SlideShare a Scribd company logo

WordPress: Základy - bezpečnost 3x3

Download as PPTX, PDF
Vladimír Smitka
Vladimír Smitka

Základy zabezpečení redakčního systému WordPress - aktualizace, problémy multihostingu, práva a hesla, bezpečnostní plugin WordFence, zálohování. Prezentace z WordPress konference 25.6.2016.

Technology
1 of 41
@smitka Lynt services s.r.o. Infrastruktura Webová řešení Marketing WP – bezpečnost 3x3 Vláďa Smitka https://lynt.cz
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Co dnes uslyšíte? • WP a bezpečnost? • 3 cíle útočníků • 3 nejčastější problémy • 3 preventivní opatření
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Jak je na tom WP s bezpečností? • Velká komunita, která chyby napravuje • Velká „komunita“, která se je snaží zneužít • Soustavné bezpečnostní testování „Veřejně známá bezpečnostní chyba v otevřeném systému je menší zlo, než chyba v uzavřeném systému, o které ví jen útočník.“
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. 3 nejčastější cíle útočníků 1. SPAM / reklama 2. Infikace návštěvníků 3. Útoky na další weby
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. #1 Neaktualizované komponenty „Aktualizace jsou u OpenSource zásadní!“
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Aktualizace jádra V základu: • V rámci minor verzí (4.5.x) probíhá aktualizace automaticky. • Major verze (4.X) je potřeba aktualizovat ručně. wp-config.php: define( 'WP_AUTO_UPDATE_CORE', 'minor' ); true – aktualizace i major verzí false – vypne všechny automatické aktualizace - lze to ale i filtrem v kódu Důvody nefunkčnosti: • Zakázané aktualizace • Špatná práva Čtení – 4 Zápis – 2 Spuštění – 1 Uživatel, skupina, všichni Někdy práva WP špatně detekuje při pokusu o nahrání po vás chce přístupy na FTP zkuste do wp-config.php: define( 'FS_METHOD', 'direct' ); Obecně: Soubory: 640 Složky: 750
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Aktualizace šablon Ruční zásah, lze ale zapnout automaticky v kódu: add_filter( 'auto_update_theme', '__return_true' ); Pokud provedete změny přímo v šabloně, aktualizací o ně přijdete. Správná cesta je použití „Child Themes“. Pluginy pro vytvoření Child Theme: https://cs.wordpress.org/plugins/orbisius-child-theme-creator/ https://wordpress.org/plugins/one-click-child-theme/
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Ruční tvorba Child Theme style.css (nepoužívá se z rodiče) /* Theme Name: Moje 2016 Author: Já Version: 1.0 Template: twentysixteen */ @import url("../twentysixteen/style.css"); /* vlastní úpravy */ functions.php (načítá se i z rodiče) <?php // vlastní úpravy ?> Další PHP soubory z hierarchie šablony, které chci upravit, např. header.php
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Aktualizace pluginů Ruční zásah, lze ale zapnout automaticky v kódu: add_filter( 'auto_update_plugin', '__return_true' ); Bohužel neexistují „Child Plugins“… Některé pluginy však jde upravovat pomocí hooků. „Většina bezpečnostních problémů WP je způsobena pluginy.“ Používáte plugin se známou bezpečnostní chybou? https://wordpress.org/plugins/plugin-vulnerabilities/
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Správa aktualizací https://wordpress.org/plugins/wp-updates-notifier/ - Pošle vám e-mail, když je aktualizace dostupná. https://mainwp.com/ - Systém na správu více WP webů a jejich aktualizaci. - Jeden vyhrazený WP web ovládá ostatní, kde je nainstalovaný MainWP child plugin. - Lze nastavit automatický update vybraných pluginů. - Zdarma + placené doplňky. - Umí zálohovat. - Je možné jím spravovat obsah.
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. MainWP
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Pozor na neoficiální zdroje! Existují přeprodejci různých placených šablon a pluginů nebo warez stránky, kde jsou zdarma… Použitím těchto zdrojů nemáte nárok ani na podporu od autora, ani na aktualizace. Přeprodejce navíc do produktu mohl vložit zadní vrátka!
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. #2 Nákaza z „multihostingu“ Složkasweby Web1 Web2 Web3
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Ověření možností přístupu do cizích složek https://github.com/lynt-smitka/PHP-Mini-File-Browser mfb.php • Malý skript, kterým lze projít dostupné složky. • Protože zobrazuje důvěrné informace, tak se hodinu po nahrání sám smaže (lze přenastavit). • Lze mu nastavit použití jména a hesla.
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. #3 Práva a hesla Útočník se nejčastěji snaží uhádnout jména a hesla. Čím je vyšší role získaného uživatele, tím vyšší škodu může napáchat. interval.cz/?author=1 => /clanky/author/admin/
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Základní role • Návštěvník (Subscriber) • Může pouze číst obsah, editovat svůj profil. Má jednodušší práci s komentáři. • Spolupracovník (Contributor) • Může psát nové příspěvky, ale publikovat je může až Admin nebo Šéfredaktor. Nemá přístup do galerie médií (může ale vkládat obrázky z externích zdrojů) – guest blogging. • Redaktor (Author) • Může spravovat své příspěvky včetně správy komentářů, nahrávat soubory do galerie médií. Nemůže pracovat se stránkami. • Šéfredaktor (Editor) • Může spravovat veškerý obsah – příspěvky, stránky, komentáře, kategorie, v jeho komentářích může být javascript. • Administrátor (Administrator) • Může spravovat vše – obsah, pluginy, šablony, widgety. Ideálně by neměl tvořit obsah. • SuperAdministrátor (pro WP multisite) – spravuje síť webů
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Jak upravit práva? $role_object = get_role( 'editor' ); $role_object->add_cap( 'edit_theme_options' ); Nejčastější případ – šéfredaktor potřebuje upravovat menu a widgety https://cs.wordpress.org/plugins/user-role-editor/ (4.25+)
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. User role editor
