SlideShare une entreprise Scribd logo

Prezentace - základy bezpečnosti

Télécharger en tant que PPTX, PDF
Brilo Team
Brilo Team

Prezentace z 8. WP Konference o základech bezpečnosti při používání CMS WordPress. 28.11.2015 - Tomáš Kocifaj | Brilo.cz

Présentations et discours publics
1  sur  18
Ptejte se v průběhu. www.sli.do#3302
Jednoduché dělení Jádro (core) WordPress Uživatel (správce) Pluginy (doplňky) Themes (šablony) Úroveň bezpečnosti 40% Bezpečnost není pouze o útočníkovi, je především o Vás a přístupu k Vaší aplikaci.
Jádro (core) WordPress Každý den na WordPressu pracuje aktivně velká základna vývojářů. Většina nových chyb a tipů útoků jsou odchyceny hned. Je tedy tím nejbezpečnějším ale i nejzranitelnějším systémem. …ale WordPress je OpenSource řešení – každý může důkladně projít jeho kódy. Jsme odkázání na vývojáře WordPressu, jak rychle případné chyby opraví. WordPress je nejpoužívanější systém na světe – je tak v hledáčku hackerů. Napříč internetem již existuje spoustu návodů, jak WordPress napadnout. Nejen návodů, ale také již reálných nástrojů, které chyby odhalí. Lze snadno odhalit, zda web používáš WordPress.
Uživatel (správce) Většina prolomených WordPress instalací bývá příčinou špatného chování správce daného webu (instalace). Slabá hesla Odhalitelný login Podobné heslo Neprovádí aktualizace Používá nebezpečné pluginy Používá neprověřené šablony
Příklady hesel www.superbazar.cz superbazar Superbazar Superbazar2015 2015bazar Doména Uživatel (login) Heslo www.superbazar.cz admin 123456 maminka milacek www.superbazar.cz petr petr petr1985 petrbazar123 www.superbazar.cz traktoristapetr #kt00cm!aFsaj ^@IjHQD*!xnI^2AwEEv V*99F www.security-portal.cz/clanky/50-nejpoužívanějších-hesel-pro-web-v-čr
Pluginy (doplňky) Každý plugin sebou nese potenciální riziko. Čím více doplňků tím větší šance, že hacker najde „díru“ kterou hledal. Pluginy, které už nepoužíváte smažte. Deaktivace nestačí. Pluginy udržujte vždy aktualizované! Pluginy, které nebyly dlouho aktualizované nesou větší riziko. Pozor na placené pluginy, které jsou oblíbeným terčem a nemají automatické aktualizace Úroveň bezpečnosti 50%
Themes (šablony) Šablony, které nepoužíváte smažte. Neponechávejte neaktivní. Prověřte, zda šablona nepoužívá ke své funkci další sadu pluginů. Pokud nevíte, co děláte, neprovádějte programové záshay. Zkontrolujte, zda šablona je pro aktuální verzi WP nebo alespoň verzi blízkou. Pozor na ty šablony, které nenabízejí automatický update. Prověřujte, kdo je autorem šablony a zda má kladné reference. Úroveň bezpečnosti 60%
Jak se útočník chová? Aby mohl hacker provést případný útok na WordPress instalaci (nebo na cokoliv jiného) potřebuje znát všechny aspekty k tomu, aby jeho útok byl úspěšný. Nejsme schopni zcela zamezit tomu, aby útočník zjistil, že se jedná o WordPress. Nejsme schopni zcela zamezit tomu, aby útočník zjistil, jaké používáme pluginy. Pokud používáte „obecně známe šablony“ detekuje i je. Pokud zjistí WordPress a jeho verzi, může prověřit rizika dané verze. Pokud zjistí plugin a jeho verzi. Může využít chybu právě tohoto pluginu. Stejně tak může mít bezpečnostní riziko i používána šablona. Stačí jí pouze detekovat.
A jdeme na to ! Pokud víme, jak se útočník chová a jak provádí své útoky, můžeme začít aplikovat potřebnou obranu. Využijeme již existující a velmi dobře fungující doplněk. Link ke stažení
Plugin Vás provede nastavením
Detekce WordPressu Útočník provádí dotazy na server, zda na určité cestě leží nějaký soubor, který by mu prozradil, zda se jedná o WordPress, určitý plugin, nebo šablonu. To generuje řadu 404 chyb v rychlém sledu. Úroveň bezpečnosti 65%
Místo, kde je možné se přihlásit Všichni kdo WordPress používají vědí, že přihlašovací formulář se nachází na adrese /wp-admin. Útočník to ví také a bude jí hledat, aby mohl zkoušet prolomit heslo. Úroveň bezpečnosti 70%
Pokus o prolomení hesla Útočník se pokouší opakovaně přihlásit a zkouší různé kombinace uživatelského jména a hesla. Úroveň bezpečnosti 75%
XML-RPC XML-RPC je technologie, pomocí které se dá s WordPressem komunikovat a editovat jeho obsah (nastavení) vzdáleně – například se používá pro pingbacky, mobilní aplikace a některé pluginy. Nese ale velké riziko a většinou ho nikdo nepoužívá. Úroveň bezpečnosti 80%
Další bezpečnostní doporučení Nenechávejte uživatele „admin“. Stejně tak nenechávat uživatele s ID 1. Nepoužívejte defaultní databázový prefix wp_ dejte vlastní unikátní. Nepoužívejte stejnou přezdívku (ve WP) jako login name do WP. Vynucujte u ostatních uživatelů opravdu silné heslo. Prostudujte si důkladně plugin iTheme security a řiďte se průvodcem. Provádějte zálohy, kdyby přeci jenom k úspěšnému útoku došlo. Navštěvujte své stránky pravidelně a provádějte aktualizace. Úroveň bezpečnosti 90% Pokud máte své servery, blokujte Čínu a Rusko – cca 60% útoků.
Co si tedy odneste? Provést základní zabezpečení a nastavení iTheme security Vám zabere jen několik minut. Oprava napadeného WordPressu může zabrat i hodiny. Myslete na to, že největší bezpečnostní riziko jste Vy. Dělejte proto všechno, abyste byly tím rizikem co nejmenším. Důkladně prověřujte věci, které si do své instalace přidáte. Nikdy nevíte, jak je autor pluginu nebo šablony dobrý vývojář. Většinu útoků provádí „roboti“, kteří hledají běžné chyby a využívají je. Nedělejte běžné chyby a Vaše data zůstanou v bezpečí. Cílený útok je velmi nepravděpodobný. A bez dokonalé znalosti WP prakticky nemožný.
Prezentace - základy bezpečnosti

