Základy zabezpečení redakčního systému WordPress - aktualizace, problémy multihostingu, práva a hesla, bezpečnostní plugin WordFence, zálohování.
Prezentace z WordPress konference 25.6.2016.
Prezentace ze 7. WP konference o ladění výkonu webových aplikací. Optimalizace obrázků, CSS, JS. Vliv PHP a HTTP serveru, cachování. Profilování výkonu s Blackfire.io a debugování s Xdebug.
Přednáška z 4. WP konference - bezpečnost Wordpressu. Aktuální statistiky, základní útoky, skenování wordpressu, iThemes Securtiy, Fail2Ban, Web Application Firewall.
Další info na: http://edu.lynt.cz/course/bezpecnost-wordpressu
Slidy z přednášky o bezpečnostni Wordpressu na 3. WP konferenci.
Kdo je útočník, jaké jsou jeho možnosti a jak se mu bránit.
Další materiály se objeví na http://edu.lynt.cz
Základy zabezpečení redakčního systému WordPress - aktualizace, problémy multihostingu, práva a hesla, bezpečnostní plugin WordFence, zálohování.
Prezentace z WordPress konference 25.6.2016.
Prezentace ze 7. WP konference o ladění výkonu webových aplikací. Optimalizace obrázků, CSS, JS. Vliv PHP a HTTP serveru, cachování. Profilování výkonu s Blackfire.io a debugování s Xdebug.
Přednáška z 4. WP konference - bezpečnost Wordpressu. Aktuální statistiky, základní útoky, skenování wordpressu, iThemes Securtiy, Fail2Ban, Web Application Firewall.
Další info na: http://edu.lynt.cz/course/bezpecnost-wordpressu
Slidy z přednášky o bezpečnostni Wordpressu na 3. WP konferenci.
Kdo je útočník, jaké jsou jeho možnosti a jak se mu bránit.
Další materiály se objeví na http://edu.lynt.cz
Prezentace z přednášky na meetupu wppivo.cz. Základy webové analytiky, jak dostat GTM do WordPress a jak měřit odesílání formulářů a další základní měření.
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
Jak si nejprodávanější WordPress šablony stojí s rychlostí frontendu? Zjistil jsem, že to moc testovat nejde a tak kupujete zajíce v pytli. V přednášce tedy dostanete seznam nejčastějších problémů a stručný návod k jejich odstranění.
Spustit web není dnes nic složitého. Zajistit, aby běžel spolehlivě, rychle a bezpečně, může však být oříšek. V přednášce si projdeme nejčastější technické problémy moderních webů z pohledu bezpečnosti, rychlosti i použitelnosti.
Ukážeme si šikovné nástroje, které pomohou problémy odhalit, a nastíníme různé možnosti řešení. Přednáška bude moci sloužit i jako checklist toho, na co byste při provozu webu neměli zapomenout.
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
Wordcamp Praha 2015 - další útržky z prezentaceVladimír Smitka
Další náhled z mé připravované prezentace na Wordcamp Praha. Tyto slidy jsou vlastně takovou osnovou hlavní části přednášky. Jednotlivá témata budeme probírat více či méně podrobně. Vzhledem k tomu, že je přednáška v uživatelské sekci, bude prostor věnován hlavně bezpečnostním pluginům pro Wordpress.
Prezentace z přednášky na meetupu wppivo.cz. Základy webové analytiky, jak dostat GTM do WordPress a jak měřit odesílání formulářů a další základní měření.
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
Jak si nejprodávanější WordPress šablony stojí s rychlostí frontendu? Zjistil jsem, že to moc testovat nejde a tak kupujete zajíce v pytli. V přednášce tedy dostanete seznam nejčastějších problémů a stručný návod k jejich odstranění.
Spustit web není dnes nic složitého. Zajistit, aby běžel spolehlivě, rychle a bezpečně, může však být oříšek. V přednášce si projdeme nejčastější technické problémy moderních webů z pohledu bezpečnosti, rychlosti i použitelnosti.
Ukážeme si šikovné nástroje, které pomohou problémy odhalit, a nastíníme různé možnosti řešení. Přednáška bude moci sloužit i jako checklist toho, na co byste při provozu webu neměli zapomenout.
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
Wordcamp Praha 2015 - další útržky z prezentaceVladimír Smitka
Další náhled z mé připravované prezentace na Wordcamp Praha. Tyto slidy jsou vlastně takovou osnovou hlavní části přednášky. Jednotlivá témata budeme probírat více či méně podrobně. Vzhledem k tomu, že je přednáška v uživatelské sekci, bude prostor věnován hlavně bezpečnostním pluginům pro Wordpress.
