Hostdog - security https://www.hostdog.gr/taxonomy/term/6 el Πώς να κάνω το Drupal site μου πιο ασφαλές; https://www.hostdog.gr/blog/%CF%80%CF%8E%CF%82-%CE%BD%CE%B1-%CE%BA%CE%AC%CE%BD%CF%89-%CF%84%CE%BF-drupal-site-%CE%BC%CE%BF%CF%85-%CF%80%CE%B9%CE%BF-%CE%B1%CF%83%CF%86%CE%B1%CE%BB%CE%AD%CF%82 <div class="field field-name-body field-type-text-with-summary field-label-hidden"><div class="field-items"><div class="field-item even">Συνεχίζοντας τα άρθρα σχετικά με την <em>ασφαλή φιλοξενία ιστοσελιδων</em> ( <a href="https://www.hostdog.gr/blog/τι-να-κάνω-αν-μου-χάκαραν-την-ιστοσελίδα-μου-και-να-βρω-πώς-έγινε" title=" Τι να κάνω αν μου χάκαραν την ιστοσελίδα μου και να βρω πώς έγινε;">ασφάλεια των sites από επιθέσεις</a> ) αυτή τη φορά θα ασχοληθούμε με το Drupal και την ασφάλειά του. Οφείλουμε να επισημάνουμε ότι ο πολύ αυστηρός έλεγχος του κώδικα από το community του Drupal, αλλά και τα αστραπιαία αντανακλαστικά του Drupal Security team σε κάθε δημοσιευμένο vulnerability, το έχουν κατατάξει σε μία θέση ανάμεσα όχι μόνο ανάμεσα στις κορυφαίες τεχνολογικά πλατφόρμες αλλά και ανάμεσα στις πιο ασφαλείς επίσης. Θα συνεχίσουμε τα άρθρα με την γνώριμη σειρά server side και application side security. <h2>Server-side Drupal securing</h2> <h3>backups</h3> Δεν θα παραβλέψουμε ποτέ να αναφέρουμε το backup, όσο πιο πολλά τόσο πιο καλά και δεν θα λείπει από τα πιο αρχάριου επιπέδου μέχρι τα πιο προχωρημένου επιπέδου άρθρα μας. Κρατάτε πάντα όσο σας επιτρέπεται πιο πολλά backup αρχείων και βάσης δεδομένων του site σας. <h3>webserver, filesystem, permissions</h3> Η πλατφόρμα του Drupal, από την αρχική ακόμα εγκατάσταση είναι αρκετά ασφαλής, ειδικά αν είστε σε κάποιο πακέτο φιλοξενίας (πχ <a href="https://www.hostdog.gr/product/ssd-web-hosting" title="SSD hosting"><strong>SSD hosting</strong></a>) δεν χρειάζεται να ανησυχείτε ιδιαίτερα, ειδικά δε αν χρησιμοποιήσετε κάποιο από τα script αυτόματης εγκατάστασης που προσφέρονται. Ο πιο ασφαλής τρόπος που υποδεικνύεται από την κοινότητα είναι η χρήση 2 χρηστών ως εξής: drupal_admin: ένας χρήστης στον server ο οποίος διαχειρίζεται το Drupal site (administrator) site_admin: ο ιδιοκτήτης του φιλοξενούμενου site (πχ ένας πελάτης) <h4>ownership</h4> Τα Core modules/themes αρχεία και φάκελοι πρέπει να ανήκουν σε: drupal_admin:www-data Ενώ τα αρχεία των φιλοξενούμενων sites (modules/themes/files) να ανήκουν σε: site_admin:www-data *Αυτό αφορά την βέλτιστη πρακτική ασφαλείας σε περίπτωση που έχετε τον δικό σας server (πχ σε <a href="https://www.hostdog.gr/product/virtual-private-servers-vps" title="VPS hosting"><strong>VPS hosting</strong></a>), χωρίς κάποιο Control Panel ή πρόσθετη ασφάλεια όπως SuPHP/SuExec και ισχύει για την περίπτωση που ο webserver ή η PHP τρέχει με group www-data. <h4>Permissions</h4> Core modules/themes φάκελοι: rwxr-x--- Core modules/themes αρχεία: rw-r----- Φιλοξενούμενα sites modules/themes φάκελοι: rwxr-x--- Φιλοξενούμενων sites modules/themes αρχεία: rw-r----- Φιλοξενούμενα sites φάκελος "files": rwxrwx--- Φιλοξενούμενων sites αρχεία κάτω από τους φακέλους με όνομα "files": rw-rw---- Φιλοξενούμενωνsites υποφάκελοι κάτω από τους φακέλους με όνομα "files": rwxrwx--- <h2>Drupal Security</h2> <h3>Drupal modules for security</h3> Το <a href="https://drupal.org/project/security_review" title="Drupal Security Review module" rel="nofollow">Security Review</a> module, είναι ένα από τα πιο δημοφιλή, το οποίο εκτελεί αυτόματους ελέγχους για permissions, για μη ασφαλή tags στο content, επιτρεπτά extensions για τα uploaded files, κλπ. Προτείνεται σίγουρα ως το πρώτο βήμα για τον έλεγχο ασφαλείας της Drupal ιστοσελίδας σας. Το <a href="https://drupal.org/project/login_security" title="Drupal Login Security module" rel="nofollow">Login Security</a> module, σας επιτρέπει να προσθέσετε επιπλέον ελέγχους και όρια στο ενσωματωμένο σύστημα διαχείρισης Login του Drupal. Ακόμη, τα modules: <a href="https://drupal.org/project/hacked" title="Hacked! Drupal security module" rel="nofollow">Hacked!