Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014

2,473 views

Published on

Prezentace "10 tipů pro lepší zabezpečení WordPressu" z WordPress konference v Hluboké 2014

Published in: Internet
  • Be the first to comment

10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014

  1. 1. 10 tipů pro lepší zabezpečení WP Radek Kučera WordPress meetup Hluboká
  2. 2. Kudy lze napadnut WordPress? Síťová infrastruktura & hosting • bezpečnostní díry v zastaralých verzích PHP, MySQL, phpMyAdmin • OpenSSL • DOS / DDOS Z počítače • odposlouchávání komunikace se serverem • neodhlášení z veřejného PC • CSRF • odcizení cookies • útoky na lokální síť ARP spoofing, DNS hijacking Aplikace • bezpečnostní díry v zastaralých, neoficiálních a neověřených verzích WP, pluginech a šablonách, • Brute-force
  3. 3. 1. Základní bezpečnostní tipy • Silné heslo • Nepoužívejte free hosting • Změna prefixu databáze • Přihlašujte se pouze ze svého PC • Aktualizujte • Zálohujte • Smažte nepoužívané účty, pluginy a šablony • Méně pluginů znamená více bezpečnosti • Použijte SFTP/FTPeS namísto FTP • Používejte ověřené šablony a pluginy jen z repozitáře wordcamp.org
  4. 4. 2. Wp-config.php o level výše Do této složky instalujete WordPress O úroveň výš nahrajte wp-config.php WordPress si sem umí sáhnout nastavte práva 444
  5. 5. 3. Omezení práv souborů a složek • CHMOD hodnota 755 pro složky • CHMOD hodnota 644 pro soubory • wp-config.php a .htaccess nastavte 440 nebo 444 (na úpravy musíte přes ftp zvýšit práva na 644 a po dokončení zase zpět na 444)
  6. 6. 4. Vypněte editaci z administrace Vypnutí editace pluginů a šablon z administrace WordPressu je jednoduchá věc. Stačí tento zápis do wp-config.php
  7. 7. 5. Zamkněte administraci Díky jednoduchému zápisu do .htaccess ve složce wp-admin máte možnost omezit přístup pouze na konkrétní IP adresu
  8. 8. 6. Omezení počtu chybných přihlášení Omezením počtu chybných příhlášení zabráníte bruteforce útoku na prolomení hesla • Max Login Attempts Per User • Max Login Attempts Per Host (IP adresa) • Minutes to Remember Bad Login (check period)
  9. 9. 7. Omezení počtu chybných stránek 404 Omezením počtu chybných stánek 404 za konkrétní časový úsek zabráníte více typům útoků (bruteforce, hledání zranitelností a chyb) Pozor s tímto může být problém pokud šablona hází 404 chyby a nevíte o tom (inframe??)
  10. 10. 8. Detekce změny souboru Po každé aktualizaci / přidání / smazání souborů či složk Vám přijde notifikační email s detaily
  11. 11. 9. Zakažte přístup k souborům přes prohlížeč Níže uvedený kód vložte do .htaccess
  12. 12. 10. Aktivujte https pro přihlášení • Nastavte SSL šifrování tedy https pro přihlášení do administrace • Vložte do wp-config.php
  13. 13. Další bezpečnostní tipy • Zakažte skripy v /uplaod/ složce (Sucuri) • Zakažte procházení adresářů na serveru (iThemes) • Přejmenujte adresář /wp-content/ • Omezit přístup do /wp-includes/ (Sucuri)
  14. 14. Doporučené pluginy Sucuri Security iThemes Security
  15. 15. Webové bezpěčnostní aplikace
  16. 16. Dotazy Zdroj kde najdete více informací: http://wordpress.bigdrobek.com/bezpecnost/ Děkuji za pozornost, Radek Kučera

×