WordPress Security Seminar - Takis Bouyouris - Hardening a WordPress installation

Transcript

1. WordPress Security 101 Found.ation, TheHubEvents, 16/04/2016 Hardening a WordPress installation

   Τάκης Μπουγιούρης Nevma

2. Hello World!

3. Το νου σας για αυτά τα μωρά όπου τα εντοπίσετε,

   κάτι πολύ λάθος συμβαίνει στον κόσμο αυτό ΝΟΟΟ Waaah

4. ΞΕΚΙΝΑΜΕ ΞΕΚΙΝΑΜΕ ΞΕΚΙΝΑΜΕ ΞΕΚΙΝΗΣΑΜΕ

5. Σήμερα: Θα σας βομβαρδίσω με γενικές τεχνικές ασφάλειας και πώς

   εφαρμόζονται απευθείας στο WordPress, ώστε να θωρακίσουν την εγκατάστασή μας

6. Όχι. Δεν. Χρειάζεται. Να. Τις. Εφαρμόσετε. Όλες. Όχι. Αλλά είναι

   πολύ χρήσιμο να μπορείτε να τις αναγνωρίσετε για να κάνετε τις σωστές επιλογές

7. Συνήθως: “Security, not by obscurity” αλλά στην πράξη χρειάζεται και

   λίγο obscurity πού και πού

8. Ποιος είναι ο τελειότερος τρόπος να εξασφαλίσουμε την ιστοσελίδα μας

   από όλες τις επιθέσεις; Θα σας πω!

9. Βάψ' τη μπλε και... www

10. Αστειεύομαι, αλλά: 1. Δεν υπάρχει “απόλυτη” ασφάλεια 2. Η ασφάλεια

    έχει συμβιβασμούς 3. Είναι μια συνεχής διαδικασία & Μας λείπει περισσότερο όταν την έχουμε χάσει!

11. Ξεκινούμε από ένα ασφαλές και αξιόπιστο περιβάλλον φιλοξενίας (hosting)

12. 1. Αποφύγετε το πολύ φθηνό 2. Αναζητήστε κριτικές ή συστάσεις

    3. Ελέγξτε τι παροχές ασφάλειας διαθέτει και τι τεχνικές εφαρμόζει (mod_security, suhosin, firewalls)

13. Αν έχετε δικό σας server χρειάζεστε έναν καλό system admin

    ή πρέπει να γίνεται εσείς αυτός!
14. None

15. ΔΙΑΧΕΙΡΙΣΤΙΚΕΣ ΕΝΕΡΓΕΙΕΣ WORDPRESS /WP-ADMIN

16. Διαγραφή χρήστη “admin” και αντικατάστασή του με κάτι άλλο που

    δε γνωρίζουν ήδη οι επιτιθέμενοι ΝΟΟΟ
17. None

18. Εφαρμογή της αρχής των ελάχιστων δικαιωμάτων “Least privilege principle for

    users” Κάθε χρήστης πρέπει να έχει τόσα δικαιώματα όσα του επιτρέπουν να ολοκληρώνει εκείνες ακριβώς τις ενέργειες που του είναι απαραίτητες και τίποτε παραπάνω

19. Χρήση σύνθετων passwords και τακτική αλλαγή αυτών πχ kA#3g$%f!6K8^s@u0M.)9D+m=s6Ze M5#$a*1N9Fp-Ob6P+^eW9E^sTz&4F

    Z!~2a#9M%4l.$F7=d(w%U4v8*$Re3x+ ΝΟΟΟ Waaah
20. None
21. None

22. Ανανεώστε τα κλειδιά ασφαλείας (security keys/salts) της εγκατάστασης σας

23. None

24. Αλλαγή της διεύθυνσης σύνδεσης (login) από /wp-login.php σε κάτι άλλο

    και διαγραφή κάθε αναφοράς της (τόσο απλά) ΝΟΟΟ
25. None

26. Απόκρυψη μηνυμάτων λάθους που προκύπτουν από την οθόνη σύνδεσης (login)

27. None

28. Περιορισμός απόπειρας σύνδεσης (login) και αποκλεισμός χρήστη έπειτα από επαναλαμβανόμενες

    αποτυχημένες προσπάθειες
29. None

30. Σύνδεση δύο βημάτων Two-factor authentication

31. None

32. Διαγραφή μη ενεργών themes και plugins

33. None
34. None

35. Χρήση προσθέτων (plugins) - λίγa, αξιόπιστa, δοκιμασμένa - από επίσημους,

    έμπιστους παρόχους - όχι σπασμένα (nulled)

36. Απενεργοποίηση trackbacks & pingbacks (αν δε σας ενδιαφέρουν) Απενεργοποίηση XMLRPC

    (αν δε σας ενδιαφέρει το Jetpack ή το WordPress Android app)
37. None
38. None

39. Ενημερώσεις Updates Πάντα! WordPress, Plugins, Themes ΠΑΝΤΑ! ΝΟΟΟ

40. None
41. None

42. Και μην ξεχνάς, παιδί μου, να κάνεις πάντα τα updates

    σου!