Jak jsme zlepšili zabezpečení Slevomatu.
Chceš zlepšit zabezpečení webu a nevíš kde začít a kdy skončit? Ukážu ti, co jsme udělali na Slevomatu, co všechno jsme museli vyřešit, čemu jsme se divili a co plánujeme. Třeba tě to trochu taky nakopne.
Rychlejší web snadno a rychle: Nové technologie a nástroje pro vývojářeMartin Michálek
V přednášce se podíváme na zajímavé novinky, které vám usnadní dělat rychlejší weby. Je zde spousta nových technologií, které můžeme v prohlížečích používat už nyní, ale mezi vývojáři nemají takovou popularitu. A to nemluvíme o nových nástrojích pro ladění rychlosti, které jsou po ruce a šetří nám čas.
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)Michal ZOBEC
KeePass Advanced Using of Application with global auto-type. Presentation from online presentation.
Pokročilé využití aplikace KeePass včetně globálního samodoplňování. Prezentace z online přednášky.
Link for online presentation: https://www.michalzobec.cz/zaznam-z-prednasky-keepass-zaklady-pokrocile-vyuziti-a-keepass-enterprise-ctvrtek-14-4-2022-8593
KeePass: Využití ve firmách a KeePass Enterprise (čtvrtek, 28.7.2022)Michal ZOBEC
KeePass Advanced Using of Application for Administrators. Presentation from online presentation.
Pokročilé využití aplikace KeePass pro správce. Prezentace z online přednášky.
Link for online presentation: https://www.michalzobec.cz/zaznam-z-prednasky-keepass-vyuziti-ve-firmach-a-keepass-enterprise-ctvrtek-28-7-2022-8679
Similar to Bezpečnost WordPress pro začátečníky (20)
This document summarizes the results of a test comparing loading a single large image versus that same image split into sprites over HTTP, HTTPS, and HTTP/2. It found that HTTP/2 performed best, loading sprites faster than a single image over HTTP or HTTPS. It concluded that HTTP/2 should be used, the number of resources optimized, and sprites not eliminated completely to reduce the number of HTTP requests needed.
This document provides an overview of the configuration management tool Ansible. It discusses Ansible's key features including being agentless, using YAML files for idempotent configuration, and supporting multiple platforms. The document also summarizes Ansible's core components like playbooks, templates, modules, and roles for automating infrastructure and application deployments. Finally, it touches on advanced topics such as dynamic inventory, vault encryption, and performance tuning.
WordPress Security:Defend yourself against digital invadersVladimír Smitka
The document discusses security issues related to WordPress websites. It notes that at least 40% of Czech WordPress sites contain security issues due to outdated versions or unpatched vulnerabilities. The document provides tips on how to better manage WordPress updates and security, including using plugins to automate updates, implementing HTTPS, restricting user roles and capabilities, and general best practices. It also describes common attacks like XSS flaws, SQL injection, cookie hijacking, and how hackers may try to exploit vulnerabilities or trick site owners.
Slides from my speech about web apps performance. Images, CSS, JS optimization. PHP and HTTP server effects + caching. Performance profiling with Blackfire.io, debugging with Xdebug.
This document provides an overview of WordPress security best practices. It discusses common attack types like vulnerable plugins and themes, password guessing, and SQL injection. It emphasizes the importance of updating plugins and themes, backing up sites, and using a security plugin to monitor for attacks and block malicious traffic. The document also demonstrates exploits in plugins like Slider Revolution and WordPress Video Gallery to illustrate the risks of outdated software.
Prezentace z praktických školení rozšíření síťových dovedností pro SMB segment - verze roku 2014. Účastníci si mohou stáhnout doplňkové materiály na http://edu.lynt.cz.
