SlideShare a Scribd company logo

Безопасность WordPress

Download as PPTX, PDF
Dmitry Kondryuk
Dmitry Kondryuk

Выступление в Харькове

Internet
1 of 46
Безопасность по-флотски https://wphost.me
Привет! Меня зовут - Дмитрий И я алкоголик люблю WordPress. Добавляйтесь в друзья: fb.me/azzepis
Когда кто-то сказал «безопасность»…..
16,600,000 Атак за 7 дней, из них 2,036,508 с одного IP направленных против 30+ тыс. сайтов. Статистика Wordfence https://goo.gl/ktyQBa Meet Ivan from St. Petersburg, Russia
Зачем я тут? Развеять пару популярных заблуждений о безопасности - Сайты на WP всегда ломают - Про мой сайт никто не знает - У меня нечего красть на сайте - Безопасность не моя проблема (пусть хостер/разработчик думает о защите моего сайта) Рассказать, как сделать сайт на WP более защищённым!
НЕМНОГО ВОДЫ Что, где, когда, зачем, почему…..
Почему WP?
и с чем его едят….. Вот он OpenSource
«Дыры» в плагинах + слабый пароль > 70% проблем Как?
Проблемы с Шаблоном Шаблон Всего атак Сайтов infocus 83095 20587 acento 43898 20481 XXXXX* 43613 20340 jarida 43451 20292 markant 43307 20259 yakimabait 43291 20300 tess 43015 20110 felis 42854 20030 ypo-theme 42671 19995 persuasion 41527 20316 echelon 41398 20264 modular 41322 20263 awake 41123 20145 fusion 41012 20132 method 40908 20101 myriad 40702 20007 elegance 40677 19976 dejavu 40551 19997 construct 40278 19882 epic 37141 17850 linenity 36656 17619 parallelus- salutation 36586 17623 trinity 36295 17503 antioch 36180 17322 urbancity 36118 17416 parallelus-mingle 35740 17179 authentic 35683 17073 churchope 35532 17040 lote 35445 17027
и с чем его едят….. Проблемы с Шаблоном
и с чем его едят….. Проблемы с Шаблоном
и с чем его едят….. Проблемы с Плагином Плагин Всего атак Сайтов filedownload 46037 21373 ajax-store-locator-wordpress 44123 20558 plugin-newsletter 38227 18351 pica-photo-gallery 37795 18126 simple-download-button- shortcode 37684 18066 wp-filemanager 37457 17236 tinymce-thumbnail-gallery 37270 17888 dukapress 36697 17495 XXXXXX* 36303 17358 db-backup 34966 16627
и с чем его едят….. Проблемы с Плагином
6,611,909 Атак за 16 часов, направленных против 70+ тыс. сайтов. Статистика Wordfence https://goo.gl/nYzZrR Meet Svitogor from Ukraine
Ни один сайт не защищен на 100% Безопасность сайта - это НЕ продукт, это процесс
WHY ME???
Основные причины Вы в списке Вы случайная жертва Вы цель Ваш логин admin и пароль Qwerty123 
Place your screenshot here Экран смерти :)
Place your screenshot here Экран смерти 2 :)
 Продажи – доступность сайта 24/7  СЕО – результаты раскрутки, инфо в выдаче  Репутация домена , IP  Доставка писем с корпоративных email-ов  Расходы – оплата доп.ресурсов, доп.работ (хостинг, очистка, восстановление…..)  Личные данные (напр. Данные клиентов) Какое мне дело?
shut up and dance Х+1 метод защиты для всех и каждого
На всякий случай….. Меня зовут, Дмитрий Добавляйтесь в друзья: fb.me/azzepis
- Делать бекап - Добавить сайт в гугл- консоль - Обновлять ядро - Обновлять плагины - Удалить неактивные плагины - Обновлять шаблоны - Использовать актуальные версии php - Поставить правильные права на папки/файлы - Не использовать логин admin - Не использовать префикс таблиц wp_ ЧЕКЛИСТ - Использовать сложный пароль - Защита от подбора пароля - Настроить ограничение доступа в админку - Использовать плагин защиты - По возможности использовать https, sftp - Следить за безопасностью своего локального компьютера - Делать бекап бекапа ))) - Хостинг с допзащитой