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Jak je to s právy pluginů? Ve WP je možné definovat vlastní role a oprávnění. Záleží na tvůrci pluginu, zda tuto možnost využil. The Events Calendar WP Polls User Role Editor
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. HTTPS Pokud nepoužíváte HTTPS, lze hesla (a přihlašovací cookie) odposlechnout.
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Správce hesel Pamatujete si jedno heslo, ostatní zná password manager. KeePass http://keepass.info/ Zdarma, offline, možno sdílet soubor s hesly přes dropbox, onedrive… LastPass https://lastpass.com/ Základ zdarma, cloudová služba + doplněk do prohlížeče Portadi https://www.portadi.com/ Firemní sdílení přístupů k vybraným službám.
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. #1 Bezpečnostní plugin 22 26. 6. 2016
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – po instalaci 23 26. 6. 2016
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – Live Traffic 24 26. 6. 2016 Hezké, ale spotřebovává poměrně dost výkonu.
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – detekce změn 25 26. 6. 2016
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – omezování provozu 26 26. 6. 2016
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – bezpečnost přihlášení 27 26. 6. 2016
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – další nastavení 28 26. 6. 2016 Inspirace co zablokovat: https://github.com/zaproxy/zap- extensions/tree/master/src/org/zaproxy/zap/extension/fuzzdb/files/fuzzers/fuzzdb/discovery/predictable-filepaths/php * *
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – další nastavení 29 26. 6. 2016
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence - Firewall Extended Protection Funguje mimo jádro WP – chrání tak veškeré PHP soubory. Vyžaduje direktivu auto_prepend_file v php.ini = nefunguje na většině webhostingů
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence - Firewall Poměrně nová funkcionalita, občas zlobí. Otestujte, zda funguje: vas-web/?test=<iframe> Pokud se vrátí chyba 403, funguje to Signatury: wp-content/wflogs/rules.php Pokud je soubor prázdný, nepodařilo se je pluginu stáhnout: https://tools.lynt.cz/wordfence/rules.php.txt
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – prémiové funkce • Okamžité updaty firewallu – reakce na aktuální dění (free verze po 30 dnech). • Blokace zemí. • Kontroly reputace webu v externích službách. • Lepší antispam v komentářích. • Audit hesel. • Přihlašování přes SMS. Alternativy Blokace zemí: https://wordpress.org/plugins/iq-block-country/ (je třeba stáhnout db zemí a správně nastavit) mod_geoIP (info sdělí webhoster, nastavuje se typicky přes .htaccess) Antispam: https://cs.wordpress.org/plugins/akismet/ (vyžaduje klíč, aby fungoval) https://wordpress.org/plugins/nospamnx/ Dvoufaktorová autentifikace: https://wordpress.org/plugins/google-authenticator/ https://wordpress.org/plugins/duo-wordpress/
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Alternativní firewall BBQ: Block Bad Queries https://wordpress.org/plugins/block-bad-queries/ Pravidla do .htaccess: https://perishablepress.com/6g/ Tip: pokud ztratíte přístup k webu chybně nastaveným bezpečnostním pluginem, přejmenujte složku s pluginem na FTP, tím jej deaktivujete.
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. #2 Zálohování Bezpečnostní incident může potkat každého, pouze s různou pravděpodobností. Na tuto situaci je nutné být připraven a mít funkční zálohu!
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Možnosti zálohování Ruční – jednou za čas, stáhnete soubory z FTP a provedete export DB V rámci hostingu – podrobnosti řekne webhoster Zálohovací plugin – plugin ve WP provádí v zálohu dle plánu
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Zálohovací pluginy BackWPup - Neumí obnovu, ale ta je možná poměrně jednoduše ručně - Umí zálohu na více úložišť, např. Dropbox - Lze spouštět speciální URL externě Návod na nastavení: http://www.slideshare.net/vsmitka/bezpenost-wordpress-pro-zatenky/38 Čeština: https://github.com/lynt-smitka/BackWPup-CZ BackupBuddy - Placený - Spolehlivé řešení pro zálohy, obnovy i migraci
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. #3 Opatrnost Člověk často bývá nejslabší článek. Zásady: • Používat silná hesla • Připojovat se pouze z důvěryhodných sítí (případně přes VPN) • Používat antivir a aktualizovat OS i prohlížeč • Neukládat si v zařízeních nezabezpečené WiFi sítě • Kontrolovat správnost certifikátů • Nenaletět na Phishing
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Souhrn - Jak mít bezpečný web?  Nastavit správná práva uživatelům  Používat silná hesla (správce hesel)  Odstranění zbytečných pluginů, šablon i obsahu  Pravidelně aktualizovat (systémy pro správu/Updates Notifier)  Blokace spamu (WF, NoSpamNX, Akismet)  Omezení chybných přihlášení (WF)  Blokace známých útoků (WF, BBQ)  Využívání HTTPS a opatrnost v cizích sítích  Zálohování (BackWPup)
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Co dělat po úspěšném útoku • Odstavení webu (např. pomocí .htaccess) • Obnova ze zálohy (smazat infikovaný web a DB) • Odstranění příčiny (často aktualizace) • Kontrola souborů pluginem (Wordfence, Sucuri Scanner) • Změna hesla na FTP • Změna hesla do DB • Změna hesel uživatelů • Nové šifrovací klíče do wp-config.php: https://api.wordpress.org/secret-key/1.1/salt/
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Úkoly na zítra □ Zkontrolovat práva uživatelů □ Smazat pluginy, co nepoužívám/byly jen k jednorázové činnosti □ Smazat zbytečné šablony (nechat jen jednu výchozí z instalace a případně rodičovskou) a příspěvky □ Aktualizovat, co lze □ Zvážit použití bezpečnostního pluginu □ Zazálohovat
Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Děkuji za pozornost! Další zdroje: https://lynt.cz/blog/10-nejcastejsich-problemu-modernich-webu https://lynt.cz/blog/wordpress-v-cz-velky-pruzkum http://www.slideshare.net/vsmitka/ https://www.wordfence.com/blog/ https://blog.sucuri.net/ https://wpvulndb.com/