Recommandé

Bezpecnost na socialnich sitich verze pro profesionaly
Bezpecnost na socialnich sitich verze pro profesionalyBezpecnost na socialnich sitich verze pro profesionaly
Bezpecnost na socialnich sitich verze pro profesionalyJulia Szymańska
 
Bezpečnost na webu
Bezpečnost na webuBezpečnost na webu
Bezpečnost na webuMiloš Janda
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 
Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Radek Kucera
 
WordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czWordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czpeter_sucuri
 
Bezpečnost platformy Android
Bezpečnost platformy AndroidBezpečnost platformy Android
Bezpečnost platformy AndroidJana Moudrá
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
 
Ranni kava-jhk.4.2.2016
Ranni kava-jhk.4.2.2016Ranni kava-jhk.4.2.2016
Ranni kava-jhk.4.2.2016Brilo Team
 

Recommandé

Bezpecnost na socialnich sitich verze pro profesionaly
Bezpecnost na socialnich sitich verze pro profesionalyBezpecnost na socialnich sitich verze pro profesionaly
Bezpecnost na socialnich sitich verze pro profesionalyJulia Szymańska
 
Bezpečnost na webu
Bezpečnost na webuBezpečnost na webu
Bezpečnost na webuMiloš Janda
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 
Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Radek Kucera
 
WordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czWordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czpeter_sucuri
 
Bezpečnost platformy Android
Bezpečnost platformy AndroidBezpečnost platformy Android
Bezpečnost platformy AndroidJana Moudrá
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
 
