Ptejte se v průběhu.
www.sli.do#3302
Jednoduché dělení
Jádro (core)
WordPress
Uživatel
(správce)
Pluginy
(doplňky)
Themes
(šablony)
Úroveň bezpečnosti
40%
Bezp...
Jádro (core) WordPress
Každý den na WordPressu pracuje aktivně velká základna vývojářů.
Většina nových chyb a tipů útoků j...
Uživatel (správce)
Většina prolomených WordPress instalací bývá příčinou špatného chování správce
daného webu (instalace)....
Příklady hesel
www.superbazar.cz superbazar
Superbazar
Superbazar2015
2015bazar
Doména Uživatel (login) Heslo
www.superbaz...
Pluginy (doplňky)
Každý plugin sebou
nese potenciální
riziko.
Čím více doplňků tím
větší šance, že hacker
najde „díru“ kte...
Themes (šablony)
Šablony, které
nepoužíváte smažte.
Neponechávejte
neaktivní.
Prověřte, zda šablona
nepoužívá ke své
funkc...
Jak se útočník chová?
Aby mohl hacker provést případný útok na WordPress instalaci (nebo na cokoliv jiného)
potřebuje znát...
A jdeme na to !
Pokud víme, jak se útočník chová a jak provádí své útoky, můžeme začít aplikovat
potřebnou obranu.
Využije...
Plugin Vás provede nastavením
Detekce WordPressu
Útočník provádí dotazy na server, zda na určité cestě leží nějaký soubor, který by mu
prozradil, zda se...
Místo, kde je možné se přihlásit
Všichni kdo WordPress používají vědí, že přihlašovací formulář se nachází na adrese
/wp-a...
Pokus o prolomení hesla
Útočník se pokouší opakovaně přihlásit a zkouší různé kombinace uživatelského
jména a hesla.
Úrove...
XML-RPC
XML-RPC je technologie, pomocí které se dá s WordPressem komunikovat a editovat
jeho obsah (nastavení) vzdáleně – ...
Další bezpečnostní doporučení
Nenechávejte
uživatele
„admin“. Stejně
tak nenechávat
uživatele s ID 1.
Nepoužívejte
default...
Co si tedy odneste?
Provést základní zabezpečení a nastavení iTheme security Vám zabere jen několik
minut. Oprava napadené...
Prezentace - základy bezpečnosti
Prezentace - základy bezpečnosti
of 18

Prezentace - základy bezpečnosti

Prezentace z 8. WP Konference o základech bezpečnosti při používání CMS WordPress. 28.11.2015 - Tomáš Kocifaj | Brilo.cz
Published on: Mar 4, 2016
Published in: Presentations & Public Speaking      
Source: www.slideshare.net