Recommended

WordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressVladimír Smitka
 
Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceVladimír Smitka
 
Bezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyBezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyVladimír Smitka
 
Výkon WordPress
Výkon WordPressVýkon WordPress
Výkon WordPressVladimír Smitka
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Vladimír Smitka
 
Wordfence 2016
Wordfence 2016Wordfence 2016
Wordfence 2016Vladimír Smitka
 
WP výkon a jeho profilování
WP výkon a jeho profilováníWP výkon a jeho profilování
WP výkon a jeho profilováníVladimír Smitka
 
WordPress - základy bezpečnosti
WordPress - základy bezpečnostiWordPress - základy bezpečnosti
WordPress - základy bezpečnostiVladimír Smitka
 

Recommended

WordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressVladimír Smitka
 
Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceVladimír Smitka
 
Bezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyBezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyVladimír Smitka
 
Výkon WordPress
Výkon WordPressVýkon WordPress
Výkon WordPressVladimír Smitka
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Vladimír Smitka
 
Wordfence 2016
Wordfence 2016Wordfence 2016
Wordfence 2016Vladimír Smitka
 
WP výkon a jeho profilování
WP výkon a jeho profilováníWP výkon a jeho profilování
WP výkon a jeho profilováníVladimír Smitka
 
WordPress - základy bezpečnosti
WordPress - základy bezpečnostiWordPress - základy bezpečnosti
WordPress - základy bezpečnostiVladimír Smitka
 
Instalace WordPress
Instalace WordPressInstalace WordPress
Instalace WordPressVladimír Smitka
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyVladimír Smitka
 
WordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webWordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webVladimír Smitka
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůVladimír Smitka
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPressRadek Kucera
 
Sysops tipy pro lepší WP
Sysops tipy pro lepší WPSysops tipy pro lepší WP
Sysops tipy pro lepší WPVladimír Smitka
 
Najčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovNajčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovVladimír Smitka
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DODDoubry99
 
Google Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressGoogle Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressVladimír Smitka
 
WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!Vladimír Smitka
 
Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Radek Kucera
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
WP Weekend 2018
WP Weekend 2018WP Weekend 2018
WP Weekend 2018Vladimír Smitka
 
Hesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPHesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPVladimír Smitka
 
Verzování WordPress webů (#wpkonference 11/2014)
Verzování WordPress webů (#wpkonference 11/2014)Verzování WordPress webů (#wpkonference 11/2014)
Verzování WordPress webů (#wpkonference 11/2014)Borek Bernard
 
Co musíte udělat po instalaci WordPressu?, Vlastimil Ott
Co musíte udělat po instalaci WordPressu?, Vlastimil OttCo musíte udělat po instalaci WordPressu?, Vlastimil Ott
Co musíte udělat po instalaci WordPressu?, Vlastimil OttLiberix, o.p.s.
 
Webmeetup #3
Webmeetup #3Webmeetup #3
Webmeetup #3Vladimír Smitka
 
Hledání příčin pomalého webu a jak to řešit
Hledání příčin pomalého webu a jak to řešitHledání příčin pomalého webu a jak to řešit
Hledání příčin pomalého webu a jak to řešitDesingdev
 
WordPress ve školském prostředí
WordPress ve školském prostředíWordPress ve školském prostředí
WordPress ve školském prostředíVlastimil Ott
 
WordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invadersWordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invadersVladimír Smitka
 
Pux 28.2.2017 Úvod do internetového marketingu
Pux 28.2.2017 Úvod do internetového marketinguPux 28.2.2017 Úvod do internetového marketingu
Pux 28.2.2017 Úvod do internetového marketinguBrilo Team
 

More Related Content

What's hot

Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyVladimír Smitka
 
WordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webWordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webVladimír Smitka
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůVladimír Smitka
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPressRadek Kucera
 
