Bezpiecze„stwo WordPress okiem administratora - WordCamp Warszawa 2014

  • View
    938

  • Download
    6

Embed Size (px)

DESCRIPTION

WordPress i jego bezpieczeństwo od strony serwera. Na co zwracać uwagę i co nieco o dobrych praktykach.

Text of Bezpiecze„stwo WordPress okiem administratora - WordCamp Warszawa 2014

  • 1. Bezpieczestwo WordPress okiem admina WordCamp Warszawa 2014

2. Kto? Micha Smereczyski Skd? Szczecin Co robi? technology evangelist, devop, admin, infrastructure architect Co ma wsplnego z WP? wdroenia, migracje, optymalizacje, blog Twitter / blog / LinkedIn @smereczynski / superuser.org.pl/blog / pl.linkedin.com/in/smereczynski/ 3. WordPress stack Linux / *NIX / Windows PHP MySQL / MariaDB / Percona Apache / NGINX 4. Linux Firewall Ukrycie wersji systemu (skanowanie portw)* Wykrywanie rootkitw (np. rkhunter) Fail2Ban Bezpieczny kernel (GRSec / Pax)* Aktualne oprogramowanie Minimalna konfiguracja (w miar moliwoci) Jail SSH jeli user ma dostp do SSH* SFTP (mier FTP!) 5. PHP (WordPress ) Pliki skryptu nale do uytkownika (CHOWN) Redundantny Filesystem (klastrowany FS) Izolacja Backup Staging Kontrola wersji 6. MySQL (MariaDB ) Redundancja Izolacja Load balancing Backup 7. NGINX (Apache ) Pule uytkownikw FCGI / FPM Ukrycie wersji oprogramowania Cache Redundancja Load balancing Optymalizacja Reverse Proxy* (varnish nie lubi ciastek... a WordPress tak.) 8. Single Point Of Failure 9. Checklist Infrastruktura Wirtualizacja Redundancja Izolacja Skalowalno Powtarzalno Przewidywalno Dokumentacja "Vision Without Implementation Is Just Hallucination" 10. Wishlist (list do dewelopera) ukrywamy wp-content ukrywamy wp-admin ukrywamy wp-login ukrywamy wersje solimy hasa uwierzytelniamy dwuetapowo filtrujemy IP administratora (VPN) uywamy przetestowanych pluginw uwaamy na podatnoci na XSS aktualizujemy skrypty wyczamy niepotrzebne/nieuywane moduy C.D.N. 11. Pytania?