Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Wordpressowe BHP



jak uchronić swojego WordPress’a 

przed atakami
Maciej Cybulski

WP-Security
Agenda
Dlaczego atakować i dlaczego właśnie moją stronę?
Statystyki ataków
„Po nitce do kłębka”- wrażliwe punkty, czyli co...
I. Bezpieczeństwo, ale o co chodzi?
Dlaczego atakować i dlaczego właśnie moją stronę?
Stan: 1.XII.2015

Źródła: W3Techs.co...
I. Bezpieczeństwo, ale o co chodzi?
Dlaczego atakować i dlaczego właśnie moją stronę?
Spamerskie linki
Przekierowania
Rozs...
I. Bezpieczeństwo, ale o co chodzi?
Statystyki ataków
Spamerskie linki
Przekierowania
Rozsyłanie spamu
Ataki DDoS
Zarażani...
I. Bezpieczeństwo, ale o co chodzi?
Źródła ataków
29,5% Rosja, 18,3% USA, 17% Francja, 6,7% Ukraina, 6,4% Niemcy
Źródło: s...
Składowe łańcucha bezpieczeństwa

- Człowiek

- Komputer

- Internet

- Hosting

- WordPress
„Po nitce do kłębka”
I. Bezpi...
Nie ma możliwości zapewnienia 

100% bezpieczeństwa.
Bezpieczeństwo to wypadkowa 

poziomu zabezpieczeń, 

szybkości reakc...
Jak sobie z tym radzić?
Przyjrzyjmy się poszczególnym ogniwom naszego łańcucha
I. Bezpieczeństwo, ale o co chodzi?
system operacyjny MacOS/Windows/Linux - krytyczne aktualizacje systemu
dobry program antywirusowy
właściwa konfiguracja rut...
INTERNET

dobre nawyki
II. Sieciowe BHP
mocne hasła
różne hasła do różnych serwisów
haseł nie przechowujemy w przeglądarce...
Strona WWW - WordPress
II. Sieciowe BHP
Przygotowanie środowiska hostingowego:

- dostęp przez SSH/SFTP

- login inny niż ...
Strona WWW - WordPress
II. Sieciowe BHP
Instalacja WordPress’a:

- nie stosujemy autoinstalatora

- losowy login inny niż ...
Strona WWW - WordPress
II. Sieciowe BHP
Higiena pracy z WordPress’em:

- konto Administratora wyłącznie do administracji!!...
Strona WWW - WordPress

konserwacja i bezpieczeństwo
II. Sieciowe BHP
BACKUP

- niezależne od hostingu

- przed każdymi wi...
Strona WWW - WordPress

konserwacja i bezpieczeństwo
II. Sieciowe BHP
AKTUALIZACJE

- brak aktualizacji === informacja dla...
Strona WWW - WordPress

konserwacja i bezpieczeństwo
II. Sieciowe BHP
Czego nam tu brakuje?

- Monitoringu 

- Reakcji na ...
II. Sieciowe BHP
Co jeszcze warto:

- szyfrowane połączenie z certyfikatem SSL 

- podwójna autentykacja (Clef, Yubikey)
NI...
Polecane wtyczki i strony z zakresu bezpieczeństwa:
II. Sieciowe BHP
WP Login Alerts by DigiP, Limit Login Attempts - kont...
Polecane wtyczki i strony:
II. Sieciowe BHP
http://sucuri.net - strona poświęcona bezpieczeństwu WordPress’a
https://www.g...
BONUS
III. BONUS
Ty zajmujesz się swoim biznesem my bezpieczeństwem Twojej
strony i… Twoim „świętym spokojem”
Jak to działa?
- z...
III. BONUS
Co dostajesz od nas?
bezpieczeństwo (zabezpieczenie strony, na poziomie znacznie wyższym
niż tu zaprezentowany)...
Dziękuję :)
Maciej Cybulski

WP-Security



https://wp-security.pl
maciej@wp-security.pl
Upcoming SlideShare
Loading in …5
×

WP-Security Bezpieczeństwo - podstawy webinar

5,750 views

Published on

Prezentacja z webinaru WP-Security.pl w zakresie podstaw bezpieczeństwa strony internetowej