Sysops tipy pro lepší WP
Sysops tipy pro lepší WPSysops tipy pro lepší WP
Sysops tipy pro lepší WPVladimír Smitka
 
Najčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovNajčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovVladimír Smitka
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DODDoubry99
 
Google Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressGoogle Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressVladimír Smitka
 
WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!Vladimír Smitka
 
Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Radek Kucera
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
Hesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPHesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPVladimír Smitka
 
Verzování WordPress webů (#wpkonference 11/2014)
Verzování WordPress webů (#wpkonference 11/2014)Verzování WordPress webů (#wpkonference 11/2014)
Verzování WordPress webů (#wpkonference 11/2014)Borek Bernard
 
Co musíte udělat po instalaci WordPressu?, Vlastimil Ott
Co musíte udělat po instalaci WordPressu?, Vlastimil OttCo musíte udělat po instalaci WordPressu?, Vlastimil Ott
Co musíte udělat po instalaci WordPressu?, Vlastimil OttLiberix, o.p.s.
 
Hledání příčin pomalého webu a jak to řešit
Hledání příčin pomalého webu a jak to řešitHledání příčin pomalého webu a jak to řešit
Hledání příčin pomalého webu a jak to řešitDesingdev
 
WordPress ve školském prostředí
WordPress ve školském prostředíWordPress ve školském prostředí
WordPress ve školském prostředíVlastimil Ott
 

What's hot (20)

Instalace WordPress
Instalace WordPressInstalace WordPress
Instalace WordPress
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránky
 
WordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webWordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný web
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webů
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPress
 
Sysops tipy pro lepší WP
Sysops tipy pro lepší WPSysops tipy pro lepší WP
Sysops tipy pro lepší WP
 
Najčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovNajčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webov
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DOD
 
Google Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressGoogle Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPress
 
WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!
 
Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
 
WP Weekend 2018
WP Weekend 2018WP Weekend 2018
WP Weekend 2018
 
Hesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPHesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WP
 
Verzování WordPress webů (#wpkonference 11/2014)
Verzování WordPress webů (#wpkonference 11/2014)Verzování WordPress webů (#wpkonference 11/2014)
Verzování WordPress webů (#wpkonference 11/2014)
 
Co musíte udělat po instalaci WordPressu?, Vlastimil Ott
Co musíte udělat po instalaci WordPressu?, Vlastimil OttCo musíte udělat po instalaci WordPressu?, Vlastimil Ott
Co musíte udělat po instalaci WordPressu?, Vlastimil Ott
 
Webmeetup #3
Webmeetup #3Webmeetup #3
Webmeetup #3
 
Hledání příčin pomalého webu a jak to řešit
Hledání příčin pomalého webu a jak to řešitHledání příčin pomalého webu a jak to řešit
Hledání příčin pomalého webu a jak to řešit
 
WordPress ve školském prostředí
WordPress ve školském prostředíWordPress ve školském prostředí
WordPress ve školském prostředí
 

Viewers also liked

WordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invadersWordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invadersVladimír Smitka
 
Pux 28.2.2017 Úvod do internetového marketingu
Pux 28.2.2017 Úvod do internetového marketinguPux 28.2.2017 Úvod do internetového marketingu
Pux 28.2.2017 Úvod do internetového marketinguBrilo Team
 
Základy Marketingu - WP Konference 2016 Praha
Základy Marketingu - WP Konference 2016 PrahaZáklady Marketingu - WP Konference 2016 Praha
Základy Marketingu - WP Konference 2016 PrahaBrilo Team
 
Word press šablony child theme
Word press šablony child themeWord press šablony child theme
Word press šablony child themeVladislav Musílek
 
Základy Sociálních médií - WP Konference 2016 Praha
Základy Sociálních médií - WP Konference 2016 PrahaZáklady Sociálních médií - WP Konference 2016 Praha
Základy Sociálních médií - WP Konference 2016 PrahaBrilo Team
 
Jednoduchý firemní web na WordPressu - WordCamp Praha 2014
Jednoduchý firemní web na WordPressu - WordCamp Praha 2014Jednoduchý firemní web na WordPressu - WordCamp Praha 2014
Jednoduchý firemní web na WordPressu - WordCamp Praha 2014Radek Kucera
 
České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)Vladimír Smitka
 
Licence k šablonám a pluginům - WordCamp 2014 Praha
Licence k šablonám a pluginům - WordCamp 2014 PrahaLicence k šablonám a pluginům - WordCamp 2014 Praha
Licence k šablonám a pluginům - WordCamp 2014 PrahaTomáš Cirkl
 
Základní nastavení wordpressu
Základní nastavení wordpressuZákladní nastavení wordpressu
Základní nastavení wordpressuKamil Kuchta
 
Word press pluginy (pokročilé) - Tomáš Cirkl
Word press pluginy (pokročilé) - Tomáš CirklWord press pluginy (pokročilé) - Tomáš Cirkl
Word press pluginy (pokročilé) - Tomáš CirklTomáš Cirkl
 

Viewers also liked (13)

WordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invadersWordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invaders
 
Pux 28.2.2017 Úvod do internetového marketingu
Pux 28.2.2017 Úvod do internetového marketinguPux 28.2.2017 Úvod do internetového marketingu
Pux 28.2.2017 Úvod do internetového marketingu
 
Základy Marketingu - WP Konference 2016 Praha
Základy Marketingu - WP Konference 2016 PrahaZáklady Marketingu - WP Konference 2016 Praha
Základy Marketingu - WP Konference 2016 Praha
 
Word press šablony child theme
Word press šablony child themeWord press šablony child theme
Word press šablony child theme
 
Základy Sociálních médií - WP Konference 2016 Praha
Základy Sociálních médií - WP Konference 2016 PrahaZáklady Sociálních médií - WP Konference 2016 Praha
Základy Sociálních médií - WP Konference 2016 Praha
 
Jednoduchý firemní web na WordPressu - WordCamp Praha 2014
Jednoduchý firemní web na WordPressu - WordCamp Praha 2014Jednoduchý firemní web na WordPressu - WordCamp Praha 2014
Jednoduchý firemní web na WordPressu - WordCamp Praha 2014
 
České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)
 
WordPress šablony
WordPress šablonyWordPress šablony
WordPress šablony
 
Wordcamp Praha 2014
Wordcamp Praha 2014Wordcamp Praha 2014
Wordcamp Praha 2014
 
Licence k šablonám a pluginům - WordCamp 2014 Praha
Licence k šablonám a pluginům - WordCamp 2014 PrahaLicence k šablonám a pluginům - WordCamp 2014 Praha
Licence k šablonám a pluginům - WordCamp 2014 Praha
 
Základní nastavení wordpressu
Základní nastavení wordpressuZákladní nastavení wordpressu
Základní nastavení wordpressu
 
Word press pluginy (pokročilé) - Tomáš Cirkl
Word press pluginy (pokročilé) - Tomáš CirklWord press pluginy (pokročilé) - Tomáš Cirkl
Word press pluginy (pokročilé) - Tomáš Cirkl
 
Management of diarrhoea
Management of diarrhoeaManagement of diarrhoea
Management of diarrhoea
 

Similar to WordPress: Základy - bezpečnost 3x3

WordCamp Bratislava 2017 - Martin Hlaváč
WordCamp Bratislava 2017 - Martin HlaváčWordCamp Bratislava 2017 - Martin Hlaváč
WordCamp Bratislava 2017 - Martin HlaváčBrilo Team
 
CMS - start presentatation
CMS - start presentatationCMS - start presentatation
CMS - start presentatationDAvid Frýbert
 
Deployment PHP aplikací | WebExpo 2011
Deployment PHP aplikací | WebExpo 2011Deployment PHP aplikací | WebExpo 2011
Deployment PHP aplikací | WebExpo 2011Jan Mittner
 
Pavel Ondřej: WordPress z pohledu hostingového poskytovatele
Pavel Ondřej: WordPress z pohledu hostingového poskytovatelePavel Ondřej: WordPress z pohledu hostingového poskytovatele
Pavel Ondřej: WordPress z pohledu hostingového poskytovateleLiberix, o.p.s.
 
Přístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíPřístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíJiří Napravnik
 
Generátory statických webů
Generátory statických webůGenerátory statických webů
Generátory statických webůMichal Doležel
 
Nové »bezhlavé« CMS — přechod od monolitů ke službám
Nové »bezhlavé« CMS — přechod od monolitů ke službámNové »bezhlavé« CMS — přechod od monolitů ke službám
Nové »bezhlavé« CMS — přechod od monolitů ke službámJaroslav Vrána
 
20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitněJiří Mareš
 
Prezentace - základy bezpečnosti
Prezentace - základy bezpečnostiPrezentace - základy bezpečnosti
Prezentace - základy bezpečnostiBrilo Team
 
Hobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro webHobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro webTomáš Muchka
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 
Optimalizace Symfony na devu
Optimalizace Symfony na devu Optimalizace Symfony na devu
Optimalizace Symfony na devuVašek Purchart
 
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Péhápkaři
 
Proč je WordPress tak populární? Vlastimil Ott
Proč je WordPress tak populární? Vlastimil OttProč je WordPress tak populární? Vlastimil Ott
Proč je WordPress tak populární? Vlastimil OttLiberix, o.p.s.
 
Rizika použití WordPressu
Rizika použití WordPressuRizika použití WordPressu
Rizika použití WordPressuSUPERKODERS
 
12. Affiliate konference / Daniel Nytra_Jak může AMP pomoci vašemu webu?
12. Affiliate konference / Daniel Nytra_Jak může AMP pomoci vašemu webu?12. Affiliate konference / Daniel Nytra_Jak může AMP pomoci vašemu webu?
12. Affiliate konference / Daniel Nytra_Jak může AMP pomoci vašemu webu?Colpirio.com s.r.o.
 
