Am mai pățit-o anterior. Ce-i ce-au pățit-o știu, iar cei care nu s-au lovit de asta, vor afla…
Aveam site-ul găzduit la o anumită firmă. Nu asta e important. Fiind în faza entuziasmului și naivității oricărui început, în momentul în care am constatat că structura de directoare/fișiere a site-ului meu a devenit mai stufoasă, conținând fișiere ce nu-mi aparțineau, m-am supărat pe cei ce-mi găzduiau site-ul și am renunțat la serviciile lor. Considerând, desigur că sarcina securizării le aparținea.
Ulterior, am început să înțeleg altfel lucrurile. WordPress-ul e o platformă excepțională, dar, cel puțin din punct de vedere al securității, nu trebuie idealizată. Mai ales când folosim diverse (și eventual prea multe) plugin-uri…
Așadar, vorbim aici despre securitatea unui site bazat pe wordpress.org. Și de la ce-am pornit… Povestea-i simplă: spre norocul meu, cu ceva timp în urmă am instalat un plugin (Activity log), care mi-a permis să constat activități suspecte, așa cum se vede în imaginea următoare:
Așadar, cineva se folosea de fișierele „sitemap” pentru a derula activități suspecte. Prima informație era aceea adresei IP de la care cineva „mă lucra”… Cine era intrusul? Omul are IP-ul 89.33.44.252. În dorința de a afla mai multe, am instalat „All In One WP Security & Firewall”, care prin intermediul secțiunii „WHOIS Lookup” iată că-mi spune așa:
„% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the “-B” flag.
% Information related to ‘89.33.44.0 – 89.33.44.255’
% Abuse contact for ‘89.33.44.0 – 89.33.44.255’ is ‘abuse@romarg.com’
inetnum: 89.33.44.0 – 89.33.44.255
netname: RO-ROMARGSRL-20051129
country: RO
org: ORG-RS168-RIPE
admin-c: RT6550-RIPE
tech-c: RT6550-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-by: ro-romargsrl-1-mnt
mnt-routes: AS5606-MNT
mnt-routes: ro-romargsrl-1-mnt
created: 2017-01-05T15:32:49Z
last-modified: 2017-10-17T16:50:19Z
source: RIPE
organisation: ORG-RS168-RIPE
org-name: ROMARG SRL
org-type: LIR
address: Str. Tivadar Puskas nr. 62, bl 32 sc b ap 1
address: 520081
address: Sfantu Gheorghe
address: ROMANIA
phone: +40723154824
admin-c: RT6550-RIPE
tech-c: RT6550-RIPE
abuse-c: AR34598-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-ref: ro-romargsrl-1-mnt
mnt-by: RIPE-NCC-HM-MNT
mnt-by: ro-romargsrl-1-mnt
created: 2015-12-08T17:27:35Z
last-modified: 2016-08-04T09:28:40Z
source: RIPE # Filtered
person: Radu Tofan
address: Str. Tivadar Puskas nr. 62, bl 32 sc b ap 1
address: 520081
address: Sfantu Gheorghe
address: ROMANIA
phone: +40723154824
nic-hdl: RT6550-RIPE
mnt-by: ro-romargsrl-1-mnt
created: 2015-12-08T17:27:34Z
last-modified: 2015-12-08T17:27:35Z
source: RIPE
% Information related to ‘89.33.44.0/24AS205275’
route: 89.33.44.0/24
origin: AS205275
mnt-by: ro-romargsrl-1-mnt
created: 2017-10-17T16:50:38Z
last-modified: 2017-10-17T16:50:38Z
source: RIPE
% Information related to ‘89.33.44.0/24AS5588’
route: 89.33.44.0/24
descr: GTS Telecom
descr: Member of GTS Central Europe
origin: AS5588
mnt-by: GTSCE-MNT
created: 2014-05-12T14:58:08Z
last-modified: 2014-05-12T14:58:08Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.90 (HEREFORD)
Date suplimentare se pot vedea și aici: https://ro.ipshu.com/whois_ipv4/89.33.44.252
Așa ajungem la firma Romarg SRL, unul dintre clienții acesteia fiind intrusul în cauză…
Totuși, problema mea continua să persiste: din când în când, omul „activa” pe site-ul meu… Și n-am reușit să-i întrerup „activitatea” decât după ce, din „Control Panel”, am blocat acest IP.
Deocamdată, nu fac decât să urmăresc ce se mai întâmplă…
Desigur că există tot felul de indicații referitoare la posibilitățile de securizare ale site-urilor, așa cum spre exemplu e „The Ultimate WordPress Security Guide – Step by Step (2018)”
M-ar bucura orice comentariu pe subiectul securizării site-urilor, în special al celor bazate pe WordPress…