GoDaddy, một trong những máy chủ web lớn nhất, đã phát hiện ra vi phạm dữ liệu vào ngày 17 tháng 11 năm 2021. Cộng đồng WordPress đã thảo luận về vi phạm dữ liệu Godaddy do mục tiêu chính của vi phạm bảo mật là khách hàng WordPress được quản lý của GoDaddy.
Rắc rối với loại tin tức này là luôn có rất nhiều tiếng ồn khi mọi người đều nhảy vào nhóm. Trong suốt 10 năm, chúng tôi tại MalCare đã thấy rằng mọi người có nhận thức sai lầm về những gì cấu thành nên tính bảo mật của WordPress. Thông thường, lời khuyên không hữu ích và trong một số trường hợp, nó có thể gây hại cho các trang web.
Khách hàng của GoDaddy rõ ràng đang hoảng sợ và tìm kiếm câu trả lời rõ ràng và thẳng thắn cho mối quan tâm của họ. Trong bài viết này, chúng tôi chia nhỏ những gì đã xảy ra một cách đơn giản nhất có thể và cho bạn biết các bước tiếp theo của bạn nên làm.
Vi phạm dữ liệu Godaddy:Chuyện gì đã xảy ra và tại sao mọi người lại lo lắng
GoDaddy đã có một vi phạm dữ liệu nghiêm trọng mà họ đã phát hiện vào ngày 17 tháng 11 và đưa ra một tuyên bố vào ngày 22 tháng 11. Đây là bản tóm tắt nhanh về những gì đã xảy ra:
- Theo điều tra của họ, dữ liệu đã bị xâm phạm trong hơn 2,5 tháng , trước khi họ nhận ra điều đó đang xảy ra.
- SFTP và thông tin đăng nhập cơ sở dữ liệu 1,2 triệu khách hàng được quản lý WordPress của họ đã bị xâm phạm.
- Một số mật khẩu quản trị viên WordPress đã được tiếp xúc. Đây là những mật khẩu quản trị được hệ thống đặt tự động khi trang web được tạo lần đầu.
- Khóa riêng tư SSL cũng đã bị xâm phạm đối với một số người dùng nhất định. Khóa cá nhân SSL là phần quan trọng nhất của chứng chỉ SSL và nó là xương sống của những gì làm cho nó an toàn. Khóa cá nhân bị xâm phạm làm cho chứng chỉ SSL không an toàn và vô giá trị.
- Sau đó, người ta phát hiện ra rằng người bán lại cũng bị ảnh hưởng bởi vi phạm dữ liệu Godaddy.
GoDaddy đã cố gắng giảm thiểu thiệt hại và có thể đã liên hệ trực tiếp với những khách hàng bị ảnh hưởng của họ. Tuy nhiên, vào thời điểm như thế này, sự đảm bảo từ GoDaddy sẽ không được đón nhận. Ngoài ra, họ sẽ cố gắng hết sức để kiểm soát thiệt hại và giữ chân khách hàng, những người có thể hiểu là muốn sửa chữa hoặc rời khỏi GoDaddy hoàn toàn.
Vi phạm dữ liệu Godaddy ảnh hưởng đến bạn như thế nào và bạn nên làm gì với điều đó
Nếu bạn là khách hàng Managed WordPress, có chứng chỉ SSL do GoDaddy cấp hoặc đã mua dịch vụ lưu trữ thông qua người bán lại của GoDaddy, bạn là một trong những người bị ảnh hưởng nhiều nhất bởi vi phạm dữ liệu GoDaddy.
Nếu bạn là khách hàng Managed WordPress, bạn nên làm gì?
Các khách hàng WordPress được quản lý của GoDaddy rõ ràng là đối tượng bị ảnh hưởng nặng nề nhất do vi phạm dữ liệu. Như được tiết lộ trong hồ sơ lên SEC của GoDaddy, các tin tặc có quyền truy cập vào SFTP cũng như thông tin đăng nhập cơ sở dữ liệu vào mọi trang web được lưu trữ trên nền tảng này.
Mặc dù rất nhiều người cảm thấy bối rối về việc thông tin đăng nhập SFTP được lưu trữ dưới dạng văn bản rõ ràng, điều này chắc chắn là cực kỳ nguy hiểm, nhưng chúng tôi cảm thấy rằng thông tin đăng nhập cơ sở dữ liệu bị xâm phạm là nguyên nhân lớn nhất gây lo ngại.
