Post on 21-Apr-2017
Безопасность по-флотски https://wphost.me
Привет!Меня зовут -
ДмитрийИ я алкоголик люблю WordPress.
Добавляйтесь в друзья:fb.me/azzepis
Когда кто-то сказал «безопасность»…..
16,600,000
Атак за 7 дней, из них 2,036,508 с одного IP направленных против 30+ тыс. сайтов.
Статистика Wordfence https://goo.gl/ktyQBa
Meet Ivan from St. Petersburg, Russia
Зачем я тут?Развеять пару популярных
заблуждений о безопасности
- Сайты на WP всегда ломают- Про мой сайт никто не знает- У меня нечего красть на
сайте- Безопасность не моя
проблема(пусть хостер/разработчик думает о защите моего сайта)
Рассказать, как сделать сайт на WP более защищённым!
НЕМНОГО ВОДЫЧто, где, когда, зачем, почему…..
Почему WP?
и с чем его едят…..
Вот он OpenSource
«Дыры» в плагинах + слабый пароль > 70% проблем
Как?
и с чем его едят…..
Проблемы с ШаблономШаблон Всего атак Сайтовinfocus 83095 20587acento 43898 20481XXXXX* 43613 20340jarida 43451 20292markant 43307 20259yakimabait 43291 20300tess 43015 20110felis 42854 20030ypo-theme 42671 19995persuasion 41527 20316echelon 41398 20264modular 41322 20263awake 41123 20145fusion 41012 20132method 40908 20101myriad 40702 20007elegance 40677 19976dejavu 40551 19997construct 40278 19882epic 37141 17850linenity 36656 17619parallelus-salutation 36586 17623trinity 36295 17503antioch 36180 17322urbancity 36118 17416parallelus-mingle 35740 17179authentic 35683 17073churchope 35532 17040lote 35445 17027
и с чем его едят…..
Проблемы с Шаблоном
и с чем его едят…..
Проблемы с Шаблоном
и с чем его едят…..
Проблемы с Плагином
Плагин Всего атак Сайтовfiledownload 46037 21373ajax-store-locator-wordpress 44123 20558plugin-newsletter 38227 18351pica-photo-gallery 37795 18126simple-download-button-shortcode 37684 18066wp-filemanager 37457 17236tinymce-thumbnail-gallery 37270 17888dukapress 36697 17495XXXXXX* 36303 17358db-backup 34966 16627
и с чем его едят…..
Проблемы с Плагином
6,611,909Атак за 16 часов, направленных против 70+ тыс. сайтов.
Статистика Wordfence https://goo.gl/nYzZrR
Meet Svitogor from Ukraine
Ни один сайт не защищен на 100%
Безопасность сайта - это НЕ продукт,
это процесс
WHY ME???
Основные причины
Вы в списке
Вы случайная
жертваВы цель
Ваш логин admin и пароль Qwerty123
Place your screenshot here
Экран смерти :)
Place your screenshot here
Экран смерти 2 :)
Продажи – доступность сайта 24/7 СЕО – результаты раскрутки, инфо в
выдаче Репутация домена , IP Доставка писем с корпоративных email-ов Расходы – оплата доп.ресурсов, доп.работ
(хостинг, очистка, восстановление…..) Личные данные (напр. Данные клиентов)
Какое мне дело?
shut up and dance
Х+1 метод защиты для всех и каждого
На всякий случай…..Меня зовут, Дмитрий
Добавляйтесь в друзья:fb.me/azzepis
- Делать бекап- Добавить сайт в гугл-
консоль- Обновлять ядро- Обновлять плагины- Удалить неактивные
плагины- Обновлять шаблоны- Использовать
актуальные версии php
- Поставить правильные права на папки/файлы
- Не использовать логин admin
- Не использовать префикс таблиц wp_
ЧЕКЛИСТ- Использовать
сложный пароль- Защита от подбора
пароля- Настроить
ограничение доступа в админку
- Использовать плагин защиты
- По возможности использовать https, sftp
- Следить за безопасностью своего локального компьютера
- Делать бекап бекапа )))
- Хостинг с допзащитой
ТРИ КИТАОбновлениеОдна из наибольших «дыр» в безопасности WP – это устаревшее ПО (ядро, плагины, темы/шаблоны)Обновляйтесь хотя бы до минорных версий ядра!
ПаролиВсе знают, что нужно использовать «сложные» пароли. Это усложняет их подбор.
БекапРезервное копирование – мать …..
ИСОПЛЬЗУЮ- Надо пройтись по
списку активных плагинов и половину отключить
- Из оставшейся половины активных выбрать те, которыми пользуетесь, остальные отключить
- Из тех, что выжили, оставить активными только те, без которых Ваш сайт не будет работать
ПЛАГИНЫ
НЕ ИСПОЛЬЗУЮВсе неиспользуемые плагины, неактивные плагины, необходимо удалить с сервера/сайта.
П.С. Обновление – тоже мать..!
Пароле…..Пароле…..
Пароль и страница входаПроблема - brute force, решения:
✖ Смена адреса страниц входа, регистрации, восстановления пароля
✖ Сложный пароль✖ Ограничение по IP✖ Авторизация по email
Пароль и страница входа
Рекомендуется:✖ Не использовать логин admin (не давать роль
админа всем)✖ Плагин https://wordpress.org/plugins/better-wp-security/✖ Плагин https://wordpress.org/plugins/rename-wp-login/✖ Плагин https://wordpress.org/plugins/wp-email-login/✖ Скрыть имена пользователей в адресах страниц
https://wordpress.org/plugins/edit-author-slug/✖ В качестве пароля может быть использована любая
фраза, даже с пробелами. Напр., «Ласкаво просимо до WordPress!»
Примеры паролей
Каждый раз, когда вы правите файлы ядра, умирает один
котенок…Обновляйтесь до «минорных» версий,
старайтесь обновляться до «мажорных»П.С. Бекап..…
Храните копию шаблона, изменяйте через дочерние темы
И на десертПолезные хаки
Скрываемся, защищаемся
/wp-content/uploads/.htaccess
<Files *.php>deny from all</Files>
В этой папке не должно быть исполняемых файлов…
Будьте в курсе…..
- Добавьте сайт в консоль google search - Просматривайте время от времени файлы
robots.txt , .htaccess, sitemap.xml
Редактор кодов, установка «модов»
define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );
Одно из двух…
wp-config.php<files wp-config.php>order allow,denydeny from all</files>
Или на уровень вверх…..
Одно из двух или два ))…
Страница авторизации<Files wp-login.php>order deny,allowDeny from all# только мой IP адресallow from 102.108.5.1</files>
И дальше…
Админка# Block access to wp-admin.order deny,allowallow from x.x.x.x deny from all# Allow access to wp-admin/admin-ajax.php<Files admin-ajax.php> Order allow,deny Allow from all Satisfy any</Files>
И дальше…
Интерфейс xml-rpc
Отключить )
CDN/Firewall
Ваш сайт
https://www.cloudflare.com/
Ещё раз бекап!
«3 дня назад»На вчера «Неделю
назад»
Давай, до свидания…
Плагины защитыIthemes SecurityWordfenceП.С. В первом есть классная опция, блокировать всех, кто авторизуется под admin
ПолезноеСтатьи по теме https://wordpress.co.ua/defence
Ещё примеры кодаhttps://codex.wordpress.org/Brute_Force_Attacks
Спасибо!Напомню, меня зовут
Дмитрий )Я на фейсбук:fb.me/azzepis
info@wphost.me
Слышны аплодисменты
…..