Slidy z přednášky o bezpečnostni Wordpressu na 3. WP konferenci.
Kdo je útočník, jaké jsou jeho možnosti a jak se mu bránit.
Další materiály se objeví na http://edu.lynt.cz
Přednáška z 4. WP konference - bezpečnost Wordpressu. Aktuální statistiky, základní útoky, skenování wordpressu, iThemes Securtiy, Fail2Ban, Web Application Firewall.
Další info na: http://edu.lynt.cz/course/bezpecnost-wordpressu
Základy zabezpečení redakčního systému WordPress - aktualizace, problémy multihostingu, práva a hesla, bezpečnostní plugin WordFence, zálohování.
Prezentace z WordPress konference 25.6.2016.
Přednáška z 4. WP konference - bezpečnost Wordpressu. Aktuální statistiky, základní útoky, skenování wordpressu, iThemes Securtiy, Fail2Ban, Web Application Firewall.
Další info na: http://edu.lynt.cz/course/bezpecnost-wordpressu
Základy zabezpečení redakčního systému WordPress - aktualizace, problémy multihostingu, práva a hesla, bezpečnostní plugin WordFence, zálohování.
Prezentace z WordPress konference 25.6.2016.
Prezentace ze 7. WP konference o ladění výkonu webových aplikací. Optimalizace obrázků, CSS, JS. Vliv PHP a HTTP serveru, cachování. Profilování výkonu s Blackfire.io a debugování s Xdebug.
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
Jak si nejprodávanější WordPress šablony stojí s rychlostí frontendu? Zjistil jsem, že to moc testovat nejde a tak kupujete zajíce v pytli. V přednášce tedy dostanete seznam nejčastějších problémů a stručný návod k jejich odstranění.
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
Prezentace z přednášky na meetupu wppivo.cz. Základy webové analytiky, jak dostat GTM do WordPress a jak měřit odesílání formulářů a další základní měření.
Pár praktických ukázek, ve kterých ukážu, proč se věnovat zabezpečení e-shopů a co se stane, když se na to vykašlete. A že když to budete řešit, až se když se něco bude dít, tak už může být pozdě.
Prezentace ze 7. WP konference o ladění výkonu webových aplikací. Optimalizace obrázků, CSS, JS. Vliv PHP a HTTP serveru, cachování. Profilování výkonu s Blackfire.io a debugování s Xdebug.
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
Jak si nejprodávanější WordPress šablony stojí s rychlostí frontendu? Zjistil jsem, že to moc testovat nejde a tak kupujete zajíce v pytli. V přednášce tedy dostanete seznam nejčastějších problémů a stručný návod k jejich odstranění.
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
Prezentace z přednášky na meetupu wppivo.cz. Základy webové analytiky, jak dostat GTM do WordPress a jak měřit odesílání formulářů a další základní měření.
Pár praktických ukázek, ve kterých ukážu, proč se věnovat zabezpečení e-shopů a co se stane, když se na to vykašlete. A že když to budete řešit, až se když se něco bude dít, tak už může být pozdě.
Co si rozmyslet, než se pustíte do tvorby internetových stránek? 5 otázek, na které mít uspokojivé odpovědi, než se do toho opustíte.
Také čtěte a stahujte e-book na: www.5-otazek.cz
Spousta praktických tipů na téma email marketing (nejen) pro majitele a správce WordPress webů, blogů a magazínů. Video z této přednášky si můžete prohlédnout zde - https://www.youtube.com/watch?v=ZP2e9ESG4Yg
Chcete vyšší konverze? Zkuste porušit pravidla | E-business forum 2014 | 25.9...Jan Kvasnička
Prezentace z mé přednášky v Praze na E-business Foru 2014 na téma: Chcete vyšší konverze? Zkuste porušit pravidla. Popis k přednášce najdete v tomto článku: http://blog.kvasnickajan.cz/chcete-vyssi-konverze-zkuste-porusit-pravidla/
Ergonomie webů a eshopů v praxi, 15.1.2013 JsmeMarketingJan Kvasnička
Prezentace na téma: Ergonomie webů a eshopů v praxi v rámci projektu JsmeMarketing, která je zaměřena především na praktickou část. Prezentace také obsahuje okázky z webů a eshopů účastníků této akce.
