Advertisement
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging
Mijn site beveiliging

Check these out next

Open Computer and Software Inventory
Open Computer and Software Inventory
247 Invest
Infra as Code workshop
Infra as Code workshop
MarinoDekker
Hosting van Drupal gemeentesites @ DrupalJam 2014
Hosting van Drupal gemeentesites @ DrupalJam 2014
Bas van der Zalm
Presentatie Webscale op DrupalJam 2014
Presentatie Webscale op DrupalJam 2014
Webscale
De 10 geboden van WordPress Development
De 10 geboden van WordPress Development
Floris Lof
Installatie apache, qgis server en lizmap web client
Installatie apache, qgis server en lizmap web client
Sandro Pibia
Web Application Security; Hacking your way in!
Web Application Security; Hacking your way in!
Peter Schuler
Bart Lageweg - Ansible/Cobbler
Bart Lageweg - Ansible/Cobbler
Splend
1 of 54

Mijn site beveiliging

Sep. 23, 2015
Download to read offline
Technology

Online zie je veel tips om je WordPress site te beveiligen. Vaak raden ze hiervoor een WordPress plugin aan. Dit is vaak niet de juiste oplossing en tijdens deze presentatie laat ik zien hoe ik het zelf doe. Dit gaat van hoe je site optimaal beveiligd tot hoe je jouw site in de gaten kan houden.

Marko Heijnen
Founder and Technical Director at CodeKitchen B.V.
Advertisement
Advertisement
Advertisement

Recommended

Drupal Deployment demoDrupal Deployment demo
Drupal Deployment demodropsolid1K views51 slides
Speeding up WordPressSpeeding up WordPress
Speeding up WordPressBrecht Ryckaert909 views63 slides
Vagrant + ansible vs dockerVagrant + ansible vs docker
Vagrant + ansible vs dockerMarianne Schimmel1.8K views20 slides
Hosted Security Online Backup supporttrainingHosted Security Online Backup supporttraining
Hosted Security Online Backup supporttrainingMaarten Vink271 views65 slides
OGH Weblogic 10.3 vs IAS 10.1.3OGH Weblogic 10.3 vs IAS 10.1.3
OGH Weblogic 10.3 vs IAS 10.1.3Edwin Biemond577 views26 slides
SSL, SEO en Snelheid - WP Meetup Nijmegen 11 september 2014SSL, SEO en Snelheid - WP Meetup Nijmegen 11 september 2014
SSL, SEO en Snelheid - WP Meetup Nijmegen 11 september 2014Joost de Valk5K views31 slides

More Related Content

Similar to Mijn site beveiliging(20)

Open Computer and Software InventoryOpen Computer and Software Inventory
Open Computer and Software Inventory
247 Invest894 views
Infra as Code workshopInfra as Code workshop
Infra as Code workshop
MarinoDekker106 views
Hosting van Drupal gemeentesites @ DrupalJam 2014Hosting van Drupal gemeentesites @ DrupalJam 2014
Hosting van Drupal gemeentesites @ DrupalJam 2014
Bas van der Zalm544 views
Presentatie Webscale op DrupalJam 2014 Presentatie Webscale op DrupalJam 2014
Presentatie Webscale op DrupalJam 2014
Webscale189 views
De 10 geboden van WordPress DevelopmentDe 10 geboden van WordPress Development
De 10 geboden van WordPress Development
Floris Lof1.3K views
Installatie apache, qgis server en lizmap web clientInstallatie apache, qgis server en lizmap web client
Installatie apache, qgis server en lizmap web client
Sandro Pibia41 views
Web Application Security; Hacking your way in!Web Application Security; Hacking your way in!
Web Application Security; Hacking your way in!
Peter Schuler631 views
Bart Lageweg - Ansible/CobblerBart Lageweg - Ansible/Cobbler
Bart Lageweg - Ansible/Cobbler
Splend247 views
VagrantVagrant
Vagrant
Nav Appaiya265 views
Techdays System Center 2012 Operations Manager end-to-end management walter ...Techdays System Center 2012 Operations Manager end-to-end management walter ...
Techdays System Center 2012 Operations Manager end-to-end management walter ...
wwwally748 views
Oracle 12c Launch Event 03 Web logic 12.1.2 new features Edwin BiemondOracle 12c Launch Event 03 Web logic 12.1.2 new features Edwin Biemond
Oracle 12c Launch Event 03 Web logic 12.1.2 new features Edwin Biemond
Getting value from IoT, Integration and Data Analytics605 views
WordPress SecurityWordPress Security
WordPress Security
Brecht Ryckaert1.6K views
MediaMosa Installatie & ConfiguratieMediaMosa Installatie & Configuratie
MediaMosa Installatie & Configuratie
MediaMosa397 views
Oracle Database Appliances, how to install, patch and manage themOracle Database Appliances, how to install, patch and manage them
Oracle Database Appliances, how to install, patch and manage them
Mark Koreman472 views
Workshop VirtualBox (Jesus Isern Comas)Workshop VirtualBox (Jesus Isern Comas)
Workshop VirtualBox (Jesus Isern Comas)
Avansa Mid- en Zuidwest441 views
CFEngine Roadshow Maiden Voyage Cohesion TechsessieCFEngine Roadshow Maiden Voyage Cohesion Techsessie
CFEngine Roadshow Maiden Voyage Cohesion Techsessie
Martin Simons402 views
Een goede DEV omgeving opzettenEen goede DEV omgeving opzetten
Een goede DEV omgeving opzetten
Matthias Vandermaesen1.1K views
De gevaren van WordPress pluginsDe gevaren van WordPress plugins
De gevaren van WordPress plugins
Trendwerk691 views
Component-based ontwikkelen met OSGi: van embedded tot enterpriseComponent-based ontwikkelen met OSGi: van embedded tot enterprise
Component-based ontwikkelen met OSGi: van embedded tot enterprise
Marcel Offermans683 views
SNUG 2007 - Lotus Domino 8 Administration (dutch/nederlands)SNUG 2007 - Lotus Domino 8 Administration (dutch/nederlands)
SNUG 2007 - Lotus Domino 8 Administration (dutch/nederlands)
Fred Janssen445 views