2. http://lynt.cz13. 6. 2015 2
Síťová infrastruktura
• Servery
• Firewally
• WiFi
• …
Webová řešení
• Informační systémy
• Webové stránky
• E-shopy
On-line marketing
• PPC
• Analytika
• SEO
Jakub Kašparů
Právě teď přednáší na
BarCampu v Českých
Budějovicích o
systému práce s PPC
Vláďa Smitka
14 let v sítích a
webovém vývoji
3. http://lynt.cz
Minislovníček
HTTP – protokol, který přenáší obsah stránek, požadavek - odpověď
HTTPS – HTTP přenášené šifrovaně s SSL certifikátem (brání odposlechnutí komunikace)
PHP – programovací jazyk, který generuje stránku na serveru
MySQL – databázový systém, jsou zde uloženy nastavení webu a jeho obsah (články)
JavaScript – programovací jazyk, který běží v prohlížeči (jsou v něm dělány např. různé efekty)
AJAX – funkcionalita JavaScriptu, která umožňuje komunikaci se serverem bez přenačtení
stránky, často je zneužitá k útokům
.htaccess – soubor, ve kterém lze upravit vlastnosti webového serveru (např. zakázat přístup
ke konkrétním souborům, přesměrovávat, nastavovat PHP), úpravy mohou znefunkčnit web
wp-config.php – soubor, ve kterém je uloženo základní nastavení WP (připojení k databázi,
šifrovací klíče, adresa stránek), častý cíl hackerů
Query parameter – část adresy za ? - http://můj-webík.cz/?page_id=2 – aplikaci se tak
předávají různé parametry, lze je zneužít, pokud není aplikace dobře napsána
SQL injection (SQLi) – typ útoku, který pozmění dotaz do databáze a získá tak citlivé
informace
XSS – typ útoku, který umožní na stránce spustit cizí JavaScript (například přes komentáře)
CSRF – typ útoku, který prostřednictvím uživatele vykoná požadavek pocházející z cizího
zdroje (donutí uživatele kliknout na odkaz, který vede do administrace a tam něco provede)
13. 6. 2015 3
4. http://lynt.cz
Na co se dnes podíváme?
• Uživatelská práva ve WP
• Zjednodušení aktualizace
• Bezpečnostní plugin WordFence
• Zálohovací plugin BackWPup
• Co udělat po útoku?
„Každý bude dříve či později řešit bezpečnostní
incident, je dobré být připraven!“
• Budu se snažit neupravovat soubory WordPressu a
.htaccess
13. 6. 2015 4
5. http://lynt.cz
Checklist – co potřebujeme
• Nastavit správná práva uživatelům
• Silná hesla
• Odstranění zbytečností
• Blokace spamu
• Omezení chybných přihlášení (Brute force)
• Informace o aktualizacích a problémech
• Blokace známých útoků
• Zálohování
13. 6. 2015 5
8. http://lynt.cz
Uživatelé
13. 6. 2015 8
Vyčítání uživatelských jmen:
http://naswp.cz/?author=2 => http://naswp.cz/author/bigdrobek/
???!!
Lákavý
cíl Potřebuje
admin práva?
Zřejmě
nepoužívaný
Používejte reálná
jména, ať víte kdo
uživatelé opravdu jsou.
9. http://lynt.cz
Práva uživatelů
13. 6. 2015 9
• Návštěvník (Subscriber)
– Může pouze číst obsah, editovat svůj profil. Má jednodušší práci s komentáři.
• Spolupracovník (Contributor)
– Může psát nové příspěvky, ale publikovat je může až Admin nebo Šéfredaktor.
Nemá přístup do galerie médií (může ale vkládat obrázky z externích zdrojů) –
guest blogging.
• Redaktor (Author)
– Může spravovat své příspěvky včetně správy komentářů, nahrávat soubory do
galerie médií. Nemůže pracovat se stránkami.
• Šéfredaktor (Editor)
– Může spravovat veškerý obsah – příspěvky, stránky, komentáře, kategorie, v
jeho komentářích může být javascript.
• Administrátor (Administrator)
– Může spravovat vše – obsah, pluginy, šablony, widgety.
• SuperAdministrátor (pro WP multisite) – spravuje síť webů
10. http://lynt.cz
Jak přejmenovat uživatele admin
1. Vytvořit nového
uživatele s právy
Administrátora
2. Přihlásit se na nového
uživatele
3. Smazat původního
uživatele admin
4. Příspěvky přesunout
pod nového uživatele
13. 6. 2015 10
14. http://lynt.cz
Přihlašování
• Nepřipojovat se z neznámých sítí (pokud máte v
mobilu, tabletu, notebooku uložené sítě, kam se lze
připojit bez hesla, smažte je!)
• Omezení počtu pokusů (probereme později)
• HTTPS - https://wordpress.org/plugins/wordpress-https/
• Omezení přístupu k /wp-login.php,
nebo /wp-admin (je však potřeba
udělat výjimky pro admin-ajax.php
a admin-post.php)
13. 6. 2015 14
Do .htaccess:
<Files wp-login.php>
Order Deny,Allow
Deny from All
Allow from x.x.x.x
</Files>
http://mojeip.cz
16. http://lynt.cz
Cut the crap!
13. 6. 2015 16
Pluginy:
- Potřebuji neaktivní pluginy? (mohou obsahovat chyby)
- Potřebuji opravdu všechny aktivní pluginy? Vím, co dělají? Nejsou duplicitní?