Ranni kava-jhk.4.2.2016
Ranni kava-jhk.4.2.2016Ranni kava-jhk.4.2.2016
Ranni kava-jhk.4.2.2016Brilo Team
 
La música en la Edad Media
La música en la Edad MediaLa música en la Edad Media
La música en la Edad MediaSecundaria Digital
 
E&EProgram
E&EProgramE&EProgram
E&EProgramRobert Freudenberg
 
Deltricia Smith Resume
Deltricia Smith ResumeDeltricia Smith Resume
Deltricia Smith ResumeDeltricia Smith
 
Apresentação final our international healthy restaurant
Apresentação final our international healthy restaurantApresentação final our international healthy restaurant
Apresentação final our international healthy restaurantFERNANDO BAPTISTA
 
Recursos literarios
Recursos literariosRecursos literarios
Recursos literariosSecundaria Digital
 
Data access
Data accessData access
Data accessJoshua Yoon
 
Graphics designer
Graphics designerGraphics designer
Graphics designerOliviaBrady
 
El clasicismo
El clasicismoEl clasicismo
El clasicismopablosimon222
 
Manusia dan alam semesta
Manusia dan alam semestaManusia dan alam semesta
Manusia dan alam semestaAoi Sano
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyVladimír Smitka
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceVladimír Smitka
 
WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3Vladimír Smitka
 
7 omylu v IT bezpečnosti
7 omylu v IT bezpečnosti7 omylu v IT bezpečnosti
7 omylu v IT bezpečnostiJiří Napravnik
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníMichal Špaček
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Kuba Břečka
 
PC kurzy pro seniory: Lekce 4 - Bezpečnost na PC
PC kurzy pro seniory: Lekce 4 - Bezpečnost na PCPC kurzy pro seniory: Lekce 4 - Bezpečnost na PC
PC kurzy pro seniory: Lekce 4 - Bezpečnost na PCMichaela Brodecká
 
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 201410 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014Radek Kucera
 
Noční můry webového vývojáře
Noční můry webového vývojářeNoční můry webového vývojáře
Noční můry webového vývojářeMichal Špaček
 
Milan Oulehla: Bezpečnost mobilních aplikací na Androidu
Milan Oulehla: Bezpečnost mobilních aplikací na AndroiduMilan Oulehla: Bezpečnost mobilních aplikací na Androidu
Milan Oulehla: Bezpečnost mobilních aplikací na Androidumdevtalk
 
Symantec Advanced Threat Protection
Symantec Advanced Threat ProtectionSymantec Advanced Threat Protection
Symantec Advanced Threat ProtectionMarketingArrowECS_CZ
 
Bezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyBezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyVladimír Smitka
 

Contenu connexe

En vedette

Apresentação final our international healthy restaurant
Apresentação final our international healthy restaurantApresentação final our international healthy restaurant
Apresentação final our international healthy restaurantFERNANDO BAPTISTA
 
Graphics designer
Graphics designerGraphics designer
Graphics designerOliviaBrady
 
Manusia dan alam semesta
Manusia dan alam semestaManusia dan alam semesta
Manusia dan alam semestaAoi Sano
 

En vedette (9)

La música en la Edad Media
La música en la Edad MediaLa música en la Edad Media
La música en la Edad Media
 
E&EProgram
E&EProgramE&EProgram
E&EProgram
 
Deltricia Smith Resume
Deltricia Smith ResumeDeltricia Smith Resume
Deltricia Smith Resume
 
Apresentação final our international healthy restaurant
Apresentação final our international healthy restaurantApresentação final our international healthy restaurant
Apresentação final our international healthy restaurant
 
Recursos literarios
Recursos literariosRecursos literarios
Recursos literarios
 
Data access
Data accessData access
Data access
 
Graphics designer
Graphics designerGraphics designer
Graphics designer
 
El clasicismo
El clasicismoEl clasicismo
El clasicismo
 
Manusia dan alam semesta
Manusia dan alam semestaManusia dan alam semesta
Manusia dan alam semesta
 

