SlideShare a Scribd company logo

Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPress

D
Damir Bodor

4. WordPress meetup u Novom Sadu #WPNS https://www.meetup.com/WP-Meetup-NS/ https://www.facebook.com/wpnovisad/ Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPress

Software
1 of 54
Download to read offline
Bezbednost WordPress sajtova - Uvod u WordPress Hardening #WPNS Nikola Petrov 15.02.2017.
jhujhuhuhh Bezbednost
jhujhuhuhhBezbednost - ukratko Kratak pregled • Zašto je bitna? • „Neće to meni da se desi“ • Ljudska priroda  Misliti na vreme  Biti temeljan  Biti posvećen  Ne znači da morate biti eksperti za bezbednost – samo pratite uputstva
Popularnost “Idealan” sistem • 100% siguran sistem ne postoji WP platforma • Fleksibilna • Otvorena • ≈ 50.000 dodataka W3Techs.com, February 2017
Primer 2.6 TB 11.5 milliona dokumenata
• Propust napravljen na Revolution Slider pluginu • Njihov Web server nije bio iza Firewall-a • Njihov Web server je na istoj mreži kao i njihov MAIL server s bazom u Panami • Postavili su osetljive podatke o svojim klijentima sa svog portala, koji uključuju pristupne podatke portalu, kao i mail serveru klijenata Jedan ne ažuriran WP dodatak, može dovesti do pada svetskih lidera i istorijski najvećeg odliva privatnih podataka široj javnosti.
Hardening
hardening is the process of securing a system by reducing its surface of vulnerability
Zašto nam je potreban „hardening“ ?
WP verzije Kratak pregled WordPress versions usage – January 2017 W3Techs.com
PHP verzije Kratak pregled PHP versions run by WordPress websites – January 2017 W3Techs.com
jhujhuhuhh Zašto bi neko napao baš moj WP sajt?
jhujhuhuhhSEO Kratak pregled • Vaš kompromitovani sajt je moguće koristiti u svrhu poboljšanja SEO nekog drugog sajta ubacivanjem back-link –ova. • Ovde koriste dobru reputaciju Vašeg sajta za njihove zlonamerne ciljeve.
jhujhuhuhhSPAM Kratak pregled • Slanje SPAM e-mail poruka je takođe jedan od čestih razloga za zloupotrebu vašeg WP sajta. • Kada haker iskoristi Vaš sajt i hosting nalog, prelazi na drugi sajt, a Vama ostavlja „blacklistovan“ sajt sa dosta problema.
jhujhuhuhhKrađa podataka Kratak pregled • Prosečan korisnik ostavlja gomilu ličnih podataka na računaru. • Krađa ovih podataka je moguća putem WP sajta, kao što su: lozinke, podatke o Vašoj kreditnoj kartici, bankovnom računu...
jhujhuhuhhNapad na druge sajtove Kratak pregled • Ponekada cilj hakera je da neki sajt učini nedostupan korisnica (DoS, Denial of Service). • Da bi koristili ovu tehniku potrebna je mreža sajtova, koju su oni na maliciozni način „regrutovali“.
jhujhuhuhh Najčešći hakerski napadi Tehnike
jhujhuhuhhBrute force • Najčešće korišćen od strane script kiddie hakera • Bruteforce podrazumeva skeniranje slabosti i ranjivosti sajta, kao i isprobavanje svih mogućih kombinacija i kriptografskih ključeva • U teoriji, na ovakav način bi se moglo pristupiti svakom sistemu koji ima neku ranjivost, ali na svu sreću ovo je daleko od svakodnevne prakse, ali se svakako treba shvatiti ozbiljno
jhujhuhuhhDeface Kratak pregled • Nije svaki “hacker” osoba koja želi da Vam napakosti i obori sajt. • Veliki broj ovih „osvetnika i boraca za pravdu“ nazivaju sebe “whitehat“ hakerima i njihov cilj je da ukažu drugima na bezbednosne probleme sajta. • Njihov omiljeni metod je tehnika poznata kao deface sajta jer na ovaj način neće naneti veliku štetu Vašem sistemu. U pitanju je metoda pomoću koje hakeri iz vašeg direktorijuma uklanjaju index.php fajl i zamenjuju ga svojim index.html fajlom.
jhujhuhuhhVirus/malware injection Kratak pregled • Ovaj način je prilično jedinstven za WordPress, a to je injekcija virusa i zlonamernog softvera (malicious software) kroz besplatne i piratizovane teme i dodatke (plugins). • Ponekad je sasvim dovoljno rukoviditi se zdravim razumom ukoliko želite da izbegnete ovakav napad. • Zlonamerni virusi i softver će pokušati da okače spam na Vaš sajt ili da ukradu poverljive podatke od Vaših korisnika. • Ukoliko je Vaš sajt zaražen onda će vrlo brzo biti kažnjen od strane pretraživača.
