Uploaded bymerlin9274
6,365 views

WP-Security Bezpieczeństwo - podstawy webinar

Prezentacja z webinaru WP-Security.pl w zakresie podstaw bezpieczeństwa strony internetowej

Embed presentation

Wordpressowe BHP
 
 jak uchronić swojego WordPress’a 
 przed atakami Maciej Cybulski
 WP-Security
Agenda Dlaczego atakować i dlaczego właśnie moją stronę? Statystyki ataków „Po nitce do kłębka”- wrażliwe punkty, czyli co a nie koniecznie dlaczego. Bezpieczeństwo to proces













 Komputer Sieć Internet Strona I. Bezpieczeństwo, ale o co chodzi? II.Sieciowe BHP III.Bonus :)
I. Bezpieczeństwo, ale o co chodzi? Dlaczego atakować i dlaczego właśnie moją stronę? Stan: 1.XII.2015
 Źródła: W3Techs.com i WordPres.Org
I. Bezpieczeństwo, ale o co chodzi? Dlaczego atakować i dlaczego właśnie moją stronę? Spamerskie linki Przekierowania Rozsyłanie spamu Ataki DDoS Zarażanie innych stron i komputerów Wyłudzanie informacji itd.
I. Bezpieczeństwo, ale o co chodzi? Statystyki ataków Spamerskie linki Przekierowania Rozsyłanie spamu Ataki DDoS Zarażanie innych Wyłudzanie informacji itd. Źródło: sucuri.net
I. Bezpieczeństwo, ale o co chodzi? Źródła ataków 29,5% Rosja, 18,3% USA, 17% Francja, 6,7% Ukraina, 6,4% Niemcy Źródło: sucuri.net Stan na 1.XII.2015
Składowe łańcucha bezpieczeństwa
 - Człowiek
 - Komputer
 - Internet
 - Hosting
 - WordPress „Po nitce do kłębka” I. Bezpieczeństwo, ale o co chodzi?
Nie ma możliwości zapewnienia 
 100% bezpieczeństwa. Bezpieczeństwo to wypadkowa 
 poziomu zabezpieczeń, 
 szybkości reakcji na incydent i
 nieprzewidzianych wypadków. Bezpieczeństwo to proces ciągły. I. Bezpieczeństwo, ale o co chodzi?
Jak sobie z tym radzić? Przyjrzyjmy się poszczególnym ogniwom naszego łańcucha I. Bezpieczeństwo, ale o co chodzi?
system operacyjny MacOS/Windows/Linux - krytyczne aktualizacje systemu dobry program antywirusowy właściwa konfiguracja rutera WiFi mocne hasło do WiFi „przypadkowa” nazwa sieci WiFi tzw. SSID brak dostępu do panelu rutera z Internetu zmiana domyślnego hasła i loginu w ruterze KOMPUTER
 i jego najbliższe otoczenie II. Sieciowe BHP
INTERNET
 dobre nawyki II. Sieciowe BHP mocne hasła różne hasła do różnych serwisów haseł nie przechowujemy w przeglądarce, programie FTP czy pliku stosujemy dobre programy do zarządzania hasłami np. 1Password
 zabezpieczenie przed: keylogerami i programami do zczytywania ekranu
Strona WWW - WordPress II. Sieciowe BHP Przygotowanie środowiska hostingowego:
 - dostęp przez SSH/SFTP
 - login inny niż domena
 - mocne hasła
 - baza danych: nazwa bazy inna niż nazwa użytkownika,
 ograniczony dostęp do bazy tylko do localhosta
 - osobna baza dla każdej strony

