Útočníci jdou i po vašich zálohách

Bezpečné zálohování webu je základ a to hned z několika důvodů. Jednak se potřebujte ochránit proti vlastní chybě, dále se může cokoliv porouchat u poskytovatele hostingových služeb a pak tu máme napadení webu. Rozhodně se nevyplatí spoléhat na zálohu poskytovatele hostingu. Nemusí být totiž aktuální. Případy, kdy měl třeba sedm dnů starou zálohu anebo jen tu ze včerejšího dne nejsou výjimkou. Sami si přitom můžete poměrně jednoduše vytvořit kolik záloh chcete a jakou formou.

Pro WordPress existují pluginy jako UpdraftPlus Backup and Restoration anebo WP Backup. Obojí dokáže plnit velice dobře svou úlohu. Můžete si nechat posílat zálohu databáze na emal každý den, soubory ukládat na externí úložiště anebo do cloudou. Obdobně je to i u ostatních redakčních systémů.

Jenomže než se ty zálohy někam uloží, tak se nachází v nějakém adresáři, který je většinou přístupný pro každého. Mnoho uživatelům také vyhovuje stav neposílat zálohu na externí úložiště a prostě nechají zazipovaný soubor přímo na hostingu. To samozřejmě není ideální, protože pokud se něco stane přímo se serverem, tak budou zálohy ztraceny.

Útočníkovi tak stačí pouze znát přesnou cestu k souboru se zálohou a prostě si jej stáhne. Pokud se jedná o zálohu celého webu, tak má kompletní databázi. Což znamená přihlašovací údaje všech uživatelů, jejich hesla a emailové adresy. Hesla jsou naštěstí jednosměrně šifrována, takže jejich zneužití sice hrozí, ale je nepravděpodobné. Tedy pokud hesla nejsou v běžném slovníku a jednosměrné šifrování není příliš jednoduché. Například MD5 bez salt.

Nejhorší je, že většinou na stáhnutí souboru se zálohou ani nepřijdete. Takže nemáte důvod učinit žádný preventivní opatření, třeba všem uživatelům hesla změnit.

Útočníci moc dobře vědí, že bezpečné zálohování je slabinou mnoha webů. Jejich roboti tak prochází potenciální URL zdali se na nich nenachází soubory se zálohou. V access log jistě najdete každý den několik takových pokusů.

Namátkou pokusy robotů za poslední týden:

/.tag-generatorbackup.php?ver_full&token=1257
/admin/backup.sql
/admin/backup/db.sql
/admin/backup/dump.sql
/backup.sql
/backup/backup.sql
/BACKUP/BeUnique/lata/Desktop/FileZilla.xml
/backup/bigdump.php
/wp-config.php.backup
/wp-config.bak

Obranou proti tomu je neuchovávat soubory se zálohou ve veřejně přístupné části webu. Například adresáře kam se záloha dočasně ukládá, než je odeslána na externí úložiště, můžete ochránit přes .htaccess vložením pravidla:

Order deny,allow
Deny from all

Do tohoto adresáře pak nikdo nebude mít přístup.

Share Button

Tento článek byl byl přečten 1398 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *