9. WordPress hacking - de dreigingen
Onderzoek van WPMUdev heeft uitgewezen dat hacking
gebeurt door volgende oorzaken:
• 50%: thema’s of plugins
• 25%: WordPress core (verouderde versies)
• 25%: server configuratie + andere factoren
11. En bij wie van die mensen
is dat de enige
beveiligingsmaatregel?
12. Wie gebruikt FTP om
bestanden op zijn
website te plaatsen en
eventuele code te
bewerken?
13. FTP
Uit persoonlijke ervaring heb ik geleerd dat FTP eveneens een
bijzonder zwakke schakel is. Heel wat hacks gebeuren middels
gestolen FTP-gegevens die men heeft bemachtigd via:
• Keyloggers
• Virussen (meestal trojans)
• Andere malware of spyware
• Lekken in oudere versies van software (Acrobat Reader 8, Flash
Player)
14. FTP
Hoe vermijden we hacking via FTP:
• Geen FTP gebruiken! Gebruik SFTP waar mogelijk.
• OS up to date houden
• Software up to date houden
• Gebruik anti-virus + anti-malware + firewall software
23. Security door middel van plugins
iThemes Security
Wordfence Security
Sucuri Security
Sucuri Security Website Firewall
Bulletproof Security
Limit Login Attempts
All in one WP Security & Firewall
…
24. Security mét plugins
• Beperk het aantal plugins waar mogelijk
• Verwijder gedeactiveerde plugins altijd
• Hou je plugins altijd up to date
• Probeer je te beperken tot plugins uit de officiële
WordPress plugin repository (http://www.wordpress.org/
plugins)
• Check altijd hoe lang geleden de laatste update
uitgegeven werd.
25. WordPress gebruikers
• Gebruik geen admin user, verwijder deze na installatie!
• Kies een goed wachtwoord:
- Hoofdletters & kleine letters
- Cijfers
- Speciale tekens (@, !, ?, …)
- Gebruik geen bestaande woorden
26. WordPress Themes
• Altijd up to date houden
• Gratis theme? Altijd via http://www.wordpress.org/
themes.
• Premium themes? Hou dit altijd goed up to date
• Nooit themes aanpassen in de theme files zelf. Werk
ALTIJD met een child theme voor aanpassingen.
30. Toegang tot gevoelige files blokkeren via htaccess
Options All -Indexes
<files .htaccess>
Order allow,deny
Deny from all
</files>
<files readme.html>
Order allow,deny
Deny from all
</files>
<files license.txt>
Order allow,deny
Deny from all
</files>
<files install.php>
Order allow,deny
Deny from all
</files>
<files wp-config.php>
Order allow,deny
Deny from all
</files>
Plaats dit in de hoofdmap
van je WordPress-installatie
35. PHP versie
• Huidige PHP-versie 5.6
• Heel wat security tweaks vanaf 5.4
• Heel wat hosters draaien nog 5.3
• Vraag actief naar upgrades bij je hoster! Een goede
hoster standaardiseert op 5.5.
36. PHP.ini
• safe_mode (weg sinds 5.4, deprecated in 5.3)
• allow_url_fopen
• register_globals (weg sinds 5.4, deprecated in 5.3)
37. Fail2ban
• Server package tegen brute forcing
• Integreerbaar met wp-fail2ban (https://wordpress.org/
plugins/wp-fail2ban/)
38. Wat als je zelf onvoldoende
technisch onderlegd bent om dit
zelf te implementeren?
39. Managed (WordPress)
Hosting
- Nemen de serverconfiguratie voor
hun rekening
- Doen de WordPress & plugin
updates voor je
- Ondersteunen jou bij hacking
40. savvii.nl
• Sponsor van dit event
(waarvoor dank!)
• Gespecialiseerd in managed
WordPress hosting
42. WPScan
• scanner voor WordPress
• scant naar vulnerabilities
• kan gebruikt worden om DDOS
te simuleren
• via CLI
• Self hosted
• Gratis te gebruiken
47. Zelf te nemen acties
• Wijzig alle wachtwoorden: MySQL database, FTP,
WordPress, …
• Update je gehele installatie van WordPress, de thema’s,
plugins
• Controleer de inhoud van je database op eventuele
malafide entries of verdachte users