Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Prezentace - základy bezpečnosti

734 views

Published on

Prezentace z 8. WP Konference o základech bezpečnosti při používání CMS WordPress. 28.11.2015 - Tomáš Kocifaj | Brilo.cz

  • Be the first to comment

Prezentace - základy bezpečnosti

  1. 1. Ptejte se v průběhu. www.sli.do#3302
  2. 2. Jednoduché dělení Jádro (core) WordPress Uživatel (správce) Pluginy (doplňky) Themes (šablony) Úroveň bezpečnosti 40% Bezpečnost není pouze o útočníkovi, je především o Vás a přístupu k Vaší aplikaci.
  3. 3. Jádro (core) WordPress Každý den na WordPressu pracuje aktivně velká základna vývojářů. Většina nových chyb a tipů útoků jsou odchyceny hned. Je tedy tím nejbezpečnějším ale i nejzranitelnějším systémem. …ale WordPress je OpenSource řešení – každý může důkladně projít jeho kódy. Jsme odkázání na vývojáře WordPressu, jak rychle případné chyby opraví. WordPress je nejpoužívanější systém na světe – je tak v hledáčku hackerů. Napříč internetem již existuje spoustu návodů, jak WordPress napadnout. Nejen návodů, ale také již reálných nástrojů, které chyby odhalí. Lze snadno odhalit, zda web používáš WordPress.
  4. 4. Uživatel (správce) Většina prolomených WordPress instalací bývá příčinou špatného chování správce daného webu (instalace). Slabá hesla Odhalitelný login Podobné heslo Neprovádí aktualizace Používá nebezpečné pluginy Používá neprověřené šablony
  5. 5. Příklady hesel www.superbazar.cz superbazar Superbazar Superbazar2015 2015bazar Doména Uživatel (login) Heslo www.superbazar.cz admin 123456 maminka milacek www.superbazar.cz petr petr petr1985 petrbazar123 www.superbazar.cz traktoristapetr #kt00cm!aFsaj ^@IjHQD*!xnI^2AwEEv V*99F www.security-portal.cz/clanky/50-nejpoužívanějších-hesel-pro-web-v-čr
  6. 6. Pluginy (doplňky) Každý plugin sebou nese potenciální riziko. Čím více doplňků tím větší šance, že hacker najde „díru“ kterou hledal. Pluginy, které už nepoužíváte smažte. Deaktivace nestačí. Pluginy udržujte vždy aktualizované! Pluginy, které nebyly dlouho aktualizované nesou větší riziko. Pozor na placené pluginy, které jsou oblíbeným terčem a nemají automatické aktualizace Úroveň bezpečnosti 50%
  7. 7. Themes (šablony) Šablony, které nepoužíváte smažte. Neponechávejte neaktivní. Prověřte, zda šablona nepoužívá ke své funkci další sadu pluginů. Pokud nevíte, co děláte, neprovádějte programové záshay. Zkontrolujte, zda šablona je pro aktuální verzi WP nebo alespoň verzi blízkou. Pozor na ty šablony, které nenabízejí automatický update. Prověřujte, kdo je autorem šablony a zda má kladné reference. Úroveň bezpečnosti 60%
  8. 8. Jak se útočník chová? Aby mohl hacker provést případný útok na WordPress instalaci (nebo na cokoliv jiného) potřebuje znát všechny aspekty k tomu, aby jeho útok byl úspěšný. Nejsme schopni zcela zamezit tomu, aby útočník zjistil, že se jedná o WordPress. Nejsme schopni zcela zamezit tomu, aby útočník zjistil, jaké používáme pluginy. Pokud používáte „obecně známe šablony“ detekuje i je. Pokud zjistí WordPress a jeho verzi, může prověřit rizika dané verze. Pokud zjistí plugin a jeho verzi. Může využít chybu právě tohoto pluginu. Stejně tak může mít bezpečnostní riziko i používána šablona. Stačí jí pouze detekovat.
  9. 9. A jdeme na to ! Pokud víme, jak se útočník chová a jak provádí své útoky, můžeme začít aplikovat potřebnou obranu. Využijeme již existující a velmi dobře fungující doplněk. Link ke stažení
  10. 10. Plugin Vás provede nastavením
  11. 11. Detekce WordPressu Útočník provádí dotazy na server, zda na určité cestě leží nějaký soubor, který by mu prozradil, zda se jedná o WordPress, určitý plugin, nebo šablonu. To generuje řadu 404 chyb v rychlém sledu. Úroveň bezpečnosti 65%
  12. 12. Místo, kde je možné se přihlásit Všichni kdo WordPress používají vědí, že přihlašovací formulář se nachází na adrese /wp-admin. Útočník to ví také a bude jí hledat, aby mohl zkoušet prolomit heslo. Úroveň bezpečnosti 70%
  13. 13. Pokus o prolomení hesla Útočník se pokouší opakovaně přihlásit a zkouší různé kombinace uživatelského jména a hesla. Úroveň bezpečnosti 75%
  14. 14. XML-RPC XML-RPC je technologie, pomocí které se dá s WordPressem komunikovat a editovat jeho obsah (nastavení) vzdáleně – například se používá pro pingbacky, mobilní aplikace a některé pluginy. Nese ale velké riziko a většinou ho nikdo nepoužívá. Úroveň bezpečnosti 80%
  15. 15. Další bezpečnostní doporučení Nenechávejte uživatele „admin“. Stejně tak nenechávat uživatele s ID 1. Nepoužívejte defaultní databázový prefix wp_ dejte vlastní unikátní. Nepoužívejte stejnou přezdívku (ve WP) jako login name do WP. Vynucujte u ostatních uživatelů opravdu silné heslo. Prostudujte si důkladně plugin iTheme security a řiďte se průvodcem. Provádějte zálohy, kdyby přeci jenom k úspěšnému útoku došlo. Navštěvujte své stránky pravidelně a provádějte aktualizace. Úroveň bezpečnosti 90% Pokud máte své servery, blokujte Čínu a Rusko – cca 60% útoků.
  16. 16. Co si tedy odneste? Provést základní zabezpečení a nastavení iTheme security Vám zabere jen několik minut. Oprava napadeného WordPressu může zabrat i hodiny. Myslete na to, že největší bezpečnostní riziko jste Vy. Dělejte proto všechno, abyste byly tím rizikem co nejmenším. Důkladně prověřujte věci, které si do své instalace přidáte. Nikdy nevíte, jak je autor pluginu nebo šablony dobrý vývojář. Většinu útoků provádí „roboti“, kteří hledají běžné chyby a využívají je. Nedělejte běžné chyby a Vaše data zůstanou v bezpečí. Cílený útok je velmi nepravděpodobný. A bez dokonalé znalosti WP prakticky nemožný.

×