10 tipů pro lepší
zabezpečení WP
Radek Kučera
WordPress meetup Hluboká
Kudy lze napadnut WordPress?
Síťová
infrastruktura &
hosting
• bezpečnostní díry v
zastaralých verzích
PHP, MySQL,
phpMyAd...
1. Základní bezpečnostní tipy
• Silné heslo
• Nepoužívejte free hosting
• Změna prefixu databáze
• Přihlašujte se pouze ze...
2. Wp-config.php o level výše
Do této složky instalujete WordPress
O úroveň výš nahrajte wp-config.php
WordPress si sem um...
3. Omezení práv souborů a složek
• CHMOD hodnota 755 pro složky
• CHMOD hodnota 644 pro soubory
• wp-config.php a .htacces...
4. Vypněte editaci z administrace
Vypnutí editace pluginů a šablon z
administrace WordPressu je jednoduchá věc.
Stačí tent...
5. Zamkněte administraci
Díky jednoduchému zápisu do .htaccess ve
složce wp-admin máte možnost omezit
přístup pouze na kon...
6. Omezení počtu chybných přihlášení
Omezením počtu chybných příhlášení
zabráníte bruteforce útoku na prolomení
hesla
• Ma...
7. Omezení počtu chybných stránek 404
Omezením počtu chybných stánek 404 za
konkrétní časový úsek zabráníte více typům
úto...
8. Detekce změny souboru
Po každé aktualizaci / přidání / smazání
souborů či složk Vám přijde notifikační
email s detaily
9. Zakažte přístup k souborům přes prohlížeč
Níže uvedený kód vložte do .htaccess
10. Aktivujte https pro přihlášení
• Nastavte SSL šifrování tedy https pro
přihlášení do administrace
• Vložte do wp-confi...
Další bezpečnostní tipy
• Zakažte skripy v /uplaod/ složce (Sucuri)
• Zakažte procházení adresářů na serveru (iThemes)
• P...
Doporučené pluginy
Sucuri
Security iThemes
Security
Webové bezpěčnostní aplikace
Dotazy
Zdroj kde najdete více informací:
http://wordpress.bigdrobek.com/bezpecnost/
Děkuji za pozornost,
Radek Kučera
Upcoming SlideShare
Loading in...5
×

10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014

797

Published on

Prezentace "10 tipů pro lepší zabezpečení WordPressu" z WordPress konference v Hluboké 2014

Published in: Internet
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
797
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
19
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014

  1. 1. 10 tipů pro lepší zabezpečení WP Radek Kučera WordPress meetup Hluboká
  2. 2. Kudy lze napadnut WordPress? Síťová infrastruktura & hosting • bezpečnostní díry v zastaralých verzích PHP, MySQL, phpMyAdmin • OpenSSL • DOS / DDOS Z počítače • odposlouchávání komunikace se serverem • neodhlášení z veřejného PC • CSRF • odcizení cookies • útoky na lokální síť ARP spoofing, DNS hijacking Aplikace • bezpečnostní díry v zastaralých, neoficiálních a neověřených verzích WP, pluginech a šablonách, • Brute-force
  3. 3. 1. Základní bezpečnostní tipy • Silné heslo • Nepoužívejte free hosting • Změna prefixu databáze • Přihlašujte se pouze ze svého PC • Aktualizujte • Zálohujte • Smažte nepoužívané účty, pluginy a šablony • Méně pluginů znamená více bezpečnosti • Použijte SFTP/FTPeS namísto FTP • Používejte ověřené šablony a pluginy jen z repozitáře wordcamp.org
  4. 4. 2. Wp-config.php o level výše Do této složky instalujete WordPress O úroveň výš nahrajte wp-config.php WordPress si sem umí sáhnout nastavte práva 444
  5. 5. 3. Omezení práv souborů a složek • CHMOD hodnota 755 pro složky • CHMOD hodnota 644 pro soubory • wp-config.php a .htaccess nastavte 440 nebo 444 (na úpravy musíte přes ftp zvýšit práva na 644 a po dokončení zase zpět na 444)
  6. 6. 4. Vypněte editaci z administrace Vypnutí editace pluginů a šablon z administrace WordPressu je jednoduchá věc. Stačí tento zápis do wp-config.php
  7. 7. 5. Zamkněte administraci Díky jednoduchému zápisu do .htaccess ve složce wp-admin máte možnost omezit přístup pouze na konkrétní IP adresu
  8. 8. 6. Omezení počtu chybných přihlášení Omezením počtu chybných příhlášení zabráníte bruteforce útoku na prolomení hesla • Max Login Attempts Per User • Max Login Attempts Per Host (IP adresa) • Minutes to Remember Bad Login (check period)
  9. 9. 7. Omezení počtu chybných stránek 404 Omezením počtu chybných stánek 404 za konkrétní časový úsek zabráníte více typům útoků (bruteforce, hledání zranitelností a chyb) Pozor s tímto může být problém pokud šablona hází 404 chyby a nevíte o tom (inframe??)
  10. 10. 8. Detekce změny souboru Po každé aktualizaci / přidání / smazání souborů či složk Vám přijde notifikační email s detaily
  11. 11. 9. Zakažte přístup k souborům přes prohlížeč Níže uvedený kód vložte do .htaccess
  12. 12. 10. Aktivujte https pro přihlášení • Nastavte SSL šifrování tedy https pro přihlášení do administrace • Vložte do wp-config.php
  13. 13. Další bezpečnostní tipy • Zakažte skripy v /uplaod/ složce (Sucuri) • Zakažte procházení adresářů na serveru (iThemes) • Přejmenujte adresář /wp-content/ • Omezit přístup do /wp-includes/ (Sucuri)
  14. 14. Doporučené pluginy Sucuri Security iThemes Security
  15. 15. Webové bezpěčnostní aplikace
  16. 16. Dotazy Zdroj kde najdete více informací: http://wordpress.bigdrobek.com/bezpecnost/ Děkuji za pozornost, Radek Kučera
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×