DDoS and bruteforce attacks - Makis Mourelatos, FixMyWP - WordPress Athens meetup 9

Transcript

1. Athens WordPress 9th Meetup Innovathens, 02/11/2016 "Προστασία από DDoS &

   Bruteforce Επιθέσεις" Gerasimos Mourelatos, FixMyWP

2. Who am I? Gerasimos Mourelatos WordPress Consultant Co-founder @ FixMyWP.com

   Co-founder @ HostMyWP.com

3. DoS & DDoS Επιθέσεις Image Source: http://map.norsecorp.com/#

4. DoS(Denial of Service) Ουσιαστικά πρόκειται για μια επίθεση από χιλιάδες

   αιτήσεις σε ένα site ή server με απώτερο σκοπό να προκαλέσουν denial of service και να το “ρίξουν”. DDoS(Denial of Service) Πρόκειται για μια οργανωμένη επίθεση DoS από άλλους υπολογιστές ή bots που έχουν πρόσβαση στο διαδίκτυο.

5. BruteForce Login Επιθέσεις

6. Που; Η BruteForce επίθεση γίνεται συνήθως στη login page του

   WordPress (wp-login.php, wp-admin). Πως; Ο επιτιθέμενος χρησιμοποιεί χιλιάδες username & password με σκοπό να βρει το σωστό συνδυασμό ώστε να καταφέρει να κάνει login στο Dashboard ως administrator. Πολλές φορές μια τέτοια επίθεση είναι τόσο μεγάλη σε όγκο που λειτουργεί και ως DoS.

7. ΤΡΟΠΟΙ ΠΡΟΣΤΑΣΙΑΣ 1. HOSTING 2. .HTACCESS 3. WORDPRESS 4. 3RD

   PARTY SERVICES

8. HOSTING Image Source: ericzhang.me/reverse-proxy-ddos-protection

9. HOSTING Anti-DDoS Protection: Αυτού του είδους το μέτρο προστασίας γίνεται

   συνήθως στο επίπεδο των DNS του Hosting Provider και για αυτό το λόγο έχει τα καλύτερα αποτελέσματα. Image Source: https://www.ovh.com/us/anti-ddos/anti-ddos-principle.xml

10. Reverse Proxy to Apache: Πρόκειται για την προσθήκη ενός security

    layer μεταξύ του server μας και του web. Συνήθως αυτή τη δουλειά την αναλαμβάνει ένας άλλος server με Nginx αντί για Apache καθώς μπορεί να εξυπηρετήσει με μεγαλύτερη αξιοπιστία περισσότερες ταυτόχρονες συνδέσεις. Image Source: ericzhang.me/reverse-proxy-ddos-protection HOSTING

11. Security Modules: Δύο προτεινόμενοι τρόποι προστασίας του server σας είναι

    το modsecurity & το fail2ban. Το πρώτο ανιχνεύει τις επιθέσεις που γίνονται στο σύστημά σας ενώ το δεύτερο διαβάζει τα log που δημιουργούνται και κάνει ban τις IP που βρίσκει εκεί. Image Source: blog.projectnine.com/fail2ban-with-elk HOSTING

12. .htaccess Image Source: ericzhang.me/reverse-proxy-ddos-protection Το .htaccess είναι ένα αρχείο που

    περιέχει ρυθμίσεις για τον Apache web server. Στην περίπτωσή μας θα χρησιμοποιηθεί για να προσθέσουμε κανόνες που θα μας προστατεύσουν σε επιθέσεις DDoS και Bruteforce.

13. .htaccess IP BAN

14. .htaccess BAN BAD BOTS

15. .htaccess ΠΡΟΣΒΑΣΗ ΣΤΟ WP LOGIN ΑΠΟ ΣΥΓΚΕΚΡΙΜΕΝΗ IP

16. .htaccess DISABLE ACCES TO XML-RPC

17. WordPress DISABLE WP CRON ENABLE THROUGH CPANEL

18. WordPress RENAME LOGIN URL PLUGIN Αυτό το plugin θα μας

    βοηθήσει να αλλάξουμε το login url ώστε να προστατευτούμε από τα BruteForce Attacks. Download: https://wordpress.org/plugins/rename-wp-login/

19. WordPress RENAME LOGIN URL PLUGIN

20. WordPress BOT DETECTION PLUGIN Το GM Block Bots απωθεί τα

    διάφορα spam bots που πολλές αναγκάζουν την ιστοσελίδα σας να καταναλώνει αρκετούς πόρους από το σύστημα σας. Download: https://wordpress.org/plugins/gm-block-bots/

21. WordPress BOT DETECTION PLUGIN

22. WordPress DISABLE XML-RPC PLUGIN Η υπηρεσία XML-RPC του WordPress αν

    και αρκετά χρήσιμη σε ορισμένες περιπτώσεις είναι επίσης και ένας δημοφιλής στόχος για DoS και DDoS επίθεσεις. Download: https://wordpress.org/plugins/stop-xmlrpc- attack/

23. WordPress DISABLE XML-RPC SERVICE PLUGIN

24. WordPress CACHING PLUGIN Η χρήση ενός caching plugin βελτιώνει όχι

    μόνο τη ταχύτητα απόκρισης και φόρτωσης της ιστοσελίδας σας αλλά και την ικανότητα χειρισμού του έξτρα traffic σε περίπτωση BruteForce ή DDoS επίθεσης. Download: https://wordpress.org/plugins/simple-cache/

25. WordPress CACHING PLUGIN

26. WordPress ALL IN ONE PLUGINS

27. 3RD PARTY SERVICES CloudFlare: Image Source: http://inspirationfeed.com/

28. 3RD PARTY SERVICES Incapsula: Image Source: https://code.tutsplus.com

29. [email protected] https://fixmywp.com/ fb @ fixmywp tw @fixmywp