WordPress v ohrození

Ján Bočínec

@JohnnyPea

  • ONI majú čas a prostriedky

  • ONI sú inteligentní a vynaliezaví

  • ONI útoky automatizujú

  • Niekedy ide proste o kvantitu

  • Nemusí to byť osobné

  • Sociálne inžinierstvo nepozná hraníc

  • Získať kontrolu nad vašim webom

  • Dostať sa k dátam

  • Odstaviť ho z prevádzky

  • SPAMovať

  • Šíriť sa ďalej

  • Nie každý musí byť administrátor

  • ŽIADNE spoločné účty

  • Dôležité udalosti, procesy, pokusy a zmeny treba zaznamenať!

  • Heslo patrí jednotlivcovi
  • NIKTO nepotrebuje vaše heslo
  • Verejné počítače sú pre verejnosť a každý má k nim prístup
add_filter( 'auth_cookie_expiration', 'secure_auto_logout' );

function secure_auto_logout( $expirein ) 
{
    return HOUR_IN_SECONDS; // 1 year in seconds (31556926)
}

Nebezpečné vody WordPress sveta

  • 52% sú z WordPress pluginov
  • 37% sú z jadra WordPress
  • 11% sú z WordPress tém (šablón)

Asi 4000 hrozieb!

ZDROJ: wpscan.org

  1. "Brute force" útoky
  2. Načítanie extra súborov alebo kódu
  3. "SQL injections"
  4. Cross-Site Scripting (XSS)
    84% bezpečnostných chýb na internete
  5. Malware
    • Backdoors
    • Drive-by downloads
    • Pharma hacks
    • Malicious redirects
  • Slabé heslo
  • Nepravidelné aktualizácie
  • Použitie neovereného kódu
  • Lacný a nespoľahlivý webhosting
  • Nezabezpečený vlastný počítač
  • Príliš veľka dôvera

ZDROJ: xkcd.com

  • Používajte dlhé a zložité heslá

    • Force Strong Passwords

  • Nie každý musí byť administrátor

  • ŽIADNE spoločné účty

  • Zrušte neaktívne používateľské účty

  • Obmedziť počet pokusov pre prihlásenie

  • LastPass
  • Dashlane
  • 1Password
  • KeePass (open source)

  • Keeper

  • Roboform

  • Keychain

Dvojfaktorová autentifikácia

  • Google Authenticator
  • Duo Two-Factor Authentication
  • Authy Two Factor Authentication
     
  • Google Apps Login
  • WordPress.com Secure Sign On

 

  • Pravidelné aktualizácie jadra, pluginov a tém
  • Aktualizujte aj neaktívne moduly a témy
  • Každý plugin/téma je potenciálna hrozba

Aktualizujte, aktualizujte a aktualizujte

Zálohy

  • BackupBuddy
  • UpdraftPlus
  • BackWPUp
  • BackUpWordPress
  • Duplicator
  • VaultPress (with Jetpack)

Údržba WordPress

  • Užitočné je vedieť aký kód spúšťate a kedy
  • Zamedzte priamemu spúštaniue PHP súborov/skriptov
  • Správne nastavené oprávnenia na serveri
    • súbory 644
    • adresáre 755
    • 777 nikdy!
  • Pravidelné skenovanie súborov

Dôležité udalosti, procesy, pokusy a zmeny treba zaznamenať!

  • WP Security Audit Log
  • Activity Log
  • User Activity Log
  • Stream
  • WP Log Viewer

 

Blokujte nevyžiadané prístupy

SSL / HTTPS

  • FTP SFTP, SSH ("key pairs", "passphrases"...)

  • Prístup len z lokálnej siete (IP...)

Bezpečnostný plugin

  • iThemes Security
  • Wordfence Security
  • BulletProof Security
  • All In One WP Security & Firewall
  • Sucuri Security
  • VaultPress

Jetpack.com

  • "Brute force" útoky
  • Monitoring výpadkov
  • "Two-factor authentication"
  • Automatická aktualizácia pluginov
  • Zálohovanie [PRO]
  • Obnova a migrácia [PRO]
  • Detekcia škodlivého kódu [PRO]
  • SPAM filter pre komentáre [PRO]

...za $99 ročne...220CZK / mesiac

Prevencia je dôležitá,

ale nič nie je stopercentné.


Kľúčom je rýchla a účinná detekcia.

APLIKÁCIA

 

SERVER

 

TRETIE STRANY

 

MÔJ POČÍTAČ

Bezpečnostný audit

Nechajte to odborníkom...

sitecheck.sucuri.net

 

virustotal.com

cloudflare.com

DNScrypt

HTTPS Everywhere

VPN

  • VPN Unlimited
  • TunnelBear
  • Opera VPN

Man-in-the-middle

Log Out Everywhere Else

WPScan

wpscan.org

WordPress v ohrození

By Ján Bočínec

Made with Slides.com

WordPress v ohrození

  • 847

More from Ján Bočínec