In urma cu 3 ani si ceva, chiar dupa ce ma angajasem la Zelist, m-am trezit cu blogul spart. Nu cu acesta, ci cu versiunea de pe subdomeniu. Cineva inlocuise userul meu si introdusese in articolele mai vechi diferite link-uri catre site-uri de interes pentru el.
Greseala a fost a mea pentru ca uitasem sa inchid un anonymous FTP care avea acces la root-ul hostingului.
De atunci si pana acum am mai invatat una – alta despre securitate, chiar am reusit sa-mi protejez blogul la tentative de spargere care au utilizat brute force sau au cautat vulnerabilitati XSS.
Astazi am dat peste o campanie inceputa de cei de la Idea City de verificare a site-urilor si /sau a blogurilor pentru vulnerabilitati. Acum, dupa ce in weekend a fost descoperita vulnerabilitatea CSFR in wordpress 3.9.1 este cu atat mai binevenita campania. Detalii despre vulnerabilitatea din 3.9.1 gasiti aici.
Ce se poate intampla daca site-ul sau blogul tau este vulnerabil?
Hackerii pot sa:
– extraga baze de date cu useri, parole, adrese e-mail si alte date personale,
– fure sesiunea utilizatorului realizand tranzactii in numele acestuia,
– faca trafic fals catre alte site-uri,
– impinga malware catre computerul utilizatorilor,
– schimbe continutul original al site-ului / blogului cu orice vrea atacatorul.
Participarea la campanie este gratuita iar la finalul campaniei, cei care doresc sa li se verifice site-ul sau blogul primesc un scurt raport ce contine vulnerabilitati importante identificate si ce se poate intampla daca sunt exploatate.
La finalizarea campaniei o sa fie realizata si o sinteza pe industrii cu tipurile de vulnerabilitati identificate. De aceea, pentru a oferi date cu adevarat relevante la nivel de industrie sunt necesare cat mai multe site-uri inscrise din domenii variate.
Important de retinut!
Datele participantilor, inclusiv site-urile acestora, nu vor fi comunicate public decat la cererea explicita a acestora.
Mai multe detalii, precum si formularul de inscriere si regulamentul campaniei le gasiti accesand acest link.
Dupa inscriere o sa primiti in mod automat un e-mail in care este precizata modalitatea de confirmare a faptului ca cel care inscrie site-ul este si detinatorul lui. Confirmarea este necesara pentru a evita inscrierile rau intentionate!
Multa bafta! Si cat mai putine vulnerabilitati!