เหตุใดการอัปเดตสคริปต์ WordPress และรักษาความปลอดภัยไซต์ของคุณจึงเป็นสิ่งสำคัญ

เผยแพร่แล้ว: 2012-03-07

WordPress Security Updates สาเหตุที่พบบ่อยที่สุดของเว็บไซต์ที่ถูกแฮ็กและการฉีดมัลแวร์สำหรับผู้ใช้ WordPress คือสคริปต์ที่ล้าสมัย เช่น ปลั๊กอิน ธีม และ WordPress เอง

หากคุณไม่อัปเดตสคริปต์ทั้งหมดและรักษาความปลอดภัย WordPress คุณอาจพบว่าไซต์ของคุณถูกแฮ็กและแทรกซึมด้วยมัลแวร์หรือโค้ดที่เป็นอันตรายบางประเภท

หากแฮ็กเกอร์สามารถเข้าถึงผ่านสคริปต์ที่ล้าสมัยในไซต์เดียว พวกเขาสามารถเข้าถึงไซต์และฐานข้อมูลทั้งหมดของคุณบนเซิร์ฟเวอร์นั้นได้

ปกติแล้วคุณจะพบว่า:

WordPress security malware warning

สิ่งที่เกิดขึ้นคือแฮ็กเกอร์สามารถเข้าถึงสคริปต์ที่เสี่ยงซึ่งมีปัญหาด้านความปลอดภัยที่ทราบก่อนที่คุณจะอัปเดตปลั๊กอินหรือธีม

จากนั้นพวกเขาสามารถฉีดมัลแวร์และคุณสามารถดาวน์โหลดโทรจันหรือไฟล์ที่เป็นอันตรายอื่น ๆ ไปยังคอมพิวเตอร์ในพื้นที่ของคุณโดยไม่ได้ตั้งใจหากคุณหรือผู้เยี่ยมชมไซต์คลิกลิงก์บนไซต์ที่ติดไวรัส

อีกวิธีหนึ่งที่พวกเขาแฮ็คเข้าสู่ไซต์ของคุณคือผ่านสคริปต์ที่ล้าสมัยและเข้าถึงเซิร์ฟเวอร์ของคุณและเพิ่มการเปลี่ยนเส้นทางที่เป็นอันตรายในไฟล์ .htaccess ของคุณ เพื่อให้ไซต์ของคุณเปลี่ยนเส้นทางไปยังไซต์ที่แจกจ่ายมัลแวร์ ซึ่งจะทำให้บ็อตของ Google รายงานกลับมาว่าไซต์ของคุณเชื่อมโยงกับมัลแวร์

ฉันเพิ่งพบบล็อกเก่าซึ่งฉันไม่ได้ใช้บ่อยนักถูกโจมตี และฉันสังเกตเห็นคำเตือนใน Google Webmaster Tools จุดเริ่มต้นที่พบบ่อยที่สุดคือสคริปต์ที่ล้าสมัยเนื่องจากฉันไม่ได้อัปเดตปลั๊กอินหรือธีมใด ๆ บนไซต์นั้นเป็นเวลาหลายเดือน

หมายเหตุ: คำเตือนจะแสดงเฉพาะเมื่อใช้เบราว์เซอร์ Google หรือ Firefox หรือเมื่อดูหน้าผลการค้นหาของ Google ไม่แสดงโดยใช้ Internet Explorer หรือใน Bing SERPS

ติดต่อโฮสต์ของคุณ

ฉันติดต่อโฮสต์ของฉันเพื่อค้นหาว่าต้องทำอย่างไร และนี่คือคำตอบของพวกเขา:

มัลแวร์ในบัญชีของคุณที่คุณไม่ได้ระบุนั้นบ่งชี้ว่าผู้โจมตีพบและใช้ประโยชน์จากช่องโหว่ในสคริปต์ในบัญชีของคุณ เซิร์ฟเวอร์ไม่ได้ถูกบุกรุก เพียงแค่บัญชีของคุณบนเซิร์ฟเวอร์

สิ่งนี้เกิดขึ้นเนื่องจากรหัสที่ไม่ปลอดภัยหรือการติดตั้งที่ล้าสมัยของสคริปต์ที่ใช้ PHP/MySQL เช่น WordPress

ฉันจะอัปเดตสคริปต์โดยไม่ต้องลงชื่อเข้าใช้แดชบอร์ดจากส่วนหน้าได้อย่างไร

คุณเพียงแค่ทำผ่านไฟล์และ cPanel โดยตรง หากคุณไม่มีความรู้เกี่ยวกับวิธีแก้ไขโค้ดด้วยตนเอง คุณสามารถติดต่อบริษัทรักษาความปลอดภัยเว็บไซต์ได้เสมอ

บริษัทรักษาความปลอดภัยเว็บไซต์ที่ดีที่สุดที่ฉันแนะนำได้คือ http://wewatchyourwebsite.com

