Successfully reported this slideshow.
Your SlideShare is downloading. ×

WP Weekend 2018

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Webmeetup #3
Webmeetup #3
Loading in …3
×

Check these out next

1 of 23 Ad
Advertisement

More Related Content

Slideshows for you (15)

Advertisement
Advertisement

WP Weekend 2018

  1. 1. https://lynt.cz @smitka https://u.lynt.cz/wpw Vláďa Smitka vladimir.smitka@lynt.cz @smitka Lynt services s.r.o. 8. 10. 2018 1 WP tipy & triky: bezpečnost především
  2. 2. https://lynt.cz @smitka https://u.lynt.cz/wpw Co nás čeká • Běžné nešvary • Moje pluginy/MU pluginy do WP • 2FA • Odkazy: https://u.lynt.cz/wpw 8. 10. 2018 2
  3. 3. https://lynt.cz @smitka https://u.lynt.cz/wpw8. 10. 2018 3 https://blocking.top/
  4. 4. https://lynt.cz @smitka https://u.lynt.cz/wpw8. 10. 2018 4 S/MIME, PGP mail - složité pro uživatele Řešení: https://keybase.io/ Ukázka: https://keybase.io/encrypt#smitka Jednorázová sdílení: Text: https://secure.lynt.cz/ Soubory: https://send.firefox.com/
  5. 5. https://lynt.cz @smitka https://u.lynt.cz/wpw8. 10. 2018 5 https://lynt.cz/blog/globalni-scan-otevrenych-git-repozitaru
  6. 6. https://lynt.cz @smitka https://u.lynt.cz/wpw Open source Něco se mi nelíbí => neremcám a udělám to po svém 8. 10. 2018 6
  7. 7. https://lynt.cz @smitka https://u.lynt.cz/wpw MU pluginy • /wp-content/mu-plugins • Nelze je uživatelsky vypnout • Vhodné pro úpravy core funkcionalit 8. 10. 2018 7
  8. 8. https://lynt.cz @smitka https://u.lynt.cz/wpw Repo • https://github.com/lynt-smitka/WP-nginx- config/tree/master/extras/mu-plugins 8. 10. 2018 8 Zkratka: https://u.lynt.cz/mu
  9. 9. https://lynt.cz @smitka https://u.lynt.cz/wpw lynt-team-cookie.php • Když někdo vleze do adminu, tak se mu nastaví cookie • Lze to využít pro vylučování z analytiky nezávisle na IP 8. 10. 2018 9
  10. 10. https://lynt.cz @smitka https://u.lynt.cz/wpw lynt-mailfixer.php • Nastaví Return-Path na adresu odesílatele, aby tam hosting nevkládal vlastní – častý důvod spadnutí do spamu • Možnost specifikovat adresu odesílatele (místo wordpress@doména) • Možnost upravit nastavení PHP maileru – např. nastavit odesílání přes SMTP 8. 10. 2018 10
  11. 11. https://lynt.cz @smitka https://u.lynt.cz/wpw Kontrola odesílání • https://www.mail-tester.com/ • Časté problémy: – Reverzní záznam/rDNS (zařizuje hosting) – Chybějící MX (doména co odesílá musí i přijímat) – SPF (DNS, povolené IP adresy) – DKIM (DNS + hosting – podepsané maily) • Odeslání mailu z WP: https://github.com/lynt- smitka/lynt-mail-tester 8. 10. 2018 11
  12. 12. https://lynt.cz @smitka https://u.lynt.cz/wpw lynt-enhancer.php • Bcrypt hashování hesel • HTTP 401 při chybném přihlášení – možnost odchytu přes fail2ban • Filtrování citlivých dat v REST API – /wp-json/wp/v2/users • http://wordpressexpose.chrisgherbert.com/ 8. 10. 2018 12 GTX 1050 MD5 PHPASS (MD5) Bcrypt Hash/s 5 863 MH/s 1 880 kH/s 3 959 H/s Doba louskání - 8 znaků 35 s 31 hod 610 dní
  13. 13. https://lynt.cz @smitka https://u.lynt.cz/wpw Lynt Avatar • https://github.com/lynt-smitka/lynt-avatar • Z URL původního (gr)avataru generuje odkaz na lokální generované SVG s parametrem barvy 8. 10. 2018 13
  14. 14. https://lynt.cz @smitka https://u.lynt.cz/wpw Lynt Antispam • https://github.com/lynt-smitka/lynt-antispam • Základní obsahový filtr (BB kódy) • Přímé dotazy (bez refereru) • Honeypot fields • HTTPBL https://www.projecthoneypot.org/ 8. 10. 2018 14
  15. 15. https://lynt.cz @smitka https://u.lynt.cz/wpw 2FA/MFA • Něco vím • Něco mám • Něco jsem • Budoucnost? • Passwordless - webauthn (podporuje Fido2) https://www.w3.org/TR/webauthn/ 8. 10. 2018 15
  16. 16. https://lynt.cz @smitka https://u.lynt.cz/wpw Možnosti • Mobilní authentifikátor • HW token (U2F, OTP) • Biometrika • SMS (má mezery + poskytovatel může zneužít vaše číslo - viz. Facebook) • Je dobré používat více metod a mít zálohu záchrannými kódy 8. 10. 2018 16
  17. 17. https://lynt.cz @smitka https://u.lynt.cz/wpw 2FA ve WP • https://cs.wordpress.org/plugins/two-factor/ 8. 10. 2018 17
  18. 18. https://lynt.cz @smitka https://u.lynt.cz/wpw Mobilní authentifikátory 8. 10. 2018 18 Google Authenticator + u2f - sync FreeOTP + ikonky - sync (root) LastPass + sync (s LP účtem) + některé služby bez opisu Authy + sync (s Authy účtem) + ikonky služeb Yubico Authenticator +/- uloženo na tokenu + ikonky služeb
  19. 19. https://lynt.cz @smitka https://u.lynt.cz/wpw HW tokeny • Yubico (CZ distribuce https://www.yubikey.cz/) 8. 10. 2018 19
  20. 20. https://lynt.cz @smitka https://u.lynt.cz/wpw • Nitrokey • Feitian • DigiPass • Fidesmo 8. 10. 2018 20 15$ 25$ 45$ 17$
  21. 21. https://lynt.cz @smitka https://u.lynt.cz/wpw Rozhraní • USB • NFC – Android, Chrome + Google Auth. • BLE – Android, Chrome + Google Auth. – IOS + podporovaná aplikace (Google Smart Lock) 8. 10. 2018 21
  22. 22. https://lynt.cz @smitka https://u.lynt.cz/wpw Ověřování • HOTP - založeno na čítači • TOTP - založeno na čase • YubicoOTP - využívá cloudové služby Yubico • U2F - PKI (privátní/veřejný certifikát) • FIDO2 8. 10. 2018 22
  23. 23. https://lynt.cz @smitka https://u.lynt.cz/wpw Díky za pozornost Nebojte se do toho šlápnout! 8. 10. 2018 23

×