More from Marko Heijnen(20)

Custom coded projectsCustom coded projects
Custom coded projects
Marko Heijnen578 views
Security, more important than ever!Security, more important than ever!
Security, more important than ever!
Marko Heijnen2.5K views
My Contributor StoryMy Contributor Story
My Contributor Story
Marko Heijnen919 views
WooCommerce & Apple TVWooCommerce & Apple TV
WooCommerce & Apple TV
Marko Heijnen1.3K views
The moment my site got hacked - WordCamp SofiaThe moment my site got hacked - WordCamp Sofia
The moment my site got hacked - WordCamp Sofia
Marko Heijnen1.2K views
The moment my site got hackedThe moment my site got hacked
The moment my site got hacked
Marko Heijnen2.1K views
My complicated WordPress siteMy complicated WordPress site
My complicated WordPress site
Marko Heijnen1.5K views
Node.js to the rescueNode.js to the rescue
Node.js to the rescue
Marko Heijnen2.3K views
Protecting your site by detectionProtecting your site by detection
Protecting your site by detection
Marko Heijnen2.2K views
GlotPress aka translate.wordpress.orgGlotPress aka translate.wordpress.org
GlotPress aka translate.wordpress.org
Marko Heijnen1.8K views
Writing clean and maintainable codeWriting clean and maintainable code
Writing clean and maintainable code
Marko Heijnen2.5K views
Extending WordPress as a proExtending WordPress as a pro
Extending WordPress as a pro
Marko Heijnen1.2K views
Let's create a multilingual site in WordPressLet's create a multilingual site in WordPress
Let's create a multilingual site in WordPress
Marko Heijnen1.2K views
Bootstrapping your pluginBootstrapping your plugin
Bootstrapping your plugin
Marko Heijnen1.1K views
The development and future of GlotPressThe development and future of GlotPress
The development and future of GlotPress
Marko Heijnen2.6K views
Why Javascript mattersWhy Javascript matters
Why Javascript matters
Marko Heijnen2.2K views
The code history of WordPressThe code history of WordPress
The code history of WordPress
Marko Heijnen6.6K views
Building plugins like a proBuilding plugins like a pro
Building plugins like a pro
Marko Heijnen2.1K views
Perfect your images using WordPress - WordCamp Europe 2013Perfect your images using WordPress - WordCamp Europe 2013
Perfect your images using WordPress - WordCamp Europe 2013
Marko Heijnen3.8K views
Dealing with mediaDealing with media
Dealing with media
Marko Heijnen14.8K views
Advertisement

Recently uploaded(20)