Strona WWW - WordPress II. Sieciowe BHP Instalacja WordPress’a:
 - nie stosujemy autoinstalatora
 - losowy login inny niż admin !!!
 - mocne hasło
 - zmieniony prefix tabel bazy danych Generalnie unikamy domyślnych ustawień
Strona WWW - WordPress II. Sieciowe BHP Higiena pracy z WordPress’em:
 - konto Administratora wyłącznie do administracji!!
 - konto Redaktora do tworzenia i publikowania wpisów
 - login inny niż podpis, mocne hasła
 - w nazwach plików nie używamy polskich znaków i spacji
 - utrzymuj porządek - czego nie używasz usuwaj
 - instalacja wtyczek i motywów tylko z zaufanych źródeł
Strona WWW - WordPress
 konserwacja i bezpieczeństwo II. Sieciowe BHP BACKUP
 - niezależne od hostingu
 - przed każdymi większymi zmianami na stronie
 - na serwerach zewnętrznych
 - test przywracania strony z kopii
 

Strona WWW - WordPress
 konserwacja i bezpieczeństwo II. Sieciowe BHP AKTUALIZACJE
 - brak aktualizacji === informacja dla włamywacza o podatnościach 
 - aktualizujemy WordPressa, Motywy i Wtyczki Ataki na WordPress’a kończą się sukcesem dzięki:
 - 29% podatnościom motywu
 - 22% podatnościom wtyczek
 

Strona WWW - WordPress
 konserwacja i bezpieczeństwo II. Sieciowe BHP Czego nam tu brakuje?
 - Monitoringu 
 - Reakcji na incydent
 Niestety tu niezbędna jest szersza wiedza z zakresu administracji serwerami, programowania i bezpieczeństwa.

II. Sieciowe BHP Co jeszcze warto:
 - szyfrowane połączenie z certyfikatem SSL 
 - podwójna autentykacja (Clef, Yubikey) NIE używamy „kombajnów” do bezpieczeństwa
 - są dziurawe
 - dają fałszywe poczucie bezpieczeństwa Tam gdzie można problem rozwiązać inaczej, nie stosujemy wtyczek
 Error = (More Code)2 
 czyli parafraza E=mc2 :)
 

Polecane wtyczki i strony z zakresu bezpieczeństwa: II. Sieciowe BHP WP Login Alerts by DigiP, Limit Login Attempts - kontrola logowania do strony BackWpUp, Duplicator - wtyczki do wykonywania backupów Exploit Scanner - wtyczka skanująca stronę w poszukiwaniu ukrytego złośliwego kodu Akismet, Antispam Bee - wtyczki antyspamowe Clef, Yubico - wtyczki do podwójnej autentykacji Sucuri Security - najbezpieczniejsza wtyczka do bezpieczeństwa
 

Polecane wtyczki i strony: II. Sieciowe BHP http://sucuri.net - strona poświęcona bezpieczeństwu WordPress’a https://www.google.com/transparencyreport/safebrowsing/diagnostic/ index.html - możemy tu sprawdzić czy strona nie widnieje w Googlu jako niebezpieczna https://wpvulndb.com - strona z informacjami o znalezionych podatnościach w wtyczkach i motywach WordPress’a https://wordpress.edu.pl - porady „zrób to sam” z bezpieczeństwa WP
BONUS
III. BONUS Ty zajmujesz się swoim biznesem my bezpieczeństwem Twojej strony i… Twoim „świętym spokojem” Jak to działa? - zgłaszasz się do nas (wskazujesz adres strony i dane dostępowe do Kokpitu i FTP/SSH) - wybierasz pakiet Opieki Technicznej ze strony https://wp-security.pl - robimy audyt stanu bezpieczeństwa strony (czyli przede wszystkim czy nie ma infekcji i błędów technicznych na stronie) - podłączamy stronę pod nasz system Opieki Technicznej
III. BONUS Co dostajesz od nas? bezpieczeństwo (zabezpieczenie strony, na poziomie znacznie wyższym niż tu zaprezentowany) backup na zewnętrznych serwerach aktualizacje - zawsze na czas, aktualizacje również komercyjnych elementów z ElegantThemes i WPML (Pro) monitorowanie ataków i antywirusowe Pogotowie, czyli szybka reakcja i pomoc jeśli już komuś skutecznie uda się włamać Support, czyli możliwość skonsultowania się w zakresie modyfikacji czy modernizacji strony, doboru wtyczek itd. dodatki związane ze statystykami i optymalizacją wydajności (GA, PageSpeed Insights, Piwik)
Dziękuję :) Maciej Cybulski
 WP-Security
 