jhujhuhuhhBackdoor Kratak pregled • Backdoor skripte su prilično opasne. U najgorem scenariju, backdoor postavljen na vaš sajt može uzrokovati ozbiljne probleme i gubitak podataka na celom serveru. • Napad se najčešće dešava zbog neažuriranog software-a i skripti koje koristi. • Najčešće, malicioznu skriptu možete primetiti kao enkodovanu base64 skriptu ili kao deo skripte koji je enkodovan.
jhujhuhuhhDDoS (Distrubuited Denial of Service) Kratak pregled • DDoS tehnika je gde „hacker“ šalje saobraćaj, preko kompromitovanih mreža i računara, prema određenoj meti. • Na ovaj način “meta” je toliko zauzeta da prestaje da odgovara na zahteve koji dolaze od legitimnih korisnika. Ova taktika korišćena je čak i kao sredstvo ucene gde su hakeri zahtevali otkup kako bi oslobodili određeni veb- sajt. • Tokom DDoS napada, ciljani server ili mreža prima zahteve iz kompromitovanih sistema. Učestalost zahteva je toliko velika da protok dostiže svoj maksimum koji može da ima kada su resursi i mogućnosti servera u pitanju. • Server usporava do mere u kojoj postaje beskoristan sve dok napad traje.
Rešenja
Redovno pravite „backup“ sajta i baze podataka
Kreiranje backup-a • Ručno • Putem plugin-a: • Obavezno testirajte backup !
Redovno ažurirajte WP i njegove dodatake
define('WP_AUTO_UPDATE_CORE', true); wp-config.php functions.php add_filter( 'auto_update_theme', '__return_true' ); add_filter( 'auto_update_plugin', '__return_true' );
Sprečite da WP pokazuje informacije o korisnicima koji imaju pristup sajtu
www.vaswpsajt.com/?author=1 www.vaswpsajt.com/?author=2 www.vaswpsajt.com/?author=3
RewriteCond %{QUERY_STRING} (^|&)author= RewriteRule . http://%{SERVER_NAME}/? [L] .htaccess
Korisničke dozvole
WP Roles
„Honey Pot“ tehnika
Sakrite vašu login stranicu
Sakrite vašu login stranicu RewriteRule ^mylogin$ wp-login.php?key=123&redirect_to=http://%{SERVER_NAME}/wp- admin/index.php [L] RewriteCond %{HTTP_REFERER} !^http://%{SERVER_NAME}/wp-admin RewriteCond %{HTTP_REFERER} !^http://%{SERVER_NAME}/wp-login.php RewriteCond %{HTTP_REFERER} !^http://%{SERVER_NAME}/login RewriteCond %{QUERY_STRING} !^key=123 RewriteCond %{QUERY_STRING} !^action=logout RewriteCond %{QUERY_STRING} !^action=lostpassword RewriteCond %{REQUEST_METHOD} !POST RewriteRule ^wp-login.php http://%{SERVER_NAME}/? [R,L] .htaccess
Poruke o greškama
Sakrivanje poruka o login greškama // login errors / message add_filter('login_errors', '__return_false'); add_filter('login_messages', '__return_false'); functions.php
Onemogućiti PHP izvršenje
Onemogućiti PHP izvršenje u upload direktorijumu Order Allow,Deny Deny from all <Files ~ ".(xls|doc|rtf|pdf|zip|mp3|flv|swf|png|gif |jpg|ico|js|css|kmz|ttf|woff|woff2)$"> Allow from all </Files> -uploads .htaccess
Uklonite nepotrebne dodatke (plugins)
• Uklonite neaktivne dodatke • One koje nekoristite Uklonite nepotrebne dodatke (plugins)
Koristite „jake“ lozinke
Koristite „jake“ lozinke „slabe lozinke“ • pera1990 • password • 123456 • qwerty • admin „jake“ lozinke • D7u8hI928FJYusx • Z5BLl20T8by1524 • TLv7p64P63V5Hr1 • 6b83668I15qRP2I • Um2d4Ejd9T1ExPr
Proizvoljni direktorijum
- WP-ADMIN - WP-INCLUDE - WP-CONTENT Standardni prikaz WP direktorijuma
- APPLICATION --- WP-ADMIN --- WP-INCLUDES - PUBLIC --- WP-CONTENT - UPLOADS Proizvoljan prikaz WP direktorijuma
Proizvoljan prikaz WP direktorijuma define('WP_CONTENT_DIR', dirname(__FILE__) . '/public); define('WP_CONTENT_URL', 'http://' . $_SERVER['HTTP_HOST'] . '/public'); define( 'WP_UPLOADS_DIR', dirname(__FILE__) . '/uploads' ); define('WP_SITEURL', 'http://' . $_SERVER['SERVER_NAME'] . '/application'); define('WP_HOME', 'http://' . $_SERVER['SERVER_NAME']); wp-config.php
Gotova rešenja
Gotova bezbednosna rešenja
Pravite redovan “backup” fajlova i baze podataka     Koristite kompleksne lozinke ( Cpanel, WP login, FTP, DB user) Redovno ažuriranje WP-a i njegovih dodataka (pluginova) Monitoring stanja WP sajta (u pogledu bezbednosti) Pravilan odabir hosting provajdera Rezime
Testiranje WP zaštite
Testiranje WP zaštite Kratak pregled • Security-testing distibucija – Kali Linux • WPScan, Sponsored by Sucuri wpscan --url http://www.ime.domen
Kratak pregled
Hvala na pažnji ! Nikola Petrov nikola.petrov@tfzr.rs /nikola-petrov