Šablony:
- Vhodné nechat jen aktivní šablonu a jednu základní (např. twenty fifteen)
- Při odstraňování pozor na zděděné šablony (child themes), je třeba ponechat
rodičovskou
- Podrobnosti šablony:
Nejste si jisti, co jaký
plugin dělá? Zeptejte se
svého vývojáře
17. http://lynt.cz
Co mohou externí uživatelé?
Registrovat se?
Nastavení – Obecné:
13. 6. 2015 17
Vkládat komentáře?
Nastavení – Komentáře:
Změna se neaplikuje na již vytvořené stránky a příspěvky! (Ahoj všichni!, Zkušební stránka)
19. http://lynt.cz
Já ale komentáře chci!
• Schvalování
• AntiSpam plugin
– Akismet – provádí analýzu obsahu příspěvku (pro
nekomerční použití za libovolný poplatek – i nulový)
– NoSpamNX – přidává do formuláře nástrahy
• Kontrola, zda byl komentář opravdu vložen ze stránek
– Umí různé bezpečnostní pluginy, ukážeme si dále
13. 6. 2015 19
Externí řešení např. https://disqus.com/
20. http://lynt.cz
Aktualizace
„Aktualizace jsou u opensource řešení zásadní“
Jádro – aktualizuje se automaticky v minoritních verzích (např. 4.2.x),
většinou bez problémů. Major verze je třeba aktualizovat ručně (lze to
nechat ale i na automatice).
Jakou verzi používám? Vhodné verze: 4.2.2, 4.1.5., 4.0.5, 3.9.5 (3.8.8, 3.7.8). V patičce v administraci:
Pluginy – kvalita je různá, často obsahují bezpečnostní chyby, lze
updatovat automaticky, ale je riziko, že něco fungovat nebude.
Šablony – problém s aktualizací, pokud se dělají úpravy v originální
šabloně => child themes; některé prémiové obsahují další pluginy!
13. 6. 2015 20
21. http://lynt.cz
Jak si zjednodušit aktualizaci
• Notifikace o dostupných aktualizacích na mail:
– WP Updates Notifier
– Funkce bezpečnostních pluginů (např. WordFence)
• Hromadná správa
– ManageWP – základní verze do 5 stránek zdarma
– WP Remote – méně funkcí, zdarma neomezeně
– iThemes Sync – do 10 stránek zdarma
– InfiniteWP – řešení na vlastním serveru
13. 6. 2015 21
23. http://lynt.cz
Checklist – co potřebujeme
Nastavit správná práva uživatelům
Silná hesla
Odstranění zbytečností
Blokace spamu
• Omezení chybných přihlášení (Brute force)
• Informace o aktualizacích a problémech
• Blokace známých útoků
• Zálohování
13. 6. 2015 23
24. http://lynt.cz
Tipy pro pluginy a šablony
• Používat pouze ověřené zdroje - wordpress.org, codecanyon, themeforest
(nikdy torrent, uloz.to a podobné, warez fóra, nulled plugins)
• Neupravovat šablony přímo – použít child theme nebo změny provést ve
vlastním pluginu
• Ověřit, zda nemám známé zranitelné pluginy:
– https://wordpress.org/plugins/plugin-vulnerabilities/
13. 6. 2015 24
26. http://lynt.cz
WordFence – po instalaci
13. 6. 2015 26
Level 2: začne posílat více upozornění, snižují se limity chybných přihlášení
Level 3: začínají se uplatňovat omezení provozu
Level 4: okamžitě blokuje neplatná jména
29. http://lynt.cz
WordFence - notifikace
13. 6. 2015 29
Mohou to zkoušet útočníci,
kteří získali přístup k mailu
uživatele.
Čím více reálný uživatel
hesla zapomíná, tím
jednodušší nová nastavuje.
30. http://lynt.cz
WordFence - notifikace
13. 6. 2015 30
Přihlásil se někdo s administrátorským přístupem:
This email was sent from your website "#### " by the Wordfence plugin at Tuesday 9th of June 2015 at
08:46:14 AM
The Wordfence administrative URL for this site is: https://####.eu/wp-admin/admin.php?page=Wordfence
A user with username "####" who has administrator access signed in to your WordPress site.
User IP: ##.##.##.##
User hostname: ####
User location: Pilsen, Czech Republic
Je dostupný update:
This email was sent from your website „####" by the Wordfence plugin.
Wordfence found the following new issues on "####".
Alert generated at Wednesday 3rd of June 2015 at 05:40:42 PM
Critical Problems:
* The Plugin "ManageWP - Worker" needs an upgrade.
