Mon blog WordPress aurait pu être piraté - Detectify m'a sauvé
Si je vous disais qu'il y a un endroit où vous pouvez aller pour avoir l'esprit tranquille en sachant que votre site web est sécurisé, me croiriez-vous? Eh bien, vous devriez, car il y en a. Ça s'appelle Detectify.
Je suis le genre de propriétaire de site Web qui a toujours eu tendance à nier. Cela ne peut pas m'arriver. Pourquoi quelqu'un voudrait-il jamais pirater mon site??
En 2011, toutes ces idées délirantes se sont écroulées autour de ma tête lorsque le fichier PHP principal de ma page d'accueil a été remplacé par une page Web annonçant que le site avait été piraté avec succès. Non seulement ce fut un choc de réaliser que quelqu'un avait en réalité remplacé un fichier sur mon serveur Web, mais c'était un coup très dur pour ma fierté. Quel genre d'idiot permet à son site d'être piraté?
La réalité est qu'avec le temps, mon blog WordPress est devenu obsolète et de plus en plus vulnérable aux attaques alors que les pirates informatiques parcouraient Internet à la recherche d'une version plus ancienne de WordPress avec des vulnérabilités connues et non corrigées. Major échouer de ma part. Ainsi, récemment, j'ai enfin terminé la mise à jour de mon blog sur un nouveau thème. Confiant que je n'avais rien à craindre dans le département de la sécurité, je ne me suis même pas soucié de vérifier si le thème ou l'un de mes plugins installés présentait des problèmes de sécurité connus. Ce n’est qu’après avoir découvert Detectify que j’ai réalisé à quel point mon blog était proche d’être attaqué et potentiellement piraté, encore une fois.
Installation de Detectify
Bien sûr, il existe d'autres plug-ins d'analyse de sécurité. Vérifiez votre sécurité de site Web avec HackerTarget. Vérifiez de sécurité votre site Web. ! En fait, le contraire est vrai, avec le problème numéro un qui ne soit pas… Read More vous pouvez utiliser sur votre site, mais Detectify est tellement facile à configurer et à utiliser, même pour un novice. Detectify est une combinaison de plugin et de service Web. La première étape, comme c'est habituellement le cas avec les services Web - vous devez vous inscrire.
La prochaine étape consiste à télécharger et installer le plugin Detectify. Il s'agit d'un plugin assez simple, mais il donne à l'application de sécurité basée sur le Web la possibilité d'exploiter tous les aspects de votre blog et de l'analyser pour détecter les failles de sécurité. Detectify recherche des éléments tels que l'inclusion de fichiers locaux et distants, DOM ou d'autres problèmes de script entre sites, des problèmes de chemin d'accès à un tableau PHP, l'exécution de commandes à distance et bien plus encore. Vous pouvez voir toutes les vulnérabilités recherchées par Detectify sur la page du plugin..
Une fois que vous vous êtes inscrit au service et que le plug-in est installé, la dernière étape consiste à confirmer votre installation en saisissant la clé de vérification que vous recevez par courrier électronique dans le champ du plug-in. Ensuite, vous êtes tous liés et prêts à rouler.
Exécution d'un scan de détection
Une fois que votre site est lié, il apparaît dans votre liste de domaines disponibles sur votre compte Detectify en ligne. Vous pouvez vous inscrire pour analyser plusieurs domaines si vous le souhaitez.
Lorsque vous êtes prêt à lancer l'analyse de vulnérabilité de votre site Web, cliquez simplement sur le bouton Analyser et laissez-le faire son travail. Quelques recommandations à ce stade: essayez d’exécuter l’analyse à un moment où votre site est le moins achalandé. Detectify analysera et analysera les fichiers sur votre site. Par conséquent, les performances seront légèrement affectées par le traitement..
Deuxièmement, donnez au service le temps nécessaire pour effectuer toute cette analyse et cette analyse. Cela ne va pas être un travail rapide de 30 à 60 minutes, sauf si votre site Web est chétif. Les chances sont pour un blog de taille moyenne que vous regardez plus de 6 heures. Pour un grand blog, beaucoup plus.
La meilleure option pour la plupart des gens est de lancer l'analyse avant d'aller au lit et vous obtiendrez les résultats le lendemain matin. Dans mon cas, malgré ma marque, mon nouveau thème et la dernière version de WordPress, j'ai découvert que plusieurs avertissements avaient été émis concernant la sécurité de mon blog..
En cliquant sur le bouton Rapport, vous accéderez à la page contenant les détails de l'analyse pour votre domaine..
Comprendre vos résultats d'analyse
La première page du tableau de bord vous donne en gros un aperçu du nombre de fichiers analysés, des types de fichiers analysés et du temps nécessaire à leur analyse..
Il s’agit de tous les fichiers de votre serveur. Par conséquent, si vous avez beaucoup de fichiers multimédias, il vaut mieux croire que l’analyse prendra beaucoup de temps. Les résultats rapportés détaillent également la répartition exacte du temps d'analyse afin que vous puissiez voir quelle partie de l'analyse a nécessité le plus de temps de traitement. Dans mon cas, les tests d’exploration et d’exploitation représentent la majeure partie du temps de numérisation..
