2. Agenda
Dlaczego atakować i dlaczego właśnie moją stronę?
Statystyki ataków
„Po nitce do kłębka”- wrażliwe punkty, czyli co a nie koniecznie dlaczego.
Bezpieczeństwo to proces
Komputer
Sieć
Internet
Strona
I. Bezpieczeństwo, ale o co chodzi?
II.Sieciowe BHP
III.Bonus :)
3. I. Bezpieczeństwo, ale o co chodzi?
Dlaczego atakować i dlaczego właśnie moją stronę?
Stan: 1.XII.2015
Źródła: W3Techs.com i WordPres.Org
4. I. Bezpieczeństwo, ale o co chodzi?
Dlaczego atakować i dlaczego właśnie moją stronę?
Spamerskie linki
Przekierowania
Rozsyłanie spamu
Ataki DDoS
Zarażanie innych stron i komputerów
Wyłudzanie informacji
itd.
5. I. Bezpieczeństwo, ale o co chodzi?
Statystyki ataków
Spamerskie linki
Przekierowania
Rozsyłanie spamu
Ataki DDoS
Zarażanie innych
Wyłudzanie informacji
itd.
Źródło: sucuri.net
6. I. Bezpieczeństwo, ale o co chodzi?
Źródła ataków
29,5% Rosja, 18,3% USA, 17% Francja, 6,7% Ukraina, 6,4% Niemcy
Źródło: sucuri.net
Stan na 1.XII.2015
7. Składowe łańcucha bezpieczeństwa
- Człowiek
- Komputer
- Internet
- Hosting
- WordPress
„Po nitce do kłębka”
I. Bezpieczeństwo, ale o co chodzi?
8. Nie ma możliwości zapewnienia
100% bezpieczeństwa.
Bezpieczeństwo to wypadkowa
poziomu zabezpieczeń,
szybkości reakcji na incydent i
nieprzewidzianych wypadków.
Bezpieczeństwo to proces ciągły.
I. Bezpieczeństwo, ale o co chodzi?
9. Jak sobie z tym radzić?
Przyjrzyjmy się poszczególnym ogniwom naszego łańcucha
I. Bezpieczeństwo, ale o co chodzi?
10. system operacyjny MacOS/Windows/Linux - krytyczne aktualizacje systemu
dobry program antywirusowy
właściwa konfiguracja rutera WiFi
mocne hasło do WiFi
„przypadkowa” nazwa sieci WiFi tzw. SSID
brak dostępu do panelu rutera z Internetu
zmiana domyślnego hasła i loginu w ruterze
KOMPUTER
i jego najbliższe otoczenie
II. Sieciowe BHP
11. INTERNET
dobre nawyki
II. Sieciowe BHP
mocne hasła
różne hasła do różnych serwisów
haseł nie przechowujemy w przeglądarce, programie FTP czy pliku
stosujemy dobre programy do zarządzania hasłami np. 1Password
zabezpieczenie przed: keylogerami i programami do zczytywania ekranu
12. Strona WWW - WordPress
II. Sieciowe BHP
Przygotowanie środowiska hostingowego:
- dostęp przez SSH/SFTP
- login inny niż domena
- mocne hasła
- baza danych: nazwa bazy inna niż nazwa użytkownika,
ograniczony dostęp do bazy tylko do localhosta
- osobna baza dla każdej strony
13. Strona WWW - WordPress
II. Sieciowe BHP
Instalacja WordPress’a:
- nie stosujemy autoinstalatora
- losowy login inny niż admin !!!
- mocne hasło
- zmieniony prefix tabel bazy danych
Generalnie unikamy domyślnych ustawień
14. Strona WWW - WordPress
II. Sieciowe BHP
Higiena pracy z WordPress’em:
- konto Administratora wyłącznie do administracji!!
