Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
1. 10 tipů pro lepší
zabezpečení WP
Radek Kučera
WordPress meetup Hluboká
2. Kudy lze napadnut WordPress?
Síťová
infrastruktura &
hosting
• bezpečnostní díry v
zastaralých verzích
PHP, MySQL,
phpMyAdmin
• OpenSSL
• DOS / DDOS
Z počítače
• odposlouchávání
komunikace se
serverem
• neodhlášení z
veřejného PC
• CSRF
• odcizení cookies
• útoky na lokální síť
ARP spoofing, DNS
hijacking
Aplikace
• bezpečnostní díry v
zastaralých,
neoficiálních a
neověřených verzích
WP, pluginech a
šablonách,
• Brute-force
3. 1. Základní bezpečnostní tipy
• Silné heslo
• Nepoužívejte free hosting
• Změna prefixu databáze
• Přihlašujte se pouze ze svého PC
• Aktualizujte
• Zálohujte
• Smažte nepoužívané účty, pluginy a šablony
• Méně pluginů znamená více bezpečnosti
• Použijte SFTP/FTPeS namísto FTP
• Používejte ověřené šablony a pluginy jen z repozitáře wordcamp.org
4. 2. Wp-config.php o level výše
Do této složky instalujete WordPress
O úroveň výš nahrajte wp-config.php
WordPress si sem umí sáhnout
nastavte práva 444
5. 3. Omezení práv souborů a složek
• CHMOD hodnota 755 pro složky
• CHMOD hodnota 644 pro soubory
• wp-config.php a .htaccess nastavte 440
nebo 444 (na úpravy musíte přes ftp zvýšit
práva na 644 a po dokončení zase zpět na
444)
6. 4. Vypněte editaci z administrace
Vypnutí editace pluginů a šablon z
administrace WordPressu je jednoduchá věc.
Stačí tento zápis do wp-config.php
7. 5. Zamkněte administraci
Díky jednoduchému zápisu do .htaccess ve
složce wp-admin máte možnost omezit
přístup pouze na konkrétní IP adresu
8. 6. Omezení počtu chybných přihlášení
Omezením počtu chybných příhlášení
zabráníte bruteforce útoku na prolomení
hesla
• Max Login Attempts Per User
• Max Login Attempts Per Host (IP adresa)
• Minutes to Remember Bad Login (check period)
9. 7. Omezení počtu chybných stránek 404
Omezením počtu chybných stánek 404 za
konkrétní časový úsek zabráníte více typům
útoků (bruteforce, hledání zranitelností a
chyb)
Pozor s tímto může být problém pokud
šablona hází 404 chyby a nevíte o tom
(inframe??)
10. 8. Detekce změny souboru
Po každé aktualizaci / přidání / smazání
souborů či složk Vám přijde notifikační
email s detaily
11. 9. Zakažte přístup k souborům přes prohlížeč
Níže uvedený kód vložte do .htaccess
12. 10. Aktivujte https pro přihlášení
• Nastavte SSL šifrování tedy https pro
přihlášení do administrace
• Vložte do wp-config.php
13. Další bezpečnostní tipy
• Zakažte skripy v /uplaod/ složce (Sucuri)
• Zakažte procházení adresářů na serveru (iThemes)
• Přejmenujte adresář /wp-content/
• Omezit přístup do /wp-includes/ (Sucuri)