Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Βαρέθηκα πια να σε χακάρουν! - Νικόλαος Διονυσό...

WordPress Greek Community
May 18, 2019
Technology
0
320

Βαρέθηκα πια να σε χακάρουν! - Νικόλαος Διονυσόπουλος

WordCamp Athens 2019

Ο Νίκος έχει δει τον ιστοχώρο σου. Και σε έχουν χακάρει. Πάνω από μία φορές. Γιατί συμβαίνει αυτό; Δεν έχεις κανένα τεράστιο αποτύπωμα στο Internet. Είναι τα πάντα ανασφαλή; Είναι απάντηση ο μηδενισμός; Ή μήπως τα πράγματα είναι κάπως διαφορετικά και μπορείς κι εσύ να προστατέψεις τον ιστοχώρο σου και τον ιστοχώρο του πελάτη σου χωρίς να φας τα νιάτα σου και χωρίς να ξοδέψεις μια περιουσία;

WordPress Greek Community

May 18, 2019
Tweet

More Decks by WordPress Greek Community

See All by WordPress Greek Community
Παραμετροποιώντας το WooCommerce (Customizing WooCommerce)
wpgr
0
49
Enhancing WordPress and WooCommerce - Case study of ymca.gr
wpgr
0
75
Κατανόηση της καταναλωτικής συμπεριφοράς και διαμόρφωση στρατηγικής
wpgr
0
72
Συνδυαστικές στρατηγικές για Επιτυχημένο E- Commerce, Online Merchandising και Digital Marketing
wpgr
0
66
Ρυθμίσεις & styling μλοκ με χρήση του theme.json
wpgr
0
100
Marketing στην πράξη το 2023
wpgr
1
60
Το Metaverse και πώς σχετίζεται με το WordPress!
wpgr
0
95
Γνωριμία με την ομάδα Training
wpgr
0
28
Στρατηγική SEO content για e-commerce websites
wpgr
1
68

Other Decks in Technology

See All in Technology
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
200
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
CysharpのOSS群から見るModern C#の現在地
neuecc
2
3.3k
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.1k
Application Development WG Intro at AppDeveloperCon
salaboy
0
190
Taming you application's environments
salaboy
0
190
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
130
組織成長を加速させるオンボーディングの取り組み
sudoakiy
2
110
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
630
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
SSMRunbook作成の勘所_20241120
koichiotomo
2
130
いざ、BSC討伐の旅
nikinusu
2
780

Featured

See All Featured
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
Docker and Python
trallard
40
3.1k
Become a Pro
speakerdeck
PRO
25
5k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
47
2.1k
Making the Leap to Tech Lead
cromwellryan
133
8.9k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
10 Git Anti Patterns You Should be Aware of
lemiorhan
654
59k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k

Transcript

  1. Βαρέθηκα πια να σε χακάρουν Βασικός Οδηγός Επιβίωσης

  2. Με λένε Νίκο

  3. Με λένε Νίκο Όχι, δεν είμαι πιλότος. Γράφω plugins. Για

    WordPress και άλλα CMS (μη βαράτε!).

  4. Σήμερα έχω μια πρόκληση

  5. Σήμερα έχω μια πρόκληση Να καλύψω θέματα ασφάλειας ιστοχώρων σε

    30’

  6. Ήμουνα νιος και γέρασα

  7. Ήμουνα νιος και γέρασα Κάνω αυτή την παρουσίαση σε συνέδρια

    ανά τον κόσμο εδώ και δέκα χρόνια.

  8. Όλα έχουν αλλάξει

  9. Κι όλα είναι ίδια

  10. Γιατί είμαι εδώ πάνω;

  11. –Μέσος Χρήστης στο Facebook “Μα γιατί ασχολήθηκαν να με χακάρουν;

    Δεν είμαι δα κι η σι-άι-έι.”

  12. • Θα σε βρουν μέσω Google, με IP scanning, παρακολουθώντας

    domain registration, … • Θα σε χακάρουν γιατί έτσι βγάζουν χρήμα (π.χ. spam, malware) ή απλά επειδή μπορούν και θέλουν. • Θα σε χακάρουν επειδή ένα plug-in / theme δεν ενημερώθηκε ποτέ ή ήταν σουρωτήρι, το password σου ήταν spike123 ή… θα τα πούμε μετά. • Αν νομίζεις πως βλέπεις πως σε χάκαραν, μάλλον ΔΕΝ σε χάκαραν ακόμη. 99% των περιπτώσεων hacking είναι αόρατες· το site σου στέλνει spam ή σερβίρει malware.

  13. Βασική προστασία

  14. Ενημέρωσε τον server PHP, MySQL, web server, λειτουργικό

  15. Ενημέρωσε το WordPress και όλα τα plugins, themes κλπ κώδικα

  16. Τι; Άλλαξες αρχεία του WordPress / των plug-in και δεν

    παίζει update; Ήθελες και τα ‘παθες.