Với thông tin đăng nhập cơ sở dữ liệu, bạn hoàn toàn có thể truy cập vào bất kỳ trang web WordPress nào. Đây là một trong những lý do tại sao các cuộc tấn công SQL injection rất nguy hiểm.
Tin tặc có thể đã sao chép, sửa đổi và thêm vào các tệp và cơ sở dữ liệu bất cứ lúc nào. Do đó, cách an toàn nhất để tiếp tục là giả định điều tồi tệ nhất — rằng tin tặc hiện có quyền truy cập vào trang web của bạn và trang web của bạn có khả năng chứa phần mềm độc hại.
Cách khôi phục trang web của bạn
Tất cả không bị mất, và nếu trang web của bạn vẫn hoạt động, tình trạng này có thể được giải quyết. Dưới đây là các bước bạn nên thực hiện để khôi phục trang web của mình khỏi tin tặc.
1. Quét trang web của bạn để tìm phần mềm độc hại
Ưu tiên đầu tiên của bạn là quét sâu trang web của bạn vì phần mềm độc hại hoàn toàn có thể ở bất cứ đâu:tệp WordPress cốt lõi, thư mục plugin và chủ đề cũng như cơ sở dữ liệu. Thông qua các thông tin đăng nhập bị xâm phạm, tin tặc đã có quyền truy cập vào các tệp và cơ sở dữ liệu trang web của bạn trong một thời gian dài. Do đó, một máy quét cấp frontend sẽ không cắt được nó.
2. Xóa phần mềm độc hại
Nếu trang web của bạn đã bị tấn công, hãy làm sạch phần mềm độc hại ngay lập tức. Bạn có thể đã thấy các triệu chứng bây giờ và có lẽ không nhận ra rằng chúng là do phần mềm độc hại gây ra. Nếu Google không đưa trang web của bạn vào danh sách đen, bạn đã tránh được một dấu đầu dòng và chỉ phải tập trung vào việc làm sạch phần mềm độc hại ngay lập tức. Sử dụng MalCare để thực hiện việc này một cách nhanh chóng và hiệu quả, để trang web của bạn hoạt động trở lại càng sớm càng tốt.
Chúng tôi khuyên bạn không nên thử xóa phần mềm độc hại theo cách thủ công. Tin tặc thường thêm các cửa hậu ẩn khéo léo vào mã trang web, để ngay cả khi phần mềm độc hại bị phát hiện và loại bỏ, chúng vẫn có thể lấy lại quyền truy cập thông qua các cửa hậu. Cách tốt nhất để loại bỏ phần mềm độc hại là sử dụng một plugin bảo mật.
3. Thay đổi tất cả mật khẩu của bạn
Cho dù bạn có tìm thấy phần mềm độc hại hay không, bạn cần thay đổi tất cả các mật khẩu:tài khoản quản trị, mật khẩu cơ sở dữ liệu, thông tin đăng nhập SFTP, các hoạt động. GoDaddy đã đặt lại SFTP và thông tin đăng nhập cơ sở dữ liệu của bạn, nhưng tốt hơn là bạn nên làm lại điều đó, trong trường hợp trang web của bạn có phần mềm độc hại.
Đây là biện pháp phòng ngừa vì hai lý do:một, nếu trang web của bạn đã bị tấn công, thì đó là một phần của danh sách kiểm tra; hai, nếu bạn đặt mật khẩu SFTP của riêng mình, thì rất có thể bạn đã sử dụng lại mật khẩu ở nơi khác và các tài khoản đó cũng bị xâm phạm. Đây chỉ là bước một trong danh sách kiểm tra bảo mật sau hack , nhưng đó là một khởi đầu tốt. Nó sẽ ngăn chặn thiệt hại trở nên tồi tệ hơn.
4. Nhận chứng chỉ SSL khác
Trong trường hợp chứng chỉ SSL của bạn bị xâm phạm, GoDaddy sẽ liên hệ trực tiếp với bạn. Trong trường hợp này, tốt hơn là bạn nên nhận một SSL khác hoàn toàn từ một tổ chức phát hành chứng chỉ khác. Mặc dù GoDaddy đang đặt lại các chứng chỉ, nhưng để theo dõi nhanh quá trình, tốt hơn là bạn nên tự xử lý vấn đề này.