โปรแกรมที่ทำงานไซต์ที่ขับเคลื่อนด้วยฐานข้อมูลมีความเสี่ยงต่อแฮ็กเกอร์ ซึ่งสามารถ (และทำ) ใช้ประโยชน์จากจุดบกพร่องในโปรแกรมเหล่านั้นเพื่อเข้าถึงไซต์ของคุณโดยไม่ได้รับอนุญาต แม้ว่าเซิร์ฟเวอร์ของเราจะมีความปลอดภัยสูงเป็นพิเศษ แต่สคริปต์ของคุณอาจไม่ปลอดภัย

แนวทางปฏิบัติที่ดีที่สุดคือการทำให้สคริปต์ของคุณอัปเดตอยู่เสมอ โค้ดของคุณสะอาด และรหัสผ่านของคุณปลอดภัย ต่อไปนี้คือขั้นตอนบางส่วนที่สามารถช่วยให้คุณรักษาความปลอดภัยให้กับเว็บไซต์ของคุณได้

มีเพียงสองวิธีที่บัญชีสามารถติดไวรัสได้:

  • คุณกำลังเรียกใช้สคริปต์ที่ไม่ปลอดภัยในบัญชีของคุณซึ่งใช้ในการบุกรุก
  • คอมพิวเตอร์ของคุณติดไวรัสและพวกเขาได้แฮ็คเข้าสู่บัญชีของคุณผ่านคอมพิวเตอร์ของคุณเองหรือโดยการคว้ารหัสผ่านของคุณ

การรักษาความปลอดภัยสคริปต์และการรักษาความปลอดภัยพีซีของคุณเป็นความรับผิดชอบของคุณ

เกิดอะไรขึ้นจริงๆ

แฮกเกอร์เข้าถึงเซิร์ฟเวอร์ของฉันจากปลั๊กอินที่ล้าสมัย และนี่คือคำตอบจากโฮสต์ของฉัน:

ดูเหมือนว่าบัญชีโฮสติ้งของคุณจะถูกแฮ็ก /home2/austrar2/public_html/da/.htaccess มีรหัสเปลี่ยนเส้นทางที่เป็นอันตราย คุณจะต้องตรวจสอบไฟล์ของคุณเพื่อหาเนื้อหาที่เป็นอันตรายเพิ่มเติม ฉันยังแนะนำสิ่งนี้ให้คุณ: .

ไม่สามารถเข้าสู่ระบบไปยังไซต์ที่ถูกแฮ็กได้

คุณอาจพบว่าคุณไม่สามารถลงชื่อเข้าใช้แดชบอร์ด WordPress ซึ่งเป็นกรณีของฉันเมื่อใช้ Google chrome

ฐานข้อมูลของคุณอาจติดมัลแวร์ ดังนั้นวิธีเดียวที่จะแก้ไขไซต์ของคุณคือกู้คืนข้อมูลสำรองซึ่งเกิดขึ้นก่อนการแฮ็กและมัลแวร์จะถูกฉีดเข้าไป

แก้ไขไซต์ที่ถูกแฮ็ก

แทนที่จะใช้เวลาพยายามแก้ไขไฟล์ .htaccess ทั้งหมด ฉันเพียงแค่ลบ public_folder ทั้งหมดและฐานข้อมูลทั้งหมดออกจากเซิร์ฟเวอร์ของฉัน และกู้คืนข้อมูลสำรองทั้งหมด

ฉันพบว่าไฟล์ .htaccess ทั้งหมดของฉันบนเซิร์ฟเวอร์นั้นมีการเปลี่ยนเส้นทางไปยังไซต์รัสเซีย

การกู้คืนทำได้ง่ายมากเพราะฉันมักจะสำรองข้อมูลทั้งหมดหลังจากเพิ่มโพสต์ใหม่และจัดเก็บสำเนาไว้ในที่ต่างๆ

สถานที่ที่ดีที่สุดในการจัดเก็บข้อมูลสำรองทั้งหมด ได้แก่:

  • คอมพิวเตอร์ท้องถิ่น
  • ฮาร์ดไดรฟ์ภายนอกหรือเมมโมรี่สติ๊ก
  • Dropbox
  • อเมซอน s3

หากคุณสำรองข้อมูลทั้งหมดหลังจากโพสต์บล็อกใหม่ทุกครั้ง และคัดลอกไปยังที่จัดเก็บข้อมูลภายนอกหลายแห่ง คุณก็ไม่มีอะไรต้องกังวล

ความปลอดภัยของคอมพิวเตอร์ในพื้นที่

ตรวจสอบให้แน่ใจว่าคุณใช้โปรแกรมป้องกันไวรัสหากคุณเก็บข้อมูลสำรองทั้งหมดไว้ในเครื่องคอมพิวเตอร์ของคุณ หากคุณไม่ได้ติดตั้งโปรแกรมป้องกันไวรัส นี่คือลิงก์สำหรับดาวน์โหลดฟรี Microsoft Security Essentials สำหรับผู้ใช้ Windows

อย่าพึ่งพาโฮสต์ของคุณเพื่อสำรองข้อมูลหรือรักษาความปลอดภัยเซิร์ฟเวอร์ของคุณ!