ТРИ КИТА Обновление Одна из наибольших «дыр» в безопасности WP – это устаревшее ПО (ядро, плагины, темы/шаблоны) Обновляйтесь хотя бы до минорных версий ядра! Пароли Все знают, что нужно использовать «сложные» пароли. Это усложняет их подбор. Бекап Резервное копирование – мать …..
ИСОПЛЬЗУЮ - Надо пройтись по списку активных плагинов и половину отключить - Из оставшейся половины активных выбрать те, которыми пользуетесь, остальные отключить - Из тех, что выжили, оставить активными только те, без которых Ваш сайт не будет работать ПЛАГИНЫ НЕ ИСПОЛЬЗУЮ Все неиспользуемые плагины, неактивные плагины, необходимо удалить с сервера/сайта. П.С. Обновление – тоже мать..!
Пароле…..Пароле…..
Пароль и страница входа Проблема - brute force, решения: ✖ Смена адреса страниц входа, регистрации, восстановления пароля ✖ Сложный пароль ✖ Ограничение по IP ✖ Авторизация по email
Пароль и страница входа Рекомендуется: ✖ Не использовать логин admin (не давать роль админа всем) ✖ Плагин https://wordpress.org/plugins/better-wp-security/ ✖ Плагин https://wordpress.org/plugins/rename-wp-login/ ✖ Плагин https://wordpress.org/plugins/wp-email-login/ ✖ Скрыть имена пользователей в адресах страниц https://wordpress.org/plugins/edit-author-slug/ ✖ В качестве пароля может быть использована любая фраза, даже с пробелами. Напр., «Ласкаво просимо до WordPress!»
Примеры паролей
Каждый раз, когда вы правите файлы ядра, умирает один котенок… Обновляйтесь до «минорных» версий, старайтесь обновляться до «мажорных» П.С. Бекап..…
Храните копию шаблона, изменяйте через дочерние темы
И на десерт Полезные хаки
Скрываемся, защищаемся
/wp-content/uploads/.htaccess В этой папке не должно быть исполняемых файлов…
Будьте в курсе….. - Добавьте сайт в консоль google search - Просматривайте время от времени файлы robots.txt , .htaccess, sitemap.xml
Редактор кодов, установка «модов» define( 'DISALLOW_FILE_EDIT', true ); define( 'DISALLOW_FILE_MODS', true ); Одно из двух…
wp-config.php <files wp-config.php> order allow,deny deny from all </files> Или на уровень вверх….. Одно из двух или два ))…
Страница авторизации <Files wp-login.php> order deny,allow Deny from all # только мой IP адрес allow from 102.108.5.1 </files> И дальше…
Админка # Block access to wp-admin. order deny,allow allow from x.x.x.x deny from all # Allow access to wp-admin/admin-ajax.php <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files> И дальше…
Интерфейс xml-rpc Отключить )
CDN/Firewall Ваш сайт https://www.cloudflare.com/
Ещё раз бекап! «3 дня назад» На вчера «Неделю назад»
Давай, до свидания… Плагины защиты Ithemes Security Wordfence П.С. В первом есть классная опция, блокировать всех, кто авторизуется под admin Полезное Статьи по теме https://wordpress.c o.ua/defence Ещё примеры кода https://codex.word press.org/Brute_For ce_Attacks
Спасибо! Напомню, меня зовут Дмитрий ) Я на фейсбук: fb.me/azzepis info@wphost.me
Слышны аплодисменты …..

