가장 큰 웹 호스트 중 하나인 GoDaddy는 2021년 11월 17일에 데이터 유출을 발견했습니다. WordPress 커뮤니티는 Godaddy 데이터 유출에 대해 논의해 왔습니다. 보안 침해의 주요 대상이 GoDaddy의 Managed WordPress 고객이었기 때문입니다.
이런 종류의 뉴스가 가지고 있는 문제는 모두가 악대차에 올라타면서 항상 많은 소음이 있다는 것입니다. 10년 동안 MalCare는 사람들이 WordPress 보안을 구성하는 요소에 대해 잘못된 인식을 갖고 있음을 확인했습니다. 종종 조언은 유용하지 않으며 어떤 경우에는 웹사이트에 적극적으로 해로울 수 있습니다.
GoDaddy 고객은 분명히 당황하고 우려 사항에 대한 명확하고 직접적인 답변을 찾고 있습니다. 이 기사에서는 발생한 일을 가능한 한 간단하게 분석하고 다음 단계를 알려드립니다.
Godaddy Data Breach:무슨 일이 일어났고 왜 모두가 놀라고 있는지
GoDaddy는 11월 17일에 심각한 데이터 침해를 발견했으며 11월 22일에 성명을 발표했습니다. 다음은 다운된 사항에 대한 간략한 요약입니다.
- 조사에 따르면 데이터가 2.5개월 이상 손상되었습니다. , 그들이 일어나고 있다는 것을 깨닫기도 전에.
- 120만 개의 SFTP 및 데이터베이스 자격 증명 의 관리형 WordPress 고객이 손상되었습니다.
- 일부 WordPress 관리자 비밀번호 노출되었다. 웹사이트가 처음 생성될 때 시스템에서 자동으로 설정한 관리자 비밀번호입니다.
- SSL 개인 키 특정 사용자에 대해서도 손상되었습니다. SSL 개인 키는 SSL 인증서의 가장 중요한 부분이며 보안을 유지하는 백본입니다. 손상된 개인 키는 SSL 인증서를 안전하지 않고 무가치하게 만듭니다.
- 나중에 리셀러도 Godaddy 데이터 유출의 영향을 받는 것으로 밝혀졌습니다.
GoDaddy는 피해를 줄이기 위해 노력했으며 영향을 받는 고객에게 직접 연락했을 것입니다. 그러나 이런 시기에 GoDaddy의 보증은 잘 받지 못할 것입니다. 또한 손해 배상을 원하거나 GoDaddy를 완전히 떠나려는 고객을 유지하기 위해 최선을 다할 것입니다.
Godaddy 데이터 유출은 귀하에게 어떤 영향을 미치며 귀하가 취해야 할 조치
관리형 WordPress 고객이거나 GoDaddy에서 발급한 SSL 인증서가 있거나 GoDaddy 리셀러를 통해 호스팅을 구매한 경우 GoDaddy 데이터 유출로 가장 큰 영향을 받는 사람 중 하나입니다.
관리형 WordPress 고객이라면 어떻게 해야 합니까?
GoDaddy의 Managed WordPress 고객은 분명히 데이터 유출로 인해 가장 큰 타격을 입었습니다. GoDaddy의 SEC 문서에 공개된 바와 같이 해커는 플랫폼에서 호스팅되는 모든 사이트에 대한 데이터베이스 자격 증명은 물론 SFTP에 액세스할 수 있었습니다.
많은 사람들이 SFTP 자격 증명이 일반 텍스트로 저장되는 것에 대해 불만을 갖고 있으며 이는 확실히 매우 위험하지만 손상된 데이터베이스 자격 증명이 가장 큰 우려의 원인이라고 생각합니다.
데이터베이스 자격 증명을 사용하면 모든 WordPress 사이트에 대한 완전한 액세스 권한을 얻을 수 있습니다. 이것이 SQL 인젝션 공격이 위험한 이유 중 하나입니다.
