ihre Site relativ einfach wiederhergestellt werden kann. Es hat einfach etwas sehr Beruhigendes, stündliche Schnappschüsse Ihrer Websites zu sehen, die auf den Servern von VaultPress gespeichert sind:
Obwohl es viele kostenlose Backup-Lösungen gibt, denke ich, dass nichts die relative Ruhe übertrifft, die ich von VaultPress bekomme. Sie haben derzeit 90 Snapshots meiner Site zum Wiederherstellen zur Verfügung, von denen der neueste gerade einmal zwanzig Minuten alt ist. Ich weiß, dass meine Website in ihren Händen sicher ist.
2. Ich habe meine Profile verwaltet
Ein Hacker kann potenziell von jedem der Administratorprofile in Ihrem WordPress-Backend auf Ihre Site zugreifen – nicht nur das eine Sie verwenden. Als ich meine Profile lud, konnte ich sehen, dass ich drei weitere Profile hatte – ein Gastposter-Profil und zwei weitere Profile für (vertrauenswürdige) Personen, denen ich Zugang zu meiner Site gegeben hatte.
Ich begann damit, diese beiden Profile zu schließen und die Rolle des Gastposterprofils in Autor zu ändern. Dies ist etwas, was ich Ihnen raten würde – erstellen Sie nur so viele Administratorprofile wie unbedingt nötig. Darüber hinaus sollten Sie natürlich sicherstellen, dass jedes Konto ein entsprechend zufälliges und einzigartiges Passwort hat und dass diese Passwörter regelmäßig geändert werden.
Manchmal müssen Sie Personen (z. B. Ihrem Webdesigner) Zugriff auf Ihre Site gewähren. In solchen Situationen empfehle ich Ihnen, für sie ein Profil mit einem neuen Passwort zu erstellen und dieses Profil dann zu löschen, sobald seine Notwendigkeit endet.
Denken Sie immer an die Einstiegspunkte Ihrer Site und ob sie unbedingt erforderlich sind.
3. Ich habe meine Passwörter geändert
Sie denken vielleicht, dass dies ein offensichtlicher Schritt war, aber ich spreche nicht wirklich über meine WordPress-Passwörter. obwohl ich Tat ändern, war ich mir auch sicher, alle Passwörter zu besonders sensiblen Konten zu ändern, dh:
- Google Mail
- Mein Hosting-Konto
- Amazon-Partner
- Etc
Wenn Sie sich fragen, warum ich diesen Schritt gemacht habe, denken Sie nur an die Geschichte von Mat Honan, dessen gesamtes digitales Leben von Hackern zerstört wurde, die sich ursprünglich in sein Amazon-Konto gehackt hatten. Wenn Sie sich in Bezug auf Online-Sicherheit in irgendeiner Weise blasiert fühlen, ist der obige Artikel ein Muss.
Betrachten Sie diese einfache Kette: Ein Hacker erhält Zugriff auf Ihr E-Mail-Konto, von dem Sie kürzlich eine E-Mail mit Anmeldedaten für Ihre WordPress-Site an Ihren Webdesigner gesendet haben. Das ist alles, was sie brauchen, um auf Ihre Site zuzugreifen und zu tun, was sie wollen. Hacken kann so elementar sein.
4. Ich habe auf SFTP aktualisiert
Was Sie vielleicht nicht wissen: Alle Daten, die Sie per FTP übertragen (einschließlich Ihres Benutzernamens und Ihres Passworts) sind vollständig unverschlüsselt. Daher kann jeder, der erfolgreich FTP-Übertragungen abfangen kann, Ihre Anmeldedaten abrufen und Zugriff auf Ihr Konto erhalten.
Auf diese Weise können sie nicht nur Dateien hinzufügen und entfernen, wie sie es für richtig halten, sondern sie können auch über phpMyAdmin auf Ihre WordPress-Datenbank zugreifen und sich schließlich bei Ihrer Website anmelden.
Einfach ausgedrückt spielt es keine Rolle, wie sicher der direkte Zugriff auf Ihre WordPress-Site ist, wenn Hacker über FTP eindringen können. Daher empfehle ich Ihnen dringend, den FTP-Zugriff auf Ihre Site zu deaktivieren und Dateien mit dem alternativen SFTP-Protokoll zu übertragen, das tut Daten verschlüsseln. Jeder gute Hosting-Anbieter sollte Ihnen dabei helfen können.
Apropos Hosting-Anbieter…
5. Berücksichtigen Sie die Eignung Ihrer Hosting-Lösung
Ich bin froh, dass ich bei Westhost bin. Es war ihre ModSecurity-Firewall, die den Hack überhaupt entdeckte und meine Site heruntergefahren hat, bevor ernsthafter Schaden angerichtet werden konnte. Sie führen auch automatische tägliche Backups durch (die zur Wiederherstellung der Site verwendet wurden) und haben einen knackigen Kundensupport.
Können Sie dasselbe von Ihrem Hosting-Provider sagen? Es gibt so viele großartige Möglichkeiten, dass Sie verrückt wären, bei einem Anbieter zu bleiben, mit dem Sie unzufrieden sind. Sie könnten erwägen, zu einer der verwalteten Hosting-Lösungen (wie WPEngine) zu wechseln, wie es Themelocal erst kürzlich getan hat.
Wie auch immer Sie sich entscheiden, erkundigen Sie sich nach den Sicherheitsmaßnahmen, die sie ergreifen. Berücksichtigen Sie die von mir oben getroffenen Maßnahmen und stellen Sie sicher, dass sie mit Ihrer Hosting-Lösung kompatibel sind.
Die Moral der Geschichte lautet: Gehen Sie bei der Sicherheit keine Kompromisse ein. Letztendlich ist die Sicherheit Ihrer Website wichtiger als irgendetwas anders. Es macht keinen Sinn, großartigen Inhalt oder ein schickes neues Design zu haben, wenn niemand es sehen kann, weil Ihre Website von rücksichtslosen Hackern in Stücke gerissen wurde.
Schändliche Typen, die mit ihrem Leben nichts Besseres zu tun haben, als die Seiten anderer Leute zu hacken, werden so schnell nicht verschwinden. Je früher Sie dies akzeptieren und angemessene Maßnahmen ergreifen, um Ihre Website vor Angriffen zu schützen, desto besser ist die langfristige Sicherheit Ihrer Online-Assets.
Ich würde gerne wissen, was Sie über die von mir ergriffenen Maßnahmen denken. Gibt es zusätzliche Empfehlungen, die Sie machen würden? Lass es uns im Kommentarbereich wissen!