Změnil se soubor:
This email was sent from your website "####" by the Wordfence plugin.
Wordfence found the following new issues on "####".
Alert generated at Wednesday 27th of May 2015 at 01:47:13 PM
Warnings:
* Modified plugin file: wp-content/plugins/block-bad-queries/block-bad-queries.php
36. http://lynt.cz
BBQ: Bad Block Queries
• WordFence poskytuje aktivní ochranu a
blokuje nevhodné chování
• Jako prevenci lze přidat i blokaci dotazů, které
se často používají k útokům
• https://wordpress.org/plugins/block-bad-
queries/
• Malý plugin bez konfigurace
• Doplněk pro vyladění - https://github.com/LyntServices/bbq-gui
13. 6. 2015 36
37. http://lynt.cz
Zálohování
„Zálohování je alfou a omegou práce na počítači“
13. 6. 2015 37
• Zálohování poskytuje většina webhosterů v rámci webhostingu.
• Je vhodné ale mít vlastní systém záloh.
• Ruční zálohování: zkopírování obsahu FTP a export databáze.
• Zálohování pluginem
• Lze nastavit pravidelné automatické zálohování
• BackWPup, BackupBuddy
Zjistěte si od svého
webhostera, jak řeší
zálohování.
41. http://lynt.cz
Nastavení BackWPup
13. 6. 2015 41
Kam zálohovat?
Do složky na serveru
- Ztracením přístupu přijdu i o zálohy
- Je třeba ošetřit, aby se k souboru
zálohy nikdo nedostal
Emailem
- Pokud se mi někdo nabourá do
mailu, získá zálohy
- Přenáší se nezabezpečeně
FTP
- Měl by se použít vyhrazený FTP
účet jen pro tento účel (heslo je
uložené ve WP)
- Přenáší se nezabezpečeně
Externí služby (Dropbox)
- Dobrá volba
- Opět je třeba zajistit, aby uložiště
bylo pouze k jednomu účelu
(Dropbox app – přistup pouze do
jedné složky)
42. http://lynt.cz
Nastavení BackWPup
13. 6. 2015 42
Jak často zálohovat?
Je vhodné mít zálohy minimálně
měsíc zpětně => je třeba zvolit
interval podle velikosti úložiště.
Denním zálohováním by tedy mělo
být uloženo alespoň 30 záloh, nebo
týdenním alespoň 4 zálohy.
Dobrá metoda je nastavit více úloh:
1. Denní zálohu DB
2. Týdenní zálohu souborů
Jak zálohu spuštět?
WP-cron – funguje pouze když je na
webu návštěvnost.
Speciální odkaz – lze vložit do cron
na serveru nebo využít službu typu
https://www.easycron.com
=> Je jistota, že se záloha provede
45. http://lynt.cz
Nastavení BackWPup
13. 6. 2015 45
Ušetří trochu místa, po
obnově je třeba
přegenerovat náhledy:
https://wordpress.org/plugi
ns/regenerate-thumbnails/
48. http://lynt.cz
Checklist – co potřebujeme
Nastavit správná práva uživatelům
Silná hesla
Odstranění zbytečností
Blokace spamu
Omezení chybných přihlášení (Brute force)
Informace o aktualizacích a problémech
Blokace známých útoků
Zálohování
13. 6. 2015 48
49. http://lynt.cz
Co udělat po útoku?
• Obnova ze zálohy (smazat infikovaný web a DB)
• Odstranění příčiny (často aktualizace)
• Změna hesla na FTP
• Změna hesla do DB
• Změna hesel uživatelů
• Nové šifrovací klíče do wp-config.php:
https://api.wordpress.org/secret-key/1.1/salt/
• Kontrola souborů pluginem (Wordfence, Sucuri
Scanner)
13. 6. 2015 49
50. http://lynt.cz
Co udělat zítra?
□ Zkontrolovat práva uživatelů
□ Zkontrolovat, zda nemám zranitelné pluginy
□ Smazat pluginy, co nepoužívám/byly jen k
jednorázové činnosti
□ Smazat zbytečné šablony (nechat jen jednu
výchozí z instalace a případně rodičovskou)
□ Aktualizovat, co lze
□ Zazálohovat
13. 6. 2015 50
51. http://lynt.cz
A to je vše, přátelé.
13. 6. 2015 51
Přečtěte si, jak je na tom WordPress v České republice:
http://lynt.cz/blog/wordpress-v-cz-velky-pruzkum
Podívejte se na mé předchozí přednášky o bezpečnosti:
http://edu.lynt.cz/