Bezpieczeństwo WordPress okiem

admina

WordCamp Warszawa 2014

• Kto?Michał Smereczyński

• Skąd?Szczecin

• Co robi?technology evangelist, devop, admin, infrastructure architect

• Co ma wspólnego z WP?wdrożenia, migracje, optymalizacje, blog

• Twitter / blog / LinkedIn

@smereczynski / superuser.org.pl/blog / pl.linkedin.com/in/smereczynski/

WordPress stack

• Linux / *NIX / Windows• PHP• MySQL / MariaDB / Percona• Apache / NGINX

Linux

• Firewall• Ukrycie wersji systemu (skanowanie portów)*• Wykrywanie rootkitów (np. rkhunter)• Fail2Ban• Bezpieczny kernel (GRSec / Pax)*• Aktualne oprogramowanie• Minimalna konfiguracja (w miarę możliwości)• Jail SSH jeśli user ma dostęp do SSH*• SFTP (śmierć FTP!)

PHP (WordPress )

• Pliki skryptu należą do użytkownika (CHOWN)• Redundantny Filesystem (klastrowany FS)• Izolacja• Backup• Staging• Kontrola wersji

MySQL (MariaDB )

• Redundancja• Izolacja• Load balancing• Backup

NGINX (Apache )

• Pule użytkowników• FCGI / FPM• Ukrycie wersji oprogramowania• Cache• Redundancja• Load balancing• Optymalizacja• Reverse Proxy* (varnish nie lubi ciastek... a WordPress tak.)

Single Point Of Failure

Checklist

• Infrastruktura • Wirtualizacja• Redundancja • Izolacja• Skalowalność• Powtarzalność• Przewidywalność• Dokumentacja

"Vision Without Implementation

Is Just Hallucination"

Wishlist (list do dewelopera)

• ukrywamy wp-content• ukrywamy wp-admin• ukrywamy wp-login• ukrywamy wersje• solimy hasła• uwierzytelniamy dwuetapowo• filtrujemy IP administratora (VPN)• używamy przetestowanych pluginów• uważamy na podatności na XSS• aktualizujemy skrypty• wyłączamy niepotrzebne/nieużywane moduły• C.D.N.

Pytania?