Hacknutý web na WordPress (a jak tomu předejít)

Znáte to pořekadlo, že kovářova kobyla chodí bosa?
K administraci mého blogu měl přístup i můj oblíbený člověk, softwarový vývojář.

Skončilo to tak, že byl můj blog (běžící na WordPressu) hacknutý kvůli slabému heslu, a moje heslo to překvapivě nebylo.
Podstatné poučení pro všechny je, že ač můj blog nepůsobí jako atraktivní cíl, stejně k tomu došlo.

Blog mi každopádně nehackl žádný mladý muž s kapucí, který se nudí a namísto domovské stránky přidá posměšný obrázek a text „owned by“.

Byl to jen trapný bot, prodloužená existence nějakého člověka, který si u tvůrce skriptu zaplatil ne zcela legální reklamu. Bot pravděpodobně skenoval všechny možné weby a hledal bezpečnostní díry. Pokud nějakou našel, jednou z možností bylo získat heslo do administrace webu a potom spamovat.

Jelikož jsem na blog zrovna moc nepsala, začala jsem si všímat až velkého počtu komentářů s odkazy na weby pochybné kvality. Ty komentáře nebyly úplně pitomé, naopak šlo o univerzální lichocení typu: „Ten článek se mi moc líbil.“, ale místo normální přezdívky byla url pochybného webu.

Spamových komentářů pořád přibývalo, a tak jsem se podívala na všechny články.
Všechny byly zaplněny odkazy na padělky bot Nike, Viagry a dalších značkových výrobků a některé už dokonce ani neměly nic společného s tím, co jsem psala.

Screenshoty té škody bohužel nemám, byla jsem naštvaná a chtěla jsem, aby to všechno co nejrychleji zmizelo. Vlastně to bylo podobné šlápnutí do psího lejna- taky nemám chuť to dokumentovat, ale postarat se o zahlazení všech stop.

A jak to tedy dopadlo? Vlastník slabého hesla spamy promazal, články za pomoci obnovy předchozích verzí vrátil do normálu, heslo změnil a nastavil relativně sofistikovanou blokaci každé IP adresy, která se pokusí přihlásit špatným heslem.

Abyste nemuseli dopadnout jaké já, ráda bych Vám něco napsala o heslech a jejich správném používání.
Pochopitelně zjednodušeně, mou cílovkou beztak asi nejsou experti na šifrování a programátoři z povolání.

Hesla

Nikdy nejste dost nedůležití na to, abyste nikomu nestáli za krádež hesla.
Napadený počítač či účet lze snadno používat nejen k šíření spamu, ale i k útokům na jiné uživatele, takže bez ohledu na to, jak jste bezvýznamní či úplně bez peněz, nemyslete si, že nemáte co ztratit: mohli byste se dočkat nepříjemného překvapení.

Není nic špatného na výběru hesla, které se dá zapamatovat, ale nemělo by být na seznamu nejpoužívanějších hesel (k nahlédnutí pod článkem), a taky by nemělo jít o křestní jméno ani jméno mazlíčka.

Taky je dost blbý nápad mít složitá hesla na nějakém lepícím papírku u počítače (v horším případě ještě spolu s uživatelským heslem a identifikací účtů, ke kterým všechny ty údaje patří).
Svůj PIN od debetní karty taky nenosíte přímo v peněžence, že ne?

Jako bezpečnou alternativu papírku či děravé paměti můžete hesla ukládat třeba do opensource služby na správu hesel clipperz.
Ta nabízí vygenerování relativně náhodného hesla, které pak zašifruje a uchová.
Uživatel tak může mít všechna svá hesla pohromadě a v bezpečí.
Až na heslo od samotného účtu na clipperz, pochopitelně. Pokud ho ztratíte nebo zapomenete, máte smůlu, z důvodu bezpečnosti ho služba neukládá.
https://clipperz.is/

Složitost hesla by měla být úměrná důležitosti účtu, ale v zásadě se dá říci, že jsou všechny docela důležité a možnosti zneužití docela pestré.
Nejpodstatnější jsou účty na které se váže přihlašování k dalším službám, typicky účet na Facebooku nebo na Googlu.

Taky své heslo nezadávejte na stránce, která nemá před url adresou „https“, což je zabezpečené spojení s webem.

A jak se vyhnout hacknutí (nejen) WordPress webu?

Aktualizací systému.
Silným, tajným a často měněným heslem.
Nepoužívat přihlašovací jméno „admin“, je-li to možné.

Nejpoužívanější hesla na Internetu (bohužel neznám zdroj):

123456

123456789

qwerty

12345678

111111

1234567890

1234567

password

123123

987654321

Další počtení:

https://www.csfd.cz/film/409508-mr-robot/prehled/

Clipperz: správa hesel nejen na internetu

http://profitmastersltd.com/what-is-a-content-injection-attack-and-how-can-i-tell-if-my-website-or-blog-has-been-affected/

 

Facebooktwitterredditpinterestlinkedinmail

3 komentáře u „Hacknutý web na WordPress (a jak tomu předejít)“

  1. Je šílený, že v dnešní době není na internetu v bezpečí vůbec nikdo. Mě se takhle někdo naboural do Facebooku a psal z mého profilu náhodně přátelům, vymáhal po nich číslo, chtěl jim poslat sms s nějakým kódem (pak se zjistilo, ze je to kód k platbě) a ten kód z sms měli přátelé poslat “mně”. Naštěstí nikdo z nich nebyl tak blbý, aby to vážně udělal a nikdo proto o peníze nepřišel. Ta osoba si s nimi dokonce přes mě normalně psala a vedla fakt slušnou konverzaci, a pak smazala celou historii chatu, abych to nezjistila… až mě zarazilo, že má nekdo potřebu tohle dělat… každopádně super článek, strašně zajímavé téma tohle a je dobrý dát lidem vedet, ze je tohle může potkat taky 🙂

  2. Děkuji za příběh v komentáři, hodně pro mě znamená, že jsem (ani já) svou špatnou zkušenost nesdílela zbytečně.
    Internetová bezpečnost bohužel obvykle nepatří mezi oblíbená témata ženských blogerek, ale přitom zrovna ony a jejich čtenářky patří mezi ohroženější cíle než třeba čtenáři Lupy, Rootu a abc Linuxu…
    Nedávno jsem u jiné blogerky četla hezký popularizační článek o tom, kolik osobních údajů Facebook ukládá, určitě doporučuji přečíst:
    https://www.stylishcoffee.cz/co-vsechno-o-nas-facebook-vi/

  3. Zajímavá zkušenost. A dobrá myšlenka, v tom smyslu, že nikdo není „moc nedůležitý“ na to, aby botům nestál „za námahu“ . Zatím jsem podobný problém měla jednou, to mi chodilo na web od botů klidně 800 návštěv denně, ale to vyřešil antispam.

Napsat komentář: Andrea V. Zrušit odpověď na komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *