सबसे बड़े वेब होस्टों में से एक, GoDaddy ने 17 नवंबर, 2021 को डेटा उल्लंघन की खोज की। WordPress समुदाय Godaddy डेटा उल्लंघन पर चर्चा कर रहा है। निहितार्थ क्योंकि सुरक्षा उल्लंघन का प्राथमिक लक्ष्य GoDaddy के प्रबंधित वर्डप्रेस ग्राहक थे।
इस तरह की खबरों के साथ परेशानी यह है कि हमेशा बहुत शोर होता है क्योंकि हर कोई बैंडबाजे पर कूद जाता है। 10 वर्षों के दौरान, हमने MalCare में देखा है कि लोगों को इस बात की गलत समझ है कि वर्डप्रेस सुरक्षा क्या है। अक्सर सलाह उपयोगी नहीं होती है, और कुछ मामलों में यह वेबसाइटों के लिए सक्रिय रूप से हानिकारक हो सकती है।
GoDaddy ग्राहक स्पष्ट रूप से घबरा रहे हैं और अपनी चिंताओं के स्पष्ट और सीधे उत्तर की तलाश कर रहे हैं। इस लेख में, हम यथासंभव सरलता से जो कुछ हुआ उसका विश्लेषण करते हैं, और आपको बताते हैं कि आपके अगले कदम क्या होने चाहिए।
Godaddy डेटा उल्लंघन:क्या हुआ, और हर कोई क्यों घबरा रहा है
GoDaddy के पास एक गंभीर डेटा उल्लंघन था जिसे उन्होंने 17 नवंबर को खोजा, और 22 नवंबर को एक बयान जारी किया। नीचे क्या हुआ इसका एक त्वरित सारांश है:
- उनकी जांच के अनुसार, डेटा से छेड़छाड़ की गई थी 2.5 महीने से अधिक , इससे पहले कि वे समझते कि यह हो रहा था।
- 1.2 मिलियन के SFTP और डेटाबेस क्रेडेंशियल उनके प्रबंधित वर्डप्रेस ग्राहकों से समझौता किया गया था।
- कुछ वर्डप्रेस व्यवस्थापक पासवर्ड उजागर हुए थे। ये वे व्यवस्थापक पासवर्ड हैं जो पहली बार वेबसाइट बनाते समय सिस्टम द्वारा स्वचालित रूप से सेट किए गए थे।
- एसएसएल निजी कुंजी कुछ उपयोगकर्ताओं के लिए भी समझौता किया गया था। एक एसएसएल निजी कुंजी एक एसएसएल प्रमाणपत्र का सबसे महत्वपूर्ण हिस्सा है, और यह उस चीज की रीढ़ है जो इसे सुरक्षित बनाती है। समझौता की गई निजी कुंजियाँ SSL प्रमाणपत्र को असुरक्षित और बेकार बना देती हैं।
- बाद में पता चला कि गोडाडी डेटा उल्लंघन से पुनर्विक्रेता भी प्रभावित हुए थे।
GoDaddy ने नुकसान को कम करने की कोशिश की है, और संभवत:सीधे अपने प्रभावित ग्राहकों तक पहुंचा है। हालांकि, इस तरह के समय में, GoDaddy से आश्वासन अच्छी तरह से प्राप्त नहीं होगा। साथ ही, वे डैमेज कंट्रोल करने और ग्राहकों को बनाए रखने के लिए अपना सर्वश्रेष्ठ प्रयास करने जा रहे हैं, जो निश्चित रूप से मरम्मत चाहते हैं या GoDaddy को पूरी तरह से छोड़ना चाहते हैं।
गोडाडी डेटा उल्लंघन आपको कैसे प्रभावित करता है, और आपको इसके बारे में क्या करना चाहिए
<ब्लॉकक्वॉट क्लास ="डब्ल्यूपी-ब्लॉक-कोट">यदि आप एक प्रबंधित WordPress ग्राहक हैं, आपके पास GoDaddy द्वारा जारी SSL प्रमाणपत्र है, या आपने किसी GoDaddy पुनर्विक्रेता के माध्यम से होस्टिंग खरीदी है, तो आप GoDaddy डेटा उल्लंघन से सबसे अधिक प्रभावित हैं।
यदि आप एक प्रबंधित WordPress ग्राहक हैं, तो आपको क्या करना चाहिए?