Recommended

Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017revisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.revisium
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовrevisium
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаrevisium
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайтаrevisium
 
50 оттенков кеширования: обзор актуальных батареек - Григорий Петров, VoxImplant
50 оттенков кеширования: обзор актуальных батареек - Григорий Петров, VoxImplant50 оттенков кеширования: обзор актуальных батареек - Григорий Петров, VoxImplant
50 оттенков кеширования: обзор актуальных батареек - Григорий Петров, VoxImplantit-people
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьrevisium
 

Recommended

Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017revisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.revisium
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовrevisium
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаrevisium
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайтаrevisium
 
50 оттенков кеширования: обзор актуальных батареек - Григорий Петров, VoxImplant
50 оттенков кеширования: обзор актуальных батареек - Григорий Петров, VoxImplant50 оттенков кеширования: обзор актуальных батареек - Григорий Петров, VoxImplant
50 оттенков кеширования: обзор актуальных батареек - Григорий Петров, VoxImplantit-people
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьrevisium
 
Как обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииКак обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииNaZapad
 
Безопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковБезопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковYandex
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditionsdefconmoscow
 
Отдаем страницы быстрее или как вписаться в требования Google
Отдаем страницы быстрее или как вписаться в требования GoogleОтдаем страницы быстрее или как вписаться в требования Google
Отдаем страницы быстрее или как вписаться в требования GoogleIT61
 
SerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValSerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValElitesru
 
Скорость работы интернет магазина
Скорость работы интернет магазинаСкорость работы интернет магазина
Скорость работы интернет магазинаТарасов Константин
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
 
Seopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взломаSeopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взломаrevisium
 
эссе
эссеэссе
эссеDasha Vasilyeva
 
KazHackStan 2017 | Tracking
KazHackStan 2017 | TrackingKazHackStan 2017 | Tracking
KazHackStan 2017 | TrackingДмитрий Бумов
 
ошибки Word press
ошибки Word pressошибки Word press
ошибки Word pressDyadya Lesha
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворковPyNSK
 
сравнение браузеров
сравнение браузеровсравнение браузеров
сравнение браузеровnatasha16makritskaya
 
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days
 
AJAX Security
AJAX SecurityAJAX Security
AJAX Securitykappa
 
Топ-3 браузеров
Топ-3 браузеровТоп-3 браузеров
Топ-3 браузеровMargarita_Regis
 
обзор браузеров
обзор браузеровобзор браузеров
обзор браузеровАлександра Суша
 
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Joomla Secrets
 
Prezentatsia1 (3)
Prezentatsia1 (3)Prezentatsia1 (3)
Prezentatsia1 (3)Alyona111111111
 
Криптовечеринка 2.0. Браузеры
Криптовечеринка 2.0. БраузерыКриптовечеринка 2.0. Браузеры
Криптовечеринка 2.0. Браузерыzabej
 
My daily routine
My daily routineMy daily routine
My daily routineelkinicp
 
Final for enviornment
Final for enviornmentFinal for enviornment
Final for enviornmentvalentinek09
 

More Related Content

What's hot

Как обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииКак обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииNaZapad
 
Безопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковБезопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковYandex
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditionsdefconmoscow
 
Отдаем страницы быстрее или как вписаться в требования Google
Отдаем страницы быстрее или как вписаться в требования GoogleОтдаем страницы быстрее или как вписаться в требования Google
Отдаем страницы быстрее или как вписаться в требования GoogleIT61
 
SerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValSerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValElitesru
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
 
Seopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взломаSeopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взломаrevisium
 
ошибки Word press
ошибки Word pressошибки Word press
ошибки Word pressDyadya Lesha
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворковPyNSK
 
сравнение браузеров
сравнение браузеровсравнение браузеров
сравнение браузеровnatasha16makritskaya
 
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days
 
AJAX Security
AJAX SecurityAJAX Security
AJAX Securitykappa
 
Топ-3 браузеров
Топ-3 браузеровТоп-3 браузеров
Топ-3 браузеровMargarita_Regis
 
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Joomla Secrets
 
Криптовечеринка 2.0. Браузеры
Криптовечеринка 2.0. БраузерыКриптовечеринка 2.0. Браузеры
Криптовечеринка 2.0. Браузерыzabej
 

What's hot (20)

Как обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииКак обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендации
 
Безопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковБезопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр Волков
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditions
 
Отдаем страницы быстрее или как вписаться в требования Google
Отдаем страницы быстрее или как вписаться в требования GoogleОтдаем страницы быстрее или как вписаться в требования Google
Отдаем страницы быстрее или как вписаться в требования Google
 
SerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValSerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerVal
 
Скорость работы интернет магазина
Скорость работы интернет магазинаСкорость работы интернет магазина
Скорость работы интернет магазина
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
 
Seopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взломаSeopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взлома
 
эссе
эссеэссе
эссе
 
KazHackStan 2017 | Tracking
KazHackStan 2017 | TrackingKazHackStan 2017 | Tracking
KazHackStan 2017 | Tracking
 
ошибки Word press
ошибки Word pressошибки Word press
ошибки Word press
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворков
 
