WordUp Wrocław #2 - 27.06.2013 Hartujemy WordPressa. Kilka kroków do bezpieczniejszej instalacji.

1. HARTUJEMY
WORDPRESSA
Kilka kroków do bezpieczniejszej instalacji.
marcin at chwedziak.pl
WORDUP WROCŁAW #2 — 27.06.2013
Aktualizacja: 28.01.2015

2. @*raeth
WORDUP WROCŁAW #2 — 27.06.2013
właściwie to Marcin Chwedziak
twiGer.com/Lraethgithub.com/Lraeth

3. chwedziak.plsoftware development

5. użytkownik › moderator › przyjaciel

6. 11 czerwca 2013
securitytracker.com
WordPress Bug in 'class-­‐phpass.php'
Lets Remote Users Deny Service

7. 15 kwietnia 2013
webmonkey.com
WordPress Hackers
Exploit Username "Admin"

8. 14 kwietnia 2013
phys.org
Admin Password Spells Trouble
In Recent WordPress AGacks

9. 12 kwietnia 2013
krebsonsecurity.com
Brute Force AGacks Build WordPress Botnet

10. 11 kwietnia 2013
blog.hostgator.com
Global WordPress Brute Force Flood

11. Tylko 60% wszystkich witryn WordPressa
jest zaktualizowana do najnowszej wersji.
dane własne w oparciu o pingoma<c.com

12. Aż 40% instalacji WordPressa korzysta z
potencjalnie niebezpiecznych starszych wersji.
Jednocześnie…
dane własne w oparciu o pingoma<c.com

13. W internecie jest około 670 milionów stron.
June 2013 Web Server Survey, NetcraG Ltd.

14. Ponad 67 milionów (10%) korzysta z WordPressa!
wordpress.com/stats

15. Każdej minuty atakowanych jest
setki tysięcy adresów IP.

16. W tym także ten, który kieruje
do twojego serwera.

17. Jak sobie radzić?

18. KONTROLA
PLAN
DZIAŁANIA
OGRANICZANIE

19. KONTROLA
Ilość potencjalnych punktów wejścia
do systemu powinna być zredukowana.

20. Dostęp do systemu plików.

21. Dostęp do systemu plików.
Używaj SFTP lub FTPS zamiast FTP.

22. SFTP (SSH File Transfer Protocol)
pozwala zamiast hasła użyć klucza autentykacji.
Google: SSH z kluczem publicznym

23. FTPS przesyła nasze hasło w postaci
zaszyfrowanej, niejawnej.
Zwykłe połączenie FTP pozwala podejrzeć nasze hasło!

24. Dostęp do systemu plików.
Mądrze zarządzaj uprawnieniami do plików.

25. Katalog główny: tylko ty
.htaccess jest wyjątkiem, ale…

26. /wp-­‐admin/: tylko ty

27. /wp-­‐includes/: tylko ty

28. /wp-­‐content/: ty oraz Apache

29. /wp-­‐content/themes/: ty
Powinniśmy wyłączyć możliwość edycji plików z poziomu WP:
define('DISALLOW_FILE_EDIT', true);

30. /wp-­‐content/plugins/: ty

31. Dostęp do systemu plików.
Przenieś wp-­‐config.php jeden katalog wyżej…

32. <Files wp-config.php>
Order allow,deny
Deny from All
</Files>
… albo zablokuj go z użyciem .htaccess

33. Dostęp do systemu plików.
Zablokuj bezpośredni dostęp do plików PHP.

34. # Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress
Nie działa z Mul<site!

35. Dostęp do bazy danych.

36. Dostęp do bazy danych.
Odseparuj bazę danych WordPressa.

37. Dostęp do bazy danych.
Zmień prefiks tabeli z domyślnego wp_ na np. kraken_.

38. Zmodyfikuj stałą w pliku wp-­‐config.php.
Nie zapomnij zmienić tabel w MySQL!

39. Dostęp do panelu administracyjnego.

40. Dostęp do panelu administracyjnego.
Jeśli używasz konta admin – zmień jego nazwę!

41. Dostęp do panelu administracyjnego.
Dodaj BasicAuth do /wp-­‐admin/.

42. Użyj .htaccess oraz .htpasswd…

43. <Files admin-ajax.php>
Order allow,deny
Allow from All
Satisfy any
</Files>
…i nie zapomnij udostępnić admin-­‐ajax.php!

44. Dostęp do panelu administracyjnego.
Użyj dodatkowych wtyczek blokujących nieudane logowania.

45. OGRANICZANIE
Konfiguracja systemu powinna minimalizować
liczbę groźnych operacji po uzyskaniu dostępu.

46. Zawsze miej aktualną wersję WordPressa.

47. To samo dotyczy wtyczek!
A jeśli jakichś nie używasz – po prostu je usuń.

48. Wyłącz możliwość edycji plików
z poziomu panelu WordPressa.

49. Niech użytkownik MySQL ma dostęp
tylko do bazy z tabelami WordPressa.

50. define('DISALLOW_UNFILTERED_HTML', true);

51. PLAN DZIAŁANIA
Powinniśmy być zawsze gotowi na
podjęcie akcji po wystąpieniu zagrożenia.

52. Zawsze bądź gotów na odtworzenie instalacji.

53. Dokonuj regularnych kopii bezpieczeństwa.

54. Zarówno bazy danych, jak i plików WordPressa.

55. Im częściej publikujesz, tym częściej rób kopie.

56. Wyłącz wyświetlanie błędów PHP.

57. define('WP_DEBUG', false);
define('WP_DEBUG_LOG', false);
define('WP_DEBUG_DISPLAY', false);
@ini_set('display_errors', 0);

58. Ale zadbaj o ich zbieranie w celach analizy.

60. heps://github.com/ryanbagwell/wordpress-­‐sentry

61. Przeglądaj dziennik zdarzeń.

62. ModSecurity OSSEC
Monitoring
plików
Monitoring
logów

63. Działania prewencyjne
są bezsprzecznie kluczowe.
WORDUP WROCŁAW #2 — 27.06.2013

64. Ale stałe monitorowanie witryny
pozwoli spać spokojnie.
WORDUP WROCŁAW #2 — 27.06.2013

65. Pytania?

66. DZIĘKUJĘ ZA UWAGĘ
Hartujemy WordPressa. Kilka kroków do bezpieczniejszej instalacji.
marcin at chwedziak.pl
WORDUP WROCŁAW #2 — 27.06.2013
Aktualizacja: 28.01.2015