Recommended

Owasp Serbia: sqli,xss
Owasp Serbia: sqli,xssOwasp Serbia: sqli,xss
Owasp Serbia: sqli,xss
Nikola Milosevic
 
Mišel Tekinder-WordPress Theme Development: Crafting Performant Reusable CSS
Mišel Tekinder-WordPress Theme Development: Crafting Performant Reusable CSSMišel Tekinder-WordPress Theme Development: Crafting Performant Reusable CSS
Mišel Tekinder-WordPress Theme Development: Crafting Performant Reusable CSS
Damir Bodor
 
Custom coded projects
Custom coded projectsCustom coded projects
Custom coded projects
Marko Heijnen
 
Admnistriranje mreza nova_predavanja_1
Admnistriranje mreza nova_predavanja_1Admnistriranje mreza nova_predavanja_1
Admnistriranje mreza nova_predavanja_1naroz
 
Sibin Grasić - Najčešće greške WP developera
Sibin Grasić - Najčešće greške WP developeraSibin Grasić - Najčešće greške WP developera
Sibin Grasić - Najčešće greške WP developera
Startit
 
WordPress For Beginners - Serbian Version
WordPress For Beginners - Serbian VersionWordPress For Beginners - Serbian Version
WordPress For Beginners - Serbian Version
Stevica Gološin
 
Studija slučaja - phishing
Studija slučaja - phishingStudija slučaja - phishing
Studija slučaja - phishing
Boban Lapcevic
 
Anatomija napada – duhovi u mašini
Anatomija napada – duhovi u mašiniAnatomija napada – duhovi u mašini
Anatomija napada – duhovi u mašini
ITDogadjaji.com
 

Recommended

Owasp Serbia: sqli,xss
Owasp Serbia: sqli,xssOwasp Serbia: sqli,xss
Owasp Serbia: sqli,xss
Nikola Milosevic
 
Mišel Tekinder-WordPress Theme Development: Crafting Performant Reusable CSS
Mišel Tekinder-WordPress Theme Development: Crafting Performant Reusable CSSMišel Tekinder-WordPress Theme Development: Crafting Performant Reusable CSS
Mišel Tekinder-WordPress Theme Development: Crafting Performant Reusable CSS
Damir Bodor
 
Custom coded projects
Custom coded projectsCustom coded projects
Custom coded projects
Marko Heijnen
 
Admnistriranje mreza nova_predavanja_1
Admnistriranje mreza nova_predavanja_1Admnistriranje mreza nova_predavanja_1
Admnistriranje mreza nova_predavanja_1naroz
 
Sibin Grasić - Najčešće greške WP developera
Sibin Grasić - Najčešće greške WP developeraSibin Grasić - Najčešće greške WP developera
Sibin Grasić - Najčešće greške WP developera
Startit
 
