Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Βαρέθηκα πια να σε χακάρουν! - Νικόλαος Διονυσόπουλος

Βαρέθηκα πια να σε χακάρουν! - Νικόλαος Διονυσόπουλος

WordCamp Athens 2019

Ο Νίκος έχει δει τον ιστοχώρο σου. Και σε έχουν χακάρει. Πάνω από μία φορές. Γιατί συμβαίνει αυτό; Δεν έχεις κανένα τεράστιο αποτύπωμα στο Internet. Είναι τα πάντα ανασφαλή; Είναι απάντηση ο μηδενισμός; Ή μήπως τα πράγματα είναι κάπως διαφορετικά και μπορείς κι εσύ να προστατέψεις τον ιστοχώρο σου και τον ιστοχώρο του πελάτη σου χωρίς να φας τα νιάτα σου και χωρίς να ξοδέψεις μια περιουσία;

Transcript

  1. Βαρέθηκα πια να σε χακάρουν Βασικός Οδηγός Επιβίωσης

  2. Με λένε Νίκο

  3. Με λένε Νίκο Όχι, δεν είμαι πιλότος. Γράφω plugins. Για

    WordPress και άλλα CMS (μη βαράτε!).
  4. Σήμερα έχω μια πρόκληση

  5. Σήμερα έχω μια πρόκληση Να καλύψω θέματα ασφάλειας ιστοχώρων σε

    30’
  6. Ήμουνα νιος και γέρασα

  7. Ήμουνα νιος και γέρασα Κάνω αυτή την παρουσίαση σε συνέδρια

    ανά τον κόσμο εδώ και δέκα χρόνια.
  8. Όλα έχουν αλλάξει

  9. Κι όλα είναι ίδια

  10. Γιατί είμαι εδώ πάνω;

  11. –Μέσος Χρήστης στο Facebook “Μα γιατί ασχολήθηκαν να με χακάρουν;

    Δεν είμαι δα κι η σι-άι-έι.”
  12. • Θα σε βρουν μέσω Google, με IP scanning, παρακολουθώντας

    domain registration, … • Θα σε χακάρουν γιατί έτσι βγάζουν χρήμα (π.χ. spam, malware) ή απλά επειδή μπορούν και θέλουν. • Θα σε χακάρουν επειδή ένα plug-in / theme δεν ενημερώθηκε ποτέ ή ήταν σουρωτήρι, το password σου ήταν spike123 ή… θα τα πούμε μετά. • Αν νομίζεις πως βλέπεις πως σε χάκαραν, μάλλον ΔΕΝ σε χάκαραν ακόμη. 99% των περιπτώσεων hacking είναι αόρατες· το site σου στέλνει spam ή σερβίρει malware.
  13. Βασική προστασία

  14. Ενημέρωσε τον server PHP, MySQL, web server, λειτουργικό

  15. Ενημέρωσε το WordPress και όλα τα plugins, themes κλπ κώδικα

  16. Τι; Άλλαξες αρχεία του WordPress / των plug-in και δεν

    παίζει update; Ήθελες και τα ‘παθες.
  17. Ιδιοκτησία και δικαιώματα αρχείων και φακέλων.

  18. TL;DR • Δικαιώματα: αρχεία 0644, φάκελοι 0755 • Ιδιοκτησία: •

    Άλλος χρήστης τα αρχεία, άλλος τον server • Ένας χρήστης ανά site • ΜΗΝ ΧΡΗΣΙΜΟΠΟΙΕΙΣ SUBDOMAINS / ADD-ON DOMAINS ΓΙΑ SITE ΠΟΥ ΔΕΝ ΘΕΣ ΝΑ ΣΟΥ ΤΑ ΧΑΚΑΡΟΥΝ ΜΑΖΙ. Κοινώς ο κάθε πελάτης σε ξεχωριστό account.
  19. Προσοχή στη φάκα Πες όχι στα ναρκ… εμ… warez

  20. Μην χρησιμοποιείς FTP Χρησιμοποίησε SFTP με πιστοποιητικά

  21. Προσωρινοί λογαριασμοί π.χ. για υποστήριξη, για δοκιμή, για τον κολλητό

    σου...
  22. Συνθηματικά και είσοδος

  23. Το μέγεθος μετράει όσον αφορά στα συνθηματικά (password)

  24. Κανόνες υγιεινής για password

  25. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password!
  26. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password! • Τουλάχιστον 14 τυχαίοι χαρακτήρες.
  27. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password! • Τουλάχιστον 14 τυχαίοι χαρακτήρες. • Έλεγξέ το στο https://haveibeenpwned.com/Passwords
  28. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password! • Τουλάχιστον 14 τυχαίοι χαρακτήρες. • Έλεγξέ το στο https://haveibeenpwned.com/Passwords • Αποθήκευσέ το σε έναν password manager.
  29. Ταυτοποίηση δύο παραγόντων ή “του φάκτορ ωθεντικέισον” που λένε στο

    χωριό μου
  30. Κάτι που ξέρω, κάτι που έχω https://wordpress.org/plugins/two-factor/

  31. Προχωρημένη προστασία

  32. Αντίγραφα ασφαλείας Συχνά, αυτόματα, αποθηκευμένα εκτός του site

  33. Προστασία έναντι DDoS π.χ. CloudFlare

  34. Θωράκιση Plug-in ή υπηρεσίες ασφαλείας

  35. Κλείδωσέ το! Τίποτα δεν τρέχει στο site μου αν δεν

    το επιτρέψω
  36. Μετονομασία wp-admin / login Προσοχή: δεν εφαρμόζεται αν θέλω απλοί

    χρήστες να κάνουν login!
  37. Παρακολούθηση αρχείων Αλλαγές σημαντικών, αλλαγή / δημιουργία, περιεχόμενο

  38. Επιχειρησιακή Ασφάλεια (Op-Sec)

  39. Μην μοιράζεσαι συσκευή με κανέναν

  40. Μην το παρατάς ειδικά με την οθόνη ξεκλείδωτη!

  41. Μην βάζεις ότι να ‘ναι Ειδικά αν το βρήκες στο

    δρόμο!
  42. Μην ταξιδεύεις στο εξωτερικό με την κύρια συσκευή σου 


    (όχι, δε θα σε κάνουμε ερημίτη…)
  43. Μην αφήνεις να στο διαβάσουν Η κρυπτογράφηση είναι ενσωμετωμένη σε

    Windows (BitLocker), macOS (FileVault), Linux (LUKS), iOS, Android
  44. Ναι, μεν, αλλά…

  45. Έκανες ό,τι μπορούσες

  46. Αλλά σε χάκαραν! Αααα!

  47. DON’T PANIC

  48. Συμβαίνει σε όλους • Έχεις αντίγραφα ασφαλείας; • Χρησιμοποίησε μια

    υπηρεσία για ξεχακάρισμα. • ΜΗΝ ΣΒΗΣΕΙΣ ΤΑ LOG! Θα σου πουν πως σε χάκαραν. • Κάν’ το όπως οι πιλότοι: • Κράτα λίστα με απλά βήματα. • Δοκίμασέ τα ΠΡΙΝ τα χρειαστείς. • Δοκίμασέ τα τακτικά.
  49. Ουάν μορ θίνγκ

  50. Η ασφάλεια δεν είναι προορισμός. Είναι ταξίδι.

  51. Ερωτήσεις; https://akee.ba/wcathens2019 https://www.akeeba.com @akeebabackup Νίκος Διονυσόπουλος @joovlaki

  52. Σας ευχαριστώ! https://akee.ba/wcathens2019