Přednáška z konference "Firmy v Sociálních sítích" - 7.6.2012 v Praze. 15 praktických tipů pro návrh, správu a optimalizaci placené inzerce na Facebooku (Facebook Ads)
Jak navrhnout úspěšný web krok za krokem | VŠB - APPLE JUICE MEETING | 27.3.2014Jan Kvasnička
Jedná se o postup jak navrhnout úspěšný střední a menší web tak, aby byl co nejúčinnější. Více informací najdete v článku: http://blog.kvasnickajan.cz/jak-navrhnout-uspesny-web-krok-za-krokem-aneb-jak-hodne-se-muzetemate-zapojit/
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...Michal Kubicek
What may make the owner of the site as a user pages on the WordPress platform for it to become a victim of a successful hacker attack, as the simplest way to protect your website against malware attacks, spambots and other vermin. Examples from practice and a more or less successful stories of what can happen when ...
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)Michal ZOBEC
KeePass Advanced Using of Application with global auto-type. Presentation from online presentation.
Pokročilé využití aplikace KeePass včetně globálního samodoplňování. Prezentace z online přednášky.
Link for online presentation: https://www.michalzobec.cz/zaznam-z-prednasky-keepass-zaklady-pokrocile-vyuziti-a-keepass-enterprise-ctvrtek-14-4-2022-8593
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla.
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Michal Špaček
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla a pár špeků, kterým byste se měli obloukem vyhnout.
Spustit web není dnes nic složitého. Zajistit, aby běžel spolehlivě, rychle a bezpečně, může však být oříšek. V přednášce si projdeme nejčastější technické problémy moderních webů z pohledu bezpečnosti, rychlosti i použitelnosti.
Ukážeme si šikovné nástroje, které pomohou problémy odhalit, a nastíníme různé možnosti řešení. Přednáška bude moci sloužit i jako checklist toho, na co byste při provozu webu neměli zapomenout.
This document summarizes the results of a test comparing loading a single large image versus that same image split into sprites over HTTP, HTTPS, and HTTP/2. It found that HTTP/2 performed best, loading sprites faster than a single image over HTTP or HTTPS. It concluded that HTTP/2 should be used, the number of resources optimized, and sprites not eliminated completely to reduce the number of HTTP requests needed.
This document provides an overview of the configuration management tool Ansible. It discusses Ansible's key features including being agentless, using YAML files for idempotent configuration, and supporting multiple platforms. The document also summarizes Ansible's core components like playbooks, templates, modules, and roles for automating infrastructure and application deployments. Finally, it touches on advanced topics such as dynamic inventory, vault encryption, and performance tuning.
WordPress Security:Defend yourself against digital invadersVladimír Smitka
The document discusses security issues related to WordPress websites. It notes that at least 40% of Czech WordPress sites contain security issues due to outdated versions or unpatched vulnerabilities. The document provides tips on how to better manage WordPress updates and security, including using plugins to automate updates, implementing HTTPS, restricting user roles and capabilities, and general best practices. It also describes common attacks like XSS flaws, SQL injection, cookie hijacking, and how hackers may try to exploit vulnerabilities or trick site owners.
Slides from my speech about web apps performance. Images, CSS, JS optimization. PHP and HTTP server effects + caching. Performance profiling with Blackfire.io, debugging with Xdebug.
This document provides an overview of WordPress security best practices. It discusses common attack types like vulnerable plugins and themes, password guessing, and SQL injection. It emphasizes the importance of updating plugins and themes, backing up sites, and using a security plugin to monitor for attacks and block malicious traffic. The document also demonstrates exploits in plugins like Slider Revolution and WordPress Video Gallery to illustrate the risks of outdated software.
Wordcamp Praha 2015 - další útržky z prezentaceVladimír Smitka
Další náhled z mé připravované prezentace na Wordcamp Praha. Tyto slidy jsou vlastně takovou osnovou hlavní části přednášky. Jednotlivá témata budeme probírat více či méně podrobně. Vzhledem k tomu, že je přednáška v uživatelské sekci, bude prostor věnován hlavně bezpečnostním pluginům pro Wordpress.
Prezentace z praktických školení rozšíření síťových dovedností pro SMB segment - verze roku 2014. Účastníci si mohou stáhnout doplňkové materiály na http://edu.lynt.cz.
