Backups zijn goed en van groot belang voor het behouden van een gezonde site of het snel terugkrijgen van een gezonde site. Maar .. is het wel veilig om volledige 1-op-1 backups te maken? 

Eerder schreven we al over Stoppen met backups! (met een knipoog) maar .. je kunt het ook te bont maken ..

Backups kun je comprimeren als (bijvoorbeeld) zipfile om ruimte te besparen, je kunt bestanden downloaden, maar je kunt ze ook in een andere map op je webhostingaccount zetten. Allemaal prima. Maar .. let op qua naamgeving en of jan en alleman (en dat zijn veel mensen en spambots) er dan gewoon bij kan/kunnen.

Laatst keken we mee bij een account bij een concullega, en we troffen dit aan:

Gehacked-te mappen
Gehacked-te mappen, puur omdat de mapnaam raadbaar was

Voel je hem al?

Maak nooit backups die voor iedereen leesbaar zijn in een publieke map zoals "backups", "bak", "original", "safecopy" etcetera. Deze backup van WordPress 3.5.1 werd gehacked en misbruikt om verder in het account bestanden aan te passen en malafide scripts te laden in de browser.

Het kan nog erger .. want er was nog een andere backup map (met daarin WordPress 3.3.1), een die vrijwel niet te raden was, en via de backup map is ook deze gecompromitteerd geraakt (klik op het plaatje voor vergroting):

Gehacked-te mappen
Gehacked-te mappen, via een andere ingang

Conclusie

Kijk uit met mapnamen, en (als het dan toch moet) beveilig mappen door ze in een niet web benaderbare private map te zetten of via IP restricties toegang te verlenen.

Kies ook voor ons managed WordPress instappakket, voorzien van alle backupmogelijkheden die je nodig hebt

Lees ook: Stoppen met backups!


Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Lees ook