Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

САМБО для WordPress

by: Дмитро Кондрюк

  • Be the first to comment

  • Be the first to like this

САМБО для WordPress

  1. 1. САМБО для WordPress https://wphost.me
  2. 2. Привіт! Мене звуть - Дмитро І я алкоголік люблю WordPress. Додавайте у друзі: fb.me/azzepis fb.me/WPHostme
  3. 3. Привіт!
  4. 4. Коли хтось сказав
  5. 5. «небезпека»...
  6. 6. 16,600,000 Атак за 7 днів, з них 2,036,508 з однієї IP адреси, направлені проти 30+ тис. сайтів. Статистика Wordfence https://goo.gl/ktyQBa Meet Ivan from St. Petersburg, Russia
  7. 7. і з чим його їдять….. Ща за звір - OpenSource
  8. 8. 6,611,909 Атак за 16 годин, направлених проти 70+ тис. сайтів. Статистика Wordfence https://goo.gl/nYzZrR Meet Svitogor from Ukraine
  9. 9. Робота сайту 24/7
  10. 10. SEO – результати в google/yandex Цей сайт може нашкодити вашому комп'ютеру Цей сайт може нашкодити вашому комп'ютеру Цей сайт може нашкодити вашому комп'ютеру
  11. 11. Екран смерті :)
  12. 12. Яке мені діло? [root@server ~]# cat /var/log/exim/main.log | grep "steam“ 2016-09-07 00:27:10 H=smtp01.steampowered.com [208.64.202.37] F=<noreply@steampowered.com> rejected RCPT <admin@***>: rejected because 208.64.202.37 is in a black list at dnsbl.sorbs.netnCurrently Sending Spam See: http://www.sorbs.net/lookup.shtml?208.64.202.37 2016-09-07 22:58:12 H=smtp03.steampowered.com [208.64.202.39] F=<noreply@steampowered.com> rejected RCPT <admin@***>: rejected because 208.64.202.39 is in a black list at dnsbl.sorbs.netnCurrently Sending Spam See: http://www.sorbs.net/lookup.shtml?208.64.202.39
  13. 13.  Ecommerce – доступність сайту 24/7  SEO – результати в google/yandex  Репутація домену , IP  Доставка листів з корпоративних скриньок  Витрати – оплата дод.ресурсів, дод.робіт (хостинг, чистка, відновлення даних…..)  Особисті дані (напр. Дані клієнтів) Яке мені діло?
  14. 14. https://wordpress.org/showcase/
  15. 15. ЯК ЛАМАЮТЬ )))
  16. 16. Чому саме WP?
  17. 17. «Дірки» у плагінах + слабкий пароль > 70% проблем ЯК?
  18. 18. Основні причини Ви у списку Випадково ) Ви - ціль Ваш логин admin и пароль Qwerty123 
  19. 19. Тепер слухай уважно!
  20. 20. Плагін Всього атак Сайтів атаковано filedownload 46037 21373 ajax-store-locator-wordpress 44123 20558 plugin-newsletter 38227 18351 pica-photo-gallery 37795 18126 simple-download-button-shortcode 37684 18066 wp-filemanager 37457 17236 tinymce-thumbnail-gallery 37270 17888 dukapress 36697 17495 XXXXXX* 36303 17358 db-backup 34966 16627 Проблеми з плагінами https://wordpress.org/plugins/slug
  21. 21. Преміум сегмент не панацея
  22. 22. Регулярно оновлюйтесь!
  23. 23. Ваш логін admin и пароль Qwerty123 Якщо у якості паролю використати «Чак Норіс», отримаєте повідомлення, що пароль занадто МІЦНИЙ…
  24. 24. 10 цифр, за 0,001 сек Пароль з 10 символів (літери + цифри) може бути підібрано приблизно за 1 добу. Суперкомп’ютер підбере пароль, що складається з Цікава статистика https://www.betterbuys.com/estimating-password-cracking-times/
  25. 25. Як не втрапити у пастку? Проблеми з Шаблонами Шаблон Всього атак Сайтів infocus 83095 20587 acento 43898 20481 XXXXX* 43613 20340 jarida 43451 20292 markant 43307 20259 yakimabait 43291 20300 tess 43015 20110 felis 42854 20030 ypo-theme 42671 19995 persuasion 41527 20316 echelon 41398 20264 modular 41322 20263 awake 41123 20145 fusion 41012 20132 method 40908 20101 myriad 40702 20007 elegance 40677 19976 dejavu 40551 19997 construct 40278 19882 epic 37141 17850 linenity 36656 17619 parallelus-salutation 36586 17623 trinity 36295 17503 antioch 36180 17322 urbancity 36118 17416 parallelus-mingle 35740 17179 authentic 35683 17073 churchope 35532 17040 lote 35445 17027