해커는 언제든지 파일과 데이터베이스에 복사, 수정 및 추가할 수 있습니다. 따라서 진행하는 가장 안전한 방법은 해커가 현재 귀하의 사이트에 액세스할 수 있고 귀하의 웹사이트에 맬웨어가 있을 수 있다는 최악의 상황을 가정하는 것입니다.
웹사이트 복구 방법
모든 것이 손실되지 않으며 웹 사이트가 여전히 작동하고 있다면 이 상황을 해결할 수 있습니다. 다음은 해커로부터 웹사이트를 복구하기 위해 취해야 하는 단계입니다.
1. 웹사이트에서 맬웨어 검사
맬웨어는 핵심 WordPress 파일, 플러그인 및 테마 폴더, 데이터베이스 등 어디에나 있을 수 있으므로 가장 먼저 웹사이트를 정밀 검사하는 것입니다. 손상된 자격 증명을 통해 해커는 장기간 웹 사이트 파일 및 데이터베이스에 액세스할 수 있습니다. 따라서 프론트엔드 수준의 스캐너는 이를 잘라낼 수 없습니다.
2. 멀웨어 제거
웹사이트가 해킹당했다면 지체 없이 악성코드를 치료하세요. 지금쯤이면 이미 증상을 보았을 수 있으며 맬웨어로 인한 것임을 깨닫지 못했을 수도 있습니다. Google이 사이트를 블랙리스트에 올리지 않았다면 총알을 피한 것이므로 즉시 맬웨어를 치료하는 데만 집중하면 됩니다. MalCare를 사용하여 이 작업을 빠르고 효율적으로 수행하여 웹사이트가 가능한 한 빨리 정상 궤도에 오를 수 있도록 하십시오.
맬웨어를 수동으로 제거하는 것은 권장하지 않습니다. 해커는 종종 웹사이트 코드에 교묘하게 숨겨진 백도어를 추가하여 맬웨어가 탐지되어 제거되더라도 백도어를 통해 다시 액세스할 수 있습니다. 맬웨어를 제거하는 가장 좋은 방법은 보안 플러그인을 사용하는 것입니다.
3. 모든 비밀번호 변경
맬웨어를 찾았는지 여부에 관계없이 관리자 계정, 데이터베이스 암호, SFTP 자격 증명, 작동과 같은 모든 암호를 변경해야 합니다. GoDaddy에서 이미 SFTP 및 데이터베이스 자격 증명을 재설정했지만 웹사이트에 맬웨어가 있는 경우 다시 설정하는 것이 좋습니다.
이것은 두 가지 이유로 예방 조치입니다. 하나는 웹사이트가 해킹된 경우 체크리스트의 일부입니다. 둘째, 자신의 SFTP 비밀번호를 설정하면 다른 곳에서 비밀번호를 재사용하고 해당 계정도 손상될 가능성이 있습니다. 이것은 해킹 후 보안 체크리스트의 1단계일 뿐입니다. , 하지만 좋은 시작입니다. 손상이 악화되는 것을 막을 수 있습니다.
4. 다른 SSL 인증서 받기
SSL 인증서가 손상된 경우 GoDaddy에서 직접 연락을 취했을 것입니다. 이 경우 다른 인증 기관에서 다른 SSL을 모두 받는 것이 좋습니다. GoDaddy에서 인증서를 재설정하고 있지만 프로세스를 빠르게 처리하려면 이 문제를 직접 처리하는 것이 좋습니다.
전자상거래 상점 및 회원 사이트
귀하의 사이트가 전자 상거래 상점 또는 회원 사이트인 경우 복잡성이 추가됩니다. 이러한 경우 최소한 이메일 및 로그인 비밀번호와 같은 방문자 데이터를 저장하게 됩니다. 개인 식별 데이터와 같은 다른 정보도 저장하고 있을 수 있습니다. 여기에서 유일한 은색 안감은 신용 카드 세부 정보를 저장하지 않을 가능성이 높다는 것입니다.