Published in: Internet
  • Dating direct: ❤❤❤ http://bit.ly/2Qu6Caa ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating for everyone is here: ❶❶❶ http://bit.ly/2Qu6Caa ❶❶❶
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

WP-Security Bezpieczeństwo - podstawy webinar

  1. 1. Wordpressowe BHP
 
 jak uchronić swojego WordPress’a 
 przed atakami Maciej Cybulski
 WP-Security
  2. 2. Agenda Dlaczego atakować i dlaczego właśnie moją stronę? Statystyki ataków „Po nitce do kłębka”- wrażliwe punkty, czyli co a nie koniecznie dlaczego. Bezpieczeństwo to proces













 Komputer Sieć Internet Strona I. Bezpieczeństwo, ale o co chodzi? II.Sieciowe BHP III.Bonus :)
  3. 3. I. Bezpieczeństwo, ale o co chodzi? Dlaczego atakować i dlaczego właśnie moją stronę? Stan: 1.XII.2015
 Źródła: W3Techs.com i WordPres.Org
  4. 4. I. Bezpieczeństwo, ale o co chodzi? Dlaczego atakować i dlaczego właśnie moją stronę? Spamerskie linki Przekierowania Rozsyłanie spamu Ataki DDoS Zarażanie innych stron i komputerów Wyłudzanie informacji itd.
  5. 5. I. Bezpieczeństwo, ale o co chodzi? Statystyki ataków Spamerskie linki Przekierowania Rozsyłanie spamu Ataki DDoS Zarażanie innych Wyłudzanie informacji itd. Źródło: sucuri.net
  6. 6. I. Bezpieczeństwo, ale o co chodzi? Źródła ataków 29,5% Rosja, 18,3% USA, 17% Francja, 6,7% Ukraina, 6,4% Niemcy Źródło: sucuri.net Stan na 1.XII.2015
  7. 7. Składowe łańcucha bezpieczeństwa
 - Człowiek
 - Komputer
 - Internet
 - Hosting
 - WordPress „Po nitce do kłębka” I. Bezpieczeństwo, ale o co chodzi?
  8. 8. Nie ma możliwości zapewnienia 
 100% bezpieczeństwa. Bezpieczeństwo to wypadkowa 
 poziomu zabezpieczeń, 
 szybkości reakcji na incydent i
 nieprzewidzianych wypadków. Bezpieczeństwo to proces ciągły. I. Bezpieczeństwo, ale o co chodzi?
  9. 9. Jak sobie z tym radzić? Przyjrzyjmy się poszczególnym ogniwom naszego łańcucha I. Bezpieczeństwo, ale o co chodzi?
  10. 10. system operacyjny MacOS/Windows/Linux - krytyczne aktualizacje systemu dobry program antywirusowy właściwa konfiguracja rutera WiFi mocne hasło do WiFi „przypadkowa” nazwa sieci WiFi tzw. SSID brak dostępu do panelu rutera z Internetu zmiana domyślnego hasła i loginu w ruterze KOMPUTER
 i jego najbliższe otoczenie II. Sieciowe BHP
  11. 11. INTERNET
 dobre nawyki II. Sieciowe BHP mocne hasła różne hasła do różnych serwisów haseł nie przechowujemy w przeglądarce, programie FTP czy pliku stosujemy dobre programy do zarządzania hasłami np. 1Password
 zabezpieczenie przed: keylogerami i programami do zczytywania ekranu
  12. 12. Strona WWW - WordPress II. Sieciowe BHP Przygotowanie środowiska hostingowego:
 - dostęp przez SSH/SFTP
 - login inny niż domena
 - mocne hasła
 - baza danych: nazwa bazy inna niż nazwa użytkownika,
 ograniczony dostęp do bazy tylko do localhosta
 - osobna baza dla każdej strony

  13. 13. Strona WWW - WordPress II. Sieciowe BHP Instalacja WordPress’a:
 - nie stosujemy autoinstalatora
 - losowy login inny niż admin !!!
 - mocne hasło
 - zmieniony prefix tabel bazy danych Generalnie unikamy domyślnych ustawień
  14. 14. Strona WWW - WordPress II. Sieciowe BHP Higiena pracy z WordPress’em:
 - konto Administratora wyłącznie do administracji!!
 - konto Redaktora do tworzenia i publikowania wpisów
 - login inny niż podpis, mocne hasła
 - w nazwach plików nie używamy polskich znaków i spacji
 - utrzymuj porządek - czego nie używasz usuwaj
 - instalacja wtyczek i motywów tylko z zaufanych źródeł
  15. 15. Strona WWW - WordPress
 konserwacja i bezpieczeństwo II. Sieciowe BHP BACKUP
 - niezależne od hostingu
 - przed każdymi większymi zmianami na stronie
 - na serwerach zewnętrznych
 - test przywracania strony z kopii
 

