Beskyt dit CMS mod hacking

Som lovet i mit forrige indlæg om brugen af Robots.txt vil jeg fortælle dig lidt om, hvordan hackere kan finde dit CMS ved hjælp af Google.

Et CMS er det system, som du bruger til at logge ind på din hjemmeside for at lave nye sider, indsætte billeder og hvad du nu ellers laver på din hjemmeside. Et sådan CMS kan f.eks. være WordPress eller Joomla.

Giv mig danske WordPress sites, som jeg kan hacke

Forestil dig en hacker, der ønsker at angribe danske WordPress hjemmesider. Hackerens ærinde er at finde WordPress installationer hvor han kan lægge skjulte links til hjemmesider der sælger f.eks. Viagra.

Nu er det ikke sådan, at han bare lige kan vælte ind på hver en side og gøre det, men hvis en side f.eks. ikke er opdateret, så er potentialet helt klart til stede.

Men hvordan finder han danske WordPress hjemmesider? – det kan han gøre ved hjælp af Google og ved at bruge denne søgning: inurl:dk/robots.txt

Det er en simpel søgning der beder Google om at vise alle hjemmesider som har følgende i deres internet adresse: dk/robots.txt

Her kan du se resultatet af søgningen:

robots-google-2

Vi har nu fundet en stor mængde hjemmesider der bruger Robots.txt og som har .DK i adressen. Nu mangler vi bare at finde ud af hvor mange af dem der bruger WordPress som CMS.

Det gør vi ved at udvide søgningen sådan:  inurl:dk/robots.txt wp-admin

Det vi beder Google om at finde er alle hjemmesider der har .DK i adressen og som har Robots.txt i adressen samt har teksten “wp-admin” i filen Robots.txt.

Så værsgod. her er et menukort med en god oversigt over mangeDanske hjemmesider der bruger WordPress.

robots-google-2

Så nemt er det at finde hjemmesider, der bruger WordPress og nu har jeg brugt WordPress som eksempel her, men det kan sagtens bruges til andre systemer også.

Kan man beskytte sig mod dette?

Det kan man faktisk – i stor udstrækning -og det kan man gøre ved at skjule de “tegn” i hjemmesiden, der viser at det er f.eks. en WordPress. F.eks. logger man som standard ind på www.ditdomæne.dk/wp-admin i WordPress og derfor er der mange WordPress installationer, der i Robots.txt skriver at Google bare skal holde snitterne væk fra folderen Wp-admin, og dermed har man så vist at man bruger WordPress.

Der findes plugins der ændre en masse parametre og dermed – i første omgang – kan skjule at hjemmesiden rent faktisk er en WordPress. Sådan et plugin kan f.eks. være Guaven FP som gør et godt job i at skjule alle kendetegn på at vi har med WordPress at gøre.

Bør man beskytte sig ved at gå undercover?

Det er et interessant spørgsmål, for umiddelbart vil jeg sige ja, men omvendt, så ved jeg også, at det ikke nytter særlig meget at bruge sådan et plugin der “skjuler” sandheden om min WordPress installation.

Der er mange andre måder at finde omtalte CMS eller andre, og dermed er man lige vidt. Hvilke andre måder der findes vil jeg dog ikke komme ind på her.

Vis Google at du bruger WordPress

Der er også en vinkel – som står for min helt egen regning – i forhold til Google og det at man ikke bør skjule eksistensen af ens CMS overfor Google.

Hvis Google opdager at f.eks. din WordPress installation ikke er opdateret, så giver Google dig besked om det på Google Webmasterværktøj.

Hvorfor gør Google det?

Det gør Google fordi de ikke ønsker at sende brugere ind på potentielt farlige hjemmesider og derfor advare de om at man bør opdatere sin hjemmeside. I det ligger der, at hvis man IKKE sørger for at være opdateret, så kan man miste placeringer i Google.

webmastertool

Som sagt er den for egen regning, men i og med, at Google gør et stort nummer ud af at informere om, at man ikke har en opdateret hjemmeside, så må er – i mine øjne – også ligge den erkendelse, at det er fordi Google vil beskytte sine brugere, og det gør man ikke ved forsat at vise folk ind på farlige og ikke opdaterede hjemmesider.

Men hvad skal man så gøre hvis man ikke skal gøre brug af sådanne plugins og hvis det er en kendsgerning at man kan bruge Google til at finde sider man kan hacke?

Gør nu det mest indlysende

Den bedste måde at beskytte dig på er altid at have nyeste version af dit CMS installeret, sørge for at alle plugins er opdaterede og ikke bruge plugins der ikke ydes opdateringer på mere. Udover det, så skal du sørge for at have en god og solid backup som du ved virker og som gemmer i tilpas mange dage / uger bagud.

Udover det, så anbefaler jeg at du tilkøber dig overvågning af din hjemmeside og får en aftale om at der bliver taget hånd om din hjemmeside både hvad angår opdateringer, backup og scanning for angreb. På den måde er du klar til at gøre noget straks der er sket noget, og du er på forkant med udviklingen.

Og så skal du huske at ændre dit kodeord indimellem + have gode stærke kodeord.

Hvis du sørger for det, så er du godt hjulpet mod hacking og anden vandalisme. Du går ikke altid fri, men du er ikke førstevalget når nogen skal udvælges til at blive hacket.

Bemærk: dette indlæg er skrevet i meget brede termer og jeg er helt med på at emnet ikke er afdækket ved dette. Det er også kedeligt stof, men det er noget du bør bruge så meget tid på at der er styr på det, og du er naturligvis meget velkommen til at kontakte mig for en snak om sikkerheden på din hjemmeside.