</a> και <a href="https://drupal.org/project/md5check" title="MD5 Check Drupal security module" rel="nofollow">MD5 Check</a> σας επιτρέπουν να συγκρίνετε γρήγορα όλα τα αρχεία της εγκατάστασης του site σας με τα αντίστοιχα του επίσημου repository. Τέλος όπως και για κάθε CMS, πρέπει πάντα να συμβουλευόμαστε την συνήθως ενημερωμένη συγκεντρωτική σελίδα σχετικά με τις πρακτικές ασφαλείας που συντηρούν (link στα αγγλικά): <a href="https://drupal.org/security/secure-configuration" title="Securing your Drupal site" rel="nofollow">https://drupal.org/security/secure-configuration</a> </div></div></div><div class="field field-name-field-tags field-type-taxonomy-term-reference field-label-above clearfix"><h3 class="field-label">Tags: </h3><ul class="links"><li class="taxonomy-term-reference-0"><a href="https://www.hostdog.gr/tags/drupal">drupal</a></li><li class="taxonomy-term-reference-1"><a href="https://www.hostdog.gr/tags/drupal-security">drupal security</a></li><li class="taxonomy-term-reference-2"><a href="https://www.hostdog.gr/taxonomy/term/8">ασφάλεια</a></li><li class="taxonomy-term-reference-3"><a href="https://www.hostdog.gr/tags/%CE%B1%CF%83%CF%86%CE%AC%CE%BB%CE%B5%CE%B9%CE%B1-drupal">ασφάλεια drupal</a></li><li class="taxonomy-term-reference-4"><a href="https://www.hostdog.gr/taxonomy/term/6">security</a></li></ul></div> Wed, 12 Feb 2014 12:12:50 +0000 hostdog 728 at https://www.hostdog.gr Πώς να κάνετε το WordPress site σας πιο ασφαλές https://www.hostdog.gr/blog/%CF%80%CF%8E%CF%82-%CE%BD%CE%B1-%CE%BA%CE%AC%CE%BD%CE%B5%CF%84%CE%B5-%CF%84%CE%BF-wordpress-site-%CF%83%CE%B1%CF%82-%CF%80%CE%B9%CE%BF-%CE%B1%CF%83%CF%86%CE%B1%CE%BB%CE%AD%CF%82 <div class="field field-name-body field-type-text-with-summary field-label-hidden"><div class="field-items"><div class="field-item even">Αυτό το άρθρο αποτελεί συνέχεια των άρθρων της Hostdog για την <a href="https://www.hostdog.gr/blog/τι-να-κάνω-αν-μου-χάκαραν-την-ιστοσελίδα-μου-και-να-βρω-πώς-έγινε" title=" Τι να κάνω αν μου χάκαραν την ιστοσελίδα μου και να βρω πώς έγινε;">ασφάλεια των sites από επιθέσεις</a> και θα προσπαθήσει να καλύψει κάποια βασικά βήματα που μπορεί να ακολουθήσει ο καθένας ώστε να κάνει ακόμα πιο ασφαλή την εγκατάσταση WordPress που διατηρεί, τόσο σε επίπεδο server όσο κι εφαρμογής π.χ. με την χρήση plugins. Το WordPress φαίνεται ότι είναι η πιο δημοφιλή πλατφόρμα διαχείρισης περιεχομένου (CMS) και οι εκτιμήσεις για το 2013 που γράφτηκε αυτό το άρθρο, κάνουν λόγο για χρήση από το 20% των sites παγκοσμίως, ενώ ανάμεσα στις CMS εφαρμογές έχει ένα εντυπωσιακό μερίδιο που πλησιάζει το 60% ! Φυσικά δεν αποτελεί εξαίρεση στον κανόνα της ασφάλειας που λέει πως ό,τι είναι πιο δημοφιλές έχει και την έντονη προσοχή των κακόβουλων χρηστών και hackers. <h2>Server-side WordPress securing</h2> <h3>Backup, backup, backup!