Similaire à Prezentace - základy bezpečnosti

Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyVladimír Smitka
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceVladimír Smitka
 
WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3Vladimír Smitka
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníMichal Špaček
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Kuba Břečka
 
PC kurzy pro seniory: Lekce 4 - Bezpečnost na PC
PC kurzy pro seniory: Lekce 4 - Bezpečnost na PCPC kurzy pro seniory: Lekce 4 - Bezpečnost na PC
PC kurzy pro seniory: Lekce 4 - Bezpečnost na PCMichaela Brodecká
 
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 201410 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014Radek Kucera
 
Noční můry webového vývojáře
Noční můry webového vývojářeNoční můry webového vývojáře
Noční můry webového vývojářeMichal Špaček
 
Milan Oulehla: Bezpečnost mobilních aplikací na Androidu
Milan Oulehla: Bezpečnost mobilních aplikací na AndroiduMilan Oulehla: Bezpečnost mobilních aplikací na Androidu
Milan Oulehla: Bezpečnost mobilních aplikací na Androidumdevtalk
 
Symantec Advanced Threat Protection
Symantec Advanced Threat ProtectionSymantec Advanced Threat Protection
Symantec Advanced Threat ProtectionMarketingArrowECS_CZ
 
Bezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyBezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyVladimír Smitka
 
20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitněJiří Mareš
 
Pyramida cyber bezpečnosti
Pyramida cyber bezpečnostiPyramida cyber bezpečnosti
Pyramida cyber bezpečnostiJiří Napravnik
 
OCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
OCHRANA PŘED POKROČILÝMI FORMAMI MALWAREOCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
OCHRANA PŘED POKROČILÝMI FORMAMI MALWAREAlena Zalejská
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Vladimír Smitka
 
McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí MarketingArrowECS_CZ
 
Proč je WordPress tak populární? Vlastimil Ott
Proč je WordPress tak populární? Vlastimil OttProč je WordPress tak populární? Vlastimil Ott
Proč je WordPress tak populární? Vlastimil OttLiberix, o.p.s.
 

Similaire à Prezentace - základy bezpečnosti (20)

Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránky
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
 
Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konference
 
WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3
 
7 omylu v IT bezpečnosti
7 omylu v IT bezpečnosti7 omylu v IT bezpečnosti
7 omylu v IT bezpečnosti
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]
 
PC kurzy pro seniory: Lekce 4 - Bezpečnost na PC
PC kurzy pro seniory: Lekce 4 - Bezpečnost na PCPC kurzy pro seniory: Lekce 4 - Bezpečnost na PC
PC kurzy pro seniory: Lekce 4 - Bezpečnost na PC
 
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 201410 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
 
Noční můry webového vývojáře
Noční můry webového vývojářeNoční můry webového vývojáře
Noční můry webového vývojáře
 
Milan Oulehla: Bezpečnost mobilních aplikací na Androidu
Milan Oulehla: Bezpečnost mobilních aplikací na AndroiduMilan Oulehla: Bezpečnost mobilních aplikací na Androidu
Milan Oulehla: Bezpečnost mobilních aplikací na Androidu
 
Symantec Advanced Threat Protection
Symantec Advanced Threat ProtectionSymantec Advanced Threat Protection
Symantec Advanced Threat Protection
 
Bezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyBezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníky
 
20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně
 
Pyramida cyber bezpečnosti
Pyramida cyber bezpečnostiPyramida cyber bezpečnosti
Pyramida cyber bezpečnosti
 
OCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
OCHRANA PŘED POKROČILÝMI FORMAMI MALWAREOCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
OCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
 
Wordfence 2016
Wordfence 2016Wordfence 2016
Wordfence 2016
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
 
McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí
 
Proč je WordPress tak populární? Vlastimil Ott
Proč je WordPress tak populární? Vlastimil OttProč je WordPress tak populární? Vlastimil Ott
Proč je WordPress tak populární? Vlastimil Ott
 

Plus de Brilo Team

PHP Vysočina - WordPress - 25.10.2018
PHP Vysočina - WordPress - 25.10.2018PHP Vysočina - WordPress - 25.10.2018
PHP Vysočina - WordPress - 25.10.2018Brilo Team
 
