Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
WordPress Security 101 Seminar - WordPress secu...
Search
makmour
April 16, 2016
Programming
0
18
WordPress Security 101 Seminar - WordPress security real cases of hacked sites
Makis Mourelatos - TheHubEvents
makmour
April 16, 2016
Tweet
Share
More Decks by makmour
See All by makmour
How to clean a Hacked WordPress website
makmour
0
29
Detect and Remove WordPress Malware Redirect
makmour
0
80
The WordPress X-Files
makmour
0
66
How to Detect and Secure a WordPress Hacked site
makmour
0
120
WordPress Hardening Rules 101
makmour
0
87
WordPress Security 101 Seminar - WordPress Security: real cases of hacked sites
makmour
0
34
Developing a WordPress Startup
makmour
0
34
How to protect your WordPress site from DDoS and bruteforce attacks
makmour
0
32
Other Decks in Programming
See All in Programming
なぜ今、Terraformの本を書いたのか? - 著者陣に聞く!『Terraformではじめる実践IaC』登壇資料
fufuhu
4
630
マイコンでもRustのtestがしたい その2/KernelVM Tokyo 18
tnishinaga
2
2.3k
一人でAIプロダクトを作るための工夫 〜技術選定・開発プロセス編〜 / I want AI to work harder
rkaga
12
2.7k
エンジニアのための”最低限いい感じ”デザイン入門
shunshobon
0
120
令和最新版手のひらコンピュータ
koba789
14
7.9k
Google I/O recap web編 大分Web祭り2025
kponda
0
2.9k
Dart 参戦!!静的型付き言語界の隠れた実力者
kno3a87
0
200
バイブコーディング × 設計思考
nogu66
0
120
kiroでゲームを作ってみた
iriikeita
0
180
実践 Dev Containers × Claude Code
touyu
1
220
UbieのAIパートナーを支えるコンテキストエンジニアリング実践
syucream
2
590
DockerからECSへ 〜 AWSの海に出る前に知っておきたいこと 〜
ota1022
5
1.7k
Featured
See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
48
9.6k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
183
54k
Into the Great Unknown - MozCon
thekraken
40
2k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Rails Girls Zürich Keynote
gr2m
95
14k
Git: the NoSQL Database
bkeepers
PRO
431
65k
It's Worth the Effort
3n
187
28k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.5k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
1.1k
YesSQL, Process and Tooling at Scale
rocio
173
14k
Optimising Largest Contentful Paint
csswizardry
37
3.4k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
50
5.5k
Transcript
WordPress Security 101 Found.ation, TheHubEvents, 16/04/2016 "WordPress Hacked: Hands on"
Gerasimos Mourelatos, FixMyWP
Who am I? Gerasimos Mourelatos Project Engineer/WordPress Consultant Co-founder @
FixMyWP.com Co-founder @ HostMyWP.com
ΒΗΜΑΤΑ ΓΙΑ ΤΟ ΚΑΘΑΡΙΣΜΟ ΜΙΑΣ HACKED WORDPRESS ΕΓΚΑΤΑΣΤΑΣΗΣ
1. Πρόσβαση στο διαδίκτυο(!) 2. Πρόσβαση στο Dashboard 3. Πρόσβαση
στο Hosting Panel 4. Ένα FTP Client(Filezilla) 5. Υπομονή και αυτοσυγκέντρωση (ΩΩΩΩΜΜΜΜΜ!)
ΕΝ ΑΡΧΗ ΗΝ ΤΟ BACKUP
WEBSITE
Σημειώνουμε τα Premium Themes & Plugins
Σημειώνουμε τη τρέχουσα WordPress έκδοση
Αναβάθμιση όλων των Pending Themes & Plugins
Αλλαγή όλων των κωδικών για τους Administrators & Logout
BACKUP
HOSTING PANEL
• Διαγραφή παλιού DB User και δημιουργία νέου* • Σύνδεση
του νέου DB user με τη Database *σημειώνουμε τα DB user details (username & password)
Έλεγχος της Database μέσω phpMyAdmin για ασυνήθιστες εγγραφές
Αλλαγή των Administrator Usernames μέσω του PhpMyAdmin
FILE MANAGER
Διαγραφή όλων των Core WordPress Files και Directories wp-*.php/readme.html/license.txt/wp-admin/wp-includes &
των index.php κάτω από το wp-content/ ΠΡΟΣΟΧΗ: Δε διαγράφουμε τα παρακάτω: - wp-config.php - wp-content
Upload των αντίστοιχων files & directories της ίδιας έκδοσης Προτείνουμε
τη συμπίεση σε zip πριν το upload και extract μετά από αυτό
FTP
Ελεγχος του wp-config.php για Code Injection
Ενημέρωση του wp-config.php με τα νέα στοιχεία για τον DB
User
Αλλαγή των WordPress Authentication Keys https://api.wordpress.org/secret-key/1.1/salt/
• Χρήση των παραπάνω για την αντικατάσταση των αντίστοιχων τιμών
στο wp-config-sample.php • Διαγραφή του wp-config.php και rename του wp-config.-sample.php σε wp-config.php
Διαγραφή Cache (ΑΝ ΕΙΝΑΙ ΕΝΕΡΓΟΠΟΙΗΜΕΝΗ) ΣΤΟ /WP-CONTENT/CACHE
Έλεγχος για αρχεία που δεν ανήκουν στη WordPress διανομή και
διαγραφή τους • root • wp-content/plugins • wp-content/themes • wp-content/uploads
• Διαγραφή παλαιότερων backup • Έλεγχος για *.php και *.js
αρχεία στο /wp-content/uploads/*
Έλεγχος για *.php και *.js αρχεία τα οποία έχουν ίδια
ημερομηνία δημιουργίας ή τροποποίησης με αυτή των αρχείων που περιέχουν malware
WEBSITE
Έλεγχος του αριθμού Administrators στο Users Page του Dashboard
• Επανεγκατάσταση όλων των Themes & Plugins* • Εγκατάσταση WordFence
και έλεγχος για Malware * Τα premium theme & plugins πρέπει να τα ανακτήσουμε από τις ιστοσελίδες που τα αποκτήσαμε
Εαν έχετε και άλλα Directories εκτός WordPress τότε πρέπει να
δηλώσετε στο WordFence, μέσω της ειδικής ρύθμισης που έχει, ώστε να τα σαρώσει
EXTRA
Αν έχετε > 1 WordPress Εγκαταστάσεις στο ίδιο Hosting Account
τότε πρέπει να επαναλάβεται τη διαδικασία και για τις υπόλοιπες ιστοσελίδες
BACKUP
[email protected]
https://fixmywp.com/ fb @ fixmywp tw @fixmywp