</h3> Για να διαβάζει κανείς αυτό το συγκεκριμένο για το WordPress άρθρο, φανταζόμαστε ότι δεν χρειάζεται να αναφερθούμε στο πόσο σημαντικό είναι να υπάρχουν backups και ότι ισχύει σε κάθε περίπτωση "όσο πιο πολλά, τόσο το καλύτερο". Θα πρέπει λοιπόν να παίρνει κανείς backup (ιδανικά καθημερινά): 1) Όλα τα αρχεία της <strong>εγκατάστασης WordPress</strong> 2) Ολόκληρη την <strong>database του WordPress</strong> Φυσικά υπάρχουν και plugins που κάνουν αυτήν την δουλειά όπως: <a href="http://wordpress.org/plugins/backupwordpress/" rel="nofollow" title="BackUpWordPress plugin for WordPress">BackUpWordPress</a>, <a href="" rel="nofollow" title=""></a>, <a href="http://wordpress.org/plugins/backwpup/" rel="nofollow" title="BackWPup (free) - WordPress Backup Plugin for WordPress">BackWPup (free)</a> <h3>webserver, filesystem, permissions</h3> <h4>Προστασία filesystem και αρχείων</h4> Τα directories της εγκατάστασης θα πρέπει να έχουν permissions 755, κάτι που μπορεί να εκτελεστεί εύκολα με την παρακάτω εντολή: <div class="codeblock"><code>find /path/to/wordpress -type d -exec chmod 755 {} \;</code></div> Και αντίστοιχα τα files <div class="codeblock"><code>find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;</code></div> Εξαίρεση αποτελεί το <strong>wp-config.php</strong> αρχείο που θα πρέπει να έχει permissions: 600. <em>Προσοχή! Μην βάζετε permissions 777 σε <strong>κανένα</strong> αρχείο ή directory!</em> <h4>Προστασία wp-config.php</h4> Προστατέψτε το αρχείο wp-config.php με την προσθήκη του παρακάτω κώδικα στο .htaccess αρχείο <div class="codeblock"><code>&lt;files wp-config.php&gt;<br />order allow,deny<br />deny from all<br />&lt;/files&gt;</code></div> <h2>WordPress securing</h2> <h3>Επιλέξτε προσεκτικά τα plugins και τα thems που χρησιμοποιείτε</h3> Το WordPress είναι πραγματικά μια μεγάλη κοινότητα, κάτι που κάνει τον έλεγχο όλων των plugins και themes πολύ δύσκολο, ακόμα και στο επίσημο plugin repository έχουν παρατηρηθεί κρούσματα όπου υπήρχε κακόβουλο λογισμικό. Δεν είπαμε και να διαβάσετε όλο το source code όλων των plugin που θέλετε να ενεργοποιήσετε αλλά σίγουρα προτιμάτε plugins με μεγάλο ιστορικό, ratings και downloads. Επίσης σε πολλά themes που είτε δεν είναι από το επίσημο site του Wordpress, είτε είναι "σπασμένα" είναι σχεδόν κοινή πρακτική να περιέχουν κακόβουλο κώδικα (διαβάστε περισσότερα στο γενικό άρθρο για την περίπτωση <a href="https://www.hostdog.gr/blog/τι-να-κάνω-αν-μου-χάκαραν-την-ιστοσελίδα-μου-και-να-βρω-πώς-έγινε" title="τι να κάνω αν μου "> hacking στο site και αντιμετώπιση </a>). Μάλιστα στο παρελθόν είχε γίνει έρευνα για δημοφιλείς αναζητήσεις όπως "free wordpress themes" και τα αποτελέσματα του google είχαν σελίδες που διένεμαν themes με κακόβουλο λογισμικό. <h3>Αποφεύγετε default ρυθμίσεις</h3> Για παράδειγμα, μην χρησιμοποιείτε <em>admin</em> ή <em>administrator</em> για το username του διαχειριστή, καθώς αυτόματα προσφέρετε στους κακόβουλους χρήστες το ένα από τα δύο πράγματα που χρειάζονται για να έχουν πρόσβαση στο site σας (username/password). Ακόμα η αλλαγή του default tablename prefix "wp_" μπορεί να σας γλιτώσει κάποια SQL injections. <h3>WordPress plugins for security</h3> Το <a href="http://wordpress.org/plugins/bulletproof-security/" rel="nofollow" title="BulletProof Security plugin for WordPress">BulletProof Security</a> plugin αποτελεί ένα από τα πιο πλήρη διαθέσιμα plugin για την <strong>ασφάλεια του WordPress</strong>. Ενημερώνεται συχνά και ακολουθεί πιστά τις ενημερώσεις του WordPress. Η λίστα με όλες τις λειτουργίες του είναι πολύ μεγάλη για να την αναφέρουμε, εν συντομία, φροντίζει από <strong>απλές επιθέσεις</strong> (brute-forcing, Code/SQL injection) μέχρι και <em>εξελιγμένες</em> κι <strong>άγνωστες</strong> (CSS, CSRF, RFI) εφαρμόζοντας κατάλληλα μέτρα ασφαλείας στο .htaccess αρχείο, καθώς επίσης προστατεύει και το login form. Το <a href="http://wordpress.org/plugins/better-wp-security/" rel="nofollow" title="Better WP Security plugin for WordPress">Better WP Security</a> είναι ένα ακόμα ολοκληρωμένο και δημοφιλές plugin ασφαλείας για το WordPress που εφαρμόζει ένα σύνολο καλών τακτικών ασφαλείας (security best