5. 웹사이트 사용자와 소통
이 경우 웹사이트 사용자에게 비밀번호 재설정을 요청해야 합니다. 또한. 사실, 어쨌든 그렇게 하고 그에 따라 알려야 합니다. 이것은 책임 있는 선언입니다. 웹사이트 데이터베이스에 대한 해커의 액세스로 인해 웹사이트의 사용자 데이터도 손상되었다고 가정해야 하기 때문입니다. 어떤 경우에는 법적으로 그렇게 해야 할 수도 있습니다.
또한 피싱 사기에 주의하도록 사용자에게 경고합니다. . 이러한 사기는 사용자가 신뢰하는 비즈니스 또는 브랜드를 가장하여 사용자로부터 더 많은 정보를 추출하려고 시도합니다. 이메일을 통해 전송된 링크는 클릭하지 않는 것이 좋습니다.
보안 침해는 두려운 일이며 GoDaddy에 대한 모든 혼란을 뒤로하고 사이트를 다른 웹 호스트로 옮기고 싶을 수 있습니다. 웹 호스트를 신중하게 선택하고 정책을 살펴보고 요구 사항에 맞는지 확인하십시오. 새 호스트에게 물어볼 질문은 다음과 같습니다. 웹사이트 보안을 어떻게 보장합니까? 고객 문의에 얼마나 빨리 응답합니까? 등등. 웹사이트 자체를 마이그레이션하는 것은 MigrateGuru 플러그인을 사용하는 간단한 작업입니다.
사이트가 GoDaddy에서 호스팅되지만 Managed WordPress 고객이 아닌 경우 어떻게 해야 합니까?
SEC(Securities and Exchange Commission)에 제출한 문서에 따르면 GoDaddy는 관리되는 WordPress 고객과 리셀러 계정만 데이터 유출에 연루되었다고 밝혔습니다. 따라서 걱정할 필요는 없지만 비밀번호를 모두 변경하는 것이 좋습니다. 어떤 경우에도.
ManageWP를 사용하면 영향을 받나요?
이 기사를 작성하는 시점에서 GoDaddy는 ManageWP 사용자가 데이터 침해의 영향을 받는다고 표시하지 않았습니다. 그러나 이는 위반에 대한 조사가 진행됨에 따라 변경될 수 있습니다. 따라서 안전을 위해 모든 비밀번호를 재설정하는 것이 좋습니다.
여기서 더 큰 질문은 ManageWP 사용자이자 GoDaddy 고객인 경우 모든 계란을 같은 바구니에 담는 것이 안전한가요?입니다. Godaddy 데이터 유출이 더 크고 해커가 2021년 8월 Web Hosting Canada에서 발생한 것과 같이 웹사이트를 삭제했다면 백업이 진행되는 한 나쁜 위치에 놓이게 될 것입니다. Because of this very reason, it is safer to have another backup provider. It is just not good practice to have backups on the same server as your website.
The security angle without the hysterics
GoDaddy is a prime target for hackers simply by the virtue of their size and popularity. Even though no system is 100% secure, GoDaddy should have taken strong measures to protect their customers, especially given their size and the resources at their disposal. Our major call out here is not that their system was breached, but that it took them over 2 months to find out. They should have processes in place to detect breaches much sooner. That is the scary aspect of this incident.
Where did GoDaddy go wrong, and why?
The general feeling about GoDaddy right now is extremely negative, and there are a lot of harsh opinions being bandied about. Some of it is unwarranted, and that is because WordPress security is not easily understood. Having said that, let’s be very clear: all security breaches are bad BUT to varying degrees.
Two problems have emerged from security researcher investigations:
- GoDaddy stored passwords in plaintext
- We can only speculate why, but generally we have seen most web hosts store SFTP passwords in plaintext. This is a convenience factor, because SFTP credentials are usually generated automatically, and not by the user. Therefore, for people to be able to use them, they are stored in plaintext.
