Embed Size (px)
Citation preview
Ptejte se v průběhu.
www.sli.do#3302
Jednoduché dělení
Jádro (core) WordPress
Uživatel (správce)
Pluginy (doplňky)
Themes (šablony)
Úroveň bezpečnosti40%
Bezpečnost není pouze o útočníkovi, je především o Vás a přístupu k Vaší aplikaci.
Jádro (core) WordPress
Každý den na WordPressu pracuje aktivně velká základna vývojářů.Většina nových chyb a tipů útoků jsou odchyceny hned.
Je tedy tím nejbezpečnějším ale i nejzranitelnějším systémem.
…ale
WordPress je OpenSource řešení – každý může důkladně projít jeho kódy.Jsme odkázání na vývojáře WordPressu, jak rychle případné chyby opraví.WordPress je nejpoužívanější systém na světe – je tak v hledáčku hackerů.Napříč internetem již existuje spoustu návodů, jak WordPress napadnout.
Nejen návodů, ale také již reálných nástrojů, které chyby odhalí.Lze snadno odhalit, zda web používáš WordPress.
Uživatel (správce)Většina prolomených WordPress instalací bývá příčinou špatného chování správce
daného webu (instalace).
Slabá hesla Odhalitelný login
Podobné heslo
Neprovádí aktualizace
Používá nebezpečné
pluginy
Používá neprověřené
šablony
Příklady hesel
www.superbazar.cz superbazarSuperbazar
Superbazar20152015bazar
Doména Uživatel (login) Heslo
www.superbazar.cz admin123456
maminkamilacek
www.superbazar.cz petrpetr
petr1985petrbazar123
www.superbazar.cz traktoristapetr#kt00cm!aFsaj
^@IjHQD*!xnI^2AwEEvV*99F
www.security-portal.cz/clanky/50-nejpoužívanějších-hesel-pro-web-v-čr
Pluginy (doplňky)Každý plugin sebou
nese potenciální riziko.
Čím více doplňků tím větší šance, že hacker najde „díru“ kterou
hledal.
Pluginy, které už nepoužíváte smažte. Deaktivace nestačí.
Pluginy udržujte vždy aktualizované!
Pluginy, které nebyly dlouho aktualizované
nesou větší riziko.
Pozor na placené pluginy, které jsou
oblíbeným terčem a nemají automatické
aktualizace
Úroveň bezpečnosti50%
Themes (šablony)Šablony, které
nepoužíváte smažte. Neponechávejte
neaktivní.
Prověřte, zda šablona nepoužívá ke své funkci další sadu
pluginů.
Pokud nevíte, co děláte, neprovádějte programové záshay.
Zkontrolujte, zda šablona je pro
aktuální verzi WP nebo alespoň verzi
blízkou.
Pozor na ty šablony, které nenabízejí
automatický update.
Prověřujte, kdo je autorem šablony a
zda má kladné reference.
Úroveň bezpečnosti60%
Jak se útočník chová?Aby mohl hacker provést případný útok na WordPress instalaci (nebo na cokoliv jiného)
potřebuje znát všechny aspekty k tomu, aby jeho útok byl úspěšný.
Nejsme schopni zcela zamezit tomu, aby útočník zjistil, že se jedná o WordPress.Nejsme schopni zcela zamezit tomu, aby útočník zjistil, jaké používáme pluginy.
Pokud používáte „obecně známe šablony“ detekuje i je.
Pokud zjistí WordPress a jeho verzi, může prověřit
rizika dané verze.
Pokud zjistí plugin a jeho verzi. Může využít chybu
právě tohoto pluginu.
Stejně tak může mít bezpečnostní riziko i
používána šablona. Stačí jí pouze detekovat.
A jdeme na to !Pokud víme, jak se útočník chová a jak provádí své útoky, můžeme začít aplikovat
potřebnou obranu.
Využijeme již existující a velmi dobře fungující doplněk.
Link ke stažení
Plugin Vás provede nastavením
Detekce WordPressuÚtočník provádí dotazy na server, zda na určité cestě leží nějaký soubor, který by mu
prozradil, zda se jedná o WordPress, určitý plugin, nebo šablonu. To generuje řadu 404 chyb v rychlém sledu.
Úroveň bezpečnosti65%
Místo, kde je možné se přihlásitVšichni kdo WordPress používají vědí, že přihlašovací formulář se nachází na
adrese /wp-admin. Útočník to ví také a bude jí hledat, aby mohl zkoušet prolomit heslo.
Úroveň bezpečnosti70%
Pokus o prolomení heslaÚtočník se pokouší opakovaně přihlásit a zkouší různé kombinace uživatelského
jména a hesla.
Úroveň bezpečnosti75%
XML-RPCXML-RPC je technologie, pomocí které se dá s WordPressem komunikovat a editovat
jeho obsah (nastavení) vzdáleně – například se používá pro pingbacky, mobilní aplikace a některé pluginy. Nese ale velké riziko a většinou ho nikdo nepoužívá.
Úroveň bezpečnosti80%
Další bezpečnostní doporučení
Nenechávejte uživatele
„admin“. Stejně tak nenechávat uživatele s ID 1.
Nepoužívejte defaultní
databázový prefix wp_ dejte vlastní
unikátní.
Nepoužívejte stejnou
přezdívku (ve WP) jako login name do WP.
Vynucujte u ostatních uživatelů
opravdu silné heslo.
Prostudujte si důkladně plugin iTheme security
a řiďte se průvodcem.
Provádějte zálohy, kdyby přeci jenom k úspěšnému útoku došlo.
Navštěvujte své stránky
pravidelně a provádějte aktualizace.
Úroveň bezpečnosti90%
Pokud máte své servery, blokujte Čínu a Rusko – cca 60% útoků.
Co si tedy odneste?
Provést základní zabezpečení a nastavení iTheme security Vám zabere jen několik minut. Oprava napadeného WordPressu může zabrat i hodiny.
Myslete na to, že největší bezpečnostní riziko jste Vy. Dělejte proto všechno, abyste byly tím rizikem co nejmenším.
Důkladně prověřujte věci, které si do své instalace přidáte. Nikdy nevíte, jak je autor pluginu nebo šablony dobrý vývojář.
Většinu útoků provádí „roboti“, kteří hledají běžné chyby a využívají je. Nedělejte běžné chyby a Vaše data zůstanou v bezpečí. Cílený útok je velmi nepravděpodobný.
A bez dokonalé znalosti WP prakticky nemožný.