 https://wp-security.pl maciej@wp-security.pl

More Related Content

PDF
Bezpieczenstwo to podstawa
byBartosz Romanowski
 
PPTX
TGT#20 - Ataki XSS - Robert Charewicz
byTrójmiejska Grupa Testerska
 
PPTX
Wielomilonowy ruch na wordpressie wordpress wordcamp gdynia 2016
byLukasz Wilczak
 
PDF
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
byLogicaltrust pl
 
PDF
HTML5: Atak i obrona
byKrzysztof Kotowicz
 
PDF
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
byLogicaltrust pl
 
PPTX
Praktyczne ataki na aplikacje webowe (TAPT 2015)
byAdam Ziaja
 
PDF
Electron + WordPress = ❤
byTomasz Dziuda
 
Bezpieczenstwo to podstawa
byBartosz Romanowski
 
TGT#20 - Ataki XSS - Robert Charewicz
byTrójmiejska Grupa Testerska
 
Wielomilonowy ruch na wordpressie wordpress wordcamp gdynia 2016
byLukasz Wilczak
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
byLogicaltrust pl
 
HTML5: Atak i obrona
byKrzysztof Kotowicz
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
byLogicaltrust pl
 
Praktyczne ataki na aplikacje webowe (TAPT 2015)
byAdam Ziaja
 
Electron + WordPress = ❤
byTomasz Dziuda
 

Similar to WP-Security Bezpieczeństwo - podstawy webinar

PDF
Hosting, serwer i terminy pokrewne – Paweł Pliszka
byPaweł Pliszka
 
PDF
Bezpieczeństwo stron opartych na popularnych CMSach
byagencjaadream
 
PPTX
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treścią
byKatarzyna Javaheri-Szpak
 
PDF
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek
by3camp
 
PPT
Bezpieczeństwo aplikacji webowych
byPHPstokPHPstok
 
PDF
Apache. Zabezpieczenia aplikacji i serwerów WWW
byWydawnictwo Helion
 
PDF
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
byWydawnictwo Helion
 
ODP
Zhakuj swojego Wordpressa, WordUP Trojmiasto
bysecman_pl
 
PDF
Dokąd zmierza WordPress?
byTomasz Dziuda
 
PDF
Owasp Top10 2010 RC1 PL
byThink Secure
 
PDF
5 rzeczy, które możesz zrobić w 30 min, żeby poprawić bezpieczeństwo strony www
byAleksander Kuczek
 
Hosting, serwer i terminy pokrewne – Paweł Pliszka
byPaweł Pliszka
 
Bezpieczeństwo stron opartych na popularnych CMSach
byagencjaadream
 
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treścią
byKatarzyna Javaheri-Szpak
 
Ochrona podatnych webaplikacji za pomocą wirtualnych poprawek
by3camp
 
Bezpieczeństwo aplikacji webowych
byPHPstokPHPstok
 
Apache. Zabezpieczenia aplikacji i serwerów WWW
byWydawnictwo Helion
 
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
byWydawnictwo Helion
 
Zhakuj swojego Wordpressa, WordUP Trojmiasto
bysecman_pl
 
Dokąd zmierza WordPress?
byTomasz Dziuda
 
Owasp Top10 2010 RC1 PL
byThink Secure
 
5 rzeczy, które możesz zrobić w 30 min, żeby poprawić bezpieczeństwo strony www
byAleksander Kuczek
 

WP-Security Bezpieczeństwo - podstawy webinar

  • 1.
    Wordpressowe BHP
 
 jak uchronićswojego WordPress’a 
 przed atakami Maciej Cybulski
 WP-Security
  • 2.
    Agenda Dlaczego atakować idlaczego właśnie moją stronę? Statystyki ataków „Po nitce do kłębka”- wrażliwe punkty, czyli co a nie koniecznie dlaczego. Bezpieczeństwo to proces