  26. 26. Преміум сегмент не панацея
  27. 27. Преміум сегмент не панацея
  28. 28. Жодних правок у ядрі! Ядро Тільки код, написаний Чаком Норісом, має одну версію… А той, хто сповістить про баг, не доживає до світанку…
  29. 29. Кожен раз, коли ви редагуєте файли ядра, вмирає одне кошеня… Оновлюйтесь до «мінорних» версій, намагайтеся оновлюватися до «мажорних» П.С. Бекап..…
  30. 30. Жоден сайт не захищений на 100% Безпека сайту - це НЕ продукт, це процес
  31. 31. shut up and dance Х+1 метод захисту для усіх і кожного
  32. 32. Про всякий випадок….. Мене звуть, Дмитро Додавайте у друзі: fb.me/azzepis
  33. 33. ТРИ КИТИ Оновлення Одна з найбільших «дірок» у безпеці WP – це застаріле ПЗ (ядро, плагіни, теми) Оновлюйтесь хоча б до мінорних версій ядра! Паролі Усі знають, що потрібно використовувати складні паролі. Це ускладнює підбір. Бекап Ще раз бекап, і потім все це забекапити разок…..
  34. 34. ВИКОРИСТОВУЮ - Переглянути активні плагіни і половину вимкнути - З тих, що залишились активними, обрати такі, якими будете користуватись, інші вимкнути - З тих, що вціліли, залишити лише ті, без яких сайт не буде працювати взагалі… ПЛАГІНИ НЕ ВИКОРИСТОВУЮ Усі плагіни, що Ви не використовуєте, необхідно видалити з серверу/сайту. П.С. Обновлення – також не забуваємо..!
  35. 35. Паролє…..Паролє…..
  36. 36. Пароль та сторінка входу Проблема - brute force, рішення: ✖ Змінити адресу входу, реєстрації, відновлення паролів. ✖ Складний пароль ✖ Обмеження по IP ✖ Авторизація по email
  37. 37. Пароль та сторінка входу Рекомендую: ✖ Не використовувати логін admin (не надавати роль адміна кому заманеться) ✖ Плагін https://wordpress.org/plugins/better-wp-security/ ✖ Плагін https://wordpress.org/plugins/rename-wp-login/ ✖ Плагін https://wordpress.org/plugins/wp-email-login/ ✖ Приховати імена користувачів в адресах сторінок https://wordpress.org/plugins/edit-author-slug/ ✖ В якості паролів можна використати будь-яку фразу, напр., «Ласкаво просимо до WordPress!» . Використовувати слова «Чак» та «Норіс», але тіьльки по одному!
  38. 38. Приклади паролів password default admin password1 dima1234 p@ssw0rd g0ldf1sh crabcrab stopstop passpass qwerty 12345 asdfgh 1 ?L)sn7`@Fdy8(F!# )fuTrm [_H9&vx v7}bcKuD~u"98A8b TSxs4PV*Yw@/ 3R?#Du_nCBed WtGfhjkmXfrfYjhscf
  39. 39. І це не дурня! )) Додай /?author=1
  40. 40. І це не дурня! )) Додай /?author=1
  41. 41. Зберігайте копію шаблона, редагуйте через дочірні теми.
  42. 42. І на десерт Корисні хаки
  43. 43. Ховаємось, захищаємось #.htaccess <files readme.html> order allow,deny deny from all </files> // functions.php function wpua_remove_version() { return ''; } add_filter('the_generator', 'wpua_remove_version');
  44. 44. https://wordpress.org/plugins/wp-hide-security-enhancer/
  45. 45. /wp-content/uploads/.htaccess <Files *.php> deny from all </Files> У цій директорії не має бути подібних файлів
  46. 46. Будьте у курсі….. - Додайте сайт у консоль google search - Переглядайте час від часу зміст файлів robots.txt , .htaccess, sitemap.xml
  47. 47. Редактор кодів, встановлення «модів» define( 'DISALLOW_FILE_EDIT', true ); define( 'DISALLOW_FILE_MODS', true ); Одне з двох…
  48. 48. wp-config.php <files wp-config.php> order allow,deny deny from all </files> Чи на рівень вище….. Одне з двох чи два ))…
  49. 49. Сторінка авторизації <Files wp-login.php> order deny,allow Deny from all # только мой IP адрес allow from 102.108.5.1 </files>
  50. 50. Адмінка # Block access to wp-admin. order deny,allow allow from x.x.x.x deny from all # Allow access to wp-admin/admin-ajax.php <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files>