Nástroj Calfou.cz - WP Weekend #3
Nástroj Calfou.cz - WP Weekend #3Nástroj Calfou.cz - WP Weekend #3
Nástroj Calfou.cz - WP Weekend #3Brilo Team
 
WPML - jak na vícejazyčný web - WP Weekend #3
WPML - jak na vícejazyčný web - WP Weekend #3WPML - jak na vícejazyčný web - WP Weekend #3
WPML - jak na vícejazyčný web - WP Weekend #3Brilo Team
 
HTML stack pro WP šablonu - WP Weekend #3
HTML stack pro WP šablonu - WP Weekend #3HTML stack pro WP šablonu - WP Weekend #3
HTML stack pro WP šablonu - WP Weekend #3Brilo Team
 
WordPress "root" skripty - WP Weekend #3
WordPress "root" skripty - WP Weekend #3 WordPress "root" skripty - WP Weekend #3
WordPress "root" skripty - WP Weekend #3 Brilo Team
 
PoSobota 96 ČB 28.4.2018
PoSobota 96 ČB 28.4.2018PoSobota 96 ČB 28.4.2018
PoSobota 96 ČB 28.4.2018Brilo Team
 
WP Frameworky - WordCamp Praha 2018
WP Frameworky - WordCamp Praha 2018WP Frameworky - WordCamp Praha 2018
WP Frameworky - WordCamp Praha 2018Brilo Team
 
Jak spolehlivě potopit web nebo e-shop | Pux 1.11.17
Jak spolehlivě potopit web nebo e-shop | Pux 1.11.17Jak spolehlivě potopit web nebo e-shop | Pux 1.11.17
Jak spolehlivě potopit web nebo e-shop | Pux 1.11.17Brilo Team
 
WP Weekend #2 - Corcel, aneb WordPress přes Laravel
WP Weekend #2 - Corcel, aneb WordPress přes LaravelWP Weekend #2 - Corcel, aneb WordPress přes Laravel
WP Weekend #2 - Corcel, aneb WordPress přes LaravelBrilo Team
 
WordCamp Bratislava 2017 - Martin Hlaváč
WordCamp Bratislava 2017 - Martin HlaváčWordCamp Bratislava 2017 - Martin Hlaváč
WordCamp Bratislava 2017 - Martin HlaváčBrilo Team
 
WordCamp Bratislava 2017 - Jakub Hladký
WordCamp Bratislava 2017 - Jakub HladkýWordCamp Bratislava 2017 - Jakub Hladký
WordCamp Bratislava 2017 - Jakub HladkýBrilo Team
 
Pux 28.2.2017 Úvod do internetového marketingu
Pux 28.2.2017 Úvod do internetového marketinguPux 28.2.2017 Úvod do internetového marketingu
Pux 28.2.2017 Úvod do internetového marketinguBrilo Team
 
WordCamp Praha 2017 - Tomáš Kocifaj
WordCamp Praha 2017 - Tomáš KocifajWordCamp Praha 2017 - Tomáš Kocifaj
WordCamp Praha 2017 - Tomáš KocifajBrilo Team
 
WordCamp Praha 2017 - Martin Hlaváč
WordCamp Praha 2017 - Martin HlaváčWordCamp Praha 2017 - Martin Hlaváč
WordCamp Praha 2017 - Martin HlaváčBrilo Team
 
Jihočeské vzdělávání dospělých - SEO část
Jihočeské vzdělávání dospělých - SEO částJihočeské vzdělávání dospělých - SEO část
Jihočeské vzdělávání dospělých - SEO částBrilo Team
 
Jihočeské vzdělávání dospělých
Jihočeské vzdělávání dospělýchJihočeské vzdělávání dospělých
Jihočeské vzdělávání dospělýchBrilo Team
 
Chytrá propagace e-shopu pomocí témat - Eshopvíkend 2016
Chytrá propagace e-shopu pomocí témat - Eshopvíkend 2016Chytrá propagace e-shopu pomocí témat - Eshopvíkend 2016
Chytrá propagace e-shopu pomocí témat - Eshopvíkend 2016Brilo Team
 