गोडाडी के प्रबंधित वर्डप्रेस ग्राहक स्पष्ट रूप से डेटा उल्लंघन से सबसे ज्यादा प्रभावित हैं। जैसा कि GoDaddy की SEC फाइलिंग में बताया गया था, हैकर्स के पास SFTP के साथ-साथ प्लेटफॉर्म पर होस्ट की गई प्रत्येक साइट के डेटाबेस क्रेडेंशियल्स तक पहुंच थी।
जबकि बहुत से लोग एसएफ़टीपी क्रेडेंशियल्स को स्पष्ट पाठ में संग्रहीत किए जाने से नाराज़ हैं, जो निश्चित रूप से बेहद खतरनाक है, हमें लगता है कि समझौता किए गए डेटाबेस क्रेडेंशियल चिंता का सबसे बड़ा कारण हैं।
डेटाबेस क्रेडेंशियल्स के साथ, किसी भी वर्डप्रेस साइट तक पूर्ण पहुंच प्राप्त करना संभव है। यह एक कारण है कि SQL इंजेक्शन हमले इतने खतरनाक क्यों हैं।
हैकर्स किसी भी समय फाइलों और डेटाबेस में कॉपी, संशोधित और जोड़ सकते थे। इसलिए, आगे बढ़ने का सबसे सुरक्षित तरीका सबसे खराब मान लेना है—कि हैकर्स के पास आपकी साइट तक पहुंच है, और यह कि आपकी वेबसाइट में संभावित रूप से मैलवेयर है।
अपनी वेबसाइट कैसे पुनर्प्राप्त करें
सब कुछ खत्म नहीं हुआ है, और अगर आपकी वेबसाइट अभी भी काम कर रही है, तो इस स्थिति का समाधान किया जा सकता है। अपनी वेबसाइट को हैकर्स से रिकवर करने के लिए आपको ये कदम उठाने चाहिए।
<मजबूत>1. मैलवेयर के लिए अपनी वेबसाइट स्कैन करें
आपकी पहली प्राथमिकता अपनी वेबसाइट को गहराई से स्कैन करना है क्योंकि मैलवेयर बिल्कुल कहीं भी हो सकता है:कोर वर्डप्रेस फाइलें, प्लगइन और थीम फ़ोल्डर्स, और डेटाबेस। समझौता किए गए क्रेडेंशियल्स के माध्यम से, हैकर्स के पास आपकी वेबसाइट की फाइलों और डेटाबेस तक लंबे समय तक पहुंच होती है। इसलिए, एक फ्रंटएंड-लेवल स्कैनर इसे काटने वाला नहीं है।
<मजबूत>2. मैलवेयर निकालें
अगर आपकी वेबसाइट हैक हो गई है, तो बिना देर किए मैलवेयर को साफ करें। हो सकता है कि आपने अब तक इसके लक्षण पहले ही देख लिए हों, और शायद आपको पता ही न हो कि ये मैलवेयर के कारण होते हैं। यदि Google ने आपकी साइट को ब्लैकलिस्ट नहीं किया है, तो आप एक बुलेट को चकमा दे चुके हैं और केवल मैलवेयर को तुरंत साफ करने पर ध्यान देना होगा। इसे जल्दी और कुशलता से करने के लिए MalCare का उपयोग करें, ताकि आपकी वेबसाइट जल्द से जल्द पटरी पर आए।
हम मैलवेयर को मैन्युअल रूप से निकालने का प्रयास करने की अनुशंसा नहीं करते हैं। हैकर्स अक्सर वेबसाइट कोड में चतुराई से छिपे हुए पिछले दरवाजे जोड़ते हैं, ताकि भले ही मैलवेयर का पता चल जाए और उसे हटा दिया जाए, फिर भी वे पिछले दरवाजे के माध्यम से पहुंच प्राप्त कर सकते हैं। मैलवेयर से छुटकारा पाने का सबसे अच्छा तरीका सुरक्षा प्लगइन का उपयोग करना है।
<मजबूत>3. अपने सभी पासवर्ड बदलें
