Защищаем WordPress-сайт от хакерских атак

Защищаем WordPress-сайт от атак

Сухарь Руслан, UpSolution

Цена взлома?

Цена взлома = репутация

Кто и зачем может взломать Ваши сайты?

Нецелевые

атаки

Целевые

атаки

Нецелевые атаки

• Пост-индексный проход

• Хакерские базы

• Google Hacking Database

Google Hacking Database

Целевые атаки

10 признаков, что вас взломают

1. Перегрузка плагинами

Что делать?

• Устанавливать плагины разумно. Помнить, что у каждого плагина есть и обратная сторона.

• Если разбираетесь — смотреть качество кода плагинов и делать выводы.

2. Ядро, темы и плагины не обновляются своевременно

• Подписаться на рассылки об обновлениях используемых компонентов.

• Обновлять компоненты оперативно.

3. У разных сайтов общие файлы

• Когда это возможно, не использовать WordPress Network установку.

• Разделять доступ. Например, на уровне конфигурации PHP для виртуального хоста:

– open_basedir

– session.save_path

– upload_tmp_dir

4. У разных сайтов общий MySQL

• Использовать для разных сайтов разные БД с разными пользователями.

• Не использовать рутовый MySQL-доступ.

5. Файлы index.php и .htaccess доступны для записи

# chown -r root:root .

# chown -r www-data:www-data wp-content/upload

6. PHP позволяет выполнять eval()

7. PHP позволяет выполнять shell-команды

• Запретить (disable_functions) на уровне конфигурации PHP функции:

– exec

– shell_exec, passthru, system, proc_open, popen

– curl_exec, curl_multi_exec

8. Запросы не фильтруются

• Использовать Web Application Firewall:

–На уровне DNS (CloudFlare, …)

–На уровне железа (TrustWave, …)

–На уровне веб-сервера (mod_security, .htaccess/nginx.conf)

–На уровне веб-приложения (NinjaFirewall, …)

9. Не логируются post-данные

• Использовать mod_dumpost или аналогичное решение

10. Серверный софт не обновляется

• Не администрировать сервер самому.

• Подписаться на рассылки и не забывать обновляться.

Выводы

• Большинство атак — нецелевые

• От них достаточно легко защититься

Спасибо за внимание!

Email: rs@us-themes.com

Twitter: @umnik

Website: us-themes.com

Защищаем WordPress-сайт от хакерских атак

Internet

Transcript of Защищаем WordPress-сайт от хакерских атак

тот, что надо каталог на сайт

меню кухня сайт - kalyan.moscow · меню кухня сайт Author: Пользователь Created Date: 11/14/2019 4:58:52 PM ...

Идеальный сайт с точки зрения поисковиков

САЙТ AGENT.QIWI · 1. ВХОД НА САЙТ 1.1. Авторизация В целях повышения безопасности доступ в систему осуществляется

Эволюция атак на веб приложения (Evolution of web applications attacks)

Опыт по защите от DDOS атак: теория и практикаib6.ib-bank.ru/files/files/d2/18 Arbor - Microtest.pdfОпыт иностранных банков В

ОПИСАНИЕ ПРОДУКТА › upload › corporate › ru-ru › ... · Расширенная защита от DDoS-атак уровня приложений. С помощью

Название Сайт Инструкции WOS MEDLINE · Название Сайт Инструкции для авторов Издатель Язык публикац ий

Tech Talks @NSU: Защита от атак по сторонним каналам

Сайт под ключ от - EXTRITИ w q p q x n } } ~ z | z y а Ва аё а q q w q! ... разработка сайта, наполнение контентом, сдача/приемка

Shop go september 2014 на сайт

Криптография Почему сейчас Почему Microchip? · Устойчив к типам атак: Микрощуп Атака по времени Анализ

УПРАВЛЕНИЕ ЦЕПЯМИ ПОСТАВОК · 23 hours ago · от 2 дней от 2 дней от 2 дней от 3 дней от 10 дней Брест КОНТЕЙНЕРНЫЕ

Продающий сайт для жк

Алексей Иванов. Переделываем сайт

Back2BG – Кариера в БългарияBack2bg е кариерен сайт, създаден от две предприемчиви българки, завърнали се

изработка на сайт-seagarden.free.bg

Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной

сайт на Word press

F H > B > ? G L B N B D : P B B : D < H = H M J H < G Y G ...«Исследование уязвимостей систем для защиты от атак по сторонним