Základy Sociálních médií - WP Konference 2016 Praha
Základy Sociálních médií - WP Konference 2016 PrahaZáklady Sociálních médií - WP Konference 2016 Praha
Základy Sociálních médií - WP Konference 2016 PrahaBrilo Team
 
Základy Marketingu - WP Konference 2016 Praha
Základy Marketingu - WP Konference 2016 PrahaZáklady Marketingu - WP Konference 2016 Praha
Základy Marketingu - WP Konference 2016 PrahaBrilo Team
 
Plánování webu - WP Konference 2016 Praha
Plánování webu - WP Konference 2016 PrahaPlánování webu - WP Konference 2016 Praha
Plánování webu - WP Konference 2016 PrahaBrilo Team
 

Plus de Brilo Team (20)

PHP Vysočina - WordPress - 25.10.2018
PHP Vysočina - WordPress - 25.10.2018PHP Vysočina - WordPress - 25.10.2018
PHP Vysočina - WordPress - 25.10.2018
 
Nástroj Calfou.cz - WP Weekend #3
Nástroj Calfou.cz - WP Weekend #3Nástroj Calfou.cz - WP Weekend #3
Nástroj Calfou.cz - WP Weekend #3
 
WPML - jak na vícejazyčný web - WP Weekend #3
WPML - jak na vícejazyčný web - WP Weekend #3WPML - jak na vícejazyčný web - WP Weekend #3
WPML - jak na vícejazyčný web - WP Weekend #3
 
HTML stack pro WP šablonu - WP Weekend #3
HTML stack pro WP šablonu - WP Weekend #3HTML stack pro WP šablonu - WP Weekend #3
HTML stack pro WP šablonu - WP Weekend #3
 
WordPress "root" skripty - WP Weekend #3
WordPress "root" skripty - WP Weekend #3 WordPress "root" skripty - WP Weekend #3
WordPress "root" skripty - WP Weekend #3
 
PoSobota 96 ČB 28.4.2018
PoSobota 96 ČB 28.4.2018PoSobota 96 ČB 28.4.2018
PoSobota 96 ČB 28.4.2018
 
WP Frameworky - WordCamp Praha 2018
WP Frameworky - WordCamp Praha 2018WP Frameworky - WordCamp Praha 2018
WP Frameworky - WordCamp Praha 2018
 
Jak spolehlivě potopit web nebo e-shop | Pux 1.11.17
Jak spolehlivě potopit web nebo e-shop | Pux 1.11.17Jak spolehlivě potopit web nebo e-shop | Pux 1.11.17
Jak spolehlivě potopit web nebo e-shop | Pux 1.11.17
 
WP Weekend #2 - Corcel, aneb WordPress přes Laravel
WP Weekend #2 - Corcel, aneb WordPress přes LaravelWP Weekend #2 - Corcel, aneb WordPress přes Laravel
WP Weekend #2 - Corcel, aneb WordPress přes Laravel
 
WordCamp Bratislava 2017 - Martin Hlaváč
WordCamp Bratislava 2017 - Martin HlaváčWordCamp Bratislava 2017 - Martin Hlaváč
WordCamp Bratislava 2017 - Martin Hlaváč
 
WordCamp Bratislava 2017 - Jakub Hladký
WordCamp Bratislava 2017 - Jakub HladkýWordCamp Bratislava 2017 - Jakub Hladký
WordCamp Bratislava 2017 - Jakub Hladký
 
Pux 28.2.2017 Úvod do internetového marketingu
Pux 28.2.2017 Úvod do internetového marketinguPux 28.2.2017 Úvod do internetového marketingu
Pux 28.2.2017 Úvod do internetového marketingu
 
WordCamp Praha 2017 - Tomáš Kocifaj
WordCamp Praha 2017 - Tomáš KocifajWordCamp Praha 2017 - Tomáš Kocifaj
WordCamp Praha 2017 - Tomáš Kocifaj
 