  51. 51. Адмінка
  52. 52. 404 – Indexes = Love! GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php inurl:/wp-content/plugins/revslider/ /wp-content/force-download.php?file=../wp-config.php HTTP/1.1 /wp-content/plugins/ajax-store-locator-wordpress_0/sl_file_download.php?download_file=../../../wp- config.php HTTP/1.1 /wp-content/plugins/filedownload/download.php/?path=../../../wp-config.php HTTP/1.1 /wp-content/plugins/google-mp3-audio-player/direct_download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/plugins/pica-photo-gallery/picadownload.php?imgname=../../../wp-config.php HTTP/1.1 /wp-content/plugins/plugin-newsletter/preview.php?data=../../../../wp-config.php HTTP/1.1 /wp-content/plugins/simple-download-button-shortcode/simple-download- button_dl.php?file=../../../../wp-config.php HTTP/1.1 /wp-content/plugins/tinymce-thumbnail-gallery/php/download-image.php?href=../../../../wp-config.php HTTP/1.1 /wp-content/themes/MichaelCanthony/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/Newspapertimes_1/download.php?filename=../../../wp-config.php HTTP/1.1 /wp-content/themes/SMWF/inc/download.php?file=../../../../wp-config.php HTTP/1.1 /wp-content/themes/TheLoft/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/acento/includes/view-pdf.php?download=1&file=../../../../wp-config.php HTTP/1.1 /wp-content/themes/churchope/lib/downloadlink.php?file=../../../../wp-config.php HTTP/1.1 /wp-content/themes/corporate_works/downloader.php?file_download=../../../wp-config.php HTTP/1.1 /wp-content/themes/felis/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/jarida/download.php?uri=../../../wp-config.php HTTP/1.1 /wp-content/themes/lote27/download.php?download=../../../wp-config.php HTTP/1.1 /wp-content/themes/markant/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/parallelus-mingle/framework/utilities/download/getfile.php?file=../../../../../../wp- config.php HTTP/1.1 /wp-content/themes/parallelus-salutation/framework/utilities/download/getfile.php?file=../../../../../../wp- config.php HTTP/1.1 /wp-content/themes/tess/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/yakimabait/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/ypo-theme/download.php?download=../../../wp-config.php HTTP/1.1
  53. 53. Попереджуйте https://perishablepress.com/blackhole-bad-bots/
  54. 54. Інтерфейс xml-rpc Вирубити )
  55. 55. CDN/Firewall Ваш сайт https://www.cloudflare.com/
  56. 56. Ще раз бекап! «3 дня тому» На вчора «Тиждень тому»
  57. 57. - Робити бекап - Додати сайт у гугл- консоль - Оновлювати ядро - Оновлювати плагіни - Видалити неактивні плагіни - Оновлювати шаблони - Використовувати актуальну версію php - Ставити коректні права на директорії/файли - Не використовувати логін admin - Не використовувати префікс таблиць wp_ ЧЕКЛІСТ - Використовувати складний пароль - Захист від підбору паролів - Обмежити доступ до адмін-панелі - Використовувати плагін «захисту» - За можливості, використовувати https, sftp - Слідкувати за безпекою свого локального комп’ютера - Робити бекап бекапу ))) - Хостинг с дод.захистом
  58. 58. Давай, до побачення… Плагіни захисту - Ithemes Security - Wordfence https://wordpress.org/plugins/se arch.php?type=term&q=firewall П.С. В першому є чудова опція, блокувати усіх, хто авторизуєтся під admin Корисне Статті по темі http://bit.ly/wpdefence Ще приклади коду https://codex.wordpress.org/ Brute_Force_Attacks
  59. 59. Дякую! Нагадаю, мене звати Дмитро Кондрюк ) Я на фейсбук: fb.me/azzepis info@wphost.me
  60. 60. Трошки оплисків не завадить )

×