Vytvořeno pro SEO (Designed for SEO)
Vytvořeno pro SEO (Designed for SEO)Vytvořeno pro SEO (Designed for SEO)
Vytvořeno pro SEO (Designed for SEO)Pavel Ungr
 

Similar to WordPress: Základy - bezpečnost 3x3 (20)

WordCamp Bratislava 2017 - Martin Hlaváč
WordCamp Bratislava 2017 - Martin HlaváčWordCamp Bratislava 2017 - Martin Hlaváč
WordCamp Bratislava 2017 - Martin Hlaváč
 
CMS - start presentatation
CMS - start presentatationCMS - start presentatation
CMS - start presentatation
 
Deployment PHP aplikací | WebExpo 2011
Deployment PHP aplikací | WebExpo 2011Deployment PHP aplikací | WebExpo 2011
Deployment PHP aplikací | WebExpo 2011
 
Pavel Ondřej: WordPress z pohledu hostingového poskytovatele
Pavel Ondřej: WordPress z pohledu hostingového poskytovatelePavel Ondřej: WordPress z pohledu hostingového poskytovatele
Pavel Ondřej: WordPress z pohledu hostingového poskytovatele
 
Přístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíPřístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcí
 
Generátory statických webů
Generátory statických webůGenerátory statických webů
Generátory statických webů
 
Nové »bezhlavé« CMS — přechod od monolitů ke službám
Nové »bezhlavé« CMS — přechod od monolitů ke službámNové »bezhlavé« CMS — přechod od monolitů ke službám
Nové »bezhlavé« CMS — přechod od monolitů ke službám
 
Joomla!
Joomla!Joomla!
Joomla!
 
20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně
 
Prezentace - základy bezpečnosti
Prezentace - základy bezpečnostiPrezentace - základy bezpečnosti
Prezentace - základy bezpečnosti
 
Hobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro webHobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro web
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)
 
Optimalizace Symfony na devu
Optimalizace Symfony na devu Optimalizace Symfony na devu
Optimalizace Symfony na devu
 
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
 
Mashup webová aplikace
Mashup webová aplikaceMashup webová aplikace
Mashup webová aplikace
 
Proč je WordPress tak populární? Vlastimil Ott
Proč je WordPress tak populární? Vlastimil OttProč je WordPress tak populární? Vlastimil Ott
Proč je WordPress tak populární? Vlastimil Ott
 
Rizika použití WordPressu
Rizika použití WordPressuRizika použití WordPressu
Rizika použití WordPressu
 
12. Affiliate konference / Daniel Nytra_Jak může AMP pomoci vašemu webu?
12. Affiliate konference / Daniel Nytra_Jak může AMP pomoci vašemu webu?12. Affiliate konference / Daniel Nytra_Jak může AMP pomoci vašemu webu?
12. Affiliate konference / Daniel Nytra_Jak může AMP pomoci vašemu webu?
 
Tvorba wordpress pluginů
Tvorba wordpress pluginůTvorba wordpress pluginů
Tvorba wordpress pluginů
 
Vytvořeno pro SEO (Designed for SEO)
Vytvořeno pro SEO (Designed for SEO)Vytvořeno pro SEO (Designed for SEO)
Vytvořeno pro SEO (Designed for SEO)
 

More from Vladimír Smitka

Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Vladimír Smitka
 
Drobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vazDrobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vazVladimír Smitka
 
WordPress performance tuning
WordPress performance tuningWordPress performance tuning
WordPress performance tuningVladimír Smitka
 
WordPress security for everyone
WordPress security for everyoneWordPress security for everyone
WordPress security for everyoneVladimír Smitka
 
Wordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceWordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceVladimír Smitka
 
Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Vladimír Smitka
 

More from Vladimír Smitka (9)

Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?
 
Drobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vazDrobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vaz
 
Http/2 vs Image Sprites
Http/2 vs Image SpritesHttp/2 vs Image Sprites
Http/2 vs Image Sprites
 
Ansible
AnsibleAnsible
Ansible
 
WordPress performance tuning
WordPress performance tuningWordPress performance tuning
WordPress performance tuning
 
WordPress security for everyone
WordPress security for everyoneWordPress security for everyone
WordPress security for everyone
 
Wordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceWordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentace
 