1. Jak si (ne)nechat hacknout
Wordpress stránky
Vláďa Smitka
vladimir.smitka@lynt.cz
@smitka (ale skoro nic nepíšu)
Lynt services s.r.o.
http://lynt.cz
22. 9. 2014 1
2. BEZPEČNOST VE WORDPRESS
Slide z prezentace Michala Kubíčka – http://michalkubicek.cz
http://lynt.cz
3. 5 nejlepších rad
Aktualizujte
Zálohujte
Používejte bezpečnostní plugin
Buďte opatrní
* Smažte co nepotřebujete a nedávejte světu moc informací.
http://lynt.cz
22. 9. 2014 3
5. Kdo, co, jak a proč
Kdo se na nás pokouší zaútočit?
Co nám udělá?
Jak to udělá?
Proč to ***** dělá?
http://lynt.cz
22. 9. 2014 5
6. Kdo, co, jak a proč
Kde se berou?
např. infikované počítače (zombie v botnetu), jiné infikované weby…
http://lynt.cz
Roboti
Zkusí pár zranitelností, pár hesel,
když se to nepovede, tak jdou pryč.
Cíle vybírají náhodně.
22. 9. 2014 6
7. Kdo, co, jak a proč
Najdou si zranitelné oběti, např. přes
Google hacking (Google Dork). Zkouší všechno co umí.
Když se to nepovede, tak jdou většinou dál.
Je jim vcelku jedno kdo je cíl.
http://lynt.cz
Anonymní hackeři
22. 9. 2014 7
8. Kdo, co, jak a proč
Chtějí váš konkrétní web. Zjišťují mnoho informací.
Zkouší všechno, co umí. Když se to nepovede, tak
se vrátí jakmile se objeví další zranitelnost, nebo
hledají jiné cesty – phishing, malware…
Kde se berou?
Může to být konkurence – i nepřímá.
Hodí jim odkaz z vašeho webu, nebo info o návštěvnících
http://lynt.cz
Cílení hackeři
22. 9. 2014 8
9. Kdo, co, jak a proč
Photo by Lisa, CC BY-SA 2.0
Bez technických znalostí, využijí dostupný exploit (program), často je samotné nakazí
http://lynt.cz
Děti
script kiddies
22. 9. 2014 9
10. Kdo, co, jak a proč
Cizí kód
Vloží spamové odkazy, reklamu, přesměrování
Nechají návštěvníky stahovat malware
Použijí web na DDOS a jiné útoky
Krádež informací
Získají osobní informace uživatelů webu
Omezení provozu
Odstaví web/server (DOS)
http://lynt.cz
22. 9. 2014 10
11. Kdo, co, jak a proč
Bezpečnostní chyba v pluginech a šablonách
Bezpečnostní chyba v jádru WP
Brutal force útok na Admin
Spam z komentářů (+pingbacky)
Odchytnutí hesla a cookie
Z jiných webů na hostingu
Útok oklikou – phishing, malware (keylogger, uložené heslo FTP)
http://lynt.cz
22. 9. 2014 11
12. Kdo, co, jak a proč
Photo by 401(K) 2012, CC BY-SA 2.0
Přímé peníze z reklamy.
Získání zpětných odkazů.
Infikování počítačů – tvorba botnetu – pronájem/těžení bitcoinů.
Odstavení/získání důvěrných info konkurence.
Ukázání technických dovedností a jejich následný pronájem.
http://lynt.cz
22. 9. 2014 12
13. Pluginy a šablony
Můžou prakticky všechno – vyžadují zvýšenou pozornost, pravidelné aktualizace a mazání
nepotřebných – soubory neaktivního pluginu stále mohou obsahovat zranitelnosti.
Mohou obsahovat vědomé a nevědomé bezpečnostní problémy.
Vědomé
Můžete stáhnout šablonu/plugin z nějakého
nedůvěryhodného zdroje a ten může obsahovat
překvapení.
Torrent, Uložto atd. nejsou důvěryhodné zdroje
Nevědomé
Prostě chyba, snaha přinést uživateli pěknou funkci s malým úsilím.
Nejčastěji se šikovným dotazem podaří stáhnout zajímavý soubor (wp-config…), nebo naopak
nahrát svůj zajímavý soubor. Mohou být špatně ošetřené uživatelské vstupy a povede se vykonat
nějaký kód (PHP nebo JavaScript).
http://lynt.cz
To, že za plugin platím, neznamená, že je
důvěryhodný.
