Hacknutý web na WordPress (a jak tomu předejít)

Znáte to pořekadlo, že kovářova kobyla chodí bosa?
K administraci mého blogu měl přístup i můj oblíbený člověk, softwarový vývojář.

Skončilo to tak, že byl můj blog (běžící na WordPressu) hacknutý kvůli slabému heslu, a moje heslo to překvapivě nebylo.
Podstatné poučení pro všechny je, že ač můj blog nepůsobí jako atraktivní cíl, stejně k tomu došlo.

Blog mi každopádně nehackl žádný mladý muž s kapucí, který se nudí a namísto domovské stránky přidá posměšný obrázek a text „owned by“.

Byl to jen trapný bot, prodloužená existence nějakého člověka, který si u tvůrce skriptu zaplatil ne zcela legální reklamu. Bot pravděpodobně skenoval všechny možné weby a hledal bezpečnostní díry. Pokud nějakou našel, jednou z možností bylo získat heslo do administrace webu a potom spamovat.

Jelikož jsem na blog zrovna moc nepsala, začala jsem si všímat až velkého počtu komentářů s odkazy na weby pochybné kvality. Ty komentáře nebyly úplně pitomé, naopak šlo o univerzální lichocení typu: „Ten článek se mi moc líbil.“, ale místo normální přezdívky byla url pochybného webu.

Spamových komentářů pořád přibývalo, a tak jsem se podívala na všechny články.
Všechny byly zaplněny odkazy na padělky bot Nike, Viagry a dalších značkových výrobků a některé už dokonce ani neměly nic společného s tím, co jsem psala.

Screenshoty té škody bohužel nemám, byla jsem naštvaná a chtěla jsem, aby to všechno co nejrychleji zmizelo. Vlastně to bylo podobné šlápnutí do psího lejna- taky nemám chuť to dokumentovat, ale postarat se o zahlazení všech stop.

A jak to tedy dopadlo? Vlastník slabého hesla spamy promazal, články za pomoci obnovy předchozích verzí vrátil do normálu, heslo změnil a nastavil relativně sofistikovanou blokaci každé IP adresy, která se pokusí přihlásit špatným heslem.

Abyste nemuseli dopadnout jaké já, ráda bych Vám něco napsala o heslech a jejich správném používání.
Pochopitelně zjednodušeně, mou cílovkou beztak asi nejsou experti na šifrování a programátoři z povolání.

Hesla

Nikdy nejste dost nedůležití na to, abyste nikomu nestáli za krádež hesla.
Napadený počítač či účet lze snadno používat nejen k šíření spamu, ale i k útokům na jiné uživatele, takže bez ohledu na to, jak jste bezvýznamní či úplně bez peněz, nemyslete si, že nemáte co ztratit: mohli byste se dočkat nepříjemného překvapení.

Není nic špatného na výběru hesla, které se dá zapamatovat, ale nemělo by být na seznamu nejpoužívanějších hesel (k nahlédnutí pod článkem), a taky by nemělo jít o křestní jméno ani jméno mazlíčka.

Taky je dost blbý nápad mít složitá hesla na nějakém lepícím papírku u počítače (v horším případě ještě spolu s uživatelským heslem a identifikací účtů, ke kterým všechny ty údaje patří).
Svůj PIN od debetní karty taky nenosíte přímo v peněžence, že ne?

Jako bezpečnou alternativu papírku či děravé paměti můžete hesla ukládat třeba do opensource služby na správu hesel clipperz.
Ta nabízí vygenerování relativně náhodného hesla, které pak zašifruje a uchová.
Uživatel tak může mít všechna svá hesla pohromadě a v bezpečí.
Až na heslo od samotného účtu na clipperz, pochopitelně. Pokud ho ztratíte nebo zapomenete, máte smůlu, z důvodu bezpečnosti ho služba neukládá.
https://clipperz.is/

Složitost hesla by měla být úměrná důležitosti účtu, ale v zásadě se dá říci, že jsou všechny docela důležité a možnosti zneužití docela pestré.
Nejpodstatnější jsou účty na které se váže přihlašování k dalším službám, typicky účet na Facebooku nebo na Googlu.

Taky své heslo nezadávejte na stránce, která nemá před url adresou „https“, což je zabezpečené spojení s webem.

A jak se vyhnout hacknutí (nejen) WordPress webu?

Aktualizací systému.
Silným, tajným a často měněným heslem.
Nepoužívat přihlašovací jméno „admin“, je-li to možné.

Nejpoužívanější hesla na Internetu (bohužel neznám zdroj):

123456

123456789

qwerty

12345678

111111

1234567890

1234567

password

123123

987654321

Další počtení:

https://www.csfd.cz/film/409508-mr-robot/prehled/

Clipperz: správa hesel nejen na internetu

http://profitmastersltd.com/what-is-a-content-injection-attack-and-how-can-i-tell-if-my-website-or-blog-has-been-affected/

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

3 komentáře u „Hacknutý web na WordPress (a jak tomu předejít)“

  1. Je šílený, že v dnešní době není na internetu v bezpečí vůbec nikdo. Mě se takhle někdo naboural do Facebooku a psal z mého profilu náhodně přátelům, vymáhal po nich číslo, chtěl jim poslat sms s nějakým kódem (pak se zjistilo, ze je to kód k platbě) a ten kód z sms měli přátelé poslat “mně”. Naštěstí nikdo z nich nebyl tak blbý, aby to vážně udělal a nikdo proto o peníze nepřišel. Ta osoba si s nimi dokonce přes mě normalně psala a vedla fakt slušnou konverzaci, a pak smazala celou historii chatu, abych to nezjistila… až mě zarazilo, že má nekdo potřebu tohle dělat… každopádně super článek, strašně zajímavé téma tohle a je dobrý dát lidem vedet, ze je tohle může potkat taky 🙂

  2. Děkuji za příběh v komentáři, hodně pro mě znamená, že jsem (ani já) svou špatnou zkušenost nesdílela zbytečně.
    Internetová bezpečnost bohužel obvykle nepatří mezi oblíbená témata ženských blogerek, ale přitom zrovna ony a jejich čtenářky patří mezi ohroženější cíle než třeba čtenáři Lupy, Rootu a abc Linuxu…
    Nedávno jsem u jiné blogerky četla hezký popularizační článek o tom, kolik osobních údajů Facebook ukládá, určitě doporučuji přečíst:
    https://www.stylishcoffee.cz/co-vsechno-o-nas-facebook-vi/

  3. Zajímavá zkušenost. A dobrá myšlenka, v tom smyslu, že nikdo není „moc nedůležitý“ na to, aby botům nestál „za námahu“ . Zatím jsem podobný problém měla jednou, to mi chodilo na web od botů klidně 800 návštěv denně, ale to vyřešil antispam.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *