ݺߣ

ݺߣShare a Scribd company logo

Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014

Download as PPTX, PDF
Michał Smereczyński
Michał Smereczyński

WordPress i jego bezpieczeństwo od strony serwera. Na co zwracać uwagę i co nieco o dobrych praktykach.

1 of 11
Download to read offline
Bezpieczeństwo WordPress okiem admina WordCamp Warszawa 2014
• Kto? Michał Smereczyński • Skąd? Szczecin • Co robi? technology evangelist, devop, admin, infrastructure architect • Co ma wspólnego z WP? wdrożenia, migracje, optymalizacje, blog • Twitter / blog / LinkedIn @smereczynski / superuser.org.pl/blog / pl.linkedin.com/in/smereczynski/
WordPress stack • Linux / *NIX / Windows • PHP • MySQL / MariaDB / Percona • Apache / NGINX
Linux • Firewall • Ukrycie wersji systemu (skanowanie portów)* • Wykrywanie rootkitów (np. rkhunter) • Fail2Ban • Bezpieczny kernel (GRSec / Pax)* • Aktualne oprogramowanie • Minimalna konfiguracja (w miarę możliwości) • Jail SSH jeśli user ma dostęp do SSH* • SFTP (śmierć FTP!)
PHP (WordPress ) • Pliki skryptu należą do użytkownika (CHOWN) • Redundantny Filesystem (klastrowany FS) • Izolacja • Backup • Staging • Kontrola wersji
MySQL (MariaDB ) • Redundancja • Izolacja • Load balancing • Backup
NGINX (Apache ) • Pule użytkowników • FCGI / FPM • Ukrycie wersji oprogramowania • Cache • Redundancja • Load balancing • Optymalizacja • Reverse Proxy* (varnish nie lubi ciastek... a WordPress tak.)
Single Point Of Failure
Checklist • Infrastruktura • Wirtualizacja • Redundancja • Izolacja • Skalowalność • Powtarzalność • Przewidywalność • Dokumentacja "Vision Without Implementation Is Just Hallucination"
Wishlist (list do dewelopera) • ukrywamy wp-content • ukrywamy wp-admin • ukrywamy wp-login • ukrywamy wersje • solimy hasła • uwierzytelniamy dwuetapowo • filtrujemy IP administratora (VPN) • używamy przetestowanych pluginów • uważamy na podatności na XSS • aktualizujemy skrypty • wyłączamy niepotrzebne/nieużywane moduły • C.D.N.
Pytania?

More Related Content

Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014

  • 2. • Kto? Michał Smereczyński • Skąd? Szczecin • Co robi? technology evangelist, devop, admin, infrastructure architect • Co ma wspólnego z WP? wdrożenia, migracje, optymalizacje, blog • Twitter / blog / LinkedIn @smereczynski / superuser.org.pl/blog / pl.linkedin.com/in/smereczynski/
  • 3. WordPress stack • Linux / *NIX / Windows • PHP • MySQL / MariaDB / Percona • Apache / NGINX
  • 4. Linux • Firewall • Ukrycie wersji systemu (skanowanie portów)* • Wykrywanie rootkitów (np. rkhunter) • Fail2Ban • Bezpieczny kernel (GRSec / Pax)* • Aktualne oprogramowanie • Minimalna konfiguracja (w miarę możliwości) • Jail SSH jeśli user ma dostęp do SSH* • SFTP (śmierć FTP!)
  • 5. PHP (WordPress ) • Pliki skryptu należą do użytkownika (CHOWN) • Redundantny Filesystem (klastrowany FS) • Izolacja • Backup • Staging • Kontrola wersji
  • 6. MySQL (MariaDB ) • Redundancja • Izolacja • Load balancing • Backup
  • 7. NGINX (Apache ) • Pule użytkowników • FCGI / FPM • Ukrycie wersji oprogramowania • Cache • Redundancja • Load balancing • Optymalizacja • Reverse Proxy* (varnish nie lubi ciastek... a WordPress tak.)
  • 8. Single Point Of Failure
  • 9. Checklist • Infrastruktura • Wirtualizacja • Redundancja • Izolacja • Skalowalność • Powtarzalność • Przewidywalność • Dokumentacja "Vision Without Implementation Is Just Hallucination"
  • 10. Wishlist (list do dewelopera) • ukrywamy wp-content • ukrywamy wp-admin • ukrywamy wp-login • ukrywamy wersje • solimy hasła • uwierzytelniamy dwuetapowo • filtrujemy IP administratora (VPN) • używamy przetestowanych pluginów • uważamy na podatności na XSS • aktualizujemy skrypty • wyłączamy niepotrzebne/nieużywane moduły • C.D.N.