आपको मैलवेयर मिले या नहीं, आपको सभी पासवर्ड बदलने होंगे:व्यवस्थापक खाते, डेटाबेस पासवर्ड, SFTP क्रेडेंशियल, कार्य। GoDaddy ने पहले ही आपके SFTP और डेटाबेस क्रेडेंशियल्स को रीसेट कर दिया है, लेकिन अगर आपकी वेबसाइट में मैलवेयर है, तो इसे फिर से करना बेहतर है।
यह दो कारणों से एहतियात है:एक, अगर आपकी वेबसाइट हैक हो गई है, तो यह चेकलिस्ट का हिस्सा है; दूसरा, यदि आप अपना स्वयं का एसएफ़टीपी पासवर्ड सेट करते हैं, तो संभावना है कि आपने पासवर्ड का कहीं और पुन:उपयोग किया है और उन खातों से भी छेड़छाड़ की गई है। यह हैक के बाद की सुरक्षा जांच सूची में केवल पहला चरण है , लेकिन यह एक अच्छी शुरुआत है। यह नुकसान को और खराब होने से रोकेगा।
<मजबूत>4. एक और एसएसएल प्रमाणपत्र प्राप्त करें
यदि आपके SSL प्रमाणपत्र के साथ छेड़छाड़ की गई है, तो GoDaddy सीधे आपसे संपर्क करेगा। इस मामले में, आपके लिए एक अलग प्रमाणपत्र प्राधिकरण से एक और एसएसएल प्राप्त करना बेहतर होगा। हालाँकि GoDaddy प्रमाणपत्रों को रीसेट कर रहा है, प्रक्रिया को तेज़ करने के लिए, बेहतर होगा कि आप स्वयं ही इसका समाधान करें।
ईकॉमर्स स्टोर और सदस्यता साइटें
यदि आपकी साइट एक ईकॉमर्स स्टोर या सदस्यता साइट है, तो आपके लिए जटिलता की एक अतिरिक्त परत है। इन मामलों में, आप कम से कम अपना विज़िटर डेटा, जैसे ईमेल और लॉगिन पासवर्ड संग्रहीत कर रहे हैं। हो सकता है कि आप व्यक्तिगत रूप से पहचाने जाने योग्य डेटा जैसी अन्य जानकारी भी संग्रहीत कर रहे हों। यहां एकमात्र महत्वपूर्ण बात यह है कि आप क्रेडिट कार्ड के किसी भी विवरण को संग्रहीत नहीं कर रहे हैं
<मजबूत>5. अपने वेबसाइट उपयोगकर्ताओं के साथ संवाद करें
इस मामले में, आपको अपनी वेबसाइट के उपयोगकर्ताओं से उनके पासवर्ड रीसेट करने के लिए कहना होगा भी। वास्तव में, आपको आगे बढ़ना चाहिए और वैसे भी करना चाहिए, और उन्हें तदनुसार सूचित करना चाहिए। यह एक जिम्मेदार घोषणा है, क्योंकि आपको यह मान लेना चाहिए कि आपकी वेबसाइट के उपयोगकर्ता डेटा से समझौता किया गया है, साथ ही, हैकर की आपके वेबसाइट डेटाबेस तक पहुंच के कारण। कुछ मामलों में, आपको ऐसा करने के लिए कानूनी रूप से आवश्यकता हो सकती है।
साथ ही अपने उपयोगकर्ताओं को फ़िशिंग घोटालों से सावधान रहने के लिए . चेतावनी दें . ये घोटाले किसी ऐसे व्यवसाय या ब्रांड का रूप धारण करके आपके उपयोगकर्ताओं से अधिक जानकारी निकालने का प्रयास करेंगे, जिस पर वे भरोसा करते हैं। अंगूठे का एक अच्छा नियम ईमेल के माध्यम से भेजे गए किसी भी लिंक पर क्लिक नहीं करना है।