Transcripts - Prezentace - základy bezpečnosti

  • 1. Ptejte se v průběhu. www.sli.do#3302
  • 2. Jednoduché dělení Jádro (core) WordPress Uživatel (správce) Pluginy (doplňky) Themes (šablony) Úroveň bezpečnosti 40% Bezpečnost není pouze o útočníkovi, je především o Vás a přístupu k Vaší aplikaci.
  • 3. Jádro (core) WordPress Každý den na WordPressu pracuje aktivně velká základna vývojářů. Většina nových chyb a tipů útoků jsou odchyceny hned. Je tedy tím nejbezpečnějším ale i nejzranitelnějším systémem. …ale WordPress je OpenSource řešení – každý může důkladně projít jeho kódy. Jsme odkázání na vývojáře WordPressu, jak rychle případné chyby opraví. WordPress je nejpoužívanější systém na světe – je tak v hledáčku hackerů. Napříč internetem již existuje spoustu návodů, jak WordPress napadnout. Nejen návodů, ale také již reálných nástrojů, které chyby odhalí. Lze snadno odhalit, zda web používáš WordPress.
  • 4. Uživatel (správce) Většina prolomených WordPress instalací bývá příčinou špatného chování správce daného webu (instalace). Slabá hesla Odhalitelný login Podobné heslo Neprovádí aktualizace Používá nebezpečné pluginy Používá neprověřené šablony
  • 5. Příklady hesel www.superbazar.cz superbazar Superbazar Superbazar2015 2015bazar Doména Uživatel (login) Heslo www.superbazar.cz admin 123456 maminka milacek www.superbazar.cz petr petr petr1985 petrbazar123 www.superbazar.cz traktoristapetr #kt00cm!aFsaj ^@IjHQD*!xnI^2AwEEv V*99F www.security-portal.cz/clanky/50-nejpoužívanějších-hesel-pro-web-v-čr
  • 6. Pluginy (doplňky) Každý plugin sebou nese potenciální riziko. Čím více doplňků tím větší šance, že hacker najde „díru“ kterou hledal. Pluginy, které už nepoužíváte smažte. Deaktivace nestačí. Pluginy udržujte vždy aktualizované! Pluginy, které nebyly dlouho aktualizované nesou větší riziko. Pozor na placené pluginy, které jsou oblíbeným terčem a nemají automatické aktualizace Úroveň bezpečnosti 50%
  • 7. Themes (šablony) Šablony, které nepoužíváte smažte. Neponechávejte neaktivní. Prověřte, zda šablona nepoužívá ke své funkci další sadu pluginů. Pokud nevíte, co děláte, neprovádějte programové záshay. Zkontrolujte, zda šablona je pro aktuální verzi WP nebo alespoň verzi blízkou. Pozor na ty šablony, které nenabízejí automatický update. Prověřujte, kdo je autorem šablony a zda má kladné reference. Úroveň bezpečnosti 60%
  • 8. Jak se útočník chová? Aby mohl hacker provést případný útok na WordPress instalaci (nebo na cokoliv jiného) potřebuje znát všechny aspekty k tomu, aby jeho útok byl úspěšný. Nejsme schopni zcela zamezit tomu, aby útočník zjistil, že se jedná o WordPress. Nejsme schopni zcela zamezit tomu, aby útočník zjistil, jaké používáme pluginy. Pokud používáte „obecně známe šablony“ detekuje i je. Pokud zjistí WordPress a jeho verzi, může prověřit rizika dané verze. Pokud zjistí plugin a jeho verzi. Může využít chybu právě tohoto pluginu. Stejně tak může mít bezpečnostní riziko i používána šablona. Stačí jí pouze detekovat.
  • 9. A jdeme na to ! Pokud víme, jak se útočník chová a jak provádí své útoky, můžeme začít aplikovat potřebnou obranu. Využijeme již existující a velmi dobře fungující doplněk. Link ke stažení
  • 10. Plugin Vás provede nastavením
  • 11. Detekce WordPressu Útočník provádí dotazy na server, zda na určité cestě leží nějaký soubor, který by mu prozradil, zda se jedná o WordPress, určitý plugin, nebo šablonu. To generuje řadu 404 chyb v rychlém sledu. Úroveň bezpečnosti 65%
  • 12. Místo, kde je možné se přihlásit Všichni kdo WordPress používají vědí, že přihlašovací formulář se nachází na adrese /wp-admin. Útočník to ví také a bude jí hledat, aby mohl zkoušet prolomit heslo. Úroveň bezpečnosti 70%
  • 13. Pokus o prolomení hesla Útočník se pokouší opakovaně přihlásit a zkouší různé kombinace uživatelského jména a hesla. Úroveň bezpečnosti 75%
  • 14. XML-RPC XML-RPC je technologie, pomocí které se dá s WordPressem komunikovat a editovat jeho obsah (nastavení) vzdáleně – například se používá pro pingbacky, mobilní aplikace a některé pluginy. Nese ale velké riziko a většinou ho nikdo nepoužívá. Úroveň bezpečnosti 80%
  • 15. Další bezpečnostní doporučení Nenechávejte uživatele „admin“. Stejně tak nenechávat uživatele s ID 1. Nepoužívejte defaultní databázový prefix wp_ dejte vlastní unikátní. Nepoužívejte stejnou přezdívku (ve WP) jako login name do WP. Vynucujte u ostatních uživatelů opravdu silné heslo. Prostudujte si důkladně plugin iTheme security a řiďte se průvodcem. Provádějte zálohy, kdyby přeci jenom k úspěšnému útoku došlo. Navštěvujte své stránky pravidelně a provádějte aktualizace. Úroveň bezpečnosti 90% Pokud máte své servery, blokujte Čínu a Rusko – cca 60% útoků.
  • 16. Co si tedy odneste? Provést základní zabezpečení a nastavení iTheme security Vám zabere jen několik minut. Oprava napadeného WordPressu může zabrat i hodiny. Myslete na to, že největší bezpečnostní riziko jste Vy. Dělejte proto všechno, abyste byly tím rizikem co nejmenším. Důkladně prověřujte věci, které si do své instalace přidáte. Nikdy nevíte, jak je autor pluginu nebo šablony dobrý vývojář. Většinu útoků provádí „roboti“, kteří hledají běžné chyby a využívají je. Nedělejte běžné chyby a Vaše data zůstanou v bezpečí. Cílený útok je velmi nepravděpodobný. A bez dokonalé znalosti WP prakticky nemožný.

Related Documents