George Korakas - WordPress Security 2025: From Real Threats to Practical Defenses

Transcript

1. WORDCAMP ATHENS 2025 WordPress Security 2025 From Real Threats to

   Practical Defenses ΓΙΩΡΓΟΣ ΚΟΡΑΚΑΣ - TECH LEAD@ELI

2. • Είμαι μηχανικός υπολογιστών και προγραμματιστής • Tech Lead @

   Elearning Industry • Ασχολούμαι επαγγελματικά με το WordPress από το 2008 Γιώργος Κορακάς

3. 1. Γενικές αρχές ασφάλειας εφαρμογών 2. Προκλήσεις που αντιμετωπίζει το

   WordPress 3. Πραγματικές απειλές & πρακτικοί τρόποι άμυνας 4. Εργαλεία & τεχνικές για ασφάλεια το 2025 Today's agenda

4. • Το 43% του web βασίζεται στο λογισμικό WordPress •

   Από blogs μέχρι enterprise sites • Open source: δύναμη και ευθύνη • PHP ecosystem = potential vulnerabilities Γιατί το WordPress είναι στόχος

5. 🔒Confidentiality Κλοπή δεδομένων χρηστών / εφαρμογής 🪪Integrity Παραποίηση περιεχομένου ή

   δεδομένων ✔Availability Επίθεση στην προσβασιμότητα της εφαρμογής Αρχές ασφάλειας - CIA model

6. Παραδείγματα απειλών στο WordPress Confidentiality Integrity Availability SQL injection Admin

   account compromise Application layer DDoS Leaked backups Τροποποίηση περιεχομένου (πχ άρθρων) Μassive bot traffic Access σε private endpoints, αρχεία ή admin resources Injected ads Μemory exhaust Authorization problems Χρήση του site για spam, phishing - Malicious plugins & themes - XSS - User Impersonation

7. Brute force / login attacks Real Threats ➡ Practical Defenses

   Αλλαγή default login path + Limit Login Attempts + Strong passwords + 2FA REST API & XMLRPC exploitation Disable REST API & XMLRPC

8. Spam / form abuse Real Threats ➡ Practical Defenses reCAPTCHA

   / hCaptcha / Cloudflare Turnstile Email spamming Plugin & theme vulnerabilities Email address obfuscation Ενημερώσεις WP core, plugins, themes

9. 1. Firewall / Reverse Proxy (Cloudflare, hosting provider WAF) 2.

   Rate limiting & caching για DDoS mitigation 3. Bot protection (block User Agents, CAPTCHAs) 4. Firewall plugins: Wordfence, All-In-One Security Σύνθετες τεχνικές προστασίας

10. Browser Security Features - Headers Header Example Content-Security-Policy (CSP) Content-Security-Policy:

    default-src 'self'; img-src https://images.example.com; script-src 'self' https://cdn.example.com Strict-Transport-Security (HSTS) Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

11. Browser Security Features - Headers Header Example X-Frame-Options X-Frame-Options: DENY

    X-Content-Type-Options X-Content-Type-Options: nosniff Referrer Policy Referrer-Policy: strict-origin-when-cross-origin

12. Browser Security Features - SRI Subresource Integrity (SRI) 1. Προστασία

    από αλλοίωση εξωτερικών resources (CDN scripts/styles) 2. Εξασφαλίζει ότι το αρχείο που φορτώνει ο browser: a. ✅ είναι ακριβώς αυτό που περιμένουμε b. ❌ δεν έχει τροποποιηθεί από επιτιθέμενο 3. Εφαρμόζει ένα integrity attribute σε <script> και <link> με rel="stylesheet"

13. 1. Εισάγεις το domain για έλεγχο 2. Εκτελεί ελέγχους που

    αφορούν: HTTP headers, TLS/SSL, HSTS, CSP, Subresource Integrity (SRI) κ.ά. 3. Βαθμολογεί τον ιστότοπο βάσει των ευρημάτων 4. Δίνει προτάσεις για βελτιώσεις HTTP Header Security Test Mozilla HTTP Observatory 🌐developer.mozilla.org/en-US/ observatory ⌨mdn/mdn-http-observatory

14. 🧹Clean installations – όχι ανενεργά plugins 🔍Monitoring (Wordfence / Sucuri)

    ⚙Least privilege principle (ρόλοι χρηστών με min access rights) 🔐Secure hosting a. HTTPS b. PHP 8.2+ c. Regular backups Best Practices for WordPress 2025 🚀

15. Δεν μπορείς να προστατευτείς από όλα, μπορείς όμως να είσαι

    έτοιμος! 💡

16. Ιδιωτικότητα και ασφαλές διαδίκτυο για όλους Mozilla Foundation WordPress Foundation

17. Γιώργος Κορακάς Την οργανωτική ομάδα για την πρόσκληση και την

    ευκαιρία να μοιραστώ μαζί σας τις γνώσεις μου και την αγάπη μου για το WordPress. Ευχαριστώ

18. Ερωτήσεις