सुरक्षा उल्लंघन भयावह हैं, और हो सकता है कि आप अपनी साइट को किसी अन्य वेब होस्ट पर ले जाना चाहें, जिससे GoDaddy की सारी गड़बड़ी पीछे छूट जाए। एक वेब होस्ट सावधानी से चुनें, उनकी नीतियों को देखते हुए और सुनिश्चित करें कि यह आपकी आवश्यकताओं के अनुरूप है। आपके नए होस्ट से पूछे जाने वाले प्रश्न इस प्रकार हैं:आप वेबसाइट की सुरक्षा कैसे सुनिश्चित करते हैं; आप ग्राहक की पूछताछ का कितनी जल्दी जवाब देते हैं; और इसी तरह। माइग्रेटगुरु प्लगइन के साथ वेबसाइट को माइग्रेट करना अपने आप में एक सरल कार्य है।
यदि आपकी साइट GoDaddy पर होस्ट की गई है, लेकिन आप एक प्रबंधित WordPress ग्राहक नहीं हैं, तो आपको क्या करना चाहिए?
सिक्योरिटीज एंड एक्सचेंज कमीशन (एसईसी) के साथ उनकी फाइलिंग के अनुसार, गोडाडी का कहना है कि डेटा उल्लंघन में केवल प्रबंधित वर्डप्रेस ग्राहक और पुनर्विक्रेता खाते शामिल थे। इसलिए, आपको चिंता करने की आवश्यकता नहीं है, लेकिन बेहतर है कि अपने सभी पासवर्ड बदलें किसी भी स्थिति में।
यदि आप ManageWP का उपयोग करते हैं, तो क्या आप प्रभावित होंगे?
इस लेख को लिखते समय, GoDaddy ने यह संकेत नहीं दिया है कि ManageWP उपयोगकर्ता डेटा उल्लंघन से प्रभावित हैं। हालाँकि, यह परिवर्तन के अधीन हो सकता है क्योंकि उल्लंघन की उनकी जाँच आगे बढ़ती है। इसलिए, सुरक्षित रहने के लिए, हम अनुशंसा करते हैं कि आप अपने सभी पासवर्ड रीसेट करें।
यहां पूछने के लिए बड़ा सवाल यह है कि यदि आप एक मैनेजडब्ल्यूपी उपयोगकर्ता और एक गोडाडी ग्राहक हैं, तो क्या अपने सभी अंडे एक ही टोकरी में रखना सुरक्षित है? यदि गोडैडी डेटा उल्लंघन बड़ा था और हैकर्स ने वेबसाइटों को हटा दिया था, जैसे कि अगस्त 2021 में वेब होस्टिंग कनाडा के साथ क्या हुआ, तो आप बैकअप के मामले में एक बुरी स्थिति में होंगे। इस कारण से, एक और बैकअप प्रदाता होना सुरक्षित है। आपकी वेबसाइट के समान सर्वर पर बैकअप रखना अच्छा अभ्यास नहीं है।
हिस्टीरिक्स के बिना सुरक्षा कोण
GoDaddy अपने आकार और लोकप्रियता के आधार पर हैकर्स के लिए एक प्रमुख लक्ष्य है। Even though no system is 100% secure, GoDaddy should have taken strong measures to protect their customers, especially given their size and the resources at their disposal. Our major call out here is not that their system was breached, but that it took them over 2 months to find out. They should have processes in place to detect breaches much sooner. That is the scary aspect of this incident.
Where did GoDaddy go wrong, and why?
The general feeling about GoDaddy right now is extremely negative, and there are a lot of harsh opinions being bandied about. Some of it is unwarranted, and that is because WordPress security is not easily understood. Having said that, let’s be very clear: all security breaches are bad BUT to varying degrees.
