$30 off During Our Annual Pro Sale. View Details »

Βαρέθηκα πια να σε χακάρουν (Akeeba) - Νικόλαος...

WordPress Greek Community
April 16, 2021
Technology
0
23

Βαρέθηκα πια να σε χακάρουν (Akeeba) - Νικόλαος Διονυσόπουλος

WordPress Greek Community

April 16, 2021
Tweet

More Decks by WordPress Greek Community

See All by WordPress Greek Community
Effective personal and business branding - Maria Zarotiadou
wpgr
0
3
Web Accessibility: Hardships, pitfalls, opportunities, and preparing for European Accessibility Act 2025 - Χρήστος Μπαφέρας
wpgr
0
13
Code, Test, Repeat: Accelerating Development with WordPress Playground - Uros Tasic
wpgr
0
3
Make your users’ search experience great - Nico Orfanos
wpgr
0
10
WooCommerce Automations: Revolutionizing eCommerce with Practical Solutions - Ioannis Kastorinis
wpgr
0
7
Block themes: The future of Full Site Editing and what to expect from WordPress 6.7 - Alexandros Kaounas
wpgr
0
3
Forking the GPL way - Βαγγέλης Παπαϊωάννου, Ορέστης Σαμαράς
wpgr
0
1
Βρες πελάτες για το agency σου αξιοποιώντας όλα σου τα κανάλια - Έλλη Μουχτάρη
wpgr
0
4
How We Create Elementor Landing Pages That Convert Over 4% - Ανδρέας Καραβανάς
wpgr
0
7

Other Decks in Technology

See All in Technology
AWS認定試験の長文問題を早く解くコツ
keke1234ke
0
130
今はまだ小さい東京ガス内製開発チームが、これからもKubernetesと共に歩み続けるために
yussugi
3
510
実践/先取り「入門 Kubernetes Validating/Mutating Admission Policy」 / CloudNative Days Winter 2024
pfn
PRO
1
140
Will multimodal language processing change the world?
keio_smilab
PRO
2
250
LLMを「速く」「安く」 動かすには / CloudNative Days Winter 2024
pfn
PRO
4
1.2k
専門領域に特化したチームの挑戦
leveragestech
0
230
【ASW21-01】STAMPSTPAで導き出した課題に対する対策立案手法の提案
hianraku9498
0
130
RDRAとLLM
kanzaki
4
490
セキュリティベンダー/ユーザー双方の視点で語る、 Attack Surface Managementの実践 - Finatextパート / cloudnative-architecture-of-asm
stajima
0
2.6k
もう一度、 事業を支えるシステムに。
leveragestech
6
3k
Microsoft Ignite 2024 Update 1 - AIとIoT関連の最新情報をどこよりも早く!
iotcomjpadmin
0
280
Amazon Forecast亡き今、我々がマネージドサービスに頼らず時系列予測を実行する方法
sadynitro
0
220

Featured

See All Featured
Producing Creativity
orderedlist
PRO
341
39k
How To Stay Up To Date on Web Technology
chriscoyier
789
250k
Bash Introduction
62gerente
608
210k
The Language of Interfaces
destraynor
154
24k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Testing 201, or: Great Expectations
jmmastey
40
7.1k
Into the Great Unknown - MozCon
thekraken
33
1.5k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
1.2k
Optimizing for Happiness
mojombo
376
70k
Designing the Hi-DPI Web
ddemaree
280
34k
YesSQL, Process and Tooling at Scale
rocio
169
14k

Transcript

  1. Μην αφήνεις να σε χακάρουν Βασικός Οδηγός Επιβίωσης

  2. Με λένε Νίκο Είμαι ο βασικός προγραμματιστής των Akeeba Backup

    for WordPress και Admin Tools for WordPress.

  3. Σήμερα έχω μια πρόκληση Να καλύψω θέματα ασφάλειας ιστοχώρων σε

    30’

  4. Ήμουνα νιος και γέρασα Ασχολούμαι με την ασφάλεια ιστοχώρων εδώ

    και 20 χρόνια.

  5. Γιατί είμαι εδώ;

  6. –Μέσος Χρήστης “Μα γιατί να ασχοληθούν να χακάρουν το δικό

    μου site; Δεν είναι δα και το Facebook!”