 Komputer Sieć Internet Strona I. Bezpieczeństwo, ale o co chodzi? II.Sieciowe BHP III.Bonus :)
  • 3.
    I. Bezpieczeństwo, aleo co chodzi? Dlaczego atakować i dlaczego właśnie moją stronę? Stan: 1.XII.2015
 Źródła: W3Techs.com i WordPres.Org
  • 4.
    I. Bezpieczeństwo, aleo co chodzi? Dlaczego atakować i dlaczego właśnie moją stronę? Spamerskie linki Przekierowania Rozsyłanie spamu Ataki DDoS Zarażanie innych stron i komputerów Wyłudzanie informacji itd.
  • 5.
    I. Bezpieczeństwo, aleo co chodzi? Statystyki ataków Spamerskie linki Przekierowania Rozsyłanie spamu Ataki DDoS Zarażanie innych Wyłudzanie informacji itd. Źródło: sucuri.net
  • 6.
    I. Bezpieczeństwo, aleo co chodzi? Źródła ataków 29,5% Rosja, 18,3% USA, 17% Francja, 6,7% Ukraina, 6,4% Niemcy Źródło: sucuri.net Stan na 1.XII.2015
  • 7.
    Składowe łańcucha bezpieczeństwa
 -Człowiek
 - Komputer
 - Internet
 - Hosting
 - WordPress „Po nitce do kłębka” I. Bezpieczeństwo, ale o co chodzi?
  • 8.
    Nie ma możliwościzapewnienia 
 100% bezpieczeństwa. Bezpieczeństwo to wypadkowa 
 poziomu zabezpieczeń, 
 szybkości reakcji na incydent i
 nieprzewidzianych wypadków. Bezpieczeństwo to proces ciągły. I. Bezpieczeństwo, ale o co chodzi?
  • 9.
    Jak sobie ztym radzić? Przyjrzyjmy się poszczególnym ogniwom naszego łańcucha I. Bezpieczeństwo, ale o co chodzi?
  • 10.
    system operacyjny MacOS/Windows/Linux- krytyczne aktualizacje systemu dobry program antywirusowy właściwa konfiguracja rutera WiFi mocne hasło do WiFi „przypadkowa” nazwa sieci WiFi tzw. SSID brak dostępu do panelu rutera z Internetu zmiana domyślnego hasła i loginu w ruterze KOMPUTER
 i jego najbliższe otoczenie II. Sieciowe BHP
  • 11.
    INTERNET
 dobre nawyki II. SiecioweBHP mocne hasła różne hasła do różnych serwisów haseł nie przechowujemy w przeglądarce, programie FTP czy pliku stosujemy dobre programy do zarządzania hasłami np. 1Password
 zabezpieczenie przed: keylogerami i programami do zczytywania ekranu
  • 12.
    Strona WWW -WordPress II. Sieciowe BHP Przygotowanie środowiska hostingowego:
 - dostęp przez SSH/SFTP
 - login inny niż domena
 - mocne hasła
 - baza danych: nazwa bazy inna niż nazwa użytkownika,
 ograniczony dostęp do bazy tylko do localhosta
 - osobna baza dla każdej strony

  • 13.
    Strona WWW -WordPress II. Sieciowe BHP Instalacja WordPress’a:
 - nie stosujemy autoinstalatora
 - losowy login inny niż admin !!!
 - mocne hasło
 - zmieniony prefix tabel bazy danych Generalnie unikamy domyślnych ustawień
  • 14.
    Strona WWW -WordPress II. Sieciowe BHP Higiena pracy z WordPress’em:
 - konto Administratora wyłącznie do administracji!!
 - konto Redaktora do tworzenia i publikowania wpisów
 - login inny niż podpis, mocne hasła
 - w nazwach plików nie używamy polskich znaków i spacji
 - utrzymuj porządek - czego nie używasz usuwaj
 - instalacja wtyczek i motywów tylko z zaufanych źródeł
  • 15.
    Strona WWW -WordPress
 konserwacja i bezpieczeństwo II. Sieciowe BHP BACKUP
 - niezależne od hostingu
 - przed każdymi większymi zmianami na stronie
 - na serwerach zewnętrznych
 - test przywracania strony z kopii
 

