Marko Heijnen CODEKITCHEN

Mijn Site BeveiligingWordPress Meetup Enschede

The moment my site got hacked

Stay in this bubble

Alles begint met je server setup

Opbouw van mijn site

Loadbalancer Memcached

Elasticsearch

MariaDB

Server setup

Micro services

Webserver 1

Webserver 2

Thumbor

Public Private

CDN

Verkeer

WordPress setup• Network install

• Running Trunk

• Folder structure: • /bash • /nginx • /www

• /content • /wp

wp-config.php fun

1 map hogerUit de www folder

WP-Config• Security Keys

• $table_prefix

• WP_CONTENT_DIR / WP_CONTENT_URL

• UPLOADS

WP-Config• Disable Plugin/Theme Editor

define( 'DISALLOW_FILE_EDIT', true );

• Disable Plugin/Theme Update en Installatie define( 'DISALLOW_FILE_MODS', true );

• Block externe URL Requests define( 'WP_HTTP_BLOCK_EXTERNAL', true ); define( 'WP_ACCESSIBLE_HOSTS', 'api.wordpress.org,*.github.com' );

Hardening WordPress• PHP kan de bestanden niet aanpassen

• OPCache word niet ververst tenzij je PHP reload

• WordPress Network install(Hernoeming van upload directory)

• Veel functionaliteit is zelf geschreven

Eigen functionaliteit• Een eigen per site mu-plugins folder

(/mu-plugins/blog/markoheijnen/plugin-name)

• plugins folder heeft alleen WordPress.org plugins

• Overzicht van plugins is nu opgeschoond

Login

Hardening login• Moeilijk en lange wachtwoord

• IP block voor super admin account (login via VPN)

• Binnenkort verplicht 2fa voor admins

• Binnenkort fail2ban integratie

• Fail2ban scant log files zoals /var/log/apache/error_log en bant IPs die malicious tekens vertonen

• Zoals te vaak foutief ingelogd

• Fail2ban update dan de firewall rules om de IPs voor een bepaalde tijd te blokkeren

Fail2ban

Integratie met WordPress• WordPress logt de foutieve pogingen via

bijvoorbeeld syslog()

• Voegt nieuwe filter toe aan Fail2ban

• Hierbij leg je uit hoe de log item opgebouwd is

• Voorbeeld: wp-fail2ban

Multiserver setup• In plaats van log file worden acties in een database

opgeslagen

• Op de Fail2ban server draait een cronjob die nieuwe geblokte IPs toevoegt

• fail2ban-client om IPs te blokken

• Of dit word een microservice die het beheerd

Firewall

UFW• ufw default deny incoming

• ufw default deny outgoing

• ufw allow out http(s)

• ufw allow out DNS

• ufw allow from {your.home.ip}

• ufw allow out on eth1 to {internal.ip} port 3142

Application Firewall

Application Firewall• Actieve preventie van vulnerabilities zoals cross-

site scripting (XSS) en SQL injection

• Sucuri of CloudFlare als een service

• NinjaFirewall als een plugin

• Zelf hou ik het voorlopig op modSecurity

• Momenteel bekijk ik de rule sets van owasp.org

Detection Layer

Apticron• Cronjob checks als er server update zijn

• Stuurt een mail wanneer er updates zijn

• Totale lijst of alleen nieuwe updates

Apt-dater and Apt-dater-host• Terminal-based remote package update manager

• Een tool om meerdere servers te managen

• Groeperen van servers

• Install en update packages

Use WordPress to manage WordPress

Server Features• Geeft alle Linux packages updates weer

• Geeft alle PECL updates weer

• Toont aan als je WP-CLI updates heeft

• Het updaten van WP-CLI

• Opnieuw opstarten van een service

WordPress Features• Geeft alle WordPress updates weer

• Mogelijkheid om een update te doen (todo)

• Checksum scans

• Upload directory scans

• Backups (todo)

• Send WP CLI command (todo)

Lijst met alle servers

Lijst met alle sites

Overview van je site

Security checks voor je site

Checksums voor plugins/themes

WP Central• Begon als een platform voor statistieken

• Daarna met een API voor contributors

• Nu het opvragen van checksums voor plugins en themes

• http://wpcentral.io/api/

Node.js server• Een microserver voor het genereren en opvragen

van de checksums

• Indien het nog niet bestaat word het in de queue geplaatst en ontvangt de gebruiker een melding

• Tussen WordPress en de node.js applicatie zit nginx die mogelijk crashes afvangt

WP Central API• http://wpcentral.io/api/checksums/theme/

twentyfifteen/1.2

• [{"code":"wpcentral_server_error","message":"Generating checksums”}]

• [{"file":"header.php","checksum":"c0919b5f4b6e4f3a58b858b2305e9146"},{},{},{},{},{},{},{},{},{},{},{},{},{}]

WP-CLI

Coming Soon

Coming Soon• API endpoint word officieel gereleased

• HTTPS (TLS)

• Mogelijk GPG

• Open Source Vulnerability database (met hoge IP rate check)

Ideeën zijn meerdan welkom

Log aggregation

Log aggregation• Logstash

• Fluentd

• OSSEC

OSSEC• Een Open Source Host-based Intrusion Detection

System

• Performs log analysis, file integrity checking, policy monitoring, rootkit detection, real-time alerting and active response

• Works with a manager and agents

• https://hackertarget.com/defending-wordpress-ossec/

Het gebruik van WordPress plugins

WordPress plugins• Persoonlijk geen voorstander om het als

bescherming te hebben

• Als iemand in je site komt heeft de persoon de mogelijkheid om het uit te schakelen

• Gebruik het als een hulp voor server technologie

• Zoals bij Fail2ban

• Een plugin is je laatste middel voor bescherming

Verdere ideeën

Verdere ideeën• Notificaties (microservice)

• Bij elke succesvolle admin login

• Bij elke file aanpassing

• Plugin activatie/deactivatie

Conclusie

Conclusie• Wanneer je een VPS neemt dien je ook een

gedeelte van de veiligheid op je te nemen

• Host doen over het algemeen diverse dingen al voor je zoals het blokken van zwakheden in populaire plugins

• Je hoeft niet door te draaien zoals ik maar check regelmatig je site en je log files. Zelfs al is het handmatig

Marko Heijnen• Founder of CodeKitchen

• Lead developer of GlotPress

• Core contributor for WordPress

• Organizer for WordCamp Belgrade

Marko Heijneninfo@markoheijnen.com

@markoheijnen

Bedankt voor je aandacht

Vragen?

@markoheijnen markoheijnen.com

codekitchen.eu