WordCamp Praha 2017 - Martin Hlaváč
WordCamp Praha 2017 - Martin HlaváčWordCamp Praha 2017 - Martin Hlaváč
WordCamp Praha 2017 - Martin Hlaváč
 
Jihočeské vzdělávání dospělých - SEO část
Jihočeské vzdělávání dospělých - SEO částJihočeské vzdělávání dospělých - SEO část
Jihočeské vzdělávání dospělých - SEO část
 
Jihočeské vzdělávání dospělých
Jihočeské vzdělávání dospělýchJihočeské vzdělávání dospělých
Jihočeské vzdělávání dospělých
 
Chytrá propagace e-shopu pomocí témat - Eshopvíkend 2016
Chytrá propagace e-shopu pomocí témat - Eshopvíkend 2016Chytrá propagace e-shopu pomocí témat - Eshopvíkend 2016
Chytrá propagace e-shopu pomocí témat - Eshopvíkend 2016
 
Základy Sociálních médií - WP Konference 2016 Praha
Základy Sociálních médií - WP Konference 2016 PrahaZáklady Sociálních médií - WP Konference 2016 Praha
Základy Sociálních médií - WP Konference 2016 Praha
 
Základy Marketingu - WP Konference 2016 Praha
Základy Marketingu - WP Konference 2016 PrahaZáklady Marketingu - WP Konference 2016 Praha
Základy Marketingu - WP Konference 2016 Praha
 
Plánování webu - WP Konference 2016 Praha
Plánování webu - WP Konference 2016 PrahaPlánování webu - WP Konference 2016 Praha
Plánování webu - WP Konference 2016 Praha
 