จะเกิดอะไรขึ้นถ้าคุณไม่เก็บข้อมูลสำรองทั้งหมดไว้นอกสถานที่

นี่คือตัวอย่างชีวิตจริงของสิ่งที่เกิดขึ้นกับเว็บไซต์ที่ถูกแฮ็ก 4800 แห่งที่สูญหายไปโดยไม่มีโอกาสในการกู้คืน!

การกู้คืนการสำรองข้อมูล WordPress

ฉันใช้ปลั๊กอินสำรองและกู้คืนที่ดีที่สุดสำหรับ WordPress ซึ่งเป็น backupbuddy ซึ่งมีประโยชน์มากสำหรับการกู้คืนข้อมูลสำรองและย้ายไปยังเซิร์ฟเวอร์ใหม่ โฮสต์ หรือโดเมนเช่นกัน

โฮสต์ส่วนใหญ่ให้บริการสำรองข้อมูลทุกคืนเท่านั้น ซึ่งอาจได้รับผลกระทบด้วย ดังนั้นจึงไม่มีประโยชน์ การสำรองข้อมูลทุกคืนของคุณเองและจัดเก็บไว้ห่างจากเซิร์ฟเวอร์ของคุณในตำแหน่งที่ปลอดภัย เป็นวิธีที่ดีที่สุดเพื่อให้แน่ใจว่าคุณมีข้อมูลสำรองเต็มรูปแบบซึ่งไม่มีมัลแวร์

ป้องกันการแฮ็ก

นี่คือรายการตรวจสอบความปลอดภัยที่คุณสามารถตรวจสอบได้ ซึ่งสามารถช่วยรักษาความปลอดภัยให้กับไซต์บัญชีของคุณได้อย่างมาก:

1. เปลี่ยนอีเมลผู้ดูแลระบบในบัญชีของคุณ
2. เปลี่ยนรหัสผ่านในบัญชีของคุณ
3. เปลี่ยนบัตรเครดิตที่บันทึกไว้ในบัญชีของคุณ
4. อัปเดตและใช้โปรแกรมแก้ไข อัปเกรด หรืออัปเดตที่ผู้จำหน่ายบุคคลที่สามหรือนักพัฒนาเว็บของสคริปต์ของคุณอาจมีให้
5. แก้ไขการอนุญาตไฟล์ที่หลวม (อาจเป็นช่องโหว่ที่พบได้บ่อยที่สุด)
6. ลบบัญชี Ftp ที่ไม่ใช่ระบบทั้งหมดที่สร้างขึ้น หรืออย่างน้อยที่สุด ให้เปลี่ยนรหัสผ่านเป็นบัญชี FTP
7. ลบโฮสต์การเข้าถึงใด ๆ โดยคลิกที่ไอคอน "Remote Mysql" และคลิก Remove Red X ข้างแต่ละรายการหากมีรายการใด ๆ
8. ตรวจสอบสคริปต์ของคุณสำหรับการโจมตี Header Injection, การโจมตี SQL Injection, การโจมตี Cross-Site Scripting ฯลฯ รวมถึงการตั้งค่าไฟล์ php.ini ของคุณ
9. ตรวจสอบคอมพิวเตอร์ที่บ้าน/ที่ทำงานของคุณเพื่อหาไวรัส โทรจัน หรือคีย์ล็อกเกอร์

ปลั๊กอินความปลอดภัย WordPress

มีปลั๊กอิน WordPress สองสามตัวที่สร้างขึ้นเพื่อรักษาความปลอดภัย WordPress และป้องกันไม่ให้แฮกเกอร์เข้าถึงไฟล์และฐานข้อมูลของคุณ

  • การรักษาความปลอดภัยกันกระสุน
  • WordPress ที่ปลอดภัย
  • ปลั๊กอินความปลอดภัย WP ที่ดีกว่า
  • จำกัดความพยายามในการเข้าสู่ระบบ WordPress

บทสรุป

ฉันได้รายงานเกี่ยวกับ Bitly แล้วและวิธีที่พวกเขาขึ้นบัญชีดำลิงก์ที่ถูกต้องก่อนที่จะทดสอบ ดังนั้นโปรดใช้ความระมัดระวังในการใช้ตัวย่อลิงก์ในการติดตาม

หากคุณมีลิงก์ในความคิดเห็นหรือที่ใดก็ตามในไซต์ของคุณ และไซต์ที่เชื่อมโยงนั้นเผยแพร่มัลแวร์หรือได้รับรายงานแล้ว คุณอาจถูก Google และ Firefox ขึ้นบัญชีดำได้เช่นกัน

ฉันไม่เคยคิดว่าสิ่งนี้จะเกิดขึ้นกับฉัน แต่มันสามารถเกิดขึ้นได้กับทุกคนและการค้นหามัลแวร์อาจเป็นฝันร้ายที่คุณจะต้องทำหากคุณไม่มีการสำรองข้อมูลเต็มรูปแบบที่จัดเก็บไว้ในเครื่องซึ่งไม่ได้รับผลกระทบ