在2021年11月22日發(fā)布的安全披露中,GoDaddy 表示,在黑客獲得其托管型 WordPress 托管平臺的訪問權(quán)限后,多達(dá) 120 萬活躍和非活躍客戶被暴露。GoDaddy 于 2021 年 11 月 17 日首次發(fā)現(xiàn)了該黑客行為。
在這篇文章中,我們將解開最近 GoDaddy 黑客攻擊的一些細(xì)節(jié)、它如何影響客戶,以及我們對如果您是 GoDaddy 的 WordPress 托管客戶該怎么做的建議。
GoDaddy 2021 年 11 月 22 日的安全事件披露
在今天發(fā)布的公共安全事件披露中,GoDaddy 首席信息安全官 Demetrius Comes 解釋了 GoDaddy 被黑的細(xì)節(jié):
“使用泄露的密碼,未經(jīng)授權(quán)的第三方訪問了我們托管 WordPress 舊代碼庫中的配置系統(tǒng),”他解釋說。“我們的調(diào)查正在進(jìn)行中,我們正在直接聯(lián)系所有受影響的客戶,提供具體細(xì)節(jié)。”
根據(jù)披露,GoDaddy 確定自 2021 年 9 月 6 日起,“未經(jīng)授權(quán)的第三方”使用泄露的密碼訪問以下客戶信息:
- 多達(dá) 120 萬活躍和不活躍的托管 WordPress 客戶的電子郵件地址和客戶編號被暴露。電子郵件地址的暴露存在網(wǎng)絡(luò)釣魚攻擊的風(fēng)險。
- 暴露了在配置時設(shè)置的原始 WordPress 管理員密碼。如果這些憑據(jù)仍在使用中,GoDaddy 會重置這些密碼。
- 對于活躍客戶,sFTP 和數(shù)據(jù)庫用戶名和密碼被暴露。GoDaddy 重置了兩個密碼。
- 對于一部分活躍客戶,SSL 私鑰已公開。GoDaddy 正在為這些客戶頒發(fā)和安裝新證書。
我是否受到 GoDaddy 黑客攻擊的影響?
根據(jù)披露,此次黑客攻擊影響了GoDaddy 托管 WordPress 托管平臺的當(dāng)前和過去客戶。這包括從 Basic、Delux、Ultimate 到電子商務(wù)的 WordPress 托管計(jì)劃。該披露并未表明其他托管計(jì)劃是否受到影響。
如果我受到影響該怎么辦?
如果您使用 GoDaddy 來托管您的 WordPress 網(wǎng)站,我們有一些(強(qiáng)烈)建議:
1. 重置您的 WordPress 管理員密碼
作為預(yù)防措施,請重置您的 WordPress 密碼。您可以從位于 [yourURL]/wp-admin 的 WordPress 登錄屏幕執(zhí)行此操作。將您的密碼更改為強(qiáng)大、獨(dú)特且復(fù)雜的密碼。
2. 為 WordPress 管理員帳戶實(shí)施雙因素身份驗(yàn)證
使用 iThemes Security 插件,為您的所有管理員級別帳戶激活WordPress 雙重身份驗(yàn)證。雙因素身份驗(yàn)證是通過需要兩種不同的驗(yàn)證方法來驗(yàn)證個人身份的過程。
雙因素身份驗(yàn)證是 iThemes Security 插件中的一項(xiàng)免費(fèi)功能,因此請下載 iThemes Security 并將其安裝在您的 WordPress 網(wǎng)站上。
3. 查看您網(wǎng)站的安全日志,看看是否有管理員帳戶的意外登錄
網(wǎng)站安全日志記錄是 WordPress 安全策略的重要組成部分。日志記錄和監(jiān)控不足會導(dǎo)致檢測安全漏洞的延遲。