22. 9. 2014 13
Photo by Wikipedia
15. Chyby
Download ShortCode - LFI (CVE-2014-5465)
/wp-content/force-download.php?file=../wp-config.php
$file = $_GET['file'];
if(isset($file)) {
http://llyndamoreboots.com/wp/wp-content/force-download.php?file=../wp-config.php
Revolution slider - LFI
LFI: /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
MailPoet – File Dropper
Ověření uploadu pomocí hooku add_action( 'admin_init', ‚…' ) – pouští se při spuštění stránky v
administraci – např. admin-post.php – uploader „šablony“ emailu v zip
OptimizePress Theme – File Dropper
/wp-content/themes/OptimizePress/lib/admin/media-upload.php – vlastní uploader bez
dostatečného zabezpečení
http://lynt.cz
include("pages/$file"); }
else {
include("index.php"); }
22. 9. 2014 15
16. Chyby v jádře
Již je toho hodně vyladěno, ale určitě mnoho zbývá
Kritické se neobjevují tak často, většinou se jedná o unik informací nebo DOS. Po
odhalení je oprava často rychle dostupná a díku auto-update i nasazená.
Chyba v XML-RPC (týkala se i Drupalu) – speciální XML soubor dokázal vygenerovat
několika GB požadavek – došlo k vyčerpání prostředků.
V základu není limitován počet chybných přihlášení (lze řešit pluginem)
Lze jednoduše získat uživatelské jméno:
http://www.justit.cz/wordpress/?author=2 =>
http://www.justit.cz/wordpress/author/ddoc/
RewriteRule ^author/(.*)$ http://jdi-nekam.com/ [R,L]
http://lynt.cz
Chyby, které jsou vlastnostmi:
22. 9. 2014 16
17. Spam
Nejjednodušší cesta – přidat komentář, když je to možné.
Když to není možné, přesvědčit se, zda to opravdu není možné:
/?p=1 => možná admin nesmazal první Hello World příspěvek, který má povoleny
komentáře (globální vypnutí komentářů se vztahuje pouze na nové příspěvky)
Můžeme uzavřít komentáře po X dnech stáří článku.
function lynt_disable_comments_on_pages( $file ) {
return is_page() ? __FILE__ : $file;
}
add_filter( 'comments_template', 'lynt_disable_comments_on_pages');
http://lynt.cz
Vypnutí komentářů na stránkách:
22. 9. 2014 17
18. Spam – ale já komentáře chci
Použití antispamového filtru:
Akismet
• předinstalovaný v základu, chce drobný poplatek
• používá kontextové filtrování a reputaci IP adresy
• někdy může dojít k zablokování regulérního příspěvku
HoneyPot
• nastraží políčko, které vyplní jen robot,
• komentář rovnou odstraní
• pokud se jedná o cílenější spamování, můžou spamy projít
• Pluginy: NoSpamNX, Honeypot Comments
Tyto řešení se nevztahují na pingbacky, pokud je nechci, tak je dobré je
vypnout.
http://lynt.cz
Captcha
• nemám ji rád
22. 9. 2014 18
20. Člověk je nejslabší článek
Dáváme slabá hesla a používáme uživatelské jméno admin.
Hesla si nešifrovaně ukládáme a používáme je na více webech.
Doporučuji: nainstalovat WP klidně s uživatelem admin, nainstalovat si vše
potřebné, založit nového uživatele s právy admina, a starého smazat. Používat
správce hesel např. KeePass a využívat jeho generátor hesel.
Přihlašovací heslo není složité odchytnout.
Není vhodné se přihlašovat z neznámých sítí (wifi i kabelových), pokud nemám
SSL v administraci.
Proč vlastně nezapnout SSL pro celý web?
http://lynt.cz
define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);
22. 9. 2014 20
23. Člověk je nejslabší článek
S tímto cookie se
mohu přihlásit i
bez znalosti hesla
cookie wordpress_logged_in_...se posílá stále, nejen při přístupu do adminu
http://lynt.cz
22. 9. 2014 23
24. Člověk je nejslabší článek
Předmět: Bezpečnostní problém WEDOS Hosting [8614001612]
Datum: Wed, 20 Sep 2014 14:32:48 +0200
Od: WEDOS <hosting@wedos.com>
Komu: <ty>
Na Vaší webové prezentaci tvujweb.cz založené na redakčním systému Wordpress byla
zjištěna závažná bezpečnostní chyba v pluginu Skvělej Plugin, které umožňuje útočníkovi
získat plnou kontrolu nad Vaším webem a následně útočit na další weby.
Oficiální oprava zatím není k dispozici. Naši specialisté však mohou chybu opravit ručně.
K tomu potřebujeme Vaše přihlašovací údaje do administrace Wordpress.