сравнение браузеров
сравнение браузеровсравнение браузеров
сравнение браузеров
 
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
 
AJAX Security
AJAX SecurityAJAX Security
AJAX Security
 
Топ-3 браузеров
Топ-3 браузеровТоп-3 браузеров
Топ-3 браузеров
 
обзор браузеров
обзор браузеровобзор браузеров
обзор браузеров
 
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
 
Prezentatsia1 (3)
Prezentatsia1 (3)Prezentatsia1 (3)
Prezentatsia1 (3)
 
Криптовечеринка 2.0. Браузеры
Криптовечеринка 2.0. БраузерыКриптовечеринка 2.0. Браузеры
Криптовечеринка 2.0. Браузеры
 

Viewers also liked

My daily routine
My daily routineMy daily routine
My daily routineelkinicp
 
Final for enviornment
Final for enviornmentFinal for enviornment
Final for enviornmentvalentinek09
 
Security WordCamp Kyiv 2016
Security WordCamp Kyiv 2016Security WordCamp Kyiv 2016
Security WordCamp Kyiv 2016Dmitry Kondryuk
 
Formal and informal language use
Formal and informal language useFormal and informal language use
Formal and informal language useIris Fairchild
 

Viewers also liked (9)

My daily routine
My daily routineMy daily routine
My daily routine
 
Final for enviornment
Final for enviornmentFinal for enviornment
Final for enviornment
 
Lectorium
LectoriumLectorium
Lectorium
 
Security WordCamp Kyiv 2016
Security WordCamp Kyiv 2016Security WordCamp Kyiv 2016
Security WordCamp Kyiv 2016
 
Term2slideshow
Term2slideshowTerm2slideshow
Term2slideshow
 
The wind and the sun
The wind and the sunThe wind and the sun
The wind and the sun
 
Common idioms
Common idiomsCommon idioms
Common idioms
 
Formal and informal language use
Formal and informal language useFormal and informal language use
Formal and informal language use
 
Kmml project 2
Kmml project 2Kmml project 2
Kmml project 2
 

Similar to Безопасность WordPress

Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусовSkillFactory
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
Информационная Безопасность. Современные угрозы и области компетенций
Информационная Безопасность. Современные угрозы и области компетенцийИнформационная Безопасность. Современные угрозы и области компетенций
Информационная Безопасность. Современные угрозы и области компетенцийSerghei Epifantsew
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...SEO Conference
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionAndrew Petukhov
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application SecurityMikhail Shcherbakov
 
How to be a good frontend developer
How to be a good frontend developerHow to be a good frontend developer
How to be a good frontend developerEugene Zharkov
 
WordPress под прицелом хакеров
WordPress под прицелом хакеровWordPress под прицелом хакеров
WordPress под прицелом хакеровDenis Sinegubko
 
Основные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуОсновные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуSiteSecure
 
Dmytro Snopchenko - Zahyst saitiv vid DDoS i lyudskyi faktor
Dmytro Snopchenko - Zahyst saitiv vid DDoS i lyudskyi faktorDmytro Snopchenko - Zahyst saitiv vid DDoS i lyudskyi faktor
Dmytro Snopchenko - Zahyst saitiv vid DDoS i lyudskyi faktorInternews Ukraine
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волковkarina krew
 
Андрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальностьАндрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальностьYandex
 
как не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волковкак не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волковOntico
 
Как я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиКак я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиDmitry Evteev
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Expolink
 
initiatives and instruments
initiatives and instrumentsinitiatives and instruments
initiatives and instrumentsAnnie Rebel
 

Similar to Безопасность WordPress (20)

Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
 
Вебинар WebPromoExperts. Безопасность сайта. Дмитрий Снопченк…
Вебинар WebPromoExperts. Безопасность сайта. Дмитрий Снопченк…Вебинар WebPromoExperts. Безопасность сайта. Дмитрий Снопченк…
Вебинар WebPromoExperts. Безопасность сайта. Дмитрий Снопченк…
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишинг
 
Информационная Безопасность. Современные угрозы и области компетенций
Информационная Безопасность. Современные угрозы и области компетенцийИнформационная Безопасность. Современные угрозы и области компетенций
Информационная Безопасность. Современные угрозы и области компетенций
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application Security
 
How to be a good frontend developer
How to be a good frontend developerHow to be a good frontend developer
How to be a good frontend developer
 
