Slide 1
Slide 1 text
WordPress Security 101
Found.ation, TheHubEvents, 16/04/2016
"WordPress Hacked:
Hands on"
Gerasimos Mourelatos, FixMyWP
Slide 2
Slide 2 text
Who am I?
Gerasimos Mourelatos
Project Engineer/WordPress Consultant
Co-founder @ FixMyWP.com
Co-founder @ HostMyWP.com
Slide 3
Slide 3 text
ΒΗΜΑΤΑ ΓΙΑ ΤΟ ΚΑΘΑΡΙΣΜΟ ΜΙΑΣ
HACKED WORDPRESS ΕΓΚΑΤΑΣΤΑΣΗΣ
Slide 4
Slide 4 text
1. Πρόσβαση στο διαδίκτυο(!)
2. Πρόσβαση στο Dashboard
3. Πρόσβαση στο Hosting Panel
4. Ένα FTP Client(Filezilla)
5. Υπομονή και αυτοσυγκέντρωση
(ΩΩΩΩΜΜΜΜΜ!)
Slide 5
Slide 5 text
ΕΝ ΑΡΧΗ ΗΝ ΤΟ BACKUP
Slide 6
Slide 6 text
WEBSITE
Slide 7
Slide 7 text
Σημειώνουμε τα Premium
Themes & Plugins
Slide 8
Slide 8 text
Σημειώνουμε τη τρέχουσα
WordPress έκδοση
Slide 9
Slide 9 text
Αναβάθμιση όλων των Pending
Themes & Plugins
Slide 10
Slide 10 text
Αλλαγή όλων των κωδικών για
τους Administrators & Logout
Slide 11
Slide 11 text
BACKUP
Slide 12
Slide 12 text
HOSTING PANEL
Slide 13
Slide 13 text
●
Διαγραφή παλιού DB User και
δημιουργία νέου*
●
Σύνδεση του νέου DB user με
τη Database
*σημειώνουμε τα DB user details
(username & password)
Slide 14
Slide 14 text
Έλεγχος της Database
μέσω phpMyAdmin για
ασυνήθιστες εγγραφές
Slide 15
Slide 15 text
Αλλαγή των Administrator Usernames
μέσω του PhpMyAdmin
Slide 16
Slide 16 text
FILE MANAGER
Slide 17
Slide 17 text
Διαγραφή όλων των Core WordPress
Files και Directories
wp-*.php/readme.html/license.txt/wp-admin/wp-includes
& των index.php κάτω από το wp-content/
ΠΡΟΣΟΧΗ:
Δε διαγράφουμε τα παρακάτω:
- wp-config.php
- wp-content
Slide 18
Slide 18 text
Upload των αντίστοιχων
files & directories της ίδιας
έκδοσης
Προτείνουμε τη συμπίεση
σε zip πριν το upload και
extract μετά από αυτό
Slide 19
Slide 19 text
FTP
Slide 20
Slide 20 text
Ελεγχος του wp-config.php για
Code Injection
Slide 21
Slide 21 text
Ενημέρωση του wp-config.php με
τα νέα στοιχεία για τον DB User
Slide 22
Slide 22 text
Αλλαγή των WordPress
Authentication Keys
https://api.wordpress.org/secret-key/1.1/salt/
Slide 23
Slide 23 text
●
Χρήση των παραπάνω για την
αντικατάσταση των αντίστοιχων
τιμών στο wp-config-sample.php
●
Διαγραφή του wp-config.php και
rename του wp-config.-sample.php
σε wp-config.php
Slide 24
Slide 24 text
Διαγραφή Cache
(ΑΝ ΕΙΝΑΙ ΕΝΕΡΓΟΠΟΙΗΜΕΝΗ)
ΣΤΟ /WP-CONTENT/CACHE
Slide 25
Slide 25 text
Έλεγχος για αρχεία που δεν
ανήκουν στη WordPress
διανομή και διαγραφή τους
• root
• wp-content/plugins
• wp-content/themes
• wp-content/uploads
Slide 26
Slide 26 text
●
Διαγραφή παλαιότερων backup
●
Έλεγχος για *.php και *.js αρχεία
στο /wp-content/uploads/*
Slide 27
Slide 27 text
Έλεγχος για *.php και *.js αρχεία τα
οποία έχουν ίδια ημερομηνία
δημιουργίας ή τροποποίησης με αυτή
των αρχείων που περιέχουν malware
Slide 28
Slide 28 text
WEBSITE
Slide 29
Slide 29 text
Έλεγχος του αριθμού Administrators
στο Users Page του Dashboard
Slide 30
Slide 30 text
●
Επανεγκατάσταση όλων
των Themes & Plugins*
●
Εγκατάσταση WordFence
και έλεγχος για Malware
* Τα premium theme & plugins πρέπει να τα
ανακτήσουμε από τις ιστοσελίδες που τα αποκτήσαμε
Slide 31
Slide 31 text
Εαν έχετε και άλλα Directories εκτός
WordPress τότε πρέπει να δηλώσετε
στο WordFence, μέσω της ειδικής
ρύθμισης που έχει, ώστε να τα σαρώσει
Slide 32
Slide 32 text
EXTRA
Slide 33
Slide 33 text
Αν έχετε > 1 WordPress Εγκαταστάσεις
στο ίδιο Hosting Account τότε πρέπει να
επαναλάβεται τη διαδικασία και για τις
υπόλοιπες ιστοσελίδες
Slide 34
Slide 34 text
BACKUP