WordPress For Beginners - Serbian Version
WordPress For Beginners - Serbian VersionWordPress For Beginners - Serbian Version
WordPress For Beginners - Serbian Version
Stevica Gološin
 
Studija slučaja - phishing
Studija slučaja - phishingStudija slučaja - phishing
Studija slučaja - phishing
Boban Lapcevic
 
Anatomija napada – duhovi u mašini
Anatomija napada – duhovi u mašiniAnatomija napada – duhovi u mašini
Anatomija napada – duhovi u mašini
ITDogadjaji.com
 
Napadi na VPVA - zoss
Napadi na VPVA - zossNapadi na VPVA - zoss
Napadi na VPVA - zoss
Team61
 
Oit socijalne mreze
Oit socijalne mrezeOit socijalne mreze
Oit socijalne mreze
Vesna Petkovic
 
Arquitectura ejemplo para integraciones cloud en Azure
Arquitectura ejemplo para integraciones cloud en AzureArquitectura ejemplo para integraciones cloud en Azure
Arquitectura ejemplo para integraciones cloud en Azure
juandanielgarciaveig
 
Безбедност и ризици: Малициозни програми
Безбедност и ризици: Малициозни програмиБезбедност и ризици: Малициозни програми
Безбедност и ризици: Малициозни програми
ОШ ХРШ
 
Siteground pregled - da li je ovo pravi hosting za vaš blog ili sajt?
Siteground pregled - da li je ovo pravi hosting za vaš blog ili sajt?Siteground pregled - da li je ovo pravi hosting za vaš blog ili sajt?
Siteground pregled - da li je ovo pravi hosting za vaš blog ili sajt?
Marina Nikolic
 
Getting application production ready
Getting application production readyGetting application production ready
Getting application production ready
Igor Talic
 
Automatizacija u Front-end razvojnom procesu
Automatizacija u Front-end razvojnom procesuAutomatizacija u Front-end razvojnom procesu
Automatizacija u Front-end razvojnom procesu
Dalibor Gogic
 
Web logs: Collecting and analysing - Nikola Krgovic
Web logs: Collecting and analysing - Nikola KrgovicWeb logs: Collecting and analysing - Nikola Krgovic
Web logs: Collecting and analysing - Nikola Krgovic
Institute of Contemporary Sciences
 
Како сам преживео напад CryptoLockera
Како сам преживео напад CryptoLockeraКако сам преживео напад CryptoLockera
Како сам преживео напад CryptoLockera
Регистар националног Интернет домена Србије - РНИДС
 
Racunarska mreza
Racunarska mrezaRacunarska mreza
Racunarska mreza
Tijana Ilic
 
Think Smart - Start Grid
Think Smart - Start GridThink Smart - Start Grid
Think Smart - Start Grid
ITDogadjaji.com
 
Klijent Server Sistemi - Ljubomir Lazic
Klijent Server Sistemi - Ljubomir LazicKlijent Server Sistemi - Ljubomir Lazic
Klijent Server Sistemi - Ljubomir LazicZeki Zeki
 
WordPress za početnike
WordPress za početnikeWordPress za početnike
WordPress za početnike
DejanVesic
 
Decouple Goals
Decouple GoalsDecouple Goals
Decouple Goals
Sasa Blagojevic
 
Getting bigger with flask
Getting bigger with flaskGetting bigger with flask
Getting bigger with flaskJosipKatalinic
 
DNS систем и безбедност
DNS систем и безбедностDNS систем и безбедност
DNS систем и безбедност
Регистар националног Интернет домена Србије - РНИДС
 
Projektovanje web aplikacija
Projektovanje web aplikacijaProjektovanje web aplikacija
Projektovanje web aplikacija
Damjan Pavlica
 
Servisi-u-oblaku.pdf
Servisi-u-oblaku.pdfServisi-u-oblaku.pdf
Servisi-u-oblaku.pdf
raven0241
 
ЗАШТИТА НА ИНТЕРНЕТУ
ЗАШТИТА НА ИНТЕРНЕТУЗАШТИТА НА ИНТЕРНЕТУ
ЗАШТИТА НА ИНТЕРНЕТУ
NatasaStojkovic11
 
Javantura Zagreb 2014 - Google Dart - Željko Kunica
Javantura Zagreb 2014 - Google Dart - Željko KunicaJavantura Zagreb 2014 - Google Dart - Željko Kunica
Javantura Zagreb 2014 - Google Dart - Željko Kunica
HUJAK - Hrvatska udruga Java korisnika / Croatian Java User Association
 