Le rapport vous donnera également un historique des dernières analyses que vous avez effectuées, avec les vulnérabilités découvertes. Lorsque vous corrigez des problèmes sur votre site, vous pouvez revenir ici pour vous assurer que vos nouvelles analyses reflètent une amélioration de la situation de votre site, plutôt qu'un nombre croissant de problèmes..
Bien entendu, la meilleure partie de Detectify (et l’intérêt de l’utiliser vraiment) est la section de détail, qui décrit des problèmes très spécifiques qui ont été découverts sur votre site..
Résoudre les problèmes de sécurité de votre site
Alors voici la chose qui m'a sauvé. Il y a eu quelques avertissements qui m'ont fait comprendre que mon site avait des problèmes persistants en dépit du fait que je venais de tout mettre à niveau et que je pensais être haut et sec. L’un des premiers avertissements n’était pas trop grave, mais était lié au fait que l’installation de PHP sur mon serveur Apache offrait une “Oeuf de Pâques 10 Système d'exploitation amusant et surprenant Oeufs de Pâques 10 Système d'exploitation amusant et surprenant Oeufs de Pâques Trouvez une hilarité cachée et d'autres éléments étranges, directement intégrés au système d'exploitation que vous utilisez. Ils se cachent dans un site clair, dans le logiciel que vous utilisez tous les jours et quand vous les trouverez, vous serez ravis -… En savoir plus ” cela pourrait permettre aux hackers potentiels d'identifier la version de PHP que j'utilise en vérifiant quelle icône apparaît lorsque l'icône de l'oeuf de Pâques est ajoutée à l'URL de mon site.
Je laissais inconsciemment révéler la version de PHP, ce qui révèle également aux pirates informatiques où chercher des vulnérabilités pouvant être utilisées pour pirater mon site. Je n'étais pas très heureux de voir cela (je n'avais aucune idée de ces codes d'oeufs de Pâques).
L'avantage du rapport Detectify est que, même si vous n'êtes pas un concepteur Web ou un programmeur, l'explication du problème et la solution recommandée sont assez faciles à comprendre, vous pouvez ainsi résoudre facilement la plupart des problèmes découverts..
Detectify a découvert une deuxième vulnérabilité liée à la manière dont j'avais laissé le lien permanent avec le nom d'utilisateur sur WordPress afin d'énumérer les valeurs, offrant aux pirates un moyen facile de siphonner les liens de l'utilisateur et aux algorithmes de piratage de mot de passe pour découvrir un compte avec un mot de passe faible.
Une troisième vulnérabilité découverte par Detectify était liée à un ancien plug-in que j'avais installé sur le site et à une vulnérabilité de bibliothèque JavaScript enfouie au cœur de l'un des dossiers de démonstration de ce plug-in. Je n'avais absolument aucune idée que ce dossier existait même sur le serveur - mais il y en avait une qui n'attendait qu'un pirate informatique pour l'exploiter.
Et là, je pensais que je me tenais fort avec un site Web impénétrable. Encore une fois, Detectify a fourni des solutions très claires et faciles à comprendre pour chaque avertissement de vulnérabilité..
Problèmes de sécurité informationnels
Detectify va encore plus loin en matière de sécurité en vous apportant des informations de sécurité sur votre site. Ce sont pour la plupart des problèmes très mineurs qui ne sont pas exactement des problèmes de sécurité, mais qui pourraient constituer un moyen pour les pirates informatiques d'obtenir davantage d'informations sur votre site Web, en leur fournissant des outils de recherche permettant de détecter les vulnérabilités connues de ce que vous avez installé sur votre serveur Web..
Vous pouvez résoudre ces problèmes si vous êtes un féru de sécurité, mais la plupart ne sont que des recommandations. Vous n'êtes pas en danger si vous décidez de renoncer à la plupart de ces.
J'ai remarqué que ces résultats incluaient même le fait que le robot d'exploration ait pu découvrir des adresses électroniques en texte brut sur mon site. Il incluait même une liste de toutes les adresses trouvées - principalement extraites d'anciens commentaires..
Ce qui était étonnant, c’est que pendant toutes ces années, j’ai pensé que j’avais bloqué toute publication d’adresses électroniques sur le site. Detectify m'a conseillé le contraire et a répertorié chaque adresse électronique découverte.
Mon site aurait-il été piraté si je n'avais pas utilisé Detectify et corrigé ces avertissements? Peut-être. C'est la chose sur la sécurité de site Web. Vous pensez peut-être que les problèmes qui existent sur votre serveur ne sont pas “sérieux” assez pour garantir votre temps et votre énergie, mais il suffit d'un pirate informatique débrouillard et motivé pour rechercher cette faille de sécurité, puis prendre le temps de l'exploiter..
Comment construire votre propre site Web en quelques minutes sans compétences en codage Comment créer votre propre site Web en quelques minutes sans compétences en programmation Au fur et à mesure que le Web se développe, et qu'il évolue à une vitesse fulgurante, la nécessité de une présence sur le Web devient plus pressante. Dans de nombreuses régions du monde, vous devez tout simplement être présent sur le Web pour pouvoir… Lire plus J'ai jamais construit. Donc, installez Detectify. Scannez votre site. Résoudre ces problèmes. Croyez-moi, vous serez content de l'avoir fait. je sais que je le suis.
En savoir plus sur: Wordpress, Plugins Wordpress, Thèmes Wordpress.