WordPress 安全日志在您的整體安全策略中有幾個好處:
1. 識別并阻止惡意行為。每天,您的網(wǎng)站上都在發(fā)生許多您可能不知道的活動。其中許多活動可能與您網(wǎng)站的安全性直接相關(guān)。這就是日志如此重要的原因:跟蹤活動,以便您知道是否發(fā)生了黑客攻擊或違規(guī)行為。
2. 發(fā)現(xiàn)可以提醒您違規(guī)的活動。無法識別的文件更改或可疑的用戶活動等活動可能表明存在黑客攻擊。這就是知道這些活動何時發(fā)生非常重要,這樣您就可以快速知道是否發(fā)生了違規(guī)行為。
3. 評估造成的損害。使用 WordPress 安全日志,您可以查看可能與黑客或入侵相關(guān)的文件更改和用戶活動。日志為您提供了一種線索,可以幫助消除黑客在您的網(wǎng)站上插入惡意腳本或進(jìn)行其他文件更改所造成的任何損害。
4. 幫助修復(fù)被黑站點(diǎn)。如果您的網(wǎng)站確實(shí)遭到黑客入侵,您將需要最好的信息來幫助進(jìn)行快速調(diào)查和恢復(fù)。WordPress 安全日志可以引導(dǎo)您完成黑客攻擊的時間線,并顯示黑客更改的所有內(nèi)容,從添加新用戶到在您的網(wǎng)站上添加不需要的醫(yī)藥廣告。
iThemes Security Pro 的WordPress 安全日志可以輕松跟蹤用戶活動,例如登錄、用戶創(chuàng)建/注冊、添加/刪除插件以及對帖子/頁面的更改。
4. 從您的 iThemes Security 儀表板強(qiáng)制更改密碼
從 iThemes Security Pro 儀表板,您可以為所有用戶強(qiáng)制更改密碼。這將要求用戶非常謹(jǐn)慎地更改他們的密碼。
5. 啟用具有會話劫持保護(hù)的可信設(shè)備
iThemes Security Pro 插件中的受信任設(shè)備功能 可用于識別您和其他用戶用于登錄您的 WordPress 站點(diǎn)的設(shè)備。識別出您的設(shè)備后,我們可以阻止會話劫持者和其他不良行為者對您的網(wǎng)站造成任何損害。
當(dāng)用戶登錄到無法識別的設(shè)備時,受信任的設(shè)備可以限制其管理員級別的功能。這意味著,如果攻擊者能夠闖入您的 WordPress 網(wǎng)站的后端,他們將無法對您的網(wǎng)站進(jìn)行任何惡意更改。
iThemes Security Pro 還會向您發(fā)送一封電子郵件,讓您知道有人從無法識別的設(shè)備登錄到您的站點(diǎn)。該電子郵件包含阻止黑客設(shè)備的選項(xiàng)。
然后,您將能夠看到未經(jīng)批準(zhǔn)的設(shè)備何時在您的網(wǎng)站上進(jìn)行了無法識別的登錄。
警惕網(wǎng)絡(luò)釣魚電子郵件的增加
正如安全披露所示,GoDaddy 客戶電子郵件地址的泄露可能會帶來網(wǎng)絡(luò)釣魚風(fēng)險。留意來自 GoDaddy 的可疑電子郵件。
網(wǎng)絡(luò)釣魚是一種網(wǎng)絡(luò)攻擊方法,使用電子郵件、社交媒體、短信和電話來誘騙受害者提供個人信息。然后攻擊者將使用該信息訪問個人帳戶或進(jìn)行身份欺詐。
發(fā)現(xiàn)網(wǎng)絡(luò)釣魚電子郵件的 4 個技巧