43. Το core WordPress εφαρμόζει αυτόματα τα security updates, πχ version

    4.4.2 και θα μπορούσε να εφαρμόζει ακόμη και τα major updates, πχ version 4.5
44. None
45. None
46. None
47. None

48. Απενεργοποίηση σχολίων (εφόσον δεν είναι απολύτως απαραίτητα) ή Χρήση εξωτερικών

    υπηρεσιών, όπως το Disqus

49. Χρήση εργαλείων φιλτραρίσματος σχολίων για spam και malicious σχόλια πχ

    plugins Akismet Bad behaviour

50. ΘEΜΑΤΑ ΠΕΡΙΒAΛΛΟΝΤΟΣ ΦΙΛΟΞΕΝIΑΣ (HOSTING)

51. Μετονομασία προθέματος πινάκων βάσης δεδομένων (table prefix) από wp_ σε

    κάτι διαφορετικό και μη αναμενόμενο από τους επιτιθέμενους (συχνή τακτική – όχι ιδιαίτερα αποδοτική)
52. None

53. Μετακίνηση αρχείου ρυθμίσεων wp-config.php στο γονικό φάκελο (συχνή τακτική –

    όχι ιδιαίτερα αποδοτική)

54. Μετακίνηση ή μετονομασία /wp-admin /wp-content /wp-content/plugins (συχνή τακτική – όχι

    ιδιαίτερα αποδοτική)
55. None

56. Αντίγραφα ασφαλείας (backups) ΝΟΟΟ Waaah

57. Ένας developer που δεν έπαιρνε τακτικά backup!

58. Αντίγραφα ασφαλείας (backups) - Ημέρας - Εβδομάδας - Μήνα -

    3μήνου - 6μήνου ...

59. Αντίγραφα ασφαλείας (backups) on-site & off-site

60. VAULTPRESS

61. “Μλκ, έβγαλε update το RevSliderrr!”

62. Περιορισμός πρόσβασης στη σελίδα σύνδεσης (login ) και γενικότερα στη

    διαχείριση με http authentication (συχνή τακτική – όχι ιδιαίτερα αποδοτική)
63. None

64. Περιορισμός πρόσβασης στη σελίδα σύνδεσης (login) και γενικότερα στη διαχείριση

    (/wp-admin) σε συγκεκριμένες Ips ή ακόμη και χώρες (προσοχή στους περιορισμούς που θέτει)
65. None

66. Χρήση ασφαλών συνδέσεων (encryption) HTTPS/SSL for /wp-admin SFTP for file

    access SSH for terminal
67. None
68. None
69. None

70. Περιορισμός δικαιωμάτων συστήματος αρχείων (filesystem access rights) πχ files –

    644 folders – 755 Γενική ιδέα: τα αρχεία ανήκουν στο χρήστη σας αλλά το το /wp-content είναι writable από το web server
71. None

72. Προστατεύστε αρχεία της εγκατάστασής σας με -πιθανώς- ευαίσθητο περιεχόμενο wp-config.php

    .htaccess .svn .git
73. None

74. Προστατεύστε αρχεία της εγκατάστασής σας που αποκαλύπτουν στοιχεία για την

    κατάστασή της
75. None
76. None
77. None

78. Περιορισμός απαρίθμησης χρηστών (user listing) και αρχείου χρηστών (user archives)

    πχ GET “?author=1” GET “?author=2” GET “?author=3” ΝΟΟΟ
79. None

80. Προστασία του φακέλου /wp-includes από άμεση πρόσβαση στον οποιονδήποτε (Codex

    / Security page)
81. None

82. Απενεργοποίηση της επεξεργασίας αρχείων μέσα από τη διαχείριση του WordPress

    (File Editor) ΝΟΟΟ
83. None

84. Περιορισμός απαρίθμησης αρχείων φακέλου (directory listing) ΝΟΟΟ Waaah

85. None
86. None

87. Χαλαρό πάντα, κάνει τα update του πάντα!