Count the WaysCount the Ways
Count the Ways
charliebeekman2 views
The Hate U GiveThe Hate U Give
The Hate U Give
lorraineirick7 views
Hoe werkt DTS Glasvezel temperatuurmetingHoe werkt DTS Glasvezel temperatuurmeting
Hoe werkt DTS Glasvezel temperatuurmeting
Hans Bronkhorst7 views
Moms on Call Basic Baby Care 0-6 MonthsMoms on Call Basic Baby Care 0-6 Months
Moms on Call Basic Baby Care 0-6 Months
angierose4575 views
A Brief Tour of Human Consciousness: From Impostor Poodles to Purple NumbersA Brief Tour of Human Consciousness: From Impostor Poodles to Purple Numbers
A Brief Tour of Human Consciousness: From Impostor Poodles to Purple Numbers
stacylossett765 views
Operations Management: Processes and Supply ChainsOperations Management: Processes and Supply Chains
Operations Management: Processes and Supply Chains
lynettealexander16 views
Zonnepalen beveiligen met glasvezelkabel .pdfZonnepalen beveiligen met glasvezelkabel .pdf
Zonnepalen beveiligen met glasvezelkabel .pdf
Hans Bronkhorst16 views
It Happened One Summer (Bellinger Sisters, #1)It Happened One Summer (Bellinger Sisters, #1)
It Happened One Summer (Bellinger Sisters, #1)
charliebeekman3 views
Juran's Quality Essentials: For LeadersJuran's Quality Essentials: For Leaders
Juran's Quality Essentials: For Leaders
bonniescroggins4 views
San Fransicko: Why Progressives Ruin CitiesSan Fransicko: Why Progressives Ruin Cities
San Fransicko: Why Progressives Ruin Cities
janettejeda345 views
The Dutch HouseThe Dutch House
The Dutch House
dannybonar7634 views
The Lost SonThe Lost Son
The Lost Son
jacquelinecroy3 views
Miss Julia Takes Over (Miss Julia, #2)Miss Julia Takes Over (Miss Julia, #2)
Miss Julia Takes Over (Miss Julia, #2)
shondachandler4 views
The Berenstain Bears Play a Good GameThe Berenstain Bears Play a Good Game
The Berenstain Bears Play a Good Game
jacquelinecroy5 views
Clashing over Commerce: A History of US Trade PolicyClashing over Commerce: A History of US Trade Policy
Clashing over Commerce: A History of US Trade Policy
gennyperry453 views
Webinar | Digitale transformatie in the praktijk: de pompskidWebinar | Digitale transformatie in the praktijk: de pompskid
Webinar | Digitale transformatie in the praktijk: de pompskid
Stork, a Fluor Company5 views
Fuzz: When Nature Breaks the LawFuzz: When Nature Breaks the Law
Fuzz: When Nature Breaks the Law
davidhouser2343 views
The Alice NetworkThe Alice Network
The Alice Network
charliebeekman4 views
Finance for Nonfinancial ManagersFinance for Nonfinancial Managers
Finance for Nonfinancial Managers
bonniescroggins3 views
It Doesn't Have to Be Crazy at WorkIt Doesn't Have to Be Crazy at Work
It Doesn't Have to Be Crazy at Work
dannybonar7633 views