  17. Ιδιοκτησία και δικαιώματα αρχείων και φακέλων.

  18. TL;DR • Δικαιώματα: αρχεία 0644, φάκελοι 0755 • Ιδιοκτησία: •

    Άλλος χρήστης τα αρχεία, άλλος τον server • Ένας χρήστης ανά site • ΜΗΝ ΧΡΗΣΙΜΟΠΟΙΕΙΣ SUBDOMAINS / ADD-ON DOMAINS ΓΙΑ SITE ΠΟΥ ΔΕΝ ΘΕΣ ΝΑ ΣΟΥ ΤΑ ΧΑΚΑΡΟΥΝ ΜΑΖΙ. Κοινώς ο κάθε πελάτης σε ξεχωριστό account.

  19. Προσοχή στη φάκα Πες όχι στα ναρκ… εμ… warez

  20. Μην χρησιμοποιείς FTP Χρησιμοποίησε SFTP με πιστοποιητικά

  21. Προσωρινοί λογαριασμοί π.χ. για υποστήριξη, για δοκιμή, για τον κολλητό

    σου...

  22. Συνθηματικά και είσοδος

  23. Το μέγεθος μετράει όσον αφορά στα συνθηματικά (password)

  24. Κανόνες υγιεινής για password

  25. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password!

  26. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password! • Τουλάχιστον 14 τυχαίοι χαρακτήρες.

  27. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password! • Τουλάχιστον 14 τυχαίοι χαρακτήρες. • Έλεγξέ το στο https://haveibeenpwned.com/Passwords

  28. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password! • Τουλάχιστον 14 τυχαίοι χαρακτήρες. • Έλεγξέ το στο https://haveibeenpwned.com/Passwords • Αποθήκευσέ το σε έναν password manager.

  29. Ταυτοποίηση δύο παραγόντων ή “του φάκτορ ωθεντικέισον” που λένε στο

    χωριό μου

  30. Κάτι που ξέρω, κάτι που έχω https://wordpress.org/plugins/two-factor/

  31. Προχωρημένη προστασία

  32. Αντίγραφα ασφαλείας Συχνά, αυτόματα, αποθηκευμένα εκτός του site

  33. Προστασία έναντι DDoS π.χ. CloudFlare

  34. Θωράκιση Plug-in ή υπηρεσίες ασφαλείας

  35. Κλείδωσέ το! Τίποτα δεν τρέχει στο site μου αν δεν

    το επιτρέψω

  36. Μετονομασία wp-admin / login Προσοχή: δεν εφαρμόζεται αν θέλω απλοί

    χρήστες να κάνουν login!

  37. Παρακολούθηση αρχείων Αλλαγές σημαντικών, αλλαγή / δημιουργία, περιεχόμενο

  38. Επιχειρησιακή Ασφάλεια (Op-Sec)

  39. Μην μοιράζεσαι συσκευή με κανέναν

  40. Μην το παρατάς ειδικά με την οθόνη ξεκλείδωτη!

  41. Μην βάζεις ότι να ‘ναι Ειδικά αν το βρήκες στο

    δρόμο!

  42. Μην ταξιδεύεις στο εξωτερικό με την κύρια συσκευή σου 


    (όχι, δε θα σε κάνουμε ερημίτη…)

  43. Μην αφήνεις να στο διαβάσουν Η κρυπτογράφηση είναι ενσωμετωμένη σε

    Windows (BitLocker), macOS (FileVault), Linux (LUKS), iOS, Android

  44. Ναι, μεν, αλλά…

  45. Έκανες ό,τι μπορούσες

  46. Αλλά σε χάκαραν! Αααα!

  47. DON’T PANIC

  48. Συμβαίνει σε όλους • Έχεις αντίγραφα ασφαλείας; • Χρησιμοποίησε μια

    υπηρεσία για ξεχακάρισμα. • ΜΗΝ ΣΒΗΣΕΙΣ ΤΑ LOG! Θα σου πουν πως σε χάκαραν. • Κάν’ το όπως οι πιλότοι: • Κράτα λίστα με απλά βήματα. • Δοκίμασέ τα ΠΡΙΝ τα χρειαστείς. • Δοκίμασέ τα τακτικά.

  49. Ουάν μορ θίνγκ

  50. Η ασφάλεια δεν είναι προορισμός. Είναι ταξίδι.

  51. Ερωτήσεις; https://akee.ba/wcathens2019 https://www.akeeba.com @akeebabackup Νίκος Διονυσόπουλος @joovlaki

  52. Σας ευχαριστώ! https://akee.ba/wcathens2019