Cửa hàng thương mại điện tử và trang web thành viên
Nếu trang web của bạn là một cửa hàng thương mại điện tử hoặc một trang web thành viên, sẽ có thêm một lớp phức tạp cho bạn. Trong những trường hợp này, ít nhất bạn đang lưu trữ dữ liệu khách truy cập của mình, chẳng hạn như email và mật khẩu đăng nhập. Có thể bạn cũng đang lưu trữ thông tin khác, chẳng hạn như dữ liệu nhận dạng cá nhân. Điều đáng chú ý duy nhất ở đây là rất có thể bạn không lưu trữ bất kỳ chi tiết thẻ tín dụng nào
5. Giao tiếp với người dùng trang web của bạn
Trong trường hợp này, bạn cần yêu cầu người dùng trang web của bạn đặt lại mật khẩu của họ cũng. Trên thực tế, bạn nên tiếp tục và làm điều đó, và thông báo cho họ một cách phù hợp. Đây là một tuyên bố có trách nhiệm, vì bạn nên cho rằng dữ liệu người dùng trên trang web của bạn cũng đã bị xâm phạm do tin tặc truy cập vào cơ sở dữ liệu trang web của bạn. Trong một số trường hợp, bạn có thể được yêu cầu về mặt pháp lý.
Đồng thời, cảnh báo người dùng của bạn hãy đề phòng các âm mưu lừa đảo . Những trò gian lận này sẽ cố gắng lấy thêm thông tin từ người dùng của bạn bằng cách mạo danh một doanh nghiệp hoặc thương hiệu mà họ tin tưởng. Một nguyên tắc chung là không nhấp vào bất kỳ liên kết nào được gửi qua email.
Vi phạm bảo mật rất đáng sợ và bạn có thể muốn chuyển trang web của mình sang một máy chủ web khác, để lại toàn bộ mớ hỗn độn với GoDaddy. Chọn một máy chủ lưu trữ web một cách cẩn thận, xem xét các chính sách của họ và đảm bảo rằng nó phù hợp với yêu cầu của bạn. Các câu hỏi về máy chủ lưu trữ mới của bạn là những thứ như:làm thế nào để bạn đảm bảo an ninh cho trang web; làm thế nào để bạn trả lời các câu hỏi của khách hàng một cách nhanh chóng; và như thế. Bản thân việc di chuyển trang web là một công việc đơn giản với plugin MigrateGuru.
Bạn nên làm gì nếu trang web của bạn được lưu trữ trên GoDaddy, nhưng bạn không phải là khách hàng Managed WordPress?
Theo hồ sơ của họ với Ủy ban Chứng khoán và Giao dịch (SEC), GoDaddy nói rằng chỉ khách hàng được quản lý WordPress và tài khoản người bán lại có liên quan đến vụ vi phạm dữ liệu. Do đó, bạn không cần phải lo lắng, nhưng tốt hơn hết bạn nên thay đổi tất cả mật khẩu của mình trong bất kỳ trường hợp nào.
Nếu bạn sử dụng ManageWP, bạn có bị ảnh hưởng không?
Khi viết bài này, GoDaddy không chỉ ra rằng người dùng ManageWP bị ảnh hưởng bởi vi phạm dữ liệu. Tuy nhiên, điều này có thể thay đổi khi cuộc điều tra của họ về vụ vi phạm được tiến hành. Vì vậy, để an toàn, chúng tôi khuyên bạn nên đặt lại tất cả mật khẩu của mình.
Câu hỏi lớn hơn cần đặt ra ở đây là nếu bạn là người dùng ManageWP và khách hàng của GoDaddy, liệu có an toàn để đặt tất cả trứng của bạn vào cùng một giỏ không? Nếu vi phạm dữ liệu Godaddy lớn hơn và tin tặc đã xóa các trang web, giống như những gì đã xảy ra với Web Hosting Canada vào tháng 8 năm 2021, bạn sẽ gặp khó khăn khi sao lưu. Chính vì lý do này, sẽ an toàn hơn nếu có một nhà cung cấp sao lưu khác. It is just not good practice to have backups on the same server as your website.
The security angle without the hysterics
GoDaddy is a prime target for hackers simply by the virtue of their size and popularity. Even though no system is 100% secure, GoDaddy should have taken strong measures to protect their customers, especially given their size and the resources at their disposal. Our major call out here is not that their system was breached, but that it took them over 2 months to find out. They should have processes in place to detect breaches much sooner. That is the scary aspect of this incident.
Where did GoDaddy go wrong, and why?