practices). Ένα ακόμα plugin-σουίτα ασφαλείας σαν τα δύο προηγούμενα που αξίζει σίγουρα μια ματιά είναι το <a href="http://wordpress.org/plugins/wordfence/" rel="nofollow" title="Wordfence Security plugin for WordPress">Wordfence Security</a> Το <a href="http://wordpress.org/plugins/antivirus" rel="nofollow" title="AntiVirus plugin for WordPress">AntiVirus</a> είναι ένα security plugin για το WordPress που ελέγχει αυτόματα καθημερινά την εγκατάσταση του WordPress για κακόβουλο λογισμικό και έχει την δυνατότητα να στέλνει e-mail ειδοποιήσεις. Τελευταίο στην λίστα, αλλά πολλά υποσχόμενο plugin είναι το <a href="http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/" rel="nofollow" title="All In One WP Security &amp; Firewall plugin for WordPress">All In One WP Security &amp; Firewall</a> που με έναν πολύ όμορφο και συγκεντρωτικό τρόπο αναλαμβάνει να εφαρμόσει τις υποδείξεις της WordPress που θα βρείτε και στο τέλος του άρθρου. <h2>Optimization</h2> Τέλος μπορεί να μην φαίνεται ότι έχει άμεση σχέση, αλλά κι από άποψη ασφάλειας μία <strong>optimized εγκατάσταση WordPress</strong> μπορεί να αντεπεξέλθει πιο εύκολα σε μικρότερες επιθέσεις. Η χρήση αντίστοιχων plugins είναι συνήθως απαραίτητη (σχετικό άρθρο γενικά και ειδικά WordPress). Καθώς επίσης κάποια CDN όπως το <a href="https://www.cloudflare.com/" rel="nofollow" title="CloudFlare CDN">CloudFlare</a> απαγορεύουν την πρόσβαση από κακόβουλα bots και αφαιρούν σημαντική ποσότητα φόρτου από τον webserver. Απαραίτητη αναφορά είναι η σελίδα που διατηρούν όλα τα CMS σχεδόν με κοινές καλές πρακτικές ασφαλείας σχετικά: <a href="http://codex.wordpress.org/Hardening_WordPress" rel="nofollow" title="Hardening Wordpress">http://codex.wordpress.org/Hardening_WordPress</a></div></div></div><div class="field field-name-field-tags field-type-taxonomy-term-reference field-label-above clearfix"><h3 class="field-label">Tags: </h3><ul class="links"><li class="taxonomy-term-reference-0"><a href="https://www.hostdog.gr/taxonomy/term/3">WordPress</a></li><li class="taxonomy-term-reference-1"><a href="https://www.hostdog.gr/taxonomy/term/6">security</a></li><li class="taxonomy-term-reference-2"><a href="https://www.hostdog.gr/tags/linux">linux</a></li><li class="taxonomy-term-reference-3"><a href="https://www.hostdog.gr/taxonomy/term/4">plugins</a></li></ul></div> Thu, 05 Sep 2013 14:57:47 +0000 ploupas 578 at https://www.hostdog.gr Τι να κάνω αν μου "χάκαραν" την ιστοσελίδα μου και να βρω πώς έγινε; https://www.hostdog.gr/blog/%CF%84%CE%B9-%CE%BD%CE%B1-%CE%BA%CE%AC%CE%BD%CF%89-%CE%B1%CE%BD-%CE%BC%CE%BF%CF%85-%CF%87%CE%AC%CE%BA%CE%B1%CF%81%CE%B1%CE%BD-%CF%84%CE%B7%CE%BD-%CE%B9%CF%83%CF%84%CE%BF%CF%83%CE%B5%CE%BB%CE%AF%CE%B4%CE%B1-%CE%BC%CE%BF%CF%85-%CE%BA%CE%B1%CE%B9-%CE%BD%CE%B1-%CE%B2%CF%81%CF%89-%CF%80%CF%8E%CF%82-%CE%AD%CE%B3%CE%B9%CE%BD%CE%B5 <div class="field field-name-body field-type-text-with-summary field-label-hidden"><div class="field-items"><div class="field-item even">Το άρθρο που ακολουθεί είναι μεγάλο, σκοπός μας είναι να συγκεντρώσουμε όσο το δυνατόν περισσότερες πληροφορίες σε έναν χώρο για εξυπηρέτηση των χρηστών και να το κρατάμε ενημερωμένο. Ίσως η τελική του μορφή είναι μια λίστα με links προς άλλα άρθρα που θα δημοσιευτούν, αλλά για την ώρα, μπορείτε να το συμβουλευτείτε τμηματικά, ή σαν μια πρόχειρη λίστα κάποιων αναγκαίων βημάτων που θα πρέπει να ακολουθήσει κανείς εάν η ιστοσελίδα του έχει παραβιαστεί. <h3>Λίστα προς άλλα άρθα σχετικά με την ασφάλεια</h3> <ul><li><a href="https://www.hostdog.gr/blog/%CF%80%CF%8E%CF%82-%CE%BD%CE%B1-%CE%BA%CE%AC%CE%BD%CE%B5%CF%84%CE%B5-%CF%84%CE%BF-wordpress-site-%CF%83%CE%B1%CF%82-%CF%80%CE%B9%CE%BF-%CE%B1%CF%83%CF%86%CE%B1%CE%BB%CE%AD%CF%82" title=" Πώς