More Related Content

Similar to Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPress

Napadi na VPVA - zoss
Napadi na VPVA - zossNapadi na VPVA - zoss
Napadi na VPVA - zoss
Team61
 
Oit socijalne mreze
Oit socijalne mrezeOit socijalne mreze
Oit socijalne mreze
Vesna Petkovic
 
Arquitectura ejemplo para integraciones cloud en Azure
Arquitectura ejemplo para integraciones cloud en AzureArquitectura ejemplo para integraciones cloud en Azure
Arquitectura ejemplo para integraciones cloud en Azure
juandanielgarciaveig
 
Безбедност и ризици: Малициозни програми
Безбедност и ризици: Малициозни програмиБезбедност и ризици: Малициозни програми
Безбедност и ризици: Малициозни програми
ОШ ХРШ
 
Siteground pregled - da li je ovo pravi hosting za vaš blog ili sajt?
Siteground pregled - da li je ovo pravi hosting za vaš blog ili sajt?Siteground pregled - da li je ovo pravi hosting za vaš blog ili sajt?
Siteground pregled - da li je ovo pravi hosting za vaš blog ili sajt?
Marina Nikolic
 
Getting application production ready
Getting application production readyGetting application production ready
Getting application production ready
Igor Talic
 
Automatizacija u Front-end razvojnom procesu
Automatizacija u Front-end razvojnom procesuAutomatizacija u Front-end razvojnom procesu
Automatizacija u Front-end razvojnom procesu
Dalibor Gogic
 
Web logs: Collecting and analysing - Nikola Krgovic
Web logs: Collecting and analysing - Nikola KrgovicWeb logs: Collecting and analysing - Nikola Krgovic
Web logs: Collecting and analysing - Nikola Krgovic
Institute of Contemporary Sciences
 
Како сам преживео напад CryptoLockera
Како сам преживео напад CryptoLockeraКако сам преживео напад CryptoLockera
Како сам преживео напад CryptoLockera
Регистар националног Интернет домена Србије - РНИДС
 
Racunarska mreza
Racunarska mrezaRacunarska mreza
Racunarska mreza
Tijana Ilic
 
Think Smart - Start Grid
Think Smart - Start GridThink Smart - Start Grid
Think Smart - Start Grid
ITDogadjaji.com
 
Klijent Server Sistemi - Ljubomir Lazic
Klijent Server Sistemi - Ljubomir LazicKlijent Server Sistemi - Ljubomir Lazic
Klijent Server Sistemi - Ljubomir LazicZeki Zeki
 
WordPress za početnike
WordPress za početnikeWordPress za početnike
WordPress za početnike
DejanVesic
 
Decouple Goals
Decouple GoalsDecouple Goals
Decouple Goals
Sasa Blagojevic
 
Getting bigger with flask
Getting bigger with flaskGetting bigger with flask
Getting bigger with flaskJosipKatalinic
 
DNS систем и безбедност
DNS систем и безбедностDNS систем и безбедност
DNS систем и безбедност
Регистар националног Интернет домена Србије - РНИДС
 
Projektovanje web aplikacija
Projektovanje web aplikacijaProjektovanje web aplikacija
Projektovanje web aplikacija
Damjan Pavlica
 
Servisi-u-oblaku.pdf
Servisi-u-oblaku.pdfServisi-u-oblaku.pdf
Servisi-u-oblaku.pdf
raven0241
 
ЗАШТИТА НА ИНТЕРНЕТУ
ЗАШТИТА НА ИНТЕРНЕТУЗАШТИТА НА ИНТЕРНЕТУ
ЗАШТИТА НА ИНТЕРНЕТУ
NatasaStojkovic11
 
Javantura Zagreb 2014 - Google Dart - Željko Kunica
Javantura Zagreb 2014 - Google Dart - Željko KunicaJavantura Zagreb 2014 - Google Dart - Željko Kunica
Javantura Zagreb 2014 - Google Dart - Željko Kunica
HUJAK - Hrvatska udruga Java korisnika / Croatian Java User Association
 

Similar to Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPress (20)

Napadi na VPVA - zoss
Napadi na VPVA - zossNapadi na VPVA - zoss
Napadi na VPVA - zoss
 
