Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Βαρέθηκα πια να σε χακάρουν! - Νικόλαος Διονυσόπουλος

WordPress Greek Community
May 18, 2019
Technology
0
260

Βαρέθηκα πια να σε χακάρουν! - Νικόλαος Διονυσόπουλος

WordCamp Athens 2019

Ο Νίκος έχει δει τον ιστοχώρο σου. Και σε έχουν χακάρει. Πάνω από μία φορές. Γιατί συμβαίνει αυτό; Δεν έχεις κανένα τεράστιο αποτύπωμα στο Internet. Είναι τα πάντα ανασφαλή; Είναι απάντηση ο μηδενισμός; Ή μήπως τα πράγματα είναι κάπως διαφορετικά και μπορείς κι εσύ να προστατέψεις τον ιστοχώρο σου και τον ιστοχώρο του πελάτη σου χωρίς να φας τα νιάτα σου και χωρίς να ξοδέψεις μια περιουσία;

WordPress Greek Community

May 18, 2019
Tweet

More Decks by WordPress Greek Community

See All by WordPress Greek Community
Enhancing WordPress and WooCommerce - Case study of ymca.gr
wpgr
0
26
Κατανόηση της καταναλωτικής συμπεριφοράς και διαμόρφωση στρατηγικής
wpgr
0
27
Συνδυαστικές στρατηγικές για Επιτυχημένο E- Commerce, Online Merchandising και Digital Marketing
wpgr
0
39
Ρυθμίσεις & styling μλοκ με χρήση του theme.json
wpgr
0
74
Marketing στην πράξη το 2023
wpgr
1
44
Το Metaverse και πώς σχετίζεται με το WordPress!
wpgr
0
77
Γνωριμία με την ομάδα Training
wpgr
0
15
Στρατηγική SEO content για e-commerce websites
wpgr
0
48
Είμαι Freelancer, πώς να κάνω personal branding
wpgr
0
32

Other Decks in Technology

See All in Technology
よく聞くけど使ったことないソフトウェアNo.1 KafkaとSnowflake
foursue
4
350
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
200
Google Cloud Next '24でブログを10本書いた方法と勉強会を沸かせた方法
yasumuusan
0
290
Azure犬駆動開発の記録/GlobalAzureFukuoka2024_20240420
nina01
1
210
Google Cloud の AI を支える裏側のインフラを垣間見る!
maroon1st
0
340
プロデザ! BY リクルート vol.18_リクルートのリサーチ実践組織「リサーチブーストコミュニティ」
recruitengineers
PRO
3
280
Databricks における 『MLOps』
databricksjapan
2
170
コンテナセキュリティの基本と脅威への対策
kyohmizu
3
750
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
240
ServiceNow Knowledge 24の歩き方 EYストラテジー・アンド・コンサルティング
manarobot
0
190
Next'24 事例セッションの紹介とクラウド資格を活用したキャリア形成について語りMuscle
yasumuusan
1
430
Compose Compiler Metricsを使った実践的なコードレビュー
tomorrowkey
1
220

Featured

See All Featured
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
25
2.3k
Making the Leap to Tech Lead
cromwellryan
124
8.5k
VelocityConf: Rendering Performance Case Studies
addyosmani
320
23k
Design by the Numbers
sachag
274
18k
The Art of Programming - Codeland 2020
erikaheidi
42
12k
Docker and Python
trallard
34
2.7k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
Being A Developer After 40
akosma
57
580k
The MySQL Ecosystem @ GitHub 2015
samlambert
243
12k
A Philosophy of Restraint
colly
197
16k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
2
3.4k
How to train your dragon (web standard)
notwaldorf
73
5.2k

Transcript

  1. Βαρέθηκα πια να σε χακάρουν Βασικός Οδηγός Επιβίωσης

  2. Με λένε Νίκο

  3. Με λένε Νίκο Όχι, δεν είμαι πιλότος. Γράφω plugins. Για

    WordPress και άλλα CMS (μη βαράτε!).

  4. Σήμερα έχω μια πρόκληση

  5. Σήμερα έχω μια πρόκληση Να καλύψω θέματα ασφάλειας ιστοχώρων σε

    30’

  6. Ήμουνα νιος και γέρασα

  7. Ήμουνα νιος και γέρασα Κάνω αυτή την παρουσίαση σε συνέδρια

    ανά τον κόσμο εδώ και δέκα χρόνια.

  8. Όλα έχουν αλλάξει

  9. Κι όλα είναι ίδια

  10. Γιατί είμαι εδώ πάνω;

  11. –Μέσος Χρήστης στο Facebook “Μα γιατί ασχολήθηκαν να με χακάρουν;

    Δεν είμαι δα κι η σι-άι-έι.”

  12. • Θα σε βρουν μέσω Google, με IP scanning, παρακολουθώντας

    domain registration, … • Θα σε χακάρουν γιατί έτσι βγάζουν χρήμα (π.χ. spam, malware) ή απλά επειδή μπορούν και θέλουν. • Θα σε χακάρουν επειδή ένα plug-in / theme δεν ενημερώθηκε ποτέ ή ήταν σουρωτήρι, το password σου ήταν spike123 ή… θα τα πούμε μετά. • Αν νομίζεις πως βλέπεις πως σε χάκαραν, μάλλον ΔΕΝ σε χάκαραν ακόμη. 99% των περιπτώσεων hacking είναι αόρατες· το site σου στέλνει spam ή σερβίρει malware.

