Slide 1

Slide 1 text

Μην αφήνεις να σε χακάρουν Βασικός Οδηγός Επιβίωσης

Slide 2

Slide 2 text

Με λένε Νίκο Είμαι ο βασικός προγραμματιστής των Akeeba Backup for WordPress και Admin Tools for WordPress.

Slide 3

Slide 3 text

Σήμερα έχω μια πρόκληση Να καλύψω θέματα ασφάλειας ιστοχώρων σε 30’

Slide 4

Slide 4 text

Ήμουνα νιος και γέρασα Ασχολούμαι με την ασφάλεια ιστοχώρων εδώ και 20 χρόνια.

Slide 5

Slide 5 text

Γιατί είμαι εδώ;

Slide 6

Slide 6 text

–Μέσος Χρήστης “Μα γιατί να ασχοληθούν να χακάρουν το δικό μου site; Δεν είναι δα και το Facebook!”

Slide 7

Slide 7 text

• Θα σε βρουν μέσω Google, με IP scanning, παρακολουθώντας domain registration, … • Θα σε χακάρουν γιατί έτσι βγάζουν χρήμα (π.χ. spam, malware) ή απλά επειδή μπορούν και θέλουν. • Θα σε χακάρουν επειδή ένα plug-in / theme δεν ενημερώθηκε ποτέ ή ήταν σουρωτήρι, το password σου ήταν spike123 ή… θα τα πούμε μετά. • Αν νομίζεις πως βλέπεις πως σε χάκαραν, μάλλον ΔΕΝ σε χάκαραν ακόμη. 99% των περιπτώσεων hacking είναι αόρατες· το site σου στέλνει spam ή σερβίρει malware.

Slide 8

Slide 8 text

Βασική προστασία

Slide 9

Slide 9 text

Ενημέρωσε τον server PHP, MySQL, web server, λειτουργικό

Slide 10

Slide 10 text

Ενημέρωσε το WordPress και όλα τα plugins, themes κλπ κώδικα

Slide 11

Slide 11 text

Τι; Άλλαξες αρχεία του WordPress / των plug-in και δεν παίζει update; Ήθελες και τα ‘παθες.

Slide 12

Slide 12 text

Ιδιοκτησία και δικαιώματα αρχείων και φακέλων.

Slide 13

Slide 13 text

TL;DR • Δικαιώματα: αρχεία 0644, φάκελοι 0755 • Ιδιοκτησία: • Άλλος χρήστης τα αρχεία, άλλος τον server • Ένας χρήστης ανά site • ΜΗΝ ΧΡΗΣΙΜΟΠΟΙΕΙΣ SUBDOMAINS / ADD-ON DOMAINS / MULTISITE ΓΙΑ SITE ΠΟΥ ΔΕΝ ΘΕΣ ΝΑ ΣΟΥ ΤΑ ΧΑΚΑΡΟΥΝ ΜΑΖΙ. Κοινώς ο κάθε πελάτης σε ξεχωριστό account.

Slide 14

Slide 14 text

Προσοχή στη φάκα Πες όχι στα warez

Slide 15

Slide 15 text

Μην χρησιμοποιείς FTP Χρησιμοποίησε SFTP με πιστοποιητικά

Slide 16

Slide 16 text

Προσωρινοί λογαριασμοί π.χ. για υποστήριξη, για δοκιμή, για τον κολλητό σου...

Slide 17

Slide 17 text

Συνθηματικά και είσοδος

Slide 18

Slide 18 text

Το μέγεθος μετράει όσον αφορά στα συνθηματικά (password)

Slide 19

Slide 19 text

Κανόνες υγιεινής για password • Ένα password για κάθε username για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password! • Τουλάχιστον 14 τυχαίοι χαρακτήρες. • Έλεγξέ το στο https://haveibeenpwned.com/Passwords • Αποθήκευσέ το σε έναν password manager.

Slide 20

Slide 20 text

Ταυτοποίηση δύο παραγόντων a.k.a. Two Factor Authentication

Slide 21

Slide 21 text

Κάτι που ξέρω, κάτι που έχω https://wordpress.org/plugins/two-factor/

Slide 22

Slide 22 text

Προχωρημένη προστασία

Slide 23

Slide 23 text

Ναι, μεν, αλλά…

Slide 24

Slide 24 text

Αντίγραφα ασφαλείας Συχνά, αυτόματα, αποθηκευμένα εκτός του site

Slide 25

Slide 25 text

Προστασία έναντι DDoS π.χ. CloudFlare

Slide 26

Slide 26 text

Θωράκιση Plug-in ή υπηρεσίες ασφαλείας

Slide 27

Slide 27 text

Κλείδωσέ το! Τίποτα δεν τρέχει στο site μου αν δεν το επιτρέψω

Slide 28

Slide 28 text

Μετονομασία wp-admin / login Προσοχή: δεν εφαρμόζεται αν θέλω απλοί χρήστες να κάνουν login!

Slide 29

Slide 29 text

Παρακολούθηση αρχείων Αλλαγές σημαντικών, αλλαγή / δημιουργία, περιεχόμενο

Slide 30

Slide 30 text

Έκανες ό,τι μπορούσες

Slide 31

Slide 31 text

Αλλά σε χάκαραν! Αααα!

Slide 32

Slide 32 text

DON’T PANIC

Slide 33

Slide 33 text

Συμβαίνει σε όλους • Έχεις αντίγραφα ασφαλείας; • Χρησιμοποίησε μια υπηρεσία για ξεχακάρισμα. • ΜΗΝ ΣΒΗΣΕΙΣ ΤΑ LOG! Θα σου πουν πως σε χάκαραν. • Κάν’ το όπως οι πιλότοι: • Κράτα λίστα με απλά βήματα. • Δοκίμασέ τα ΠΡΙΝ τα χρειαστείς. • Δοκίμασέ τα τακτικά.

Slide 34

Slide 34 text

Κάτι τελευταίο

Slide 35

Slide 35 text

Η ασφάλεια είναι μια συνεχής διαδικασία.

Slide 36

Slide 36 text

Ερωτήσεις; https://akee.ba/wcgreece2021 https://www.akeeba.com @akeebabackup

Slide 37

Slide 37 text

Σας ευχαριστώ! https://akee.ba/wcgreece2021