  16. 16. Strona WWW - WordPress
 konserwacja i bezpieczeństwo II. Sieciowe BHP AKTUALIZACJE
 - brak aktualizacji === informacja dla włamywacza o podatnościach 
 - aktualizujemy WordPressa, Motywy i Wtyczki Ataki na WordPress’a kończą się sukcesem dzięki:
 - 29% podatnościom motywu
 - 22% podatnościom wtyczek
 

  17. 17. Strona WWW - WordPress
 konserwacja i bezpieczeństwo II. Sieciowe BHP Czego nam tu brakuje?
 - Monitoringu 
 - Reakcji na incydent
 Niestety tu niezbędna jest szersza wiedza z zakresu administracji serwerami, programowania i bezpieczeństwa.

  18. 18. II. Sieciowe BHP Co jeszcze warto:
 - szyfrowane połączenie z certyfikatem SSL 
 - podwójna autentykacja (Clef, Yubikey) NIE używamy „kombajnów” do bezpieczeństwa
 - są dziurawe
 - dają fałszywe poczucie bezpieczeństwa Tam gdzie można problem rozwiązać inaczej, nie stosujemy wtyczek
 Error = (More Code)2 
 czyli parafraza E=mc2 :)
 

  19. 19. Polecane wtyczki i strony z zakresu bezpieczeństwa: II. Sieciowe BHP WP Login Alerts by DigiP, Limit Login Attempts - kontrola logowania do strony BackWpUp, Duplicator - wtyczki do wykonywania backupów Exploit Scanner - wtyczka skanująca stronę w poszukiwaniu ukrytego złośliwego kodu Akismet, Antispam Bee - wtyczki antyspamowe Clef, Yubico - wtyczki do podwójnej autentykacji Sucuri Security - najbezpieczniejsza wtyczka do bezpieczeństwa
 

  20. 20. Polecane wtyczki i strony: II. Sieciowe BHP http://sucuri.net - strona poświęcona bezpieczeństwu WordPress’a https://www.google.com/transparencyreport/safebrowsing/diagnostic/ index.html - możemy tu sprawdzić czy strona nie widnieje w Googlu jako niebezpieczna https://wpvulndb.com - strona z informacjami o znalezionych podatnościach w wtyczkach i motywach WordPress’a https://wordpress.edu.pl - porady „zrób to sam” z bezpieczeństwa WP
  21. 21. BONUS
  22. 22. III. BONUS Ty zajmujesz się swoim biznesem my bezpieczeństwem Twojej strony i… Twoim „świętym spokojem” Jak to działa? - zgłaszasz się do nas (wskazujesz adres strony i dane dostępowe do Kokpitu i FTP/SSH) - wybierasz pakiet Opieki Technicznej ze strony https://wp-security.pl - robimy audyt stanu bezpieczeństwa strony (czyli przede wszystkim czy nie ma infekcji i błędów technicznych na stronie) - podłączamy stronę pod nasz system Opieki Technicznej
  23. 23. III. BONUS Co dostajesz od nas? bezpieczeństwo (zabezpieczenie strony, na poziomie znacznie wyższym niż tu zaprezentowany) backup na zewnętrznych serwerach aktualizacje - zawsze na czas, aktualizacje również komercyjnych elementów z ElegantThemes i WPML (Pro) monitorowanie ataków i antywirusowe Pogotowie, czyli szybka reakcja i pomoc jeśli już komuś skutecznie uda się włamać Support, czyli możliwość skonsultowania się w zakresie modyfikacji czy modernizacji strony, doboru wtyczek itd. dodatki związane ze statystykami i optymalizacją wydajności (GA, PageSpeed Insights, Piwik)
  24. 24. Dziękuję :) Maciej Cybulski
 WP-Security
 
 https://wp-security.pl maciej@wp-security.pl

×