- konto Redaktora do tworzenia i publikowania wpisów
- login inny niż podpis, mocne hasła
- w nazwach plików nie używamy polskich znaków i spacji
- utrzymuj porządek - czego nie używasz usuwaj
- instalacja wtyczek i motywów tylko z zaufanych źródeł
15. Strona WWW - WordPress
konserwacja i bezpieczeństwo
II. Sieciowe BHP
BACKUP
- niezależne od hostingu
- przed każdymi większymi zmianami na stronie
- na serwerach zewnętrznych
- test przywracania strony z kopii
16. Strona WWW - WordPress
konserwacja i bezpieczeństwo
II. Sieciowe BHP
AKTUALIZACJE
- brak aktualizacji === informacja dla włamywacza o podatnościach
- aktualizujemy WordPressa, Motywy i Wtyczki
Ataki na WordPress’a kończą się sukcesem dzięki:
- 29% podatnościom motywu
- 22% podatnościom wtyczek
17. Strona WWW - WordPress
konserwacja i bezpieczeństwo
II. Sieciowe BHP
Czego nam tu brakuje?
- Monitoringu
- Reakcji na incydent
Niestety tu niezbędna jest szersza wiedza z zakresu administracji
serwerami, programowania i bezpieczeństwa.
18. II. Sieciowe BHP
Co jeszcze warto:
- szyfrowane połączenie z certyfikatem SSL
- podwójna autentykacja (Clef, Yubikey)
NIE używamy „kombajnów” do bezpieczeństwa
- są dziurawe
- dają fałszywe poczucie bezpieczeństwa
Tam gdzie można problem rozwiązać inaczej, nie stosujemy wtyczek
Error = (More Code)2
czyli parafraza E=mc2 :)
19. Polecane wtyczki i strony z zakresu bezpieczeństwa:
II. Sieciowe BHP
WP Login Alerts by DigiP, Limit Login Attempts - kontrola logowania do strony
BackWpUp, Duplicator - wtyczki do wykonywania backupów
Exploit Scanner - wtyczka skanująca stronę w poszukiwaniu ukrytego złośliwego kodu
Akismet, Antispam Bee - wtyczki antyspamowe
Clef, Yubico - wtyczki do podwójnej autentykacji
Sucuri Security - najbezpieczniejsza wtyczka do bezpieczeństwa
20. Polecane wtyczki i strony:
II. Sieciowe BHP
http://sucuri.net - strona poświęcona bezpieczeństwu WordPress’a
https://www.google.com/transparencyreport/safebrowsing/diagnostic/
index.html - możemy tu sprawdzić czy strona nie widnieje w Googlu jako niebezpieczna
https://wpvulndb.com - strona z informacjami o znalezionych podatnościach w wtyczkach i
motywach WordPress’a
https://wordpress.edu.pl - porady „zrób to sam” z bezpieczeństwa WP
22. III. BONUS
Ty zajmujesz się swoim biznesem my bezpieczeństwem Twojej
strony i… Twoim „świętym spokojem”
Jak to działa?
- zgłaszasz się do nas (wskazujesz adres strony i dane dostępowe do Kokpitu i FTP/SSH)
- wybierasz pakiet Opieki Technicznej ze strony https://wp-security.pl
- robimy audyt stanu bezpieczeństwa strony (czyli przede wszystkim czy nie ma
infekcji i błędów technicznych na stronie)
- podłączamy stronę pod nasz system Opieki Technicznej
23. III. BONUS
Co dostajesz od nas?
bezpieczeństwo (zabezpieczenie strony, na poziomie znacznie wyższym
niż tu zaprezentowany)
backup na zewnętrznych serwerach
aktualizacje - zawsze na czas, aktualizacje również komercyjnych
elementów z ElegantThemes i WPML (Pro)
monitorowanie ataków i antywirusowe
Pogotowie, czyli szybka reakcja i pomoc jeśli już komuś skutecznie uda
się włamać
Support, czyli możliwość skonsultowania się w zakresie modyfikacji czy
modernizacji strony, doboru wtyczek itd.
dodatki związane ze statystykami i optymalizacją wydajności (GA,
PageSpeed Insights, Piwik)