Są takie momenty w pracy, kiedy mam ochotę wyciągnąć oczy z orbit – i to właśnie wtedy, gdy widzę coś, w co nie wierzę! Opieka nad stroną WordPress może być naprawdę ciekawa! W trakcie pracy nad porządkowaniem strony na WordPressie u jednego z klientów trafiłem na coś, co sprawiło, że najpierw wytrzeszczyłem oczy, następnie je przecierałem ze zdumienia, a na końcu zastanawiałem się czy ich sobie może nie wydłubać. Tak dla mojego komfortu, żebym nie musiał więcej oglądać takich bzdetów.
Ale do brzegu! Wchodzę na serwer przez ssh, coś posprzątałem, robię sobie kopię plików, no i chcę zrobić backup bazy danych bezpośrednio z phpMyAdmina. Więc otwieram wp-config i szukam loginu i hasła do bazy. Nie ma. Wracam do początku pliku i jeszcze raz powoli, spokojnie, niczym kontroler lotów, czytam. Nie ma. Ale widzę jakiś „zaincludowany” plik (info dla mniej technicznych: czyli jakby „podpięty” do tej konfiguracji). Myślę sobie – jakiś sprytny gość to robił, inteligenty. I to wcale nie był sarkazm, serio! Nie widziałem wcześniej, żeby w WordPress ktoś robił osobny plik tylko z poświadczeniami do bazy. Jeszcze żeby był gdzieś wyżej schowany, ale był tam gdzie wp-config. Nieważne! Otwieram ten plik i widzę hasło do bazy:
123456
Przysięgam, w tamtym momencie poczułem, jak kawałek mojej duszy po prostu umiera. Widziałem lepsze zabezpieczenia w kreskówkach z lat 90. Ale ok, myślę sobie, może to jakiś inny plik, stara konfiguracja, zostawiona przez nieuwagę. Nie, nie moi drodzy! To było w pełni produkcyjne hasło, którego używała działająca strona internetowa! 😱
I teraz wyobraźcie sobie, jak mówię sobie w duchu: „Nie oceniaj, nie oceniaj…” Ale z drugiej strony, jak mam k…wa nie oceniać skoro ktoś otwiera tylne drzwi na oścież i zostawia tam jeszcze dupny neonowy napis „WCHODZIĆ PROSZĘ”? Na szczęście, zanim zdążyłem roztrzaskać mojego Keychrona o biurko, wziąłem kilka głębokich oddechów i zmieniłem hasło na takie, które nie wygląda jak kod z Kinder Niespodzianki.
Morał z tej historii? Jeśli kiedykolwiek pomyślisz, że zabezpieczenie swojej strony to „robota na potem”, przypomnij sobie, że ktoś, gdzieś, naprawdę wpisał 123456 i myślał, że wszystko będzie OK. 😉
Ale żeby nie było tylko o tym, co jest złe, to kilka wskazówek, jak uniknąć takich sytuacji:
- Zawsze ustawiaj silne hasła – używaj generatorów haseł (ale nie tych online!) lub fraz, które są trudne do odgadnięcia. Minimum 12 znaków (ja i tak daję więcej!), w tym cyfry, małe i duże litery oraz znaki specjalne.
- Nie zostawiaj domyślnych danych dostępowych – admin/admin to zaproszenie dla włamywaczy.
- Regularnie zmieniaj hasła – Nawet najlepsze hasło traci wartość, jeśli używasz go od lat.
- Korzystaj z menedżera haseł – jeśli wszystko trzymasz w pliku hasla.txt na pulpicie, to puknij się w czoło i od razu wrzuć go na Facebooka.
Czy tylko ja ciągle widzę takie rzeczy?
