Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
WordPress Security 101 Seminar - WordPress secu...
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
makmour
April 16, 2016
Programming
0
22
WordPress Security 101 Seminar - WordPress security real cases of hacked sites
Makis Mourelatos - TheHubEvents
makmour
April 16, 2016
Tweet
Share
More Decks by makmour
See All by makmour
How to clean a Hacked WordPress website
makmour
0
30
Detect and Remove WordPress Malware Redirect
makmour
0
82
The WordPress X-Files
makmour
0
67
How to Detect and Secure a WordPress Hacked site
makmour
0
120
WordPress Hardening Rules 101
makmour
0
89
WordPress Security 101 Seminar - WordPress Security: real cases of hacked sites
makmour
0
40
Developing a WordPress Startup
makmour
0
37
How to protect your WordPress site from DDoS and bruteforce attacks
makmour
0
37
Other Decks in Programming
See All in Programming
16年目のピクシブ百科事典を支える最新の技術基盤 / The Modern Tech Stack Powering Pixiv Encyclopedia in its 16th Year
ahuglajbclajep
5
1k
dchart: charts from deck markup
ajstarks
3
1k
LLM Observabilityによる 対話型音声AIアプリケーションの安定運用
gekko0114
2
440
Automatic Grammar Agreementと Markdown Extended Attributes について
kishikawakatsumi
0
200
カスタマーサクセス業務を変革したヘルススコアの実現と学び
_hummer0724
0
740
生成AIを活用したソフトウェア開発ライフサイクル変革の現在値
hiroyukimori
PRO
0
100
AIと一緒にレガシーに向き合ってみた
nyafunta9858
0
250
15年続くIoTサービスの SREエンジニアが挑む 分散トレーシング導入
melonps
2
230
AWS re:Invent 2025参加 直前 Seattle-Tacoma Airport(SEA)におけるハードウェア紛失インシデントLT
tetutetu214
2
120
AI Schema Enrichment for your Oracle AI Database
thatjeffsmith
0
330
20260127_試行錯誤の結晶を1冊に。著者が解説 先輩データサイエンティストからの指南書 / author's_commentary_ds_instructions_guide
nash_efp
1
990
【卒業研究】会話ログ分析によるユーザーごとの関心に応じた話題提案手法
momok47
0
200
Featured
See All Featured
Product Roadmaps are Hard
iamctodd
PRO
55
12k
Exploring anti-patterns in Rails
aemeredith
2
250
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
97
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.6k
Into the Great Unknown - MozCon
thekraken
40
2.3k
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
220
sira's awesome portfolio website redesign presentation
elsirapls
0
150
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
77
Statistics for Hackers
jakevdp
799
230k
How to Talk to Developers About Accessibility
jct
2
140
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
170
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
200
Transcript
WordPress Security 101 Found.ation, TheHubEvents, 16/04/2016 "WordPress Hacked: Hands on"
Gerasimos Mourelatos, FixMyWP
Who am I? Gerasimos Mourelatos Project Engineer/WordPress Consultant Co-founder @
FixMyWP.com Co-founder @ HostMyWP.com
ΒΗΜΑΤΑ ΓΙΑ ΤΟ ΚΑΘΑΡΙΣΜΟ ΜΙΑΣ HACKED WORDPRESS ΕΓΚΑΤΑΣΤΑΣΗΣ
1. Πρόσβαση στο διαδίκτυο(!) 2. Πρόσβαση στο Dashboard 3. Πρόσβαση
στο Hosting Panel 4. Ένα FTP Client(Filezilla) 5. Υπομονή και αυτοσυγκέντρωση (ΩΩΩΩΜΜΜΜΜ!)
ΕΝ ΑΡΧΗ ΗΝ ΤΟ BACKUP
WEBSITE
Σημειώνουμε τα Premium Themes & Plugins
Σημειώνουμε τη τρέχουσα WordPress έκδοση
Αναβάθμιση όλων των Pending Themes & Plugins
Αλλαγή όλων των κωδικών για τους Administrators & Logout
BACKUP
HOSTING PANEL
• Διαγραφή παλιού DB User και δημιουργία νέου* • Σύνδεση
του νέου DB user με τη Database *σημειώνουμε τα DB user details (username & password)
Έλεγχος της Database μέσω phpMyAdmin για ασυνήθιστες εγγραφές
Αλλαγή των Administrator Usernames μέσω του PhpMyAdmin
FILE MANAGER
Διαγραφή όλων των Core WordPress Files και Directories wp-*.php/readme.html/license.txt/wp-admin/wp-includes &
των index.php κάτω από το wp-content/ ΠΡΟΣΟΧΗ: Δε διαγράφουμε τα παρακάτω: - wp-config.php - wp-content
Upload των αντίστοιχων files & directories της ίδιας έκδοσης Προτείνουμε
τη συμπίεση σε zip πριν το upload και extract μετά από αυτό
FTP
Ελεγχος του wp-config.php για Code Injection
Ενημέρωση του wp-config.php με τα νέα στοιχεία για τον DB
User
Αλλαγή των WordPress Authentication Keys https://api.wordpress.org/secret-key/1.1/salt/
• Χρήση των παραπάνω για την αντικατάσταση των αντίστοιχων τιμών
στο wp-config-sample.php • Διαγραφή του wp-config.php και rename του wp-config.-sample.php σε wp-config.php
Διαγραφή Cache (ΑΝ ΕΙΝΑΙ ΕΝΕΡΓΟΠΟΙΗΜΕΝΗ) ΣΤΟ /WP-CONTENT/CACHE
Έλεγχος για αρχεία που δεν ανήκουν στη WordPress διανομή και
διαγραφή τους • root • wp-content/plugins • wp-content/themes • wp-content/uploads
• Διαγραφή παλαιότερων backup • Έλεγχος για *.php και *.js
αρχεία στο /wp-content/uploads/*
Έλεγχος για *.php και *.js αρχεία τα οποία έχουν ίδια
ημερομηνία δημιουργίας ή τροποποίησης με αυτή των αρχείων που περιέχουν malware
WEBSITE
Έλεγχος του αριθμού Administrators στο Users Page του Dashboard
• Επανεγκατάσταση όλων των Themes & Plugins* • Εγκατάσταση WordFence
και έλεγχος για Malware * Τα premium theme & plugins πρέπει να τα ανακτήσουμε από τις ιστοσελίδες που τα αποκτήσαμε
Εαν έχετε και άλλα Directories εκτός WordPress τότε πρέπει να
δηλώσετε στο WordFence, μέσω της ειδικής ρύθμισης που έχει, ώστε να τα σαρώσει
EXTRA
Αν έχετε > 1 WordPress Εγκαταστάσεις στο ίδιο Hosting Account
τότε πρέπει να επαναλάβεται τη διαδικασία και για τις υπόλοιπες ιστοσελίδες
BACKUP
[email protected]
https://fixmywp.com/ fb @ fixmywp tw @fixmywp
makmour
ahuglajbclajep
ajstarks
gekko0114
kishikawakatsumi
_hummer0724
hiroyukimori
nyafunta9858
melonps
tetutetu214
thatjeffsmith
nash_efp
momok47
iamctodd
aemeredith
codingconduct
philnash
thekraken
szymonslowik
elsirapls
marketingsoph
jakevdp
jct
427marketing
reverentgeek
![[email protected] https://fixmywp.com/ fb @ fixmywp tw @fixmywp](https://files.speakerdeck.com/presentations/2cbd184022b042a6a4a8cc846dec5f1c/slide_34.jpg){kind=link}