WordPress под прицелом хакеров
WordPress под прицелом хакеровWordPress под прицелом хакеров
WordPress под прицелом хакеров
 
Основные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуОсновные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 году
 
Dmytro Snopchenko - Zahyst saitiv vid DDoS i lyudskyi faktor
Dmytro Snopchenko - Zahyst saitiv vid DDoS i lyudskyi faktorDmytro Snopchenko - Zahyst saitiv vid DDoS i lyudskyi faktor
Dmytro Snopchenko - Zahyst saitiv vid DDoS i lyudskyi faktor
 
Wordpress Website newbies
Wordpress Website newbiesWordpress Website newbies
Wordpress Website newbies
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
 
Андрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальностьАндрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальность
 
как не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волковкак не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волков
 
Как я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиКак я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые пароли
 
Безопасный сайт
Безопасный сайтБезопасный сайт
Безопасный сайт
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
 
initiatives and instruments
initiatives and instrumentsinitiatives and instruments
initiatives and instruments
 

Безопасность WordPress

  • 2. Привет! Меня зовут - Дмитрий И я алкоголик люблю WordPress. Добавляйтесь в друзья: fb.me/azzepis
  • 4. 16,600,000 Атак за 7 дней, из них 2,036,508 с одного IP направленных против 30+ тыс. сайтов. Статистика Wordfence https://goo.gl/ktyQBa Meet Ivan from St. Petersburg, Russia
  • 5. Зачем я тут? Развеять пару популярных заблуждений о безопасности - Сайты на WP всегда ломают - Про мой сайт никто не знает - У меня нечего красть на сайте - Безопасность не моя проблема (пусть хостер/разработчик думает о защите моего сайта) Рассказать, как сделать сайт на WP более защищённым!
  • 6. НЕМНОГО ВОДЫ Что, где, когда, зачем, почему…..
  • 8. и с чем его едят….. Вот он OpenSource
  • 9. «Дыры» в плагинах + слабый пароль > 70% проблем Как?
  • 10. Проблемы с Шаблоном Шаблон Всего атак Сайтов infocus 83095 20587 acento 43898 20481 XXXXX* 43613 20340 jarida 43451 20292 markant 43307 20259 yakimabait 43291 20300 tess 43015 20110 felis 42854 20030 ypo-theme 42671 19995 persuasion 41527 20316 echelon 41398 20264 modular 41322 20263 awake 41123 20145 fusion 41012 20132 method 40908 20101 myriad 40702 20007 elegance 40677 19976 dejavu 40551 19997 construct 40278 19882 epic 37141 17850 linenity 36656 17619 parallelus- salutation 36586 17623 trinity 36295 17503 antioch 36180 17322 urbancity 36118 17416 parallelus-mingle 35740 17179 authentic 35683 17073 churchope 35532 17040 lote 35445 17027
  • 11. и с чем его едят….. Проблемы с Шаблоном
  • 12. и с чем его едят….. Проблемы с Шаблоном
  • 13. и с чем его едят….. Проблемы с Плагином Плагин Всего атак Сайтов filedownload 46037 21373 ajax-store-locator-wordpress 44123 20558 plugin-newsletter 38227 18351 pica-photo-gallery 37795 18126 simple-download-button- shortcode 37684 18066 wp-filemanager 37457 17236 tinymce-thumbnail-gallery 37270 17888 dukapress 36697 17495 XXXXXX* 36303 17358 db-backup 34966 16627
  • 14. и с чем его едят….. Проблемы с Плагином
  • 15. 6,611,909 Атак за 16 часов, направленных против 70+ тыс. сайтов. Статистика Wordfence https://goo.gl/nYzZrR Meet Svitogor from Ukraine
  • 16. Ни один сайт не защищен на 100% Безопасность сайта - это НЕ продукт, это процесс
  • 18. Основные причины Вы в списке Вы случайная жертва Вы цель Ваш логин admin и пароль Qwerty123 
  • 19. Place your screenshot here Экран смерти :)
  • 20. Place your screenshot here Экран смерти 2 :)