- 查看發(fā)件人電子郵件地址 – 如果您收到來自 GoDaddy 等企業(yè)的電子郵件,則“@”之后的發(fā)件人電子郵件地址部分應(yīng)與企業(yè)名稱匹配。如果電子郵件代表公司或政府實(shí)體,但使用的是“@gmail”等公共電子郵件地址,則這可能是網(wǎng)絡(luò)釣魚電子郵件的跡象。留意域名的細(xì)微拼寫錯誤。例如,讓我們看看這個電子郵件地址“ support@netflixx.com。” 我們可以看到 Netflix 在末尾多了一個“x”。拼寫錯誤清楚地表明該電子郵件是由騙子發(fā)送的,應(yīng)立即刪除。
- 查找語法錯誤 – 充滿語法錯誤的電子郵件是惡意電子郵件的標(biāo)志。所有單詞都可能拼寫正確,但句子中缺少會使句子連貫的單詞。例如,“您的帳戶被黑了。更新密碼以確保帳戶安全”。每個人都會犯錯,并不是每封有一兩個錯字的電子郵件都試圖欺騙您。但是,在做出回應(yīng)之前,需要仔細(xì)查看多個語法錯誤。
- 尋找可疑的附件或鏈接 ——在與電子郵件中包含的任何附件或鏈接進(jìn)行交互之前,值得暫停片刻。如果您不認(rèn)識電子郵件的發(fā)件人,則不應(yīng)下載電子郵件中包含的任何附件,因?yàn)樗赡馨瑦阂廛浖⒏腥灸挠?jì)算機(jī)。如果該電子郵件聲稱來自某企業(yè),您可以在打開任何附件之前 Google 其聯(lián)系信息以驗(yàn)證該電子郵件是由他們發(fā)送的。如果電子郵件包含鏈接,您可以將鼠標(biāo)懸停在該鏈接上以驗(yàn)證 URL 是否將您發(fā)送到應(yīng)有的位置。
- 提防緊急請求 ——詐騙者常用的伎倆是制造緊迫感。惡意電子郵件可能會產(chǎn)生需要立即采取行動的場景。您思考的時間越長,您就越有可能識別出該請求來自騙子。常見的網(wǎng)絡(luò)釣魚示例包括來自“老板”的緊急電子郵件,要求您盡快向供應(yīng)商付款,或來自銀行的電子郵件,通知您您的帳戶已被黑客入侵,需要立即采取行動。
總結(jié):共同打造更安全的網(wǎng)絡(luò)
使用一些WordPress 安全最佳實(shí)踐,您可以保護(hù)您的站點(diǎn)免受密碼和漏洞的危害。隨著 WordPress 網(wǎng)站遭到黑客攻擊和入侵的威脅不斷增加,iThemes Security Pro 插件旨在幫助您每晚更輕松地休息。
注:本文內(nèi)容來自 iThemes Security,由Wordpress大學(xué) 翻譯整理。
拓展閱讀:
- WordPress 5.7+ 允許手動向用戶發(fā)送重置密碼鏈接
- WordPress 快速入門視頻教程52:如何找回密碼
- 讓你的WordPress網(wǎng)站更安全的15個基本步驟
- 10個好用的免費(fèi)WordPress安全插件
- 2020年WordPress安全威脅及其預(yù)防方法
主題巴巴用戶反饋的4大安全經(jīng)驗(yàn):
1. 不要使用Windows服務(wù)器(主機(jī)),要用Linux系統(tǒng)。
2. 不要通過百度搜索下載免費(fèi)插件,要通過WordPress.org官方來下載安裝免費(fèi)插件。可以通過百度來搜索了解,但下載還是要到WP官方。百度出來的很多插件,已經(jīng)過時,有漏洞。比如一個作者叫做“柳城”的大部分插件(2014年后不再更新)。
3. 不要使用盜版主題或二次轉(zhuǎn)賣的主題。這類主題經(jīng)過多人轉(zhuǎn)手、傳播,常常含有惡意代碼。或由于更新不及時,存在漏洞。
4. 使用復(fù)雜的管理員密碼。
狗爹不是很牛P的嗎,也會動不動就被黑。以前買域名老有人推薦狗爹的,后來看一下,價格貴得一P