The general feeling about GoDaddy right now is extremely negative, and there are a lot of harsh opinions being bandied about. Some of it is unwarranted, and that is because WordPress security is not easily understood. Having said that, let’s be very clear: all security breaches are bad BUT to varying degrees.
Two problems have emerged from security researcher investigations:
- GoDaddy stored passwords in plaintext
- We can only speculate why, but generally we have seen most web hosts store SFTP passwords in plaintext. This is a convenience factor, because SFTP credentials are usually generated automatically, and not by the user. Therefore, for people to be able to use them, they are stored in plaintext.
- It took them over 2 months to detect the data breach
- As we said before, this is the real problem. Malware causes progressively more damage the longer it is left unaddressed. Hackers had access to website databases and their files for over 2 months. This is an unthinkable lapse.
What are the actions that GoDaddy is taking to resolve the issue?
GoDaddy has reset SFTP and database passwords for their customers, so all the sites should be scanned for malware and all other passwords should be changed. Additionally, GoDaddy is also in the process of reissuing SSL certificates for compromised accounts. If you have an SSL certificate issued by GoDaddy, don’t wait for them to resolve the issue. Please get a new one issued from a separate certificate authority right away.
Is GoDaddy secure? Should you change your hosting from GoDaddy?
The Godaddy data breach is serious, no doubt, and it should have been caught much earlier. However, you should make this decision based on several factors, not just this one.
SFTP and database credentials are almost always automatically generated during the setup of a website, and rarely by users.
This means two relevant things:
- The passwords are difficult to remember, and users are prone to forgetting or losing them
- The chances of these passwords being reused elsewhere is negligible.
Ideally, all stored passwords should be hashed, but in some cases this becomes impractical. And because auto-generated passwords are rarely used anywhere else, they preempt the real danger of breached credentials:passwords that have been reused on other accounts. That means, hackers cannot use these passwords to access any other account, and the damage is contained as a result.
SFTP credentials are needed for lots of admin tasks:backups, emergency cleanups, restoring websites, and much more—unless you are using a plugin that will take away that hassle. Therefore, GoDaddy, and other popular web hosts, make access to SFTP credentials easy for their customers.
Similarly with database credentials, web hosts prioritise making things easy for their customers. In fact, your wp-config file stores your database credentials in plaintext too.
So the bottom line is that all this GoDaddy bashing is focusing on the wrong problems. Plaintext passwords aren’t the issue; it is the lack of data breach detection processes that is. Web hosts are rarely the cause of websites getting hacked, so this is an aberration. It is a myth that web hosts are the entry points for malware for websites.
What about the threat of phishing?
If your email address was compromised, be aware of potential phishing scams. If you have an ecommerce store or a membership site hosted with GoDaddy, warn your website users that they should be on the lookout for phishing scams, and not to click on links sent via email.
Phishing is a type of social engineering attack, where people are fooled into giving up their data to hackers. Hackers use trusted brands to extract this information. The scam is usually two-fold:an email with bogus links, in addition to a spoofed web page with a form to collect the data.
What should I do to protect my website?
There are a few things you can do to protect your website, regardless of which web host you are using. Yes, a good web host is important from a security perspective, but up to a point. The lion’s share of the responsibility lies with you, the website owner.
Here are some things you can do right away:
- Install a security plugin with daily scans . A security plugin cannot protect you from a breach due to compromised passwords, but because you will have daily scans of your website, if there was malware on your website, you would have found out in less than 24 hours time, rather than 2 months. This is critical for malware detection and mitigating loss.
- Always opt for offsite and full backups. If anything at all happens to your web server and your backups are also stored there? That’s curtains for your website.
- Use strong and unique passwords. A compromised password is free entry into your account, and if you use the same password across multiple accounts you are essentially rolling out the red carpet to all those accounts. If there is one takeaway from this mess, it is to have different passwords for accounts. That way, even if there is a breach, the damage is contained and you are not scrambling around to secure everything else. Setting strong and unique passwords is tricky, so we recommend using a password manager.
Is WordPress secure?
Every time there is a security breach in the WordPress ecosystem, this old chestnut will reappear. People are entitled to their opinions, but the fact remains that WordPress is as secure as a system can get. It is a target for hackers because of its widespread popularity, and in fact, has evolved to resolve many of the security problems that still exist with other CMS.
As a website owner, you need to do your due diligence in making sure that the core, and all your plugins and themes are up to date.