να κάνετε το WordPress site σας πιο ασφαλές">Ασφάλεια wordpress</a></li> <li><a href="https://www.hostdog.gr/blog/%CF%80%CF%8E%CF%82-%CE%BD%CE%B1-%CE%BA%CE%AC%CE%BD%CF%89-%CF%84%CE%BF-drupal-site-%CE%BC%CE%BF%CF%85-%CF%80%CE%B9%CE%BF-%CE%B1%CF%83%CF%86%CE%B1%CE%BB%CE%AD%CF%82" title="Πώς να κάνω το Drupal σιτε μου πιο ασφαλές">Ασφάλεια Drupal</a></li> </ul> Όταν ένα site γίνεται hack, δεν έχει σημασία αν είχε να αναβαθμιστεί για μήνες, ή ο administrator είχε πάει ένα διήμερο ταξιδάκι κι έχασε κάποιο update. Το αποτέλεσμα είναι το ίδιο απογοητευτικό και δυσάρεστο. Είναι όμως ευθύνη του κάθε webmaster απέναντι στο Ίντερνετ (!) να αποκαταστήσει την ιστοσελίδα και να την κάνει και πάλι ασφαλή για τους χρήστες. <h2>Πώς καταλαβαίνω ότι χακάρανε την ιστοσελίδα μου;</h2> Υπάρχουν αρκετοί τρόποι να καταλάβει κανείς ότι <strong>μια ιστοσελίδα έχει γίνει hack</strong>, ο πιο προφανής είναι να έχει γίνει defacement, ξυπνώντας ένα πρωί ανοίγεις τον υπολογιστή για να τσεκάρεις e-mails και το website σου και βλέπεις ένα συνήθως μαύρο φόντο με έντονα γράμματα "Hacked by ...". Ωστόσο σε γενικές γραμμές οι χάκερς θα προτιμήσουν να μην είναι τόσο προφανές ότι έχουν αποκτήσει έλεγχο στην ιστοσελίδα και στον server που την φιλοξενεί. <h3>Το να αναγνωριστεί ένα hack γίνεται συνήθως από τα παρακάτω:</h3> <ul><li>Κάποιο <strong>defacement</strong> της σελίδας (συνήθως τροποποιείται η κεντρική σελίδα του site με ξένο περιεχόμενο)</li> <li>Αυτόματο redirect σε σελίδες με περιεχόμενο συνήθως πορνογραφικού ή τζόγου.</li> <li>Ειδοποίηση από μηχανές αναζήτησης (Google, Bing) και browsers (Firefox, Chrome) ότι το site περιέχει κακόβουλο λογισμικό. Σε αυτές τις περιπτώσεις συνήθως εγκαθίσταται κακόβουλο λογισμικό στον υπολογιστή του επισκέπτη χωρίς την άδειά του.</li> <li>Ασυνήθιστη ή μεγάλη επισκεψιμότητα από χώρες που δεν ανήκουν παραδοσιακά στο κοινό της ιστοσελίδας.</li> <li>Ειδοποιήσεις από φορείς για αποστολή ανεπιθύμητης αλληλογραφίας (spam) από το συγκεκριμένο domain.</li> </ul><h2>Πώς έγινε και χακάρανε την ιστοσελίδα μου;<h2> Το να καταλάβει κάποιος πώς απόκτησε κάποιος τρίτος πρόσβαση στην ιστοσελίδα ή στον server που την φιλοξενεί, είναι ουσιαστικά η αρχή του νήματος για να την ξανακάνει ασφαλή. Οι πιο συνηθισμένοι τρόποι απόκτησης πρόσβασης είναι: <h3>Χρήση αδύναμων κωδικών πρόσβασης.</h3> Μόνο γράμματα ή μόνο αριθμοί δεν πληρούν τα κριτήρια για να γίνει δεκτό πλέον ένα password από τα περισσότερα συστήματα (και δεν θα έπρεπε από κανένα). Επίσης η χρήση των ίδιων passwords ξανά και ξανά σε πολλούς λογαριασμούς, σε πολλά sites, forums, κλπ δεν είναι και η καλύτερη τακτική ασφαλείας, ειδικά για έναν webmaster/administrator. <h3>Κακόβουλο λογισμικό</h3> Ένας άλλος τρόπος που συνήθως είναι ο τελευταίος που σκέφτεται ο διαχειριστής της ιστοσελίδας που έγινε hack, είναι το ίδιο του το PC. Εδώ έχουμε τις εξής κακές πρακτικές που μπορεί να εκμεταλευτεί ένας ιός, malware ή keylogger: <h4>Αποθήκευση κωδικών σε αρχεία απλού κειμένου κι εφαρμογές χωρίς κρυπτογράφηση</h4> Για παράδειγμα, ένα από τα πιο γνωστά και διεδομένα προγράμματα FTP, το FileZilla, αποθηκεύει σε ένα απλό XML ολόκληρο το ιστορικό συνδέσεων μαζί με τις πληροφορίες σύνδεσης (server, username, password) ακόμα και για τις συνδέσεις που ο χρήστης δεν έχει επιλέξει την απομνημόνευση των στοιχείων. Ακόμα χειρότερα τις αποθηκεύει χωρίς κρυπτογράφηση και είναι επιβεβαιωμένη η ύπαρξη ιού που εκμεταλεύεται το συγκεκριμένο κενό ασφαλείας. <h4>Διαχείριση site/server και login από μη ασφαλή, άγνωστα ή κοινόχρηστα δίκτυα</h4> Όταν συνδεόμαστε σε κάποιο ασύρματο δίκτυο, ή ακόμα και με καλώδιο σε κάποιο άγνωστο, είμαστε <strong>εκτεθιμένοι σε πολλών τύπων επιθέσεις</strong>, από "απλό" sniffing που είναι η παρακολούθηση των πακέτων που στέλνει και λαμβάνει ο υπολογιστής μας (μέσα σε αυτά μπορούν να υπάρχουν προφανώς οι κωδικοί μας) μέχρι και spoofing και MITM (Man-In-The-Middle) τεχνικές, ώπου στην ουσία ο υπολογιστής μας μπορεί να νομίζει ότι μιλάει σε κάποιον γνωστό κι αξιόπιστο server ενώ η κίνηση περνάει από κάποιον κακόβουλο χρήστη. Στις παραπάνω περιπτώσεις βοηθάει ως ένα βαθμό <em>η χρήση SSL πρωτόκολλου για την επικοινωνία</em>, κάτι που έχουν ενεργοποιήσει από default για τους χρήστες των υπηρεσιών τους εταιρίες όπως Google, Hotmail, Facebook, κλπ. <h4>Διανομέας/Πηγή software</h4> Το software που εγκαθιστάτε στον server θα πρέπει να κατεβαίνει μόνο από τα επίσημα (official) site κι όπου είναι δυνατόν να ελέγχεται η εγκυρότητά των αρχείων, μέσω: MD5, SHA-1 checksums. Συγκεκριμένα εμπορικά software ή modules/plugins που κυκλοφορούν "σπασμένα" σε torrents κλπ. Εκτός του ότι απαγορεύεται η χρήση τους κατά πάσα πιθανότητα από τους όρους χρήσης του παρόχου φιλοξενίας της ιστοσελίδας σας. Είναι συνήθης τακτική να είναι "εφοδιασμένα" με επιπλέον κακόβουλο λογισμικό που <strong>δίνει πρόσβαση στον server σας σε χάκερς</strong>. <h4>Ενημερωμένες εκδόσεις software</h4> Είναι γνωστό ότι εκτός από νέες λειτουργίες οι ενημερώσεις ενός software (ειδικά σε internet applications) περιλαμβάνουν σχεδόν πάντα ή και αποκλειστικά ενημερώσεις ασφαλείας. Δυστυχώς αυτή είναι η πραγματικότητα και θα πρέπει να φροντίσει κανείς όπου είναι εφικτό να πραγματοποιούνται αυτόματα καθώς είναι κρίσιμης σημασίας. <h2>Τι να κάνω αφού χακάρανε την ιστοσελίδα μου;<h2> <h3>Ψυχραιμία</h3> Όσο κλισέ κι αν ακούγεται, χρειάζεται <strong>ψυχραιμία</strong>. Βιαστικές κινήσεις, μπορούν να κάνουν τα πράγματα τόσο χειρότερα (πχ διαγραφή αρχείων που δεν υπάρχουν σε backup) όσο και μη αποδοτικά (μη εντοπισμός του πραγματικού προβλήματος). <h3>Συγκέντρωσε τις δυνάμεις σου (επικοινωνία με support)</h3> Αν δεν έχεις την τεχνική εξοικίωση, θα πρέπει να επικοινωνήσεις με κάποιον που γνωρίζει, ιδανικά κάποιον που έχει τόσο τις γνώσεις αλλά και είναι γνώριμος με το "στήσιμο" του site σου. Πχ ένας Web designer δεν είναι το άτομο που θα πρέπει να επικοινωνήσεις πρώτο. Θα χρειαστεί να επικοινωνήσεις με κάποιον web developer ή την εταιρία hosting. Κατά κανόνα οι προγραμματιστές (web developers) έχουν αρκετή εξειδίκευση για να σε βοηθήσουν και η εταιρία hosting κατά πάσα πιθανότητα έχει "ξαναδεί κάτι παρόμοιο" και μπορούν να σε βοηθήσουν σημαντικά. Ακόμα κι αν δεν αναλάβουν για εσένα την αποκατάσταση, μπορούν να σου δώσουν σημαντική βοήθεια και κατευθύνσεις. <h4>Μάζεψε όσες περισσότερες πληροφορίες μπορείς</h4> Όποιος αναλάβει την αποκατάσταση ενός site που έγινε hack θα πρέπει να έχει κωδικούς πρόσβασης, ώστε να προχωρήσει στην αποκατάσταση όσο το δυνατόν πιο άμεσα. Φρόντισε να προμηθεύσεις κωδικούς για: <ul><li>Την εφαρμογή CMS (Durpal, Wordpress, Joomla)</li> <li>Κωδικοί πρόσβασης hosting (control panel, databases, κλπ)</li> <li>Αρχεία καταγραφής (logs) περιέχουν πολύ σημαντικές πληροφορίες για την αναγνώριση του προβλήματος</li> <li>Στοιχεία πρόσβασης SSH/FTP</li> <li>Backups που υπάρχουν διαθέσιμα</li> </ul><h3>Κατέβασε το site</h3> Χρησιμοποίησε μια εικόνα ή απλό ενημερωτικό κείμενο ότι αντιμετωπίζεις τεχνικές δυσκολίες. Είναι το πιο σωστό, έτσι προστατεύεις και τους επισκέπτες αλλά και τους κρατάς ενήμερους ότι το site δεν λειτουργεί παρά μόνο προσωρινά. <h3>Έλεγξε τον υπολογιστή σου για ιούς</h3> Ένα από τους τρόπους που αναφέραμε με τον οποίο αποκτούν πρόσβαση οι χάκερς είναι από τον ίδιο τον υπολογιστή σου. Κατέβασε ένα antivirus κι ένα