  13. Βασική προστασία

  14. Ενημέρωσε τον server PHP, MySQL, web server, λειτουργικό

  15. Ενημέρωσε το WordPress και όλα τα plugins, themes κλπ κώδικα

  16. Τι; Άλλαξες αρχεία του WordPress / των plug-in και δεν

    παίζει update; Ήθελες και τα ‘παθες.

  17. Ιδιοκτησία και δικαιώματα αρχείων και φακέλων.

  18. TL;DR • Δικαιώματα: αρχεία 0644, φάκελοι 0755 • Ιδιοκτησία: •

    Άλλος χρήστης τα αρχεία, άλλος τον server • Ένας χρήστης ανά site • ΜΗΝ ΧΡΗΣΙΜΟΠΟΙΕΙΣ SUBDOMAINS / ADD-ON DOMAINS ΓΙΑ SITE ΠΟΥ ΔΕΝ ΘΕΣ ΝΑ ΣΟΥ ΤΑ ΧΑΚΑΡΟΥΝ ΜΑΖΙ. Κοινώς ο κάθε πελάτης σε ξεχωριστό account.

  19. Προσοχή στη φάκα Πες όχι στα ναρκ… εμ… warez

  20. Μην χρησιμοποιείς FTP Χρησιμοποίησε SFTP με πιστοποιητικά

  21. Προσωρινοί λογαριασμοί π.χ. για υποστήριξη, για δοκιμή, για τον κολλητό

    σου...

  22. Συνθηματικά και είσοδος

  23. Το μέγεθος μετράει όσον αφορά στα συνθηματικά (password)

  24. Κανόνες υγιεινής για password

  25. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password!

  26. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password! • Τουλάχιστον 14 τυχαίοι χαρακτήρες.

  27. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password! • Τουλάχιστον 14 τυχαίοι χαρακτήρες. • Έλεγξέ το στο https://haveibeenpwned.com/Passwords

  28. Κανόνες υγιεινής για password • Ένα password για κάθε username

    για κάθε server και υπηρεσία. ΠΟΤΕ δεν ξαναχρησιμοποιώ password! • Τουλάχιστον 14 τυχαίοι χαρακτήρες. • Έλεγξέ το στο https://haveibeenpwned.com/Passwords • Αποθήκευσέ το σε έναν password manager.

  29. Ταυτοποίηση δύο παραγόντων ή “του φάκτορ ωθεντικέισον” που λένε στο

    χωριό μου

  30. Κάτι που ξέρω, κάτι που έχω https://wordpress.org/plugins/two-factor/

  31. Προχωρημένη προστασία

  32. Αντίγραφα ασφαλείας Συχνά, αυτόματα, αποθηκευμένα εκτός του site

  33. Προστασία έναντι DDoS π.χ. CloudFlare

  34. Θωράκιση Plug-in ή υπηρεσίες ασφαλείας

  35. Κλείδωσέ το! Τίποτα δεν τρέχει στο site μου αν δεν

    το επιτρέψω

  36. Μετονομασία wp-admin / login Προσοχή: δεν εφαρμόζεται αν θέλω απλοί

    χρήστες να κάνουν login!

  37. Παρακολούθηση αρχείων Αλλαγές σημαντικών, αλλαγή / δημιουργία, περιεχόμενο

  38. Επιχειρησιακή Ασφάλεια (Op-Sec)

  39. Μην μοιράζεσαι συσκευή με κανέναν

  40. Μην το παρατάς ειδικά με την οθόνη ξεκλείδωτη!

  41. Μην βάζεις ότι να ‘ναι Ειδικά αν το βρήκες στο

    δρόμο!

  42. Μην ταξιδεύεις στο εξωτερικό με την κύρια συσκευή σου 


    (όχι, δε θα σε κάνουμε ερημίτη…)

  43. Μην αφήνεις να στο διαβάσουν Η κρυπτογράφηση είναι ενσωμετωμένη σε

    Windows (BitLocker), macOS (FileVault), Linux (LUKS), iOS, Android

  44. Ναι, μεν, αλλά…

  45. Έκανες ό,τι μπορούσες

  46. Αλλά σε χάκαραν! Αααα!

  47. DON’T PANIC

  48. Συμβαίνει σε όλους • Έχεις αντίγραφα ασφαλείας; • Χρησιμοποίησε μια

    υπηρεσία για ξεχακάρισμα. • ΜΗΝ ΣΒΗΣΕΙΣ ΤΑ LOG! Θα σου πουν πως σε χάκαραν. • Κάν’ το όπως οι πιλότοι: • Κράτα λίστα με απλά βήματα. • Δοκίμασέ τα ΠΡΙΝ τα χρειαστείς. • Δοκίμασέ τα τακτικά.

  49. Ουάν μορ θίνγκ

  50. Η ασφάλεια δεν είναι προορισμός. Είναι ταξίδι.

  51. Ερωτήσεις; https://akee.ba/wcathens2019 https://www.akeeba.com @akeebabackup Νίκος Διονυσόπουλος @joovlaki

  52. Σας ευχαριστώ! https://akee.ba/wcathens2019