Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

WordPress Security - Battening down the hatches

1,026 views

Published on

A brief overview talk on WordPress Security, presented at WordCamp Netherlands 2015.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

WordPress Security - Battening down the hatches

  1. 1. WORDPRESS SECURITY – BATTENING DOWN THE HATCHES @brechtryckaer t
  2. 2. @BRECHTRYCKAERT - WordPress Specialist bij Combell.com - Auteur van WordPress Security 101 ebook (Kindle, Kobo, iBooks, Gumroad)
  3. 3. WIE WERD AL EENS SLACHTOFFER VAN HACKING?
  4. 4. SOORTEN HACKS Backdoors & Shells Pharma hack Drive By Downloads Malafide redirects
  5. 5. HOE GERAKEN HACKERS BINNEN? Oorzaken van hacking Lekken in thema's en plugins Verouderde versies Wordpress Server config & andere oorzaken
  6. 6. HOE KUNNEN WE DE BEVEILIGING VERSCHERPEN? Waar aanpakken? SERVER WORDPRESS
  7. 7. SECURITY BINNEN WORDPRESS De basics: Security plugin (iThemes, Wordfence, Sucuri, ...) Sterke wachtwoorden “admin” gebruiker uit den boze
  8. 8. SECURITY BINNEN WORDPRESS Maar ook: 2-factor authentication (bvb Clef) Inactieve plugins en thema’s verwijderen UPDATES! UPDATES! UPDATES! Geen core-file tweaken!
  9. 9. SECURITY OP SERVER-NIVEAU Verschillende tweaks aan de wp-config.php Aanpassingen aan .htaccess Mappen 755-rechten, files 644. Robots.txt
  10. 10. SECURITY OP SERVER-NIVEAU: WP-CONFIG.PHP define( 'DISALLOW_FILE_EDIT', true ); => uitschakelen thema & plugin editor define('WP_AUTO_UPDATE_CORE', true); add_filter( 'auto_update_plugin', '__return_true' ); add_filter( 'auto_update_theme', '__return_true' ); => forceert automatische updates van WordPress (alle releases) alsook plugins en thema’s.
  11. 11. SECURITY OP SERVER-NIVEAU: .HTACCESS Blokkeer de includes # Block the include-only files. <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] RewriteRule ^wp- includes/js/tinymce/langs/.+.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L]
  12. 12. SECURITY OP SERVER-NIVEAU: .HTACCESS Beperk backend access Afzonderlijke .htaccess voor in /wp- admin # Limit backend acces. order deny,allow deny from all allow from xx.xx.xx.xx
  13. 13. SECURITY OP SERVER-NIVEAU: .HTACCESS Blokkeer Track & Trace en vermijd XSS attack #Block track & trace RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F]
  14. 14. SECURITY OP SERVER-NIVEAU: .HTACCESS Afzonderlijke .htaccess in /wp- content/uploads/ #Block PHP execution <Files *.php> deny from all </Files>
  15. 15. SECURITY OP SERVER-NIVEAU: FILE PERMISSIONS  Mappen 755  Bestanden 644 Geen 777!!!
  16. 16. SECURITY OP SERVER-NIVEAU: ROBOTS.TXT Vermijd dat bots kritieke locaties kunnen crawlen Voeg volgende toe als robots.txt: User-agent: * Disallow: /feed/ Disallow: /trackback/ Disallow: /wp-admin/ Disallow: /wp-content/ Disallow: /wp-includes/ Disallow: /xmlrpc.php Disallow: /wp-
  17. 17. SECURITY: USER & EXTERN Security op de pc’s/mac’s van eindgebruiker Illegale/”gevonden” software UPDATES UPDATES UPDATES!!! Komt meestal neer op het heropvoeden van de gebruiker
  18. 18. SECURITY: USER & EXTERN CDN, bijvoorbeeld CloudFlare
  19. 19. PENETRATION TESTING! WPScan (http://www.wpscan.org) Sucuri Sitecheck (https://sitecheck.sucuri.net/)
  20. 20. VRAGEN??? Contacteer me! Twitter: @brechtryckaert Blog: http://brechtryckaert.be 50% korting op mijn e-book: https://gum.co/WPS101/WCNL2015

×