Zašlete nám je prosím obratem, ať můžeme zabránit dalším útokům. V opačném případě
budeme bohužel nuceni Vaši webovou prezentaci pozastavit.
http://lynt.cz
Vážený zákazníku,
WEDOS Internet, a.s.
22. 9. 2014 24
25. Člověk je nejslabší článek
Předmět: Bezpečnostní problém WEDOS Hosting [8614001612]
Datum: Wed, 20 Sep 2014 14:32:48 +0200
Od: WEDOS <hosting@wedos.com>
Komu: <ty>
Na Vaší webové prezentaci tvujweb.cz založené na redakčním systému Wordpress byl
zjištěna škodlivý kód, který masivně útočí na další weby a infikuje návštěvníky.
Neprodleně nainstalujte náš antivirový plugin Wedos-WP-Antivir, který naleznete v
příloze i s návodem k instalaci. V opačném případě budeme bohužel nuceni Vaši
webovou prezentaci pozastavit.
http://lynt.cz
Vážený zákazníku,
WEDOS Internet, a.s.
22. 9. 2014 25
26. Člověk je nejslabší článek
Jste si jistí, že se obezřetně chovají i ostatní uživatelé, kteří mají přístup k webu?
I získání neadministrátorského účtu může mít velké důsledky – upload souborů, vkládání
obsahu.
Uživatelské role Administrator a Editor mohou standardně vkládat do komentářů
JavaScript.
http://lynt.cz
Jste si jistí, že se chováte obezřetně?
22. 9. 2014 26
27. Co mi mohou udělat okolní weby?
Pokud není hosting správně nakonfigurován, může napadený web
přistupovat k souborům i na ostatních webech.
Nejčastější metody oddělení webů:
Ze stejné IP adresy je rozesílán spam, stahován malware – dostane se na
blacklisty
http://lynt.cz
Přímé ohrožení:
• Vlastní uživatelé
• Open_basedir
• Různé typy chroot
Nepřímé ohrožení:
22. 9. 2014 27
28. Co s tím vším mám dělat?
http://lynt.cz
22. 9. 2014 28
29. Aktualizujte
Problém č. 1 – jak se dozvědět o aktualizaci?
• WP Updates Notifier – při dostupném updatu zašle email
• Více webů lze udržovat hromadně pomocí InfiniteWP
• Sledovat informace o aktuálních hrozbách (zdroje na konci prezentace)
Problém č. 2 – nerozbije se to?
Pravděpodobně někdy ano, ale lepší než bezpečnostní rizika
Jádro s ve WP 3.8+ aktualizuje samo
define( 'WP_AUTO_UPDATE_CORE', true ); - povolí i majoritní updaty
Automatická aktualizace pluginů a šablon zapnout:
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );
Pozor na vlastní úpravy. V případě šablon je vhodné si udělat odvozenou šablonu.
S použitím menšího množství pluginů klesnou nároky na správu i bezpečnostní rizika.
http://lynt.cz
22. 9. 2014 29
30. Zálohujte
Po případném napadení bude možné se vrátit k neinfikované verzi.
Pozor, kam se záloha ukládá.
Řešení hostingu/ruční záloha DB a souborů
Zálohovací plugin: např. BackWPup, BackupBuddy
Součást některých dalších pluginů a nástrojů (InfiniteWP)
„Zálohování je alfou a omegou práce na počítači.“
http://lynt.cz
Photo by Sean MacEnte,
CC BY 2.0
22. 9. 2014 30
31. Používejte bezpečnostní plugin
Komplexnější řešení, které opraví některé
zneužitelné díry, omezí brutal force útoky na
administraci, najdou podezřelý kód.
Vyberte si svého favorita:
• Wordfence
• iThemes Security
• All in One WP security
http://lynt.cz
22. 9. 2014 31
32. Wordfence
http://lynt.cz
Realtime scanner
• Pokouší se zjistit, zda je návštěvník bot nebo člověk a
umí dle toho nastavovat politiky
• Blokuje přístupy do administrace
• Scanuje soubory na podezřelý kód
• Umí cachování pro dorovnání výkonnostní ztráty
• Notifikuje při změnách souborů
• Prémiové funkce (39$/rok): přihlašování pomocí SMS,
vzdálené scany, antispam v komentářích
22. 9. 2014 32
33. iThemes Security
http://lynt.cz
Průvodce bezpečností
• Blokuje přístupy do administrace
• Blokuje IP adresy (má i distribuovaný seznam)
• Zálohuje databázi
• Hledá malware v souborech
• Detekuje zvýšené množství 404
• Monitoruje změny v souborech
• Přesměruje přihlašování
• Správně nastaví práva k souborům a složkám
• Umí změnit prefix databáze
• Další nástroje od vydavatele (Sync, BackupBuddy,…)
22. 9. 2014 33
34. All in One WP Security
Vše, co potřebujete na pár kliků
• Podobné funkce jako iThemes Security
• Někde podrobnější nastavení
• + umožňuje „zakázat“ kopírování obsahu
• + zákaz používání obrázků na jiných webech
• + captcha do komentářů a login page (sem umí
dát i honeypot)
iThemes více radí, co máte udělat.
