Solidne zabezpieczenie CMS WordPress po włamaniu za pomocą wyłudzonego hasła

Haker internetowy

Opisane poniżej zdarzenie to typowy przypadek phishingu - wyłudzenia hasła, a następnie włamania przy jego pomocy na konto administratora strony internetowej pracującej na silniku CMS WordPress.

Sytuację zapoczątkował specjalnie spreparowany, wzbudzający zaufanie mail, skierowany do administratora witryny internetowej, którą w tym przypadku była osoba o średnio zaawansowanym poziomie wiedzy informatycznej. W treści wiadomości znajdował się odnośnik do formularza (jak się później okazało wyłudzającego dane), znajdującego się na przygotowanej przez hakera stronie internetowej. Nieświadomy zagrożenia właściciel strony, zgodnie z informacją zawartą w mailu, wprowadził w formularzu dane autoryzujące, umożliwiające zarządzanie jego stroną internetową.

O tym, że witryna padła ofiarą ataku hakerów, właściciel dowiedział się wpisując w wyszukiwarce Google nazwę swojej firmy, a dokładniej w momencie gdy zauważył, że w wynikach wyszukiwania, jedną z podstron jego serwisu (o tematyce motoryzacyjnej) jest "Kasyno online". Po wejściu na tą podstronę, użytkownicy byli automatycznie kierowani na inną stronę internetową, związaną z hazardem.

Właściciel firmy zgłosił się do Robofix z prośbą o ratunek w związku z zaistniałym problemem.

Pierwszym krokiem było przeprowadzenie audytu bezpieczeństwa, który nie wykazał zainfekowania strony malware ani żadnym innym złośliwym oprogramowaniem. CMS był na bieżąco aktualizowany. Przegląd struktury plików i folderów strony oraz przyznanych uprawnień, również nie wykazał żadnych nieprawidłowości. Administrator strony był jej jedynym użytkownikiem, a więc haker nie utworzył dodatkowego konta.

Przeprowadzona analiza, wykazała jednak, że podstron stworzonych przez hakera jest kilka, wszystkie zawierały przekierowania na różne strony związane z hazardem, a w systemie zarządzenia treścią, admin widniał jako autor tych podstron, które były utworzone w tej samej dacie.
Po przekazaniu tej informacji właścicielowi strony, ten skojarzył datę z mailem jaki otrzymał kilka tygodni temu. Po uzyskaniu i analizie tych informacji stało się pewne, że było to przyczyną przejęcia kontroli nad stroną przez niepowołaną osobę.
W tym przypadku hasło zostało przejęte poprzez phishing, ale ponieważ było ono trywialne, to w połączeniu z domyślnym loginem "admin", mogło też zostać złamane przy pomocy innej techniki ataku.

Po usunięciu niechcianej treści ze strony i zmianie hasła dostępowego na mocno skomplikowane, zawierające co najmniej 8 znaków, w tym co najmniej jedną dużą literę, jedną cyfrę i jeden znak nie będący literą ani cyfrą, oraz zmiany nazwy użytkownika na mniej oczywistą, w celu zabezpieczenia strony przed podobnymi sytuacjami, na CMS WordPress zostało wdrożone uwierzytelnianie dwuetapowe (two-factor authentication), zwane również dwuskładnikowym, które polega na wzbogaceniu procesu logowania o dodatkowy składnik, w postaci tokena, czyli kodu zmieniającego się co określony czas.

Tym sposobem witryna została solidnie zabezpieczona przed nieautoryzowanym dostępem.

Oto w czym mogę Ci pomóc:

Usuwanie szkodliwego oprogramowania ze strony internetowej opartej o na CMS WodPress, Joomla, Drupal i innych.
Przeniesienie strony internetowej na korzystniejszy tj. wydajniejszy i tańszy hosting. Przejście witryny pod inną domenę.
Aktualizacja rdzeni, modułów, rozszerzeń systemów zarządzania treścią Drupal, Wordpress, Joomla i innych CMS.
Wykonanie kopii bezpieczeństwa strony internetowej (pełna struktura plików, katalogów oraz bazy danych) oraz jej archiwizacja.
Działania mające na celu zapewnienie ochrony strony internetowej przed wirusami i atakami hakerskimi.
Dostosowanie strony internetowej do poprawnego wyświetlania na różnych urządzeniach.
Wykonanie napraw stron internetowych opartych na CMS oraz poprawek poprawiających jej estetykę lub funkcjonalność.
Szkolenia i pomoc w obsłudze systemów zarządzania treścią Joomla, Wordpress, Drupal i innych.
Przyspieszenie działania strony internetowej opartej na CMS Drupal, WordPress oraz Joomla, w celu zwiększenia liczby odwiedzin.
Przywracanie / resetowanie haseł dostępu, niezbędnych do pełnej kontroli stron internetowych opartych na CMS.
Projektowanie logo dla stron internetowych, wizytówek, folderów, banerów itp.

Copyright © robofix.eu