88. Φιλτράρισμα κακόβουλων αιτημάτων (requests) προς την εγκατάστασή μας

89. None

90. ΣΥΝΕΧΕΙΣ ΤΑΚΤΙΚΟΙ ΠΕΡΙΟΔΙΚΟΙ ΕΛΕΓΧΟΙ

91. Έλεγχος της εγκατάστασής μας για: - malware - exploits -

    injections - blacklisting - spam content - “πειραγμένα” αρχεία - ασυνήθιστα αρχεία
92. None

93. Συχνοί έλεγχοι για: - αρχεία που άλλαξαν χωρίς να προηγηθεί

    κάποιο update - αρχεία με “base64” κώδικα - αρχεία με “eval'ed” κώδικα (είναι ενδείξεις, όχι αποδείξεις)
94. None

95. - Παρακολούθηση της δραστηριότητας των χρηστών - Παρακολούθηση αλλαγών που

    συμβαίνουν στο σύστημα σε επίπεδο αρχείων
96. None

97. Ελέγχετε τακτικά την ιστοσελίδα σας - Στις μηχανές αναζήτησης -

    Στο Google search console (webmaster tools) - Sucuri sitecheck είναι το ύστατο σημείο εμφάνισης μιας ευπάθειας
98. None

99. Παρακολουθείτε την κατάσταση της ιστοσελίδας σας μέσω κάποιας εξειδικευμένης υπηρεσίας

100. None

101. ΠΡΟΣΘΕΤΑ ΑΣΦΑΛΕΙΑΣ SECURITY PLUGINS

102. Πρόκειται για application level firewalls δηλαδή λειτουργούν στο επίπεδο της

     ίδιας της “εφαρμογής” δηλαδή του WordPress

103. Προσπαθούν να κάνουν κάτι εξαιρετικά δύσκολο: 1. Να παρέχουν όσο

     πιο “συνολική” ασφάλεια 2. Να το κάνουν αυτό μέσα από το ίδιο το σύστημα, το οποίο είναι ευπαθές, και το οποίο καλούνται να προστατέψουν 3. Μέσα από τεχνολογίες που δεν είναι φτιαγμένες να το υποστηρίξουν εγγενώς

104. 1. Εφαρμόζουν πολλές καλές τακτικές (best practices) 2. Εφαρμόζουν πολλούς

     μηχανισμούς που φιλτράρουν τους επιτιθέμενους 3. Κάνουν καλές προτάσεις στο διαχειριστή σχετικά με τα πιο κοινά προβλήματα

105. Σημείωση: Συνήθως δε συνεργάζονται καλά με τα εργαλεία των managed

     WordPress hostings και γι' αυτό εκεί απενεργοποιούνται εκ των προτέρων
106. None
107. None

108. Χρησιμοποιήστε ένα CDN Εκτός από ταχύτητα ένα CDN αποτελεί και

     ένα φίλτρο ανάμεσα στην εγκατάστασή σας και του χρήστες της! (πχ free CloudFlare)

109. Αυτό το πάντα δεν έκανε τα updates του πάντα

110. Ο ΑΝΘΡΩΠΙΝΟΣ ΠΑΡΑΓΟΝΤΑΣ Ο ΠΙΟ ΑΔΥΝΑΜΟΣ ΚΡΙΚΟΣ ΣΤΗΝ ΑΛΥΣΙΔΑ ΤΗΣ

     ΑΣΦΑΛΕΙΑΣ

111. Εξασφαλίστε το περιβάλλον εργασίας σας - Το PC σας! -

     Antivirus - Firewall - Δυνατοί κωδικοί - Χρησιμοποιήστε VPNs - Προσοχή σε public δίκτυα - Μην εγκαθιστάτε αναξιόπιστο λογισμικό ΝΟΟΟ

112. X X

113. ΕΝΗΜΕΡΩΣΗ ΣΥΝΕΧΗΣ ΕΝΗΜΕΡΩΣΗ ΣΥΝΕΧΗΣ ΕΝΗΜΕΡΩΣΗ ΣΥΝΕΧΗΣ ΕΝΗΜΕΡΩΣΗ ΣΥΝΕΧΗΣ ΕΝΗΜΕΡΩΣΗ ΣΥΝΕΧΗΣ

114. Μείνετε ενημερωμένοι Διαβάζετε νέα σχετικά με την ασφάλεια στο WordPress,

     εξειδικευμένα blogs & ιστοσελίδες, ιστοσελίδες εταιρειών ασφάλειας Μαθαίνετε τα νέα των plugins & themes που χρησιμοποιείτε

115. Η ασφάλεια είναι μια διαδικασία που ποτέ δεν τελειώνει http://codex.wordpress.org/Hardening_WordPress/

     https://wordpress.org/about/security/ https://www.wordfence.com/learn/ https://blog.sucuri.net/ https://poststatus.com/ http://wpmail.me/ https://premium.wpmudev.org/blog/get-the-whip/ http://wptavern.com/ http://wpsecure.net/

116. Και κάτι τους developers: “Η ασφάλεια εξαρτάται από εσάς που

     γράφεται κάθε γραμμή κώδικα” Ας δούμε μερικές
117. None
118. None
119. None
120. None

121. Αυτάαα!

122. Ακούστε αυτά τα μωρά ΝΟΟΟ Waaah

123. Για να μη γίνετε αυτό το μωρό

124. Σας ευχαριστώ! http://www.nevma.gr/ http://takis.nevma.gr/ https://www.facebook.com/takis.bouyouris https://www.linkedin.com/in/takisbouyouris/ https://twitter.com/takisbig