Пару дней назад случилось то, чего боится каждый владелец сайта – меня взломали. Так случилось, что я как раз работала в админке сайта. Смотрю — какая-то активность странная, запись не моя появилась, пользователь новый с правами администратора. В первый момент я растерялась, было состояние “ничего не понимаю”. Потом удалила этого пользователя.
И вот сижу я значит, прислушиваясь к тишине. Руки в замке, глаза расширены. Надо срочно что-то делать. Перед удалением записи, я заскринила код, который там был прописан, отправила в нейрочат. Думаю, с такой задачей справился бы любая текстовая нейронка, я лично предпочитаю гемини от гугла. Он определил, что мой сайт просто хотели использовать в мошеннических целях.
Вот, что конкретно:
Полный контроль у злоумышленника: Создание нового пользователя с ролью “администратор” – это худший сценарий. Это означает, что у злоумышленника есть такой же полный контроль над сайтом, как и у вас. И т.д. еще много текста от которого у меня волосы беспокойно шевелились.
Резюме: Цель – использование вашего сайта: Злоумышленник создал запись с кодом не для того, чтобы что-то сломать, а чтобы использовать ваш сайт и его посетителей в своих целях.
Даже при наличии базовых мер защиты, таких как файрвол и настройки безопасности на хостинге, стало ясно, что атака использовала уязвимость, которую стандартные средства пропустили.
На этом этапе я удалила всех пользователей кроме своего (создавались для программистов), своему поставила пароль 30 знаков. Отключила сайт от сети в админке хостинга и, убедившись что есть свежий бэкап, отправилась спать.
А на следующий день с утра принялась работать над безопасностью.
Первым делом я вывесила на сайт табличку о технических работах. Провела полный аудит. Обновила ядро системы и все компоненты до последних версий, исправила ошибки в коде, которые вылезли в связи с обновлениями. Дальше взялась за плагины: некоторые были заменены на аналоги с более продвинутыми функциями защиты.
Затем установила специализированный плагин безопасности, провела сканирование несколько раз, пока не исправила все найденные “дыры”, и настроила двухфакторную аутентификацию. До кучи поставила плагин автоматического сжатия картинок. Хотя сама облегчаю всегда, но пусть и он постарается. И кеширования вроде хотела поставить новый, но передумала. Уже стоит потому что нормальный. Устала.
Потратила я на эту работу порядка семи часов. Да долго. Я вообще ни разу ни веб-разработчик. Мой сайт был написан в далеком 2016‑м году. Менялось в нем что-то исключительно по вынужденной необходимости. К безопасности я отношусь серьезно, но, по незнанию полагалась на специалистов. Кому как, мне с толковыми программистами не очень везло.
Никаких персональных данных я не собираю. Электронные адреса, которые вводят при покупке, передаются в платежную систему. Я в базу не сохраняю.
Помогал мне нейрочат. Я ему кидала скрины ошибок, он читал и говорил в каком файле надо исправить ошибку. Кидала код — переписывал исправленный код. И так шаг за шагом. А последовательность шагов тоже работа чата.
Вот пример, как я работала с чатом
или вот так
Конечно, полное доверие чату давать нельзя. Нужно включать голову тоже. Код нужно проверять. Может элементарно обрезать, или заглючить и выдать вообще не тот. Когда указываешь на ошибку — исправляет. Все надо сохранять и проверять.
Работать с таким помощником очень классно. Решать мою задачу альтернативным способом было бы для меня более растянуто во времени, это стоило бы мне больших нервов и затрат финансовых. Чат бесплатный и всегда готов, когда ты готов.
Я люблю нейросети. Это шикарные помощники. Для меня, как для человека не “в теме”, очень важно что мне 150 раз повторят про одно и то же без проблем. Можете смеяться, но мне важны слова одобрения и поддержки в процессе. Создается ощущение, что я не одна — мы команда.
Конечно, пинок был довольно болезненным, зато я пересмотрела весь подход к безопасности и вывела ее на новый нормальный уровень. Чему я очень рада. И можно сказать, что сделала это сама.
Картинки для поста я создала в боте Syntx AI. Вы тоже можете попробовать сгенерировать картинки в этом боте. Для этого не понадобится ничего, кроме Телеграм. При входе бот даёт 5 бесплатных токенов, этого хватит, чтобы поиграться.
А я поигралась с голосами и записала видео инструкцию для вас мужским голосом. Выбирала из 20-ти примерно, этот показался мне самым приятным. Ссылка на видео инструкцию в моем канале Телеграм.
Всего вам хорошего! И будьте всегда защищены.