Oit socijalne mreze
Oit socijalne mrezeOit socijalne mreze
Oit socijalne mreze
 
Arquitectura ejemplo para integraciones cloud en Azure
Arquitectura ejemplo para integraciones cloud en AzureArquitectura ejemplo para integraciones cloud en Azure
Arquitectura ejemplo para integraciones cloud en Azure
 
Безбедност и ризици: Малициозни програми
Безбедност и ризици: Малициозни програмиБезбедност и ризици: Малициозни програми
Безбедност и ризици: Малициозни програми
 
Siteground pregled - da li je ovo pravi hosting za vaš blog ili sajt?
Siteground pregled - da li je ovo pravi hosting za vaš blog ili sajt?Siteground pregled - da li je ovo pravi hosting za vaš blog ili sajt?
Siteground pregled - da li je ovo pravi hosting za vaš blog ili sajt?
 
Getting application production ready
Getting application production readyGetting application production ready
Getting application production ready
 
Automatizacija u Front-end razvojnom procesu
Automatizacija u Front-end razvojnom procesuAutomatizacija u Front-end razvojnom procesu
Automatizacija u Front-end razvojnom procesu
 
Web logs: Collecting and analysing - Nikola Krgovic
Web logs: Collecting and analysing - Nikola KrgovicWeb logs: Collecting and analysing - Nikola Krgovic
Web logs: Collecting and analysing - Nikola Krgovic
 
Како сам преживео напад CryptoLockera
Како сам преживео напад CryptoLockeraКако сам преживео напад CryptoLockera
Како сам преживео напад CryptoLockera
 
Racunarska mreza
Racunarska mrezaRacunarska mreza
Racunarska mreza
 
Think Smart - Start Grid
Think Smart - Start GridThink Smart - Start Grid
Think Smart - Start Grid
 
Klijent Server Sistemi - Ljubomir Lazic
Klijent Server Sistemi - Ljubomir LazicKlijent Server Sistemi - Ljubomir Lazic
Klijent Server Sistemi - Ljubomir Lazic
 
WordPress za početnike
WordPress za početnikeWordPress za početnike
WordPress za početnike
 
Decouple Goals
Decouple GoalsDecouple Goals
Decouple Goals
 
Getting bigger with flask
Getting bigger with flaskGetting bigger with flask
Getting bigger with flask
 
DNS систем и безбедност
DNS систем и безбедностDNS систем и безбедност
DNS систем и безбедност
 
Projektovanje web aplikacija
Projektovanje web aplikacijaProjektovanje web aplikacija
Projektovanje web aplikacija
 
Servisi-u-oblaku.pdf
Servisi-u-oblaku.pdfServisi-u-oblaku.pdf
Servisi-u-oblaku.pdf
 
ЗАШТИТА НА ИНТЕРНЕТУ
ЗАШТИТА НА ИНТЕРНЕТУЗАШТИТА НА ИНТЕРНЕТУ
ЗАШТИТА НА ИНТЕРНЕТУ
 
Javantura Zagreb 2014 - Google Dart - Željko Kunica
Javantura Zagreb 2014 - Google Dart - Željko KunicaJavantura Zagreb 2014 - Google Dart - Željko Kunica
Javantura Zagreb 2014 - Google Dart - Željko Kunica
 