anti-malware, <strong>ενημέρωσέ τα πρώτα</strong> και σιγουρέψου ότι δεν υπάρχουν ιοί, trojan, malware, keyloggers και τα συναφή, ή χρησιμοποίησε έναν άλλο αξιόπιστο υπολογιστή. Προσωρινά ενδύκνειται και η χρήση ενός live cd. <h3>Καθάρισε το site</h3> Αυτό το βήμα είναι το πιο σημαντικό καθώς θα πρέπει να βεβαιωθεί τόσο ότι έχει βρεθεί η πηγή του προβληματος που οδήγησε σε hack, όσο και ότι έχουν ληφθεί όλα τα απαραίτητα μέτρα για να αποφευχθεί και στο μέλλον. Εν συντομία, μια αρκετά αποτελεσματική τακτική είναι: Στήσιμο εκ νέου του site, export του site που έγινε hack από κάποιο <strong>ασφαλές</strong> backup και μετά import στο λεγόμενο "fresh installation". (<strong>Προσοχή</strong>: Θα πρέπει να ελεγχθεί εκτενώς και το ενδεχόμενο να υπάρχει κακόβουλος κώδικας αποθηκευμένος και στη βάση δεδομένων) <h4>Αναβάθμιση σε τελευταία έκδοση του software</h4> Υπήρχε κάποια έκδοση που καθυστερούσες να αναβαθμίσεις για κάποιον λόγο; Τώρα είναι μονόδρομος, όποια κι αν είναι η αιτία που καθυστερούσε το update είναι προτιμότερο να μείνει και 1 και 2 και 3 μέρες παραπάνω κάτω το site και να είναι αναβαθμισμένο παρά το ρίσκο να επανεγκατασταθεί κάποια έκδοση που ίσως να σταματήσει να υποστηρίζεται σύντομα. <h4>Αλλαγή όλων, <strong>όλων</strong> των κωδικών</h4> Ακούγεται επίπονο και συνήθως είναι, αλλά η πιο συνειδητή κίνηση είναι να αλλαχθούν όλοι οι κωδικοί μετά από ένα hack. Μια ενδεικτική λίστα του τι πρέπει να αλλαχτεί (προφανώς σε <strong>διαφορετικά passwords μεταξύ τους</strong>) είναι: <ul><li>Hosting Control Panel (cPanel, προσωπικό e-mail, λογαριασμός στην περιοχή πελατών)</li> <li>FTP, E-mail, MySQL database</li> <li>SSH</li> <li>Όποια άλλη υπηρεσία χρησιμοποιούσατε κωδικό</li> </ul><h2>Εντοπισμός του προβλήματος</h2> Είναι το πιο σύνθετο και μάλλον πιο δύσκολο κομμάτι εφόσον δεν υπάρχουν συγκεκριμένες οδηγίες. Οι προσεγγίσεις είναι 2, η πρώτη αφορά την χρήση εργαλείων όπως τα rkhunter, chkrootkit καθώς και antivirus όπως το clamav. (Χρήση τους σε άρθρο που ακολουθεί) Η δεύτερη τακτική περιγράφεται ώς "με το χέρι" δηλαδή έλεγχος κάποιων συνηθισμένων τακτικών μόλυνσης της σελίδας με κακόβουλο λογισμικό μετά από hacking. Τα πρώτα μέρη για να κοιτάξει κανείς είναι: Ο κώδικας HTML της κεντρικής σελίδας για injected code. Αυτό μπορεί να έχει την μορφή κάποιου javascript ή κάποιου κρυμμένου iframe (πχ με attributes width=0 height=0 frameborder=0). Ο κακόβουλος κώδικας στις σύγχρονες εφαρμογές (CMS) μπορεί να προστίθεται από πολλά αρχεία ή αρχεία που δεν είναι τόσο προφανή. Στην καλύτερη των περιπτώσεων μια αναζήτηση για το κακόβουλο κώδικα στα αρχεία θα επιστρέψει τα μολυσμένα αρχεία. Στην χειρότερη και πιο κοινή πρακτική θα είναι encrypted με την χρήση eval gzinflate base64_encode functions. Μερικά χρήσιμα παραδείγματα για Linux χρησιμοποιώντας την grep: <div class="codeblock"><code>grep -lr --include=*.php "eval(base64_decode" /path/to/websiteroot</code></div> <strong>Σημαντικό</strong>: H base64_decode function χρησιμοποιείται και από πολλά CMS για την λειτουργία τους, θα πρέπει να γίνει διαστάυρωση με το source code πριν κατηγορηθούν καθώς επίσης τα ύποπτα να αποκρυπτογραφηθούν με μία decoder υπηρεσία σαν την: <a href="http://ddecode.com" title="DDecode - PHP Decoder" rel="nofollow">http://ddecode.com</a> <h2>Συνοψίζοντας</h2> Η απομάκρυνση κακόβουλου κώδικα από μια ιστοσελίδα είναι μια διαδικασία που απαιτεί συγκέντρωση, νηφαλιότητα και καθαρό μυαλό. Δεν είναι υπερβολή να πούμε ότι ακόμα και ψυχολογικά το στρες που μπορεί να δημιουργήσει ένα τέτοιο γεγονός σε έναν άπειρο χρήστη μπορεί να δημιουργήσει όπως αναφέραμε επιπλέον προβλήματα μέχρι και απώλεια δεδομένων. "Βάλτε στα αγαπημένα αυτή τη σελίδα" θα λέγαμε καθώς θα την ενημερώνουμε με νέα links σε αντίστοιχου περιεχομένου άρθρα και... αχρείαστη να είναι!