Mijn site beveiliging

  1. Marko Heijnen CODEKITCHEN Mijn Site Beveiliging WordPress Meetup Enschede
  2. The moment my site got hacked
  3. Stay in this bubble
  4. Alles begint met je server setup
  5. Opbouw van mijn site
  6. Loadbalancer Memcached Elasticsearch MariaDB Server setup Micro services Webserver 1 Webserver 2 Thumbor Public Private CDN Verkeer
  7. WordPress setup • Network install • Running Trunk • Folder structure: • /bash • /nginx • /www • /content • /wp
  8. wp-config.php fun
  9. 1 map hoger
 Uit de www folder
  10. WP-Config • Security Keys • $table_prefix • WP_CONTENT_DIR / WP_CONTENT_URL • UPLOADS
  11. WP-Config • Disable Plugin/Theme Editor
 define( 'DISALLOW_FILE_EDIT', true ); • Disable Plugin/Theme Update en Installatie
 define( 'DISALLOW_FILE_MODS', true ); • Block externe URL Requests
 define( 'WP_HTTP_BLOCK_EXTERNAL', true );
 define( 'WP_ACCESSIBLE_HOSTS', 'api.wordpress.org,*.github.com' );
  12. Hardening WordPress • PHP kan de bestanden niet aanpassen • OPCache word niet ververst tenzij je PHP reload • WordPress Network install
 (Hernoeming van upload directory) • Veel functionaliteit is zelf geschreven
  13. Eigen functionaliteit • Een eigen per site mu-plugins folder
 (/mu-plugins/blog/markoheijnen/plugin-name) • plugins folder heeft alleen WordPress.org plugins • Overzicht van plugins is nu opgeschoond
  14. Login
  15. Hardening login • Moeilijk en lange wachtwoord • IP block voor super admin account (login via VPN) • Binnenkort verplicht 2fa voor admins • Binnenkort fail2ban integratie
  16. • Fail2ban scant log files zoals /var/log/apache/ error_log en bant IPs die malicious tekens vertonen • Zoals te vaak foutief ingelogd • Fail2ban update dan de firewall rules om de IPs voor een bepaalde tijd te blokkeren Fail2ban
  17. Integratie met WordPress • WordPress logt de foutieve pogingen via bijvoorbeeld syslog() • Voegt nieuwe filter toe aan Fail2ban • Hierbij leg je uit hoe de log item opgebouwd is • Voorbeeld: wp-fail2ban
  18. Multiserver setup • In plaats van log file worden acties in een database opgeslagen • Op de Fail2ban server draait een cronjob die nieuwe geblokte IPs toevoegt • fail2ban-client om IPs te blokken • Of dit word een microservice die het beheerd
  19. Firewall
  20. UFW • ufw default deny incoming • ufw default deny outgoing • ufw allow out http(s) • ufw allow out DNS • ufw allow from {your.home.ip} • ufw allow out on eth1 to {internal.ip} port 3142
  21. Application Firewall
  22. Application Firewall • Actieve preventie van vulnerabilities zoals cross- site scripting (XSS) en SQL injection • Sucuri of CloudFlare als een service • NinjaFirewall als een plugin • Zelf hou ik het voorlopig op modSecurity • Momenteel bekijk ik de rule sets van owasp.org
  23. Detection Layer
  24. Apticron • Cronjob checks als er server update zijn • Stuurt een mail wanneer er updates zijn • Totale lijst of alleen nieuwe updates
  25. Apt-dater and Apt-dater-host • Terminal-based remote package update manager • Een tool om meerdere servers te managen • Groeperen van servers • Install en update packages
  26. Use WordPress to manage WordPress
  27. Server Features • Geeft alle Linux packages updates weer • Geeft alle PECL updates weer • Toont aan als je WP-CLI updates heeft • Het updaten van WP-CLI • Opnieuw opstarten van een service
  28. WordPress Features • Geeft alle WordPress updates weer • Mogelijkheid om een update te doen (todo) • Checksum scans • Upload directory scans • Backups (todo) • Send WP CLI command (todo)
  29. Lijst met alle servers
  30. Lijst met alle sites
  31. Overview van je site
  32. Security checks voor je site
  33. Checksums voor plugins/themes
  34. WP Central • Begon als een platform voor statistieken • Daarna met een API voor contributors • Nu het opvragen van checksums voor plugins en themes • http://wpcentral.io/api/
  35. Node.js server • Een microserver voor het genereren en opvragen van de checksums • Indien het nog niet bestaat word het in de queue geplaatst en ontvangt de gebruiker een melding • Tussen WordPress en de node.js applicatie zit nginx die mogelijk crashes afvangt
  36. WP Central API • http://wpcentral.io/api/checksums/theme/ twentyfifteen/1.2 • [{"code":"wpcentral_server_error","message":"Gener ating checksums”}] • [{"file":"header.php","checksum":"c0919b5f4b6e4f3a 58b858b2305e9146"},{},{},{},{},{},{},{},{},{},{},{},{},{}]
  37. WP-CLI
  38. Coming Soon
  39. Coming Soon • API endpoint word officieel gereleased • HTTPS (TLS) • Mogelijk GPG • Open Source Vulnerability database
 (met hoge IP rate check)
  40. Ideeën zijn meer
 dan welkom
  41. Log aggregation
  42. Log aggregation • Logstash • Fluentd • OSSEC
  43. OSSEC • Een Open Source Host-based Intrusion Detection System • Performs log analysis, file integrity checking, policy monitoring, rootkit detection, real-time alerting and active response • Works with a manager and agents • https://hackertarget.com/defending-wordpress- ossec/
  44. Het gebruik van WordPress plugins
  45. WordPress plugins • Persoonlijk geen voorstander om het als bescherming te hebben • Als iemand in je site komt heeft de persoon de mogelijkheid om het uit te schakelen • Gebruik het als een hulp voor server technologie • Zoals bij Fail2ban • Een plugin is je laatste middel voor bescherming
  46. Verdere ideeën
  47. Verdere ideeën • Notificaties (microservice) • Bij elke succesvolle admin login • Bij elke file aanpassing • Plugin activatie/deactivatie
  48. Conclusie
  49. Conclusie • Wanneer je een VPS neemt dien je ook een gedeelte van de veiligheid op je te nemen • Host doen over het algemeen diverse dingen al voor je zoals het blokken van zwakheden in populaire plugins • Je hoeft niet door te draaien zoals ik maar check regelmatig je site en je log files. Zelfs al is het handmatig
  50. Marko Heijnen • Founder of CodeKitchen • Lead developer of GlotPress • Core contributor for WordPress • Organizer for WordCamp Belgrade
  51. Marko Heijnen info@markoheijnen.com @markoheijnen
  52. Bedankt voor
 je aandacht Vragen? @markoheijnen markoheijnen.com
 
 codekitchen.eu
Advertisement