Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

2

Share

Download to read offline

Защищаем WordPress-сайт от хакерских атак

Download to read offline

Презентация с доклада WordPress Meetup от 23 мая 2015

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

Защищаем WordPress-сайт от хакерских атак

  1. 1. Защищаем WordPress-сайт от атак Сухарь Руслан, UpSolution
  2. 2. Цена взлома?
  3. 3. Цена взлома = репутация
  4. 4. Кто и зачем может взломать Ваши сайты?
  5. 5. Кто и зачем может взломать Ваши сайты? Нецелевые атаки 95% Целевые атаки 5%
  6. 6. Нецелевые атаки • Пост-индексный проход • Хакерские базы • Google Hacking Database
  7. 7. Google Hacking Database
  8. 8. Целевые атаки
  9. 9. 10 признаков, что вас взломают
  10. 10. 1. Перегрузка плагинами
  11. 11. Что делать? • Устанавливать плагины разумно. Помнить, что у каждого плагина есть и обратная сторона. • Если разбираетесь— смотреть качество кода плагинов и делать выводы.
  12. 12. 2. Ядро, темы и плагины не обновляются своевременно
  13. 13. Что делать? • Подписаться на рассылки об обновлениях используемых компонентов. • Обновлять компоненты оперативно.
  14. 14. 3. У разных сайтов общие файлы
  15. 15. Что делать? • Когда это возможно, не использовать WordPress Network установку. • Разделять доступ. Например, на уровне конфигурации PHP для виртуального хоста: – open_basedir – session.save_path – upload_tmp_dir
  16. 16. 4. У разных сайтов общий MySQL
  17. 17. Что делать? • Использовать для разных сайтов разные БД с разными пользователями. • Не использовать рутовый MySQL-доступ.
  18. 18. 5. Файлы index.php и .htaccess доступны для записи
  19. 19. Что делать? # chown -r root:root . # chown -r www-data:www-data wp-content/upload
  20. 20. 6. PHP позволяет выполнять eval()
  21. 21. 7. PHP позволяет выполнять shell-команды ×10
  22. 22. Что делать? • Запретить (disable_functions) на уровне конфигурации PHP функции: – exec – shell_exec, passthru, system, proc_open, popen – curl_exec, curl_multi_exec
  23. 23. 8. Запросы не фильтруются
  24. 24. Что делать? • Использовать Web Application Firewall: –На уровне DNS (CloudFlare, …) –На уровне железа (TrustWave, …) –На уровне веб-сервера (mod_security, .htaccess/nginx.conf) –На уровне веб-приложения (NinjaFirewall, …)
  25. 25. 9. Не логируются post-данные
  26. 26. Что делать? • Использовать mod_dumpost или аналогичное решение
  27. 27. 10. Серверный софт не обновляется
  28. 28. Что делать? • Не администрировать сервер самому. • Подписаться на рассылки и не забывать обновляться.
  29. 29. Выводы • Большинство атак — нецелевые • От них достаточно легко защититься
  30. 30. Спасибо за внимание! Email: rs@us-themes.com Twitter: @umnik Website: us-themes.com
  • vburlak

    Aug. 21, 2015
  • AlexanderMeier2

    Jul. 11, 2015

Презентация с доклада WordPress Meetup от 23 мая 2015

Views

Total views

4,426

On Slideshare

0

From embeds

0

Number of embeds

3,283

Actions

Downloads

9

Shares

0

Comments

0

Likes

2

×