Dijskrův algoritmus
Dijskrův algoritmusDijskrův algoritmus
Dijskrův algoritmus
 
Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014
 

WordPress: Základy - bezpečnost 3x3

  • 1. @smitka Lynt services s.r.o. Infrastruktura Webová řešení Marketing WP – bezpečnost 3x3 Vláďa Smitka https://lynt.cz
  • 2. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Co dnes uslyšíte? • WP a bezpečnost? • 3 cíle útočníků • 3 nejčastější problémy • 3 preventivní opatření
  • 3. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Jak je na tom WP s bezpečností? • Velká komunita, která chyby napravuje • Velká „komunita“, která se je snaží zneužít • Soustavné bezpečnostní testování „Veřejně známá bezpečnostní chyba v otevřeném systému je menší zlo, než chyba v uzavřeném systému, o které ví jen útočník.“
  • 4. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. 3 nejčastější cíle útočníků 1. SPAM / reklama 2. Infikace návštěvníků 3. Útoky na další weby
  • 5. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. #1 Neaktualizované komponenty „Aktualizace jsou u OpenSource zásadní!“
  • 6. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Aktualizace jádra V základu: • V rámci minor verzí (4.5.x) probíhá aktualizace automaticky. • Major verze (4.X) je potřeba aktualizovat ručně. wp-config.php: define( 'WP_AUTO_UPDATE_CORE', 'minor' ); true – aktualizace i major verzí false – vypne všechny automatické aktualizace - lze to ale i filtrem v kódu Důvody nefunkčnosti: • Zakázané aktualizace • Špatná práva Čtení – 4 Zápis – 2 Spuštění – 1 Uživatel, skupina, všichni Někdy práva WP špatně detekuje při pokusu o nahrání po vás chce přístupy na FTP zkuste do wp-config.php: define( 'FS_METHOD', 'direct' ); Obecně: Soubory: 640 Složky: 750
  • 7. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Aktualizace šablon Ruční zásah, lze ale zapnout automaticky v kódu: add_filter( 'auto_update_theme', '__return_true' ); Pokud provedete změny přímo v šabloně, aktualizací o ně přijdete. Správná cesta je použití „Child Themes“. Pluginy pro vytvoření Child Theme: https://cs.wordpress.org/plugins/orbisius-child-theme-creator/ https://wordpress.org/plugins/one-click-child-theme/
  • 8. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Ruční tvorba Child Theme style.css (nepoužívá se z rodiče) /* Theme Name: Moje 2016 Author: Já Version: 1.0 Template: twentysixteen */ @import url("../twentysixteen/style.css"); /* vlastní úpravy */ functions.php (načítá se i z rodiče) <?php // vlastní úpravy ?> Další PHP soubory z hierarchie šablony, které chci upravit, např. header.php
  • 9. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Aktualizace pluginů Ruční zásah, lze ale zapnout automaticky v kódu: add_filter( 'auto_update_plugin', '__return_true' ); Bohužel neexistují „Child Plugins“… Některé pluginy však jde upravovat pomocí hooků. „Většina bezpečnostních problémů WP je způsobena pluginy.“ Používáte plugin se známou bezpečnostní chybou? https://wordpress.org/plugins/plugin-vulnerabilities/
  • 10. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Správa aktualizací https://wordpress.org/plugins/wp-updates-notifier/ - Pošle vám e-mail, když je aktualizace dostupná. https://mainwp.com/ - Systém na správu více WP webů a jejich aktualizaci. - Jeden vyhrazený WP web ovládá ostatní, kde je nainstalovaný MainWP child plugin. - Lze nastavit automatický update vybraných pluginů. - Zdarma + placené doplňky. - Umí zálohovat. - Je možné jím spravovat obsah.
  • 12. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Pozor na neoficiální zdroje! Existují přeprodejci různých placených šablon a pluginů nebo warez stránky, kde jsou zdarma… Použitím těchto zdrojů nemáte nárok ani na podporu od autora, ani na aktualizace. Přeprodejce navíc do produktu mohl vložit zadní vrátka!
  • 13. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. #2 Nákaza z „multihostingu“ Složkasweby Web1 Web2 Web3
  • 14. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Ověření možností přístupu do cizích složek https://github.com/lynt-smitka/PHP-Mini-File-Browser mfb.php • Malý skript, kterým lze projít dostupné složky. • Protože zobrazuje důvěrné informace, tak se hodinu po nahrání sám smaže (lze přenastavit). • Lze mu nastavit použití jména a hesla.
  • 15. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. #3 Práva a hesla Útočník se nejčastěji snaží uhádnout jména a hesla. Čím je vyšší role získaného uživatele, tím vyšší škodu může napáchat. interval.cz/?author=1 => /clanky/author/admin/
  • 16. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Základní role • Návštěvník (Subscriber) • Může pouze číst obsah, editovat svůj profil. Má jednodušší práci s komentáři. • Spolupracovník (Contributor) • Může psát nové příspěvky, ale publikovat je může až Admin nebo Šéfredaktor. Nemá přístup do galerie médií (může ale vkládat obrázky z externích zdrojů) – guest blogging. • Redaktor (Author) • Může spravovat své příspěvky včetně správy komentářů, nahrávat soubory do galerie médií. Nemůže pracovat se stránkami. • Šéfredaktor (Editor) • Může spravovat veškerý obsah – příspěvky, stránky, komentáře, kategorie, v jeho komentářích může být javascript. • Administrátor (Administrator) • Může spravovat vše – obsah, pluginy, šablony, widgety. Ideálně by neměl tvořit obsah. • SuperAdministrátor (pro WP multisite) – spravuje síť webů
  • 17. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Jak upravit práva? $role_object = get_role( 'editor' ); $role_object->add_cap( 'edit_theme_options' ); Nejčastější případ – šéfredaktor potřebuje upravovat menu a widgety https://cs.wordpress.org/plugins/user-role-editor/ (4.25+)
  • 19. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Jak je to s právy pluginů? Ve WP je možné definovat vlastní role a oprávnění. Záleží na tvůrci pluginu, zda tuto možnost využil. The Events Calendar WP Polls User Role Editor