Two problems have emerged from security researcher investigations:
- GoDaddy stored passwords in plaintext
- We can only speculate why, but generally we have seen most web hosts store SFTP passwords in plaintext. This is a convenience factor, because SFTP credentials are usually generated automatically, and not by the user. Therefore, for people to be able to use them, they are stored in plaintext.
- It took them over 2 months to detect the data breach
- As we said before, this is the real problem. Malware causes progressively more damage the longer it is left unaddressed. Hackers had access to website databases and their files for over 2 months. This is an unthinkable lapse.
What are the actions that GoDaddy is taking to resolve the issue?
GoDaddy has reset SFTP and database passwords for their customers, so all the sites should be scanned for malware and all other passwords should be changed. Additionally, GoDaddy is also in the process of reissuing SSL certificates for compromised accounts. If you have an SSL certificate issued by GoDaddy, don’t wait for them to resolve the issue. Please get a new one issued from a separate certificate authority right away.
Is GoDaddy secure? Should you change your hosting from GoDaddy?
The Godaddy data breach is serious, no doubt, and it should have been caught much earlier. However, you should make this decision based on several factors, not just this one.
SFTP and database credentials are almost always automatically generated during the setup of a website, and rarely by users.
This means two relevant things:
- The passwords are difficult to remember, and users are prone to forgetting or losing them
- The chances of these passwords being reused elsewhere is negligible.
Ideally, all stored passwords should be hashed, but in some cases this becomes impractical. And because auto-generated passwords are rarely used anywhere else, they preempt the real danger of breached credentials:passwords that have been reused on other accounts. That means, hackers cannot use these passwords to access any other account, and the damage is contained as a result.
SFTP credentials are needed for lots of admin tasks:backups, emergency cleanups, restoring websites, and much more—unless you are using a plugin that will take away that hassle. Therefore, GoDaddy, and other popular web hosts, make access to SFTP credentials easy for their customers.
Similarly with database credentials, web hosts prioritise making things easy for their customers. In fact, your wp-config file stores your database credentials in plaintext too.
So the bottom line is that all this GoDaddy bashing is focusing on the wrong problems. Plaintext passwords aren’t the issue; it is the lack of data breach detection processes that is. Web hosts are rarely the cause of websites getting hacked, so this is an aberration. It is a myth that web hosts are the entry points for malware for websites.
What about the threat of phishing?
If your email address was compromised, be aware of potential phishing scams. If you have an ecommerce store or a membership site hosted with GoDaddy, warn your website users that they should be on the lookout for phishing scams, and not to click on links sent via email.
Phishing is a type of social engineering attack, where people are fooled into giving up their data to hackers. Hackers use trusted brands to extract this information. The scam is usually two-fold:an email with bogus links, in addition to a spoofed web page with a form to collect the data.
What should I do to protect my website?
There are a few things you can do to protect your website, regardless of which web host you are using. Yes, a good web host is important from a security perspective, but up to a point. The lion’s share of the responsibility lies with you, the website owner.
Here are some things you can do right away:
- Install a security plugin with daily scans . A security plugin cannot protect you from a breach due to compromised passwords, but because you will have daily scans of your website, if there was malware on your website, you would have found out in less than 24 hours time, rather than 2 months. This is critical for malware detection and mitigating loss.
- Always opt for offsite and full backups. If anything at all happens to your web server and your backups are also stored there? That’s curtains for your website.
- Use strong and unique passwords. A compromised password is free entry into your account, and if you use the same password across multiple accounts you are essentially rolling out the red carpet to all those accounts. If there is one takeaway from this mess, it is to have different passwords for accounts. That way, even if there is a breach, the damage is contained and you are not scrambling around to secure everything else. Setting strong and unique passwords is tricky, so we recommend using a password manager.
Is WordPress secure?
Every time there is a security breach in the WordPress ecosystem, this old chestnut will reappear. People are entitled to their opinions, but the fact remains that WordPress is as secure as a system can get. It is a target for hackers because of its widespread popularity, and in fact, has evolved to resolve many of the security problems that still exist with other CMS.
As a website owner, you need to do your due diligence in making sure that the core, and all your plugins and themes are up to date.