Prezentace - základy bezpečnosti

  • 1.
  • 2. Ptejte se v průběhu. www.sli.do#3302
  • 3. Jednoduché dělení Jádro (core) WordPress Uživatel (správce) Pluginy (doplňky) Themes (šablony) Úroveň bezpečnosti 40% Bezpečnost není pouze o útočníkovi, je především o Vás a přístupu k Vaší aplikaci.
  • 4. Jádro (core) WordPress Každý den na WordPressu pracuje aktivně velká základna vývojářů. Většina nových chyb a tipů útoků jsou odchyceny hned. Je tedy tím nejbezpečnějším ale i nejzranitelnějším systémem. …ale WordPress je OpenSource řešení – každý může důkladně projít jeho kódy. Jsme odkázání na vývojáře WordPressu, jak rychle případné chyby opraví. WordPress je nejpoužívanější systém na světe – je tak v hledáčku hackerů. Napříč internetem již existuje spoustu návodů, jak WordPress napadnout. Nejen návodů, ale také již reálných nástrojů, které chyby odhalí. Lze snadno odhalit, zda web používáš WordPress.
  • 5. Uživatel (správce) Většina prolomených WordPress instalací bývá příčinou špatného chování správce daného webu (instalace). Slabá hesla Odhalitelný login Podobné heslo Neprovádí aktualizace Používá nebezpečné pluginy Používá neprověřené šablony
  • 6. Příklady hesel www.superbazar.cz superbazar Superbazar Superbazar2015 2015bazar Doména Uživatel (login) Heslo www.superbazar.cz admin 123456 maminka milacek www.superbazar.cz petr petr petr1985 petrbazar123 www.superbazar.cz traktoristapetr #kt00cm!aFsaj ^@IjHQD*!xnI^2AwEEv V*99F www.security-portal.cz/clanky/50-nejpoužívanějších-hesel-pro-web-v-čr
  • 7. Pluginy (doplňky) Každý plugin sebou nese potenciální riziko. Čím více doplňků tím větší šance, že hacker najde „díru“ kterou hledal. Pluginy, které už nepoužíváte smažte. Deaktivace nestačí. Pluginy udržujte vždy aktualizované! Pluginy, které nebyly dlouho aktualizované nesou větší riziko. Pozor na placené pluginy, které jsou oblíbeným terčem a nemají automatické aktualizace Úroveň bezpečnosti 50%
  • 8. Themes (šablony) Šablony, které nepoužíváte smažte. Neponechávejte neaktivní. Prověřte, zda šablona nepoužívá ke své funkci další sadu pluginů. Pokud nevíte, co děláte, neprovádějte programové záshay. Zkontrolujte, zda šablona je pro aktuální verzi WP nebo alespoň verzi blízkou. Pozor na ty šablony, které nenabízejí automatický update. Prověřujte, kdo je autorem šablony a zda má kladné reference. Úroveň bezpečnosti 60%
  • 9. Jak se útočník chová? Aby mohl hacker provést případný útok na WordPress instalaci (nebo na cokoliv jiného) potřebuje znát všechny aspekty k tomu, aby jeho útok byl úspěšný. Nejsme schopni zcela zamezit tomu, aby útočník zjistil, že se jedná o WordPress. Nejsme schopni zcela zamezit tomu, aby útočník zjistil, jaké používáme pluginy. Pokud používáte „obecně známe šablony“ detekuje i je. Pokud zjistí WordPress a jeho verzi, může prověřit rizika dané verze. Pokud zjistí plugin a jeho verzi. Může využít chybu právě tohoto pluginu. Stejně tak může mít bezpečnostní riziko i používána šablona. Stačí jí pouze detekovat.
  • 10. A jdeme na to ! Pokud víme, jak se útočník chová a jak provádí své útoky, můžeme začít aplikovat potřebnou obranu. Využijeme již existující a velmi dobře fungující doplněk. Link ke stažení
  • 11. Plugin Vás provede nastavením
  • 12. Detekce WordPressu Útočník provádí dotazy na server, zda na určité cestě leží nějaký soubor, který by mu prozradil, zda se jedná o WordPress, určitý plugin, nebo šablonu. To generuje řadu 404 chyb v rychlém sledu. Úroveň bezpečnosti 65%
  • 13. Místo, kde je možné se přihlásit Všichni kdo WordPress používají vědí, že přihlašovací formulář se nachází na adrese /wp-admin. Útočník to ví také a bude jí hledat, aby mohl zkoušet prolomit heslo. Úroveň bezpečnosti 70%
  • 14. Pokus o prolomení hesla Útočník se pokouší opakovaně přihlásit a zkouší různé kombinace uživatelského jména a hesla. Úroveň bezpečnosti 75%
  • 15. XML-RPC XML-RPC je technologie, pomocí které se dá s WordPressem komunikovat a editovat jeho obsah (nastavení) vzdáleně – například se používá pro pingbacky, mobilní aplikace a některé pluginy. Nese ale velké riziko a většinou ho nikdo nepoužívá. Úroveň bezpečnosti 80%
  • 16. Další bezpečnostní doporučení Nenechávejte uživatele „admin“. Stejně tak nenechávat uživatele s ID 1. Nepoužívejte defaultní databázový prefix wp_ dejte vlastní unikátní. Nepoužívejte stejnou přezdívku (ve WP) jako login name do WP. Vynucujte u ostatních uživatelů opravdu silné heslo. Prostudujte si důkladně plugin iTheme security a řiďte se průvodcem. Provádějte zálohy, kdyby přeci jenom k úspěšnému útoku došlo. Navštěvujte své stránky pravidelně a provádějte aktualizace. Úroveň bezpečnosti 90% Pokud máte své servery, blokujte Čínu a Rusko – cca 60% útoků.
  • 17. Co si tedy odneste? Provést základní zabezpečení a nastavení iTheme security Vám zabere jen několik minut. Oprava napadeného WordPressu může zabrat i hodiny. Myslete na to, že největší bezpečnostní riziko jste Vy. Dělejte proto všechno, abyste byly tím rizikem co nejmenším. Důkladně prověřujte věci, které si do své instalace přidáte. Nikdy nevíte, jak je autor pluginu nebo šablony dobrý vývojář. Většinu útoků provádí „roboti“, kteří hledají běžné chyby a využívají je. Nedělejte běžné chyby a Vaše data zůstanou v bezpečí. Cílený útok je velmi nepravděpodobný. A bez dokonalé znalosti WP prakticky nemožný.