  7. • Θα σε βρουν μέσω Google, με IP scanning, παρακολουθώντας

    domain registration, … • Θα σε χακάρουν γιατί έτσι βγάζουν χρήμα (π.χ. spam, malware) ή απλά επειδή μπορούν και θέλουν. • Θα σε χακάρουν επειδή ένα plug-in / theme δεν ενημερώθηκε ποτέ ή ήταν σουρωτήρι, το password σου ήταν spike123 ή… θα τα πούμε μετά. • Αν νομίζεις πως βλέπεις πως σε χάκαραν, μάλλον ΔΕΝ σε χάκαραν ακόμη. 99% των περιπτώσεων hacking είναι αόρατες· το site σου στέλνει spam ή σερβίρει malware.

  8. Βασική προστασία

  9. Ενημέρωσε τον server PHP, MySQL, web server, λειτουργικό

  10. Ενημέρωσε το WordPress και όλα τα plugins, themes κλπ κώδικα

  11. Τι; Άλλαξες αρχεία του WordPress / των plug-in και δεν

    παίζει update; Ήθελες και τα ‘παθες.

  12. Ιδιοκτησία και δικαιώματα αρχείων και φακέλων.

  13. TL;DR • Δικαιώματα: αρχεία 0644, φάκελοι 0755 • Ιδιοκτησία: •

    Άλλος χρήστης τα αρχεία, άλλος τον server • Ένας χρήστης ανά site • ΜΗΝ ΧΡΗΣΙΜΟΠΟΙΕΙΣ SUBDOMAINS / ADD-ON DOMAINS / MULTISITE ΓΙΑ SITE ΠΟΥ ΔΕΝ ΘΕΣ ΝΑ ΣΟΥ ΤΑ ΧΑΚΑΡΟΥΝ ΜΑΖΙ. Κοινώς ο κάθε πελάτης σε ξεχωριστό account.

  14. Προσοχή στη φάκα Πες όχι στα warez

  15. Μην χρησιμοποιείς FTP Χρησιμοποίησε SFTP με πιστοποιητικά

  16. Προσωρινοί λογαριασμοί π.χ. για υποστήριξη, για δοκιμή, για τον κολλητό

    σου...

  17. Συνθηματικά και είσοδος

  18. Το μέγεθος μετράει όσον αφορά στα συνθηματικά (password)

  19. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password! • Τουλάχιστον 14 τυχαίοι χαρακτήρες. • Έλεγξέ το στο https://haveibeenpwned.com/Passwords • Αποθήκευσέ το σε έναν password manager.

  20. Ταυτοποίηση δύο παραγόντων a.k.a. Two Factor Authentication

  21. Κάτι που ξέρω, κάτι που έχω https://wordpress.org/plugins/two-factor/

  22. Προχωρημένη προστασία

  23. Ναι, μεν, αλλά…

  24. Αντίγραφα ασφαλείας Συχνά, αυτόματα, αποθηκευμένα εκτός του site

  25. Προστασία έναντι DDoS π.χ. CloudFlare

  26. Θωράκιση Plug-in ή υπηρεσίες ασφαλείας

  27. Κλείδωσέ το! Τίποτα δεν τρέχει στο site μου αν δεν

    το επιτρέψω

  28. Μετονομασία wp-admin / login Προσοχή: δεν εφαρμόζεται αν θέλω απλοί

    χρήστες να κάνουν login!

  29. Παρακολούθηση αρχείων Αλλαγές σημαντικών, αλλαγή / δημιουργία, περιεχόμενο

  30. Έκανες ό,τι μπορούσες

  31. Αλλά σε χάκαραν! Αααα!

  32. DON’T PANIC

  33. Συμβαίνει σε όλους • Έχεις αντίγραφα ασφαλείας; • Χρησιμοποίησε μια

    υπηρεσία για ξεχακάρισμα. • ΜΗΝ ΣΒΗΣΕΙΣ ΤΑ LOG! Θα σου πουν πως σε χάκαραν. • Κάν’ το όπως οι πιλότοι: • Κράτα λίστα με απλά βήματα. • Δοκίμασέ τα ΠΡΙΝ τα χρειαστείς. • Δοκίμασέ τα τακτικά.

  34. Κάτι τελευταίο

  35. Η ασφάλεια είναι μια συνεχής διαδικασία.

  36. Ερωτήσεις; https://akee.ba/wcgreece2021 https://www.akeeba.com @akeebabackup

  37. Σας ευχαριστώ! https://akee.ba/wcgreece2021