WordPress-tietoturvan perusteet
0 likes3,573 views
WordPressin tietoturva: Mik辰 on olennaista ja mik辰 ei? Esitys WP Sein辰joki Meetupissa 28.11.2017 Tietoa kaikille jotka omistavat WordPress-sivuston tai kehitt辰v辰t WordPress-sivustoja.
WordPress-tietoturvan perusteet
- 1. WORDPRESS- TIETOTURVAN PERUSTEET Mik辰 on olennaista ja mik辰 ei WordPress Sein辰joki Meetup 28.11.2017 Otto Kek辰l辰inen @ottokekalainen
- 4. MAHDOLLISIA SEURAAMUKSIA Korruptoitunut tietokanta Vuotaneet asiakastiedot K辰vij旦iden ohjaus v辰辰r辰lle sivustolle, roskalinkit, v辰辰r辰t mainokset Sivusto voi levitt辰辰 haittaohjelmia Sivusto voi l辰hett辰辰 roskapostia
- 5. MUTTA SIVUSTOLLANI EI OLE MITN TRKE! Sivustoasi voidaan k辰ytt辰辰 hy旦kk辰yksess辰 muita sivustoja vastaan. Tietoturvaa ei saa laiminly旦d辰. Voit joutua osasyylliseksi.
- 6. Mik辰 on EHDOTTOMAN TRKE WordPress-sivuston pit辰misess辰 turvallisena?
- 7. OIKEUDETON PSY: 1. Vuodetut salasanat 2. Ohjelmistovirheet
- 10. HTTPS, SFTP, SSH l辰 koskaa l辰het辰 salasanoja suojaamattoman yhteyden yli!
- 11. Pakota HTTPS WordPressiss辰 1. Palvelimella oltava HTTPS-tuki ja -varmenne 2. Pakota asetus tiedostossa wp-config.php: define('FORCE_SSL_ADMIN', true);
- 12. K辰yt辰 captchaa robottien estoon Google reCaptcha suositeltu
- 14. MINIMOI HAAVOITTUVUUDET 1. Minimoi hy旦kk辰yspinta-ala poistamalla turhat ohjelmat 2. Loppujen osalta muista p辰ivitt辰辰 s辰辰nn旦llisesti
- 15. KUINKA TURVALLINEN ON WP:N YDIN? Tietoturva- haavoittuvuuksia per 1000 rivi辰 uutta koodia Kautta aikojen: 0,1 (204 CVE-merkint辰辰 per 2,1 miljoonaa rivi辰 koodia) Vuonna 2015: 0,05 (11 CVE -merkint辰辰 per 236 000 rivi辰 koodia)
- 19. EI
- 22. LISOSIEN TIETOTURVA 1. Minimoi hy旦kk辰yspinta-ala poistamalla tarpeettomat lis辰osat (ja teemat) 2. Niiden lis辰osien osalta joita on pakko k辰ytt辰辰, varmista, ett辰 kaikki tietoturvap辰ivitykset on asennettu ET voi minimoida haavoittuvuuksia asentamalla lis辰辰 lis辰osia!
- 23. L HAASKAA AIKAA generator metan poistaminen tai versionumeron piilotus kirjautumisvirheilmoitusten piilotus wp-admin tai wp-login sijainnin muuttaminen readme.html tai muiden tiedostojen poistaminen Vain WP-n旦rteille, joilla on aikaa tutkia kaikki hy旦dyt ja haitat. P辰辰s辰辰nt旦 on, ett辰 WordPressin vakioasennus on turvallinen.
- 24. VIRHEELLINEN TUNNE TURVALLISUUDESTA Tuntuu silt辰 kuin paljon olisi tehty, vaikka t辰rkein on edelleen tekem辰tt辰.
- 25. Esimerkki: readme.html piilotus = 辰l辰!
- 26. Versionumerot vuotavat kuitenkin Esimerkki: readme.html piilotus
- 27. HUOM: WordFence on silti sielt辰 paremmasta p辰辰st辰. Monet muut tietoturvalis辰osat ovat viel辰 huonompia. ..ja WordPressin eheystarkistus h辰lytt辰辰! Esimerkki: readme.html piilotus
- 28. TIETOTURVALISOSAT EIVT OLE RATKAISU Tulokset vaativat tulkintaa. Suositeltu vain ammattilaisille.