Nikola Petrov-Bezbednost WordPress sajtova - Uvod u WordPress

  • 1. Bezbednost WordPress sajtova - Uvod u WordPress Hardening #WPNS Nikola Petrov 15.02.2017.
  • 3. jhujhuhuhhBezbednost - ukratko Kratak pregled • Zašto je bitna? • „Neće to meni da se desi“ • Ljudska priroda  Misliti na vreme  Biti temeljan  Biti posvećen  Ne znači da morate biti eksperti za bezbednost – samo pratite uputstva
  • 4. Popularnost “Idealan” sistem • 100% siguran sistem ne postoji WP platforma • Fleksibilna • Otvorena • ≈ 50.000 dodataka W3Techs.com, February 2017
  • 6. • Propust napravljen na Revolution Slider pluginu • Njihov Web server nije bio iza Firewall-a • Njihov Web server je na istoj mreži kao i njihov MAIL server s bazom u Panami • Postavili su osetljive podatke o svojim klijentima sa svog portala, koji uključuju pristupne podatke portalu, kao i mail serveru klijenata Jedan ne ažuriran WP dodatak, može dovesti do pada svetskih lidera i istorijski najvećeg odliva privatnih podataka široj javnosti.
  • 8. hardening is the process of securing a system by reducing its surface of vulnerability
  • 9. Zašto nam je potreban „hardening“ ?
  • 10. WP verzije Kratak pregled WordPress versions usage – January 2017 W3Techs.com
  • 11. PHP verzije Kratak pregled PHP versions run by WordPress websites – January 2017 W3Techs.com
  • 12. jhujhuhuhh Zašto bi neko napao baš moj WP sajt?
  • 13. jhujhuhuhhSEO Kratak pregled • Vaš kompromitovani sajt je moguće koristiti u svrhu poboljšanja SEO nekog drugog sajta ubacivanjem back-link –ova. • Ovde koriste dobru reputaciju Vašeg sajta za njihove zlonamerne ciljeve.
  • 14. jhujhuhuhhSPAM Kratak pregled • Slanje SPAM e-mail poruka je takođe jedan od čestih razloga za zloupotrebu vašeg WP sajta. • Kada haker iskoristi Vaš sajt i hosting nalog, prelazi na drugi sajt, a Vama ostavlja „blacklistovan“ sajt sa dosta problema.
  • 15. jhujhuhuhhKrađa podataka Kratak pregled • Prosečan korisnik ostavlja gomilu ličnih podataka na računaru. • Krađa ovih podataka je moguća putem WP sajta, kao što su: lozinke, podatke o Vašoj kreditnoj kartici, bankovnom računu...
  • 16. jhujhuhuhhNapad na druge sajtove Kratak pregled • Ponekada cilj hakera je da neki sajt učini nedostupan korisnica (DoS, Denial of Service). • Da bi koristili ovu tehniku potrebna je mreža sajtova, koju su oni na maliciozni način „regrutovali“.
  • 18. jhujhuhuhhBrute force • Najčešće korišćen od strane script kiddie hakera • Bruteforce podrazumeva skeniranje slabosti i ranjivosti sajta, kao i isprobavanje svih mogućih kombinacija i kriptografskih ključeva • U teoriji, na ovakav način bi se moglo pristupiti svakom sistemu koji ima neku ranjivost, ali na svu sreću ovo je daleko od svakodnevne prakse, ali se svakako treba shvatiti ozbiljno
  • 19. jhujhuhuhhDeface Kratak pregled • Nije svaki “hacker” osoba koja želi da Vam napakosti i obori sajt. • Veliki broj ovih „osvetnika i boraca za pravdu“ nazivaju sebe “whitehat“ hakerima i njihov cilj je da ukažu drugima na bezbednosne probleme sajta. • Njihov omiljeni metod je tehnika poznata kao deface sajta jer na ovaj način neće naneti veliku štetu Vašem sistemu. U pitanju je metoda pomoću koje hakeri iz vašeg direktorijuma uklanjaju index.php fajl i zamenjuju ga svojim index.html fajlom.
  • 20. jhujhuhuhhVirus/malware injection Kratak pregled • Ovaj način je prilično jedinstven za WordPress, a to je injekcija virusa i zlonamernog softvera (malicious software) kroz besplatne i piratizovane teme i dodatke (plugins). • Ponekad je sasvim dovoljno rukoviditi se zdravim razumom ukoliko želite da izbegnete ovakav napad. • Zlonamerni virusi i softver će pokušati da okače spam na Vaš sajt ili da ukradu poverljive podatke od Vaših korisnika. • Ukoliko je Vaš sajt zaražen onda će vrlo brzo biti kažnjen od strane pretraživača.