</h2></h2></h2></h2></div></div></div><div class="field field-name-field-tags field-type-taxonomy-term-reference field-label-above clearfix"><h3 class="field-label">Tags: </h3><ul class="links"><li class="taxonomy-term-reference-0"><a href="https://www.hostdog.gr/tags/linux">linux</a></li><li class="taxonomy-term-reference-1"><a href="https://www.hostdog.gr/taxonomy/term/6">security</a></li><li class="taxonomy-term-reference-2"><a href="https://www.hostdog.gr/tags/hacking">hacking</a></li></ul></div> Thu, 05 Sep 2013 13:27:52 +0000 ploupas 577 at https://www.hostdog.gr Γιατί να ενημερώνω τα plugins του WordPress; https://www.hostdog.gr/blog/%CE%B3%CE%B9%CE%B1%CF%84%CE%AF-%CE%BD%CE%B1-%CE%B5%CE%BD%CE%B7%CE%BC%CE%B5%CF%81%CF%8E%CE%BD%CF%89-%CF%84%CE%B1-plugins-%CF%84%CE%BF%CF%85-wordpress <div class="field field-name-body field-type-text-with-summary field-label-hidden"><div class="field-items"><div class="field-item even"><p>Το WordPress ενημερώνεται από τους δημιουργούς του αρκετά συχνά Τόσο ώστε να χρειάζεται να αφιερώνει κανείς αρκετό χρόνο παρακολουθώντας τις συνεχείς και ασταμάτητες ενημερώσεις των plugin. Οπότε πολύ εύστοχα κάποιοι από εμάς αναρωτιούνται: Είναι απαραίτητες όλες αυτές οι ενημερώσεις; Και τι θα γίνει αν τις αγνοήσω;</p><p>Με αυτό το κείμενο λοιπόν θα επιχειρήσουμε να απαντήσουμε σε αυτά τα ερωτήματα και να δείξουμε ότι ενώ η συνεχείς ενημερώσεις ενός προγράμματος μπορεί να μας ταλαιπωρούν, είναι σημαντικές και χρήσιμες για τη βέλτιστη λειτουργία.</p><p>Γενικά μια επιτυχημένη εγκατάσταση του WordPress είναι αρκετή ώστε να τρέχει ομαλά και χωρίς προβλήματα. Παρόλα αυτά, υπάρχουν διάφοροι λόγοι για να διατηρούμε WordPress συνεχώς ενημερωμένο.</p><ol><li>Καμιά φορά οι καινούριες εκδόσεις plugin βγαίνουν έτσι ώστε να δώσουν λύση σε σοβαρά προβλήματα ασφάλειας που παλιότερες εκδόσεις αδυνατούσαν</li><li>Όταν εγκαθιστάτε μια καινούρια έκδοση του WordPress τότε πρέπει να ανανεώσετε και τα plugins του αλλιώς δε θα λειτουργούν.</li><li>Η νέα έκδοση των plugins ενδεχομένως να έχει και καινούριες λειτουργίες και δεν έχετε να χάσετε τίποτα με το να τις αποκτήσετε.</li><li>Η όλη διαδικασία της ανανέωσης διαρκεί ελάχιστα δευτερόλεπτα.</li><li>Μπορείτε να ανανεώσετε όλα τα plugins με το πολύ ένα-δυο κλικ.</li><li>Η εγκατάσταση διαρκεί λιγότερο χρόνο από αυτό που χρειάζεται για να διαβάσετε αυτό το άρθρο.</li></ol><p>Είναι σαφές ότι το να ακολουθούμε τις εξελίξεις του WordPress και να εγκαθιστούμε κάθε νέα ενημέρωση που ανακοινώνεται είναι εξαιρετικά εύκολο και γρήγορο. Αν σκεφτεί κανείς ότι έτσι αποφεύγουμε ενδεχόμενα προβλήματα ασφάλειας και προστασίας τότε δεν υπάρχει κανένας σοβαρός λόγος να το αποφεύγουμε.</p></div></div></div><div class="field field-name-field-tags field-type-taxonomy-term-reference field-label-above clearfix"><h3 class="field-label">Tags: </h3><ul class="links"><li class="taxonomy-term-reference-0"><a href="https://www.hostdog.gr/taxonomy/term/3">WordPress</a></li><li class="taxonomy-term-reference-1"><a href="https://www.hostdog.gr/taxonomy/term/4">plugins</a></li><li class="taxonomy-term-reference-2"><a href="https://www.hostdog.gr/taxonomy/term/5">updates</a></li><li class="taxonomy-term-reference-3"><a href="https://www.hostdog.gr/taxonomy/term/6">security</a></li><li class="taxonomy-term-reference-4"><a href="https://www.hostdog.gr/taxonomy/term/7">ενημερώσεις</a></li><li class="taxonomy-term-reference-5"><a href="https://www.hostdog.gr/taxonomy/term/8">ασφάλεια</a></li></ul></div> Wed, 18 Jan 2012 12:12:46 +0000 kyriakos 54 at https://www.hostdog.gr