http://lynt.cz
22. 9. 2014 34
35. Co mohu udělat sám
• Změnit prefix DB při instalaci
• Zákaz PHP v /wp-content/uploads/ - .htaccess
• Zakázání XML-RPC - .htaccess (příp. add_filter('xmlrpc_enabled', '__return_false');)
• Přidat další ochranu k wp-login (http auth, 2 fázová autentifikace) - .htaccess
• Hlídat referer (přihlašování, komentáře) - .htaccess
• Zkontrolovat práva složek a souborů
• Zamaskovat verzi WP a ServerSignature - .htaccess, wp-config.php
• disable_functions (exec, passthru,shell_exec, system, proc_open, popen, eval – zde
může něco přestat fungovat – jetpack, zip,…) – php.ini
• allow_url_fopen, allow_url_include – php.ini/ .htaccess
• Posunout wp-config.php o úroveň výše – otázka, jaký to má smysl (doporučení
vzniklo chybou v systému Plesk, který deaktivoval PHP a zdrojové kódy tak byly
přímo dostupné), lepší je dát wp-config do paralelní složky a includovat ho
http://lynt.cz
22. 9. 2014 35
36. .htaccess
http://lynt.cz
Globální .htaccess
ServerSignature off
#zakazani xml-rpc
RedirectMatch 403 /(.*)/xmlrpc.php$
#kontrola refereru
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php*
RewriteCond %{HTTP_REFERER} !.*example.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule ^(.*)$ - [F,L]
#zákaz přístupu k některým souborům
<FilesMatch "license.txt|wp-config-sample.php|readme.html|.htaccess|wp-config.php">
Order allow,deny
Deny from all
</FilesMatch>
.htaccess ve složce /wp-content/uploads/
php_flag engine off
Jiná možnost:
<FilesMatch .php$>
Order allow,deny
Deny from all
</FilesMatch>
Další tipy (MySQL injection…): https://secure.rivalhost.com/knowledgebase/1037/htaccess-against-MySQL-injections-
and-other-hacks.html
22. 9. 2014 36
37. Práva složek a souborů
root directory 755
wp-includes/ 755
.htaccess 644
wp-admin/index.php 644
wp-admin/js/ 755
wp-content/themes/ 755
wp-content/plugins/ 755
wp-admin/ 755
wp-content/ 755
wp-config.php 644
http://lynt.cz
z All in One WP Security
22. 9. 2014 37
38. Problematika DOS a DDOS
• Částečně lze řešit pomocí cachovacího pluginu
(WP-SuperCache) – některé útoky postupně
např. vyčerpají počet povolených php procesů
• Analýza botů ve Wordfence
• Další řešení je použít službu typu
CloudFlare/Incapsula (WAF – web application
firewall)
• Masivní útok může ucpat linku = záleží pak na
technologiích poskytovatele
http://lynt.cz
22. 9. 2014 38
39. Zdroje dalších informací
• http://www.kyberbezpecnost.cz/
• http://packetstormsecurity.com/search/?q=wordpress – vhodné do
http://lynt.cz
RSS
• http://blog.sucuri.net/
• https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress
• http://codex.wordpress.org
• https://github.com/b374k/b374k – nejčastěji uploadovaný nástroj
útočníky
• https://www.startssl.com – základní SSL certifikát zdarma
• http://edu.lynt.cz/ – náš výukový portál, časem zde mohou být
zajímavé informace
22. 9. 2014 39
40. A to je vše, přátelé.
aktualizujte, zálohujte, používejte bezpečnostní plugin, buďte opatrní
http://lynt.cz
22. 9. 2014 40
Editor's Notes
Kdo ma vps/hosting, kdo ma bezpecnosnti plugin, kdo resil incident