- It took them over 2 months to detect the data breach
- As we said before, this is the real problem. Malware causes progressively more damage the longer it is left unaddressed. Hackers had access to website databases and their files for over 2 months. This is an unthinkable lapse.
What are the actions that GoDaddy is taking to resolve the issue?
GoDaddy has reset SFTP and database passwords for their customers, so all the sites should be scanned for malware and all other passwords should be changed. Additionally, GoDaddy is also in the process of reissuing SSL certificates for compromised accounts. If you have an SSL certificate issued by GoDaddy, don’t wait for them to resolve the issue. Please get a new one issued from a separate certificate authority right away.
Is GoDaddy secure? Should you change your hosting from GoDaddy?
The Godaddy data breach is serious, no doubt, and it should have been caught much earlier. However, you should make this decision based on several factors, not just this one.
SFTP and database credentials are almost always automatically generated during the setup of a website, and rarely by users.
This means two relevant things:
- The passwords are difficult to remember, and users are prone to forgetting or losing them
- The chances of these passwords being reused elsewhere is negligible.
Ideally, all stored passwords should be hashed, but in some cases this becomes impractical. And because auto-generated passwords are rarely used anywhere else, they preempt the real danger of breached credentials:passwords that have been reused on other accounts. That means, hackers cannot use these passwords to access any other account, and the damage is contained as a result.
SFTP credentials are needed for lots of admin tasks:backups, emergency cleanups, restoring websites, and much more—unless you are using a plugin that will take away that hassle. Therefore, GoDaddy, and other popular web hosts, make access to SFTP credentials easy for their customers.
Similarly with database credentials, web hosts prioritise making things easy for their customers. In fact, your wp-config file stores your database credentials in plaintext too.
So the bottom line is that all this GoDaddy bashing is focusing on the wrong problems. Plaintext passwords aren’t the issue; it is the lack of data breach detection processes that is. Web hosts are rarely the cause of websites getting hacked, so this is an aberration. It is a myth that web hosts are the entry points for malware for websites.
What about the threat of phishing?
If your email address was compromised, be aware of potential phishing scams. If you have an ecommerce store or a membership site hosted with GoDaddy, warn your website users that they should be on the lookout for phishing scams, and not to click on links sent via email.
Phishing is a type of social engineering attack, where people are fooled into giving up their data to hackers. Hackers use trusted brands to extract this information. The scam is usually two-fold:an email with bogus links, in addition to a spoofed web page with a form to collect the data.
What should I do to protect my website?
There are a few things you can do to protect your website, regardless of which web host you are using. Yes, a good web host is important from a security perspective, but up to a point. The lion’s share of the responsibility lies with you, the website owner.
Here are some things you can do right away:
- Install a security plugin with daily scans . A security plugin cannot protect you from a breach due to compromised passwords, but because you will have daily scans of your website, if there was malware on your website, you would have found out in less than 24 hours time, rather than 2 months. This is critical for malware detection and mitigating loss.
- Always opt for offsite and full backups. If anything at all happens to your web server and your backups are also stored there? That’s curtains for your website.
- Use strong and unique passwords. A compromised password is free entry into your account, and if you use the same password across multiple accounts you are essentially rolling out the red carpet to all those accounts. If there is one takeaway from this mess, it is to have different passwords for accounts. That way, even if there is a breach, the damage is contained and you are not scrambling around to secure everything else. Setting strong and unique passwords is tricky, so we recommend using a password manager.
Is WordPress secure?
Every time there is a security breach in the WordPress ecosystem, this old chestnut will reappear. People are entitled to their opinions, but the fact remains that WordPress is as secure as a system can get. It is a target for hackers because of its widespread popularity, and in fact, has evolved to resolve many of the security problems that still exist with other CMS.
As a website owner, you need to do your due diligence in making sure that the core, and all your plugins and themes are up to date.