- 29. Ainoat suositeltavat: WPScan and Google Webmaster Tools Ei v辰辰ri辰 positiivisia ja liiketoimintamalli ei perustu pelkoon.
- 30. JOS YLLPIDT OMAA PALVELINTA Muista my旦s koventaa ja p辰ivitt辰辰! k辰ytt旦j辰rjestelm辰 web-palvelin tietokantapalvelin PHP-ymp辰rist旦 HTTPS-kovennus SSH-kovennus
- 31. ASENNA VAIN LUOTETUISTA LHTEIST V辰lt辰 kolmannen osapuolen l辰hteit辰, joilla ei ole vakuuttavaa julkaisuk辰yt辰nt旦辰.
- 32. DDOS-HYKKYKSEN ESTO Mit辰 jos ongelma ei ole oikeudeton p辰辰sy, vaan p辰辰syn esto kokonaan?
- 33. DENIAL OF SERVICE ATTACKS Havaitse, sied辰 ja est辰 tehokkaat palvelimet ja hyv辰 v辰limuistitus havaitse toistuvat h辰irik旦t verkkotasolla failtoban + iptables havaitse ja est辰 http-tasolla Nginx rate limiting Jos yrit辰t est辰辰 PHP/WordPress-tasolla, olet jo h辰vinnyt. DDOS on jatkuvaa kilpajuoksua. Yrit辰 l旦yt辰辰 palveluntarjoaja, joka hoitaa DDOS-suojauksen puolestasi, mieluiten verkkotasolla.
- 34. VARMUUSKOPIOINTI JA PALAUTUS Koska ennemmin tai my旦hemmin kaikki muu pett辰辰.
- 35. VARMUUSKOPIOINNIN PARHAAT KYTNNT 1/2 Varmista, ett辰 varmuuskopiointij辰rjestelm辰 t辰ytt辰辰 ainakin n辰m辰 vaatimukset: automaattinen: ei vaadi ihmisen toimia tai muistamista t辰ydellinen: sek辰 tiedostot ett辰 tietokanta inkrementaalinen: v辰hint辰辰n 30 p辰iv辰n historialla s辰辰nn旦llinen: ainakin kerran vuorokaudessa
- 36. VARMUUSKOPIOINNIN PARHAAT KYTNNT 2/2 offsite: mik辰li p辰辰sy koko palvelinsaliin estyy pull, ei push: alkuper辰iselt辰 sivustolta ei pit辰isi olla suoraa p辰辰sy辰 varmuuskopioihin, jotta mahdollinen murtautuja ei pysty tuhoamaan sek辰 sivustoa ett辰 sen varmuuskopioita Suositeltu: mysqldump + rdiff-backup + SSH
- 37. VIEL KERRAN
- 38. WORDPRESS-TIETOTURVANEUVOT 1. Noudata salasanahygieniaa. 2. K辰yt辰 capthaa robottien est辰miseksi. 3. K辰yt辰 aina HTTPS:辰辰 (ja SFTP sek辰 SSH) 辰l辰 koskaan l辰het辰 salasanoja suojaamattoman yhteyden yli. 4. Poista tarpeettomat ohjelmistot hy旦kk辰yspinta-alan minimoimiseksi. 5. Huolehdi, ett辰 tietoturvap辰ivitykset asennetaan nopeasti WordPressin lis辰osien (ja muidenkin palvelinohjelmistojen!) osalta. 6. Asenna ohjelmistoja ja p辰ivityksi辰 vain luotetuista l辰hteist辰. 7. Varmista varmuuskopiointi. 8. Valitse palveluntarjoaja, joka huolehtii tietoturvasta mahdollisimman hyvin, jotte sinun ei itse tarvitse olla perill辰 kaikista yksityiskohdista. Vinkki: wp-palvelu.fi/tietoturva
- 39. Extra Suositus 2016: 辰l辰 est辰 Suositus 2017: est辰 ja k辰yt辰 mieluummin REST API:a
- 40. Blogi: Haittakoodi kuriin eli kuinka sivustomurto selvitet辰辰n wp-palvelu.fi/blogi/wordpress-sivustomurto-haittakoodi/ Extra