Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Βαρέθηκα πια να σε χακάρουν (Akeeba) - Νικόλαος Διονυσόπουλος

WordPress Greek Community
April 16, 2021
Technology
0
19

Βαρέθηκα πια να σε χακάρουν (Akeeba) - Νικόλαος Διονυσόπουλος

WordPress Greek Community

April 16, 2021
Tweet

More Decks by WordPress Greek Community

See All by WordPress Greek Community
Enhancing WordPress and WooCommerce - Case study of ymca.gr
wpgr
0
26
Κατανόηση της καταναλωτικής συμπεριφοράς και διαμόρφωση στρατηγικής
wpgr
0
27
Συνδυαστικές στρατηγικές για Επιτυχημένο E- Commerce, Online Merchandising και Digital Marketing
wpgr
0
39
Ρυθμίσεις & styling μλοκ με χρήση του theme.json
wpgr
0
74
Marketing στην πράξη το 2023
wpgr
1
44
Το Metaverse και πώς σχετίζεται με το WordPress!
wpgr
0
77
Γνωριμία με την ομάδα Training
wpgr
0
15
Στρατηγική SEO content για e-commerce websites
wpgr
0
48
Είμαι Freelancer, πώς να κάνω personal branding
wpgr
0
32

Other Decks in Technology

See All in Technology
推しは推せるときに推せ! プロダクトにフィードバックしていこう
nakasho
0
240
開発生産性向上サービスを作るFindyが自分たちで開発生産性を爆上げした組織づくりの歩み / Findy's path to boosting its own development productivity 2024-04-17
ma3tk
3
470
カオナビの利用実績をアウトカムへつなげる旅 / example-of-data-management-startup-in-kaonavi
kaonavi
0
130
プロデザ! BY リクルート vol.18_リクルートのリサーチ実践組織「リサーチブーストコミュニティ」
recruitengineers
PRO
3
260
AWS認定資格を取得したので、初めてマネコンを触った時を振り返ってみた。
ainatsuptr
2
100
サーバー間 GraphQL と webmock-graphql の話 / server-to-server graphql and webmock-graphql
qsona
2
170
Compose Compiler Metricsを使った実践的なコードレビュー
tomorrowkey
1
210
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
180
生産性向上チームの紹介
cybozuinsideout
PRO
1
840
Google Cloud の AI を支える裏側のインフラを垣間見る!
maroon1st
0
320
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
2
400
Java EE/Jakarta EEの現状と将来 ―クラウドネイティブ時代にJava EEは対応できるのか?―
takakiyo
1
120

Featured

See All Featured
What’s in a name? Adding method to the madness
productmarketing
PRO
15
2.6k
jQuery: Nuts, Bolts and Bling
dougneiner
59
7.1k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
352
28k
Navigating Team Friction
lara
177
13k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
1
3.4k
The Power of CSS Pseudo Elements
geoffreycrofte
59
5k
Embracing the Ebb and Flow
colly
79
4.1k
Code Reviewing Like a Champion
maltzj
513
39k
Side Projects
sachag
451
41k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Build The Right Thing And Hit Your Dates
maggiecrowley
23
2k
Building Effective Engineering Teams - LeadDev
addyosmani
28
1.8k

Transcript

  1. Μην αφήνεις να σε χακάρουν Βασικός Οδηγός Επιβίωσης

  2. Με λένε Νίκο Είμαι ο βασικός προγραμματιστής των Akeeba Backup

    for WordPress και Admin Tools for WordPress.

  3. Σήμερα έχω μια πρόκληση Να καλύψω θέματα ασφάλειας ιστοχώρων σε

    30’

  4. Ήμουνα νιος και γέρασα Ασχολούμαι με την ασφάλεια ιστοχώρων εδώ

    και 20 χρόνια.

  5. Γιατί είμαι εδώ;

  6. –Μέσος Χρήστης “Μα γιατί να ασχοληθούν να χακάρουν το δικό

    μου site; Δεν είναι δα και το Facebook!”

