Защищаем WordPress-сайт от хакерских атак
- 1. Защищаем WordPress-сайт от атак Сухарь Руслан, UpSolution
- 2. Цена взлома?
- 4. Цена взлома = репутация
- 5. Кто и зачем может взломать Ваши сайты?
- 6. Кто и зачем может взломать Ваши сайты? Нецелевые атаки 95% Целевые атаки 5%
- 7. Нецелевые атаки • Пост-индексный проход • Хакерские базы • Google Hacking Database
- 10. 10 признаков, что вас взломают
- 12. Что делать? • Устанавливать плагины разумно. Помнить, что у каждого плагина есть и обратная сторона. • Если разбираетесь— смотреть качество кода плагинов и делать выводы.
- 13. 2. Ядро, темы и плагины не обновляются своевременно
- 14. Что делать? • Подписаться на рассылки об обновлениях используемых компонентов. • Обновлять компоненты оперативно.
- 15. 3. У разных сайтов общие файлы
- 16. Что делать? • Когда это возможно, не использовать WordPress Network установку. • Разделять доступ. Например, на уровне конфигурации PHP для виртуального хоста: – open_basedir – session.save_path – upload_tmp_dir
- 17. 4. У разных сайтов общий MySQL
- 18. Что делать? • Использовать для разных сайтов разные БД с разными пользователями. • Не использовать рутовый MySQL-доступ.
- 19. 5. Файлы index.php и .htaccess доступны для записи
- 20. Что делать? # chown -r root:root . # chown -r www-data:www-data wp-content/upload
- 21. 6. PHP позволяет выполнять eval()
- 22. 7. PHP позволяет выполнять shell-команды ×10
- 23. Что делать? • Запретить (disable_functions) на уровне конфигурации PHP функции: – exec – shell_exec, passthru, system, proc_open, popen – curl_exec, curl_multi_exec
- 24. 8. Запросы не фильтруются
- 25. Что делать? • Использовать Web Application Firewall: –На уровне DNS (CloudFlare, …) –На уровне железа (TrustWave, …) –На уровне веб-сервера (mod_security, .htaccess/nginx.conf) –На уровне веб-приложения (NinjaFirewall, …)
- 26. 9. Не логируются Dz-данные
- 27. Что делать? • Использовать mod_dumpost или аналогичное решение
- 28. 10. Серверный софт не обновляется
- 29. Что делать? • Не администрировать сервер самому. • Подписаться на рассылки и не забывать обновляться.
- 30. Выводы • Большинство атак — нецелевые • От них достаточно легко защититься
- 31. Спасибо за внимание! Email: rs@us-themes.com Twitter: @umnik Website: us-themes.com