Upgrade to Pro — share decks privately, control downloads, hide ads and more …

WordPress Security Seminar - Takis Bouyouris - Hardening a WordPress installation

WordPress Security Seminar - Takis Bouyouris - Hardening a WordPress installation

WordPress Greek Community

April 16, 2016
Tweet

More Decks by WordPress Greek Community

Other Decks in Programming

Transcript

  1. Το νου σας για αυτά τα μωρά όπου τα εντοπίσετε,

    κάτι πολύ λάθος συμβαίνει στον κόσμο αυτό ΝΟΟΟ Waaah
  2. Σήμερα: Θα σας βομβαρδίσω με γενικές τεχνικές ασφάλειας και πώς

    εφαρμόζονται απευθείας στο WordPress, ώστε να θωρακίσουν την εγκατάστασή μας
  3. Όχι. Δεν. Χρειάζεται. Να. Τις. Εφαρμόσετε. Όλες. Όχι. Αλλά είναι

    πολύ χρήσιμο να μπορείτε να τις αναγνωρίσετε για να κάνετε τις σωστές επιλογές
  4. Αστειεύομαι, αλλά: 1. Δεν υπάρχει “απόλυτη” ασφάλεια 2. Η ασφάλεια

    έχει συμβιβασμούς 3. Είναι μια συνεχής διαδικασία & Μας λείπει περισσότερο όταν την έχουμε χάσει!
  5. 1. Αποφύγετε το πολύ φθηνό 2. Αναζητήστε κριτικές ή συστάσεις

    3. Ελέγξτε τι παροχές ασφάλειας διαθέτει και τι τεχνικές εφαρμόζει (mod_security, suhosin, firewalls)
  6. Αν έχετε δικό σας server χρειάζεστε έναν καλό system admin

    ή πρέπει να γίνεται εσείς αυτός!
  7. Εφαρμογή της αρχής των ελάχιστων δικαιωμάτων “Least privilege principle for

    users” Κάθε χρήστης πρέπει να έχει τόσα δικαιώματα όσα του επιτρέπουν να ολοκληρώνει εκείνες ακριβώς τις ενέργειες που του είναι απαραίτητες και τίποτε παραπάνω
  8. Αλλαγή της διεύθυνσης σύνδεσης (login) από /wp-login.php σε κάτι άλλο

    και διαγραφή κάθε αναφοράς της (τόσο απλά) ΝΟΟΟ
  9. Το core WordPress εφαρμόζει αυτόματα τα security updates, πχ version

    4.4.2 και θα μπορούσε να εφαρμόζει ακόμη και τα major updates, πχ version 4.5
  10. Μετονομασία προθέματος πινάκων βάσης δεδομένων (table prefix) από wp_ σε

    κάτι διαφορετικό και μη αναμενόμενο από τους επιτιθέμενους (συχνή τακτική – όχι ιδιαίτερα αποδοτική)
  11. Περιορισμός πρόσβασης στη σελίδα σύνδεσης (login ) και γενικότερα στη

    διαχείριση με http authentication (συχνή τακτική – όχι ιδιαίτερα αποδοτική)
  12. Περιορισμός πρόσβασης στη σελίδα σύνδεσης (login) και γενικότερα στη διαχείριση

    (/wp-admin) σε συγκεκριμένες Ips ή ακόμη και χώρες (προσοχή στους περιορισμούς που θέτει)
  13. Περιορισμός δικαιωμάτων συστήματος αρχείων (filesystem access rights) πχ files –

    644 folders – 755 Γενική ιδέα: τα αρχεία ανήκουν στο χρήστη σας αλλά το το /wp-content είναι writable από το web server
  14. Έλεγχος της εγκατάστασής μας για: - malware - exploits -

    injections - blacklisting - spam content - “πειραγμένα” αρχεία - ασυνήθιστα αρχεία
  15. Συχνοί έλεγχοι για: - αρχεία που άλλαξαν χωρίς να προηγηθεί

    κάποιο update - αρχεία με “base64” κώδικα - αρχεία με “eval'ed” κώδικα (είναι ενδείξεις, όχι αποδείξεις)
  16. Ελέγχετε τακτικά την ιστοσελίδα σας - Στις μηχανές αναζήτησης -

    Στο Google search console (webmaster tools) - Sucuri sitecheck είναι το ύστατο σημείο εμφάνισης μιας ευπάθειας
  17. Προσπαθούν να κάνουν κάτι εξαιρετικά δύσκολο: 1. Να παρέχουν όσο

    πιο “συνολική” ασφάλεια 2. Να το κάνουν αυτό μέσα από το ίδιο το σύστημα, το οποίο είναι ευπαθές, και το οποίο καλούνται να προστατέψουν 3. Μέσα από τεχνολογίες που δεν είναι φτιαγμένες να το υποστηρίξουν εγγενώς
  18. 1. Εφαρμόζουν πολλές καλές τακτικές (best practices) 2. Εφαρμόζουν πολλούς

    μηχανισμούς που φιλτράρουν τους επιτιθέμενους 3. Κάνουν καλές προτάσεις στο διαχειριστή σχετικά με τα πιο κοινά προβλήματα
  19. Σημείωση: Συνήθως δε συνεργάζονται καλά με τα εργαλεία των managed

    WordPress hostings και γι' αυτό εκεί απενεργοποιούνται εκ των προτέρων
  20. Χρησιμοποιήστε ένα CDN Εκτός από ταχύτητα ένα CDN αποτελεί και

    ένα φίλτρο ανάμεσα στην εγκατάστασή σας και του χρήστες της! (πχ free CloudFlare)
  21. Εξασφαλίστε το περιβάλλον εργασίας σας - Το PC σας! -

    Antivirus - Firewall - Δυνατοί κωδικοί - Χρησιμοποιήστε VPNs - Προσοχή σε public δίκτυα - Μην εγκαθιστάτε αναξιόπιστο λογισμικό ΝΟΟΟ
  22. X X

  23. Μείνετε ενημερωμένοι Διαβάζετε νέα σχετικά με την ασφάλεια στο WordPress,

    εξειδικευμένα blogs & ιστοσελίδες, ιστοσελίδες εταιρειών ασφάλειας Μαθαίνετε τα νέα των plugins & themes που χρησιμοποιείτε
  24. Η ασφάλεια είναι μια διαδικασία που ποτέ δεν τελειώνει http://codex.wordpress.org/Hardening_WordPress/

    https://wordpress.org/about/security/ https://www.wordfence.com/learn/ https://blog.sucuri.net/ https://poststatus.com/ http://wpmail.me/ https://premium.wpmudev.org/blog/get-the-whip/ http://wptavern.com/ http://wpsecure.net/
  25. Και κάτι τους developers: “Η ασφάλεια εξαρτάται από εσάς που

    γράφεται κάθε γραμμή κώδικα” Ας δούμε μερικές