  7. • Θα σε βρουν μέσω Google, με IP scanning, παρακολουθώντας

    domain registration, … • Θα σε χακάρουν γιατί έτσι βγάζουν χρήμα (π.χ. spam, malware) ή απλά επειδή μπορούν και θέλουν. • Θα σε χακάρουν επειδή ένα plug-in / theme δεν ενημερώθηκε ποτέ ή ήταν σουρωτήρι, το password σου ήταν spike123 ή… θα τα πούμε μετά. • Αν νομίζεις πως βλέπεις πως σε χάκαραν, μάλλον ΔΕΝ σε χάκαραν ακόμη. 99% των περιπτώσεων hacking είναι αόρατες· το site σου στέλνει spam ή σερβίρει malware.

  8. Βασική προστασία

  9. Ενημέρωσε τον server PHP, MySQL, web server, λειτουργικό

  10. Ενημέρωσε το WordPress και όλα τα plugins, themes κλπ κώδικα

  11. Τι; Άλλαξες αρχεία του WordPress / των plug-in και δεν

    παίζει update; Ήθελες και τα ‘παθες.

  12. Ιδιοκτησία και δικαιώματα αρχείων και φακέλων.

  13. TL;DR • Δικαιώματα: αρχεία 0644, φάκελοι 0755 • Ιδιοκτησία: •

    Άλλος χρήστης τα αρχεία, άλλος τον server • Ένας χρήστης ανά site • ΜΗΝ ΧΡΗΣΙΜΟΠΟΙΕΙΣ SUBDOMAINS / ADD-ON DOMAINS / MULTISITE ΓΙΑ SITE ΠΟΥ ΔΕΝ ΘΕΣ ΝΑ ΣΟΥ ΤΑ ΧΑΚΑΡΟΥΝ ΜΑΖΙ. Κοινώς ο κάθε πελάτης σε ξεχωριστό account.

  14. Προσοχή στη φάκα Πες όχι στα warez

  15. Μην χρησιμοποιείς FTP Χρησιμοποίησε SFTP με πιστοποιητικά

  16. Προσωρινοί λογαριασμοί π.χ. για υποστήριξη, για δοκιμή, για τον κολλητό

    σου...

  17. Συνθηματικά και είσοδος

  18. Το μέγεθος μετράει όσον αφορά στα συνθηματικά (password)

  19. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password! • Τουλάχιστον 14 τυχαίοι χαρακτήρες. • Έλεγξέ το στο https://haveibeenpwned.com/Passwords • Αποθήκευσέ το σε έναν password manager.

  20. Ταυτοποίηση δύο παραγόντων a.k.a. Two Factor Authentication

  21. Κάτι που ξέρω, κάτι που έχω https://wordpress.org/plugins/two-factor/

  22. Προχωρημένη προστασία

  23. Ναι, μεν, αλλά…

  24. Αντίγραφα ασφαλείας Συχνά, αυτόματα, αποθηκευμένα εκτός του site

  25. Προστασία έναντι DDoS π.χ. CloudFlare

  26. Θωράκιση Plug-in ή υπηρεσίες ασφαλείας

  27. Κλείδωσέ το! Τίποτα δεν τρέχει στο site μου αν δεν

    το επιτρέψω

  28. Μετονομασία wp-admin / login Προσοχή: δεν εφαρμόζεται αν θέλω απλοί

    χρήστες να κάνουν login!

  29. Παρακολούθηση αρχείων Αλλαγές σημαντικών, αλλαγή / δημιουργία, περιεχόμενο

  30. Έκανες ό,τι μπορούσες

  31. Αλλά σε χάκαραν! Αααα!

  32. DON’T PANIC

  33. Συμβαίνει σε όλους • Έχεις αντίγραφα ασφαλείας; • Χρησιμοποίησε μια

    υπηρεσία για ξεχακάρισμα. • ΜΗΝ ΣΒΗΣΕΙΣ ΤΑ LOG! Θα σου πουν πως σε χάκαραν. • Κάν’ το όπως οι πιλότοι: • Κράτα λίστα με απλά βήματα. • Δοκίμασέ τα ΠΡΙΝ τα χρειαστείς. • Δοκίμασέ τα τακτικά.

  34. Κάτι τελευταίο

  35. Η ασφάλεια είναι μια συνεχής διαδικασία.

  36. Ερωτήσεις; https://akee.ba/wcgreece2021 https://www.akeeba.com @akeebabackup

  37. Σας ευχαριστώ! https://akee.ba/wcgreece2021