  • 20. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. HTTPS Pokud nepoužíváte HTTPS, lze hesla (a přihlašovací cookie) odposlechnout.
  • 21. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Správce hesel Pamatujete si jedno heslo, ostatní zná password manager. KeePass http://keepass.info/ Zdarma, offline, možno sdílet soubor s hesly přes dropbox, onedrive… LastPass https://lastpass.com/ Základ zdarma, cloudová služba + doplněk do prohlížeče Portadi https://www.portadi.com/ Firemní sdílení přístupů k vybraným službám.
  • 22. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. #1 Bezpečnostní plugin 22 26. 6. 2016
  • 23. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – po instalaci 23 26. 6. 2016
  • 24. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – Live Traffic 24 26. 6. 2016 Hezké, ale spotřebovává poměrně dost výkonu.
  • 25. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – detekce změn 25 26. 6. 2016
  • 26. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – omezování provozu 26 26. 6. 2016
  • 27. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – bezpečnost přihlášení 27 26. 6. 2016
  • 28. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – další nastavení 28 26. 6. 2016 Inspirace co zablokovat: https://github.com/zaproxy/zap- extensions/tree/master/src/org/zaproxy/zap/extension/fuzzdb/files/fuzzers/fuzzdb/discovery/predictable-filepaths/php * *
  • 29. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – další nastavení 29 26. 6. 2016
  • 30. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence - Firewall Extended Protection Funguje mimo jádro WP – chrání tak veškeré PHP soubory. Vyžaduje direktivu auto_prepend_file v php.ini = nefunguje na většině webhostingů
  • 31. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence - Firewall Poměrně nová funkcionalita, občas zlobí. Otestujte, zda funguje: vas-web/?test=<iframe> Pokud se vrátí chyba 403, funguje to Signatury: wp-content/wflogs/rules.php Pokud je soubor prázdný, nepodařilo se je pluginu stáhnout: https://tools.lynt.cz/wordfence/rules.php.txt
  • 32. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. WordFence – prémiové funkce • Okamžité updaty firewallu – reakce na aktuální dění (free verze po 30 dnech). • Blokace zemí. • Kontroly reputace webu v externích službách. • Lepší antispam v komentářích. • Audit hesel. • Přihlašování přes SMS. Alternativy Blokace zemí: https://wordpress.org/plugins/iq-block-country/ (je třeba stáhnout db zemí a správně nastavit) mod_geoIP (info sdělí webhoster, nastavuje se typicky přes .htaccess) Antispam: https://cs.wordpress.org/plugins/akismet/ (vyžaduje klíč, aby fungoval) https://wordpress.org/plugins/nospamnx/ Dvoufaktorová autentifikace: https://wordpress.org/plugins/google-authenticator/ https://wordpress.org/plugins/duo-wordpress/
  • 33. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Alternativní firewall BBQ: Block Bad Queries https://wordpress.org/plugins/block-bad-queries/ Pravidla do .htaccess: https://perishablepress.com/6g/ Tip: pokud ztratíte přístup k webu chybně nastaveným bezpečnostním pluginem, přejmenujte složku s pluginem na FTP, tím jej deaktivujete.
  • 34. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. #2 Zálohování Bezpečnostní incident může potkat každého, pouze s různou pravděpodobností. Na tuto situaci je nutné být připraven a mít funkční zálohu!
  • 35. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Možnosti zálohování Ruční – jednou za čas, stáhnete soubory z FTP a provedete export DB V rámci hostingu – podrobnosti řekne webhoster Zálohovací plugin – plugin ve WP provádí v zálohu dle plánu
  • 36. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Zálohovací pluginy BackWPup - Neumí obnovu, ale ta je možná poměrně jednoduše ručně - Umí zálohu na více úložišť, např. Dropbox - Lze spouštět speciální URL externě Návod na nastavení: http://www.slideshare.net/vsmitka/bezpenost-wordpress-pro-zatenky/38 Čeština: https://github.com/lynt-smitka/BackWPup-CZ BackupBuddy - Placený - Spolehlivé řešení pro zálohy, obnovy i migraci
  • 37. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. #3 Opatrnost Člověk často bývá nejslabší článek. Zásady: • Používat silná hesla • Připojovat se pouze z důvěryhodných sítí (případně přes VPN) • Používat antivir a aktualizovat OS i prohlížeč • Neukládat si v zařízeních nezabezpečené WiFi sítě • Kontrolovat správnost certifikátů • Nenaletět na Phishing
  • 38. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Souhrn - Jak mít bezpečný web?  Nastavit správná práva uživatelům  Používat silná hesla (správce hesel)  Odstranění zbytečných pluginů, šablon i obsahu  Pravidelně aktualizovat (systémy pro správu/Updates Notifier)  Blokace spamu (WF, NoSpamNX, Akismet)  Omezení chybných přihlášení (WF)  Blokace známých útoků (WF, BBQ)  Využívání HTTPS a opatrnost v cizích sítích  Zálohování (BackWPup)
  • 39. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Co dělat po úspěšném útoku • Odstavení webu (např. pomocí .htaccess) • Obnova ze zálohy (smazat infikovaný web a DB) • Odstranění příčiny (často aktualizace) • Kontrola souborů pluginem (Wordfence, Sucuri Scanner) • Změna hesla na FTP • Změna hesla do DB • Změna hesel uživatelů • Nové šifrovací klíče do wp-config.php: https://api.wordpress.org/secret-key/1.1/salt/
  • 40. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Úkoly na zítra □ Zkontrolovat práva uživatelů □ Smazat pluginy, co nepoužívám/byly jen k jednorázové činnosti □ Smazat zbytečné šablony (nechat jen jednu výchozí z instalace a případně rodičovskou) a příspěvky □ Aktualizovat, co lze □ Zvážit použití bezpečnostního pluginu □ Zazálohovat
  • 41. Infrastruktura Webová řešení Marketing @smitka Lynt services s.r.o. Děkuji za pozornost! Další zdroje: https://lynt.cz/blog/10-nejcastejsich-problemu-modernich-webu https://lynt.cz/blog/wordpress-v-cz-velky-pruzkum http://www.slideshare.net/vsmitka/ https://www.wordfence.com/blog/ https://blog.sucuri.net/ https://wpvulndb.com/