Your SlideShare is downloading. ×
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014

593
views

Published on

Prezentace "10 tipů pro lepší zabezpečení WordPressu" z WordPress konference v Hluboké 2014

Prezentace "10 tipů pro lepší zabezpečení WordPressu" z WordPress konference v Hluboké 2014

Published in: Internet

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
593
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 10 tipů pro lepší zabezpečení WP Radek Kučera WordPress meetup Hluboká
  • 2. Kudy lze napadnut WordPress? Síťová infrastruktura & hosting • bezpečnostní díry v zastaralých verzích PHP, MySQL, phpMyAdmin • OpenSSL • DOS / DDOS Z počítače • odposlouchávání komunikace se serverem • neodhlášení z veřejného PC • CSRF • odcizení cookies • útoky na lokální síť ARP spoofing, DNS hijacking Aplikace • bezpečnostní díry v zastaralých, neoficiálních a neověřených verzích WP, pluginech a šablonách, • Brute-force
  • 3. 1. Základní bezpečnostní tipy • Silné heslo • Nepoužívejte free hosting • Změna prefixu databáze • Přihlašujte se pouze ze svého PC • Aktualizujte • Zálohujte • Smažte nepoužívané účty, pluginy a šablony • Méně pluginů znamená více bezpečnosti • Použijte SFTP/FTPeS namísto FTP • Používejte ověřené šablony a pluginy jen z repozitáře wordcamp.org
  • 4. 2. Wp-config.php o level výše Do této složky instalujete WordPress O úroveň výš nahrajte wp-config.php WordPress si sem umí sáhnout nastavte práva 444
  • 5. 3. Omezení práv souborů a složek • CHMOD hodnota 755 pro složky • CHMOD hodnota 644 pro soubory • wp-config.php a .htaccess nastavte 440 nebo 444 (na úpravy musíte přes ftp zvýšit práva na 644 a po dokončení zase zpět na 444)
  • 6. 4. Vypněte editaci z administrace Vypnutí editace pluginů a šablon z administrace WordPressu je jednoduchá věc. Stačí tento zápis do wp-config.php
  • 7. 5. Zamkněte administraci Díky jednoduchému zápisu do .htaccess ve složce wp-admin máte možnost omezit přístup pouze na konkrétní IP adresu
  • 8. 6. Omezení počtu chybných přihlášení Omezením počtu chybných příhlášení zabráníte bruteforce útoku na prolomení hesla • Max Login Attempts Per User • Max Login Attempts Per Host (IP adresa) • Minutes to Remember Bad Login (check period)
  • 9. 7. Omezení počtu chybných stránek 404 Omezením počtu chybných stánek 404 za konkrétní časový úsek zabráníte více typům útoků (bruteforce, hledání zranitelností a chyb) Pozor s tímto může být problém pokud šablona hází 404 chyby a nevíte o tom (inframe??)
  • 10. 8. Detekce změny souboru Po každé aktualizaci / přidání / smazání souborů či složk Vám přijde notifikační email s detaily
  • 11. 9. Zakažte přístup k souborům přes prohlížeč Níže uvedený kód vložte do .htaccess
  • 12. 10. Aktivujte https pro přihlášení • Nastavte SSL šifrování tedy https pro přihlášení do administrace • Vložte do wp-config.php
  • 13. Další bezpečnostní tipy • Zakažte skripy v /uplaod/ složce (Sucuri) • Zakažte procházení adresářů na serveru (iThemes) • Přejmenujte adresář /wp-content/ • Omezit přístup do /wp-includes/ (Sucuri)
  • 14. Doporučené pluginy Sucuri Security iThemes Security
  • 15. Webové bezpěčnostní aplikace
  • 16. Dotazy Zdroj kde najdete více informací: http://wordpress.bigdrobek.com/bezpecnost/ Děkuji za pozornost, Radek Kučera