  • 16.
    Strona WWW -WordPress
 konserwacja i bezpieczeństwo II. Sieciowe BHP AKTUALIZACJE
 - brak aktualizacji === informacja dla włamywacza o podatnościach 
 - aktualizujemy WordPressa, Motywy i Wtyczki Ataki na WordPress’a kończą się sukcesem dzięki:
 - 29% podatnościom motywu
 - 22% podatnościom wtyczek
 

  • 17.
    Strona WWW -WordPress
 konserwacja i bezpieczeństwo II. Sieciowe BHP Czego nam tu brakuje?
 - Monitoringu 
 - Reakcji na incydent
 Niestety tu niezbędna jest szersza wiedza z zakresu administracji serwerami, programowania i bezpieczeństwa.

  • 18.
    II. Sieciowe BHP Cojeszcze warto:
 - szyfrowane połączenie z certyfikatem SSL 
 - podwójna autentykacja (Clef, Yubikey) NIE używamy „kombajnów” do bezpieczeństwa
 - są dziurawe
 - dają fałszywe poczucie bezpieczeństwa Tam gdzie można problem rozwiązać inaczej, nie stosujemy wtyczek
 Error = (More Code)2 
 czyli parafraza E=mc2 :)
 

  • 19.
    Polecane wtyczki istrony z zakresu bezpieczeństwa: II. Sieciowe BHP WP Login Alerts by DigiP, Limit Login Attempts - kontrola logowania do strony BackWpUp, Duplicator - wtyczki do wykonywania backupów Exploit Scanner - wtyczka skanująca stronę w poszukiwaniu ukrytego złośliwego kodu Akismet, Antispam Bee - wtyczki antyspamowe Clef, Yubico - wtyczki do podwójnej autentykacji Sucuri Security - najbezpieczniejsza wtyczka do bezpieczeństwa
 

  • 20.
    Polecane wtyczki istrony: II. Sieciowe BHP http://sucuri.net - strona poświęcona bezpieczeństwu WordPress’a https://www.google.com/transparencyreport/safebrowsing/diagnostic/ index.html - możemy tu sprawdzić czy strona nie widnieje w Googlu jako niebezpieczna https://wpvulndb.com - strona z informacjami o znalezionych podatnościach w wtyczkach i motywach WordPress’a https://wordpress.edu.pl - porady „zrób to sam” z bezpieczeństwa WP
  • 21.
  • 22.
    III. BONUS Ty zajmujeszsię swoim biznesem my bezpieczeństwem Twojej strony i… Twoim „świętym spokojem” Jak to działa? - zgłaszasz się do nas (wskazujesz adres strony i dane dostępowe do Kokpitu i FTP/SSH) - wybierasz pakiet Opieki Technicznej ze strony https://wp-security.pl - robimy audyt stanu bezpieczeństwa strony (czyli przede wszystkim czy nie ma infekcji i błędów technicznych na stronie) - podłączamy stronę pod nasz system Opieki Technicznej
  • 23.
    III. BONUS Co dostajeszod nas? bezpieczeństwo (zabezpieczenie strony, na poziomie znacznie wyższym niż tu zaprezentowany) backup na zewnętrznych serwerach aktualizacje - zawsze na czas, aktualizacje również komercyjnych elementów z ElegantThemes i WPML (Pro) monitorowanie ataków i antywirusowe Pogotowie, czyli szybka reakcja i pomoc jeśli już komuś skutecznie uda się włamać Support, czyli możliwość skonsultowania się w zakresie modyfikacji czy modernizacji strony, doboru wtyczek itd. dodatki związane ze statystykami i optymalizacją wydajności (GA, PageSpeed Insights, Piwik)
  • 24.