Successfully reported this slideshow.
Your SlideShare is downloading. ×

Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Hostory
Hostory
Loading in …3
×

Check these out next

1 of 11 Ad
Advertisement

More Related Content

Slideshows for you (13)

Similar to Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014 (14)

Advertisement
Advertisement

Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014

  1. 1. Bezpieczeństwo WordPress okiem admina WordCamp Warszawa 2014
  2. 2. • Kto? Michał Smereczyński • Skąd? Szczecin • Co robi? technology evangelist, devop, admin, infrastructure architect • Co ma wspólnego z WP? wdrożenia, migracje, optymalizacje, blog • Twitter / blog / LinkedIn @smereczynski / superuser.org.pl/blog / pl.linkedin.com/in/smereczynski/
  3. 3. WordPress stack • Linux / *NIX / Windows • PHP • MySQL / MariaDB / Percona • Apache / NGINX
  4. 4. Linux • Firewall • Ukrycie wersji systemu (skanowanie portów)* • Wykrywanie rootkitów (np. rkhunter) • Fail2Ban • Bezpieczny kernel (GRSec / Pax)* • Aktualne oprogramowanie • Minimalna konfiguracja (w miarę możliwości) • Jail SSH jeśli user ma dostęp do SSH* • SFTP (śmierć FTP!)
  5. 5. PHP (WordPress ) • Pliki skryptu należą do użytkownika (CHOWN) • Redundantny Filesystem (klastrowany FS) • Izolacja • Backup • Staging • Kontrola wersji
  6. 6. MySQL (MariaDB ) • Redundancja • Izolacja • Load balancing • Backup
  7. 7. NGINX (Apache ) • Pule użytkowników • FCGI / FPM • Ukrycie wersji oprogramowania • Cache • Redundancja • Load balancing • Optymalizacja • Reverse Proxy* (varnish nie lubi ciastek... a WordPress tak.)
  8. 8. Single Point Of Failure
  9. 9. Checklist • Infrastruktura • Wirtualizacja • Redundancja • Izolacja • Skalowalność • Powtarzalność • Przewidywalność • Dokumentacja "Vision Without Implementation Is Just Hallucination"
  10. 10. Wishlist (list do dewelopera) • ukrywamy wp-content • ukrywamy wp-admin • ukrywamy wp-login • ukrywamy wersje • solimy hasła • uwierzytelniamy dwuetapowo • filtrujemy IP administratora (VPN) • używamy przetestowanych pluginów • uważamy na podatności na XSS • aktualizujemy skrypty • wyłączamy niepotrzebne/nieużywane moduły • C.D.N.
  11. 11. Pytania?

×