  • 21. jhujhuhuhhBackdoor Kratak pregled • Backdoor skripte su prilično opasne. U najgorem scenariju, backdoor postavljen na vaš sajt može uzrokovati ozbiljne probleme i gubitak podataka na celom serveru. • Napad se najčešće dešava zbog neažuriranog software-a i skripti koje koristi. • Najčešće, malicioznu skriptu možete primetiti kao enkodovanu base64 skriptu ili kao deo skripte koji je enkodovan.
  • 22. jhujhuhuhhDDoS (Distrubuited Denial of Service) Kratak pregled • DDoS tehnika je gde „hacker“ šalje saobraćaj, preko kompromitovanih mreža i računara, prema određenoj meti. • Na ovaj način “meta” je toliko zauzeta da prestaje da odgovara na zahteve koji dolaze od legitimnih korisnika. Ova taktika korišćena je čak i kao sredstvo ucene gde su hakeri zahtevali otkup kako bi oslobodili određeni veb- sajt. • Tokom DDoS napada, ciljani server ili mreža prima zahteve iz kompromitovanih sistema. Učestalost zahteva je toliko velika da protok dostiže svoj maksimum koji može da ima kada su resursi i mogućnosti servera u pitanju. • Server usporava do mere u kojoj postaje beskoristan sve dok napad traje.
  • 24. Redovno pravite „backup“ sajta i baze podataka
  • 25. Kreiranje backup-a • Ručno • Putem plugin-a: • Obavezno testirajte backup !
  • 26. Redovno ažurirajte WP i njegove dodatake
  • 27. define('WP_AUTO_UPDATE_CORE', true); wp-config.php functions.php add_filter( 'auto_update_theme', '__return_true' ); add_filter( 'auto_update_plugin', '__return_true' );
  • 28. Sprečite da WP pokazuje informacije o korisnicima koji imaju pristup sajtu
  • 30. RewriteCond %{QUERY_STRING} (^|&)author= RewriteRule . http://%{SERVER_NAME}/? [L] .htaccess
  • 35. Sakrite vašu login stranicu RewriteRule ^mylogin$ wp-login.php?key=123&redirect_to=http://%{SERVER_NAME}/wp- admin/index.php [L] RewriteCond %{HTTP_REFERER} !^http://%{SERVER_NAME}/wp-admin RewriteCond %{HTTP_REFERER} !^http://%{SERVER_NAME}/wp-login.php RewriteCond %{HTTP_REFERER} !^http://%{SERVER_NAME}/login RewriteCond %{QUERY_STRING} !^key=123 RewriteCond %{QUERY_STRING} !^action=logout RewriteCond %{QUERY_STRING} !^action=lostpassword RewriteCond %{REQUEST_METHOD} !POST RewriteRule ^wp-login.php http://%{SERVER_NAME}/? [R,L] .htaccess
  • 37. Sakrivanje poruka o login greškama // login errors / message add_filter('login_errors', '__return_false'); add_filter('login_messages', '__return_false'); functions.php
  • 39. Onemogućiti PHP izvršenje u upload direktorijumu Order Allow,Deny Deny from all <Files ~ ".(xls|doc|rtf|pdf|zip|mp3|flv|swf|png|gif |jpg|ico|js|css|kmz|ttf|woff|woff2)$"> Allow from all </Files> -uploads .htaccess
  • 41. • Uklonite neaktivne dodatke • One koje nekoristite Uklonite nepotrebne dodatke (plugins)
  • 43. Koristite „jake“ lozinke „slabe lozinke“ • pera1990 • password • 123456 • qwerty • admin „jake“ lozinke • D7u8hI928FJYusx • Z5BLl20T8by1524 • TLv7p64P63V5Hr1 • 6b83668I15qRP2I • Um2d4Ejd9T1ExPr
  • 45. - WP-ADMIN - WP-INCLUDE - WP-CONTENT Standardni prikaz WP direktorijuma
  • 46. - APPLICATION --- WP-ADMIN --- WP-INCLUDES - PUBLIC --- WP-CONTENT - UPLOADS Proizvoljan prikaz WP direktorijuma
  • 47. Proizvoljan prikaz WP direktorijuma define('WP_CONTENT_DIR', dirname(__FILE__) . '/public); define('WP_CONTENT_URL', 'http://' . $_SERVER['HTTP_HOST'] . '/public'); define( 'WP_UPLOADS_DIR', dirname(__FILE__) . '/uploads' ); define('WP_SITEURL', 'http://' . $_SERVER['SERVER_NAME'] . '/application'); define('WP_HOME', 'http://' . $_SERVER['SERVER_NAME']); wp-config.php
  • 50. Pravite redovan “backup” fajlova i baze podataka     Koristite kompleksne lozinke ( Cpanel, WP login, FTP, DB user) Redovno ažuriranje WP-a i njegovih dodataka (pluginova) Monitoring stanja WP sajta (u pogledu bezbednosti) Pravilan odabir hosting provajdera Rezime
  • 52. Testiranje WP zaštite Kratak pregled • Security-testing distibucija – Kali Linux • WPScan, Sponsored by Sucuri wpscan --url http://www.ime.domen
  • 54. Hvala na pažnji ! Nikola Petrov nikola.petrov@tfzr.rs /nikola-petrov