  • 21.  Продажи – доступность сайта 24/7  СЕО – результаты раскрутки, инфо в выдаче  Репутация домена , IP  Доставка писем с корпоративных email-ов  Расходы – оплата доп.ресурсов, доп.работ (хостинг, очистка, восстановление…..)  Личные данные (напр. Данные клиентов) Какое мне дело?
  • 22. shut up and dance Х+1 метод защиты для всех и каждого
  • 23. На всякий случай….. Меня зовут, Дмитрий Добавляйтесь в друзья: fb.me/azzepis
  • 24. - Делать бекап - Добавить сайт в гугл- консоль - Обновлять ядро - Обновлять плагины - Удалить неактивные плагины - Обновлять шаблоны - Использовать актуальные версии php - Поставить правильные права на папки/файлы - Не использовать логин admin - Не использовать префикс таблиц wp_ ЧЕКЛИСТ - Использовать сложный пароль - Защита от подбора пароля - Настроить ограничение доступа в админку - Использовать плагин защиты - По возможности использовать https, sftp - Следить за безопасностью своего локального компьютера - Делать бекап бекапа ))) - Хостинг с допзащитой
  • 25. ТРИ КИТА Обновление Одна из наибольших «дыр» в безопасности WP – это устаревшее ПО (ядро, плагины, темы/шаблоны) Обновляйтесь хотя бы до минорных версий ядра! Пароли Все знают, что нужно использовать «сложные» пароли. Это усложняет их подбор. Бекап Резервное копирование – мать …..
  • 26. ИСОПЛЬЗУЮ - Надо пройтись по списку активных плагинов и половину отключить - Из оставшейся половины активных выбрать те, которыми пользуетесь, остальные отключить - Из тех, что выжили, оставить активными только те, без которых Ваш сайт не будет работать ПЛАГИНЫ НЕ ИСПОЛЬЗУЮ Все неиспользуемые плагины, неактивные плагины, необходимо удалить с сервера/сайта. П.С. Обновление – тоже мать..!
  • 28. Пароль и страница входа Проблема - brute force, решения: ✖ Смена адреса страниц входа, регистрации, восстановления пароля ✖ Сложный пароль ✖ Ограничение по IP ✖ Авторизация по email
  • 29. Пароль и страница входа Рекомендуется: ✖ Не использовать логин admin (не давать роль админа всем) ✖ Плагин https://wordpress.org/plugins/better-wp-security/ ✖ Плагин https://wordpress.org/plugins/rename-wp-login/ ✖ Плагин https://wordpress.org/plugins/wp-email-login/ ✖ Скрыть имена пользователей в адресах страниц https://wordpress.org/plugins/edit-author-slug/ ✖ В качестве пароля может быть использована любая фраза, даже с пробелами. Напр., «Ласкаво просимо до WordPress!»
  • 31. Каждый раз, когда вы правите файлы ядра, умирает один котенок… Обновляйтесь до «минорных» версий, старайтесь обновляться до «мажорных» П.С. Бекап..…
  • 32. Храните копию шаблона, изменяйте через дочерние темы
  • 35. /wp-content/uploads/.htaccess В этой папке не должно быть исполняемых файлов…
  • 36. Будьте в курсе….. - Добавьте сайт в консоль google search - Просматривайте время от времени файлы robots.txt , .htaccess, sitemap.xml
  • 37. Редактор кодов, установка «модов» define( 'DISALLOW_FILE_EDIT', true ); define( 'DISALLOW_FILE_MODS', true ); Одно из двух…
  • 38. wp-config.php <files wp-config.php> order allow,deny deny from all </files> Или на уровень вверх….. Одно из двух или два ))…
  • 39. Страница авторизации <Files wp-login.php> order deny,allow Deny from all # только мой IP адрес allow from 102.108.5.1 </files> И дальше…
  • 40. Админка # Block access to wp-admin. order deny,allow allow from x.x.x.x deny from all # Allow access to wp-admin/admin-ajax.php <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files> И дальше…
  • 43. Ещё раз бекап! «3 дня назад» На вчера «Неделю назад»
  • 44. Давай, до свидания… Плагины защиты Ithemes Security Wordfence П.С. В первом есть классная опция, блокировать всех, кто авторизуется под admin Полезное Статьи по теме https://wordpress.c o.ua/defence Ещё примеры кода https://codex.word press.org/Brute_For ce_Attacks
  • 45. Спасибо! Напомню, меня зовут Дмитрий ) Я на фейсбук: fb.me/azzepis info@wphost.me