4. Jádro (core) WordPress
Každý den na WordPressu pracuje aktivně velká základna vývojářů.
Většina nových chyb a tipů útoků jsou odchyceny hned.
Je tedy tím nejbezpečnějším ale i nejzranitelnějším systémem.
…ale
WordPress je OpenSource řešení – každý může důkladně projít jeho kódy.
Jsme odkázání na vývojáře WordPressu, jak rychle případné chyby opraví.
WordPress je nejpoužívanější systém na světe – je tak v hledáčku hackerů.
Napříč internetem již existuje spoustu návodů, jak WordPress napadnout.
Nejen návodů, ale také již reálných nástrojů, které chyby odhalí.
Lze snadno odhalit, zda web používáš WordPress.
5. Uživatel (správce)
Většina prolomených WordPress instalací bývá příčinou špatného chování správce
daného webu (instalace).
Slabá hesla
Odhalitelný
login
Podobné
heslo
Neprovádí
aktualizace
Používá
nebezpečné
pluginy
Používá
neprověřené
šablony
7. Pluginy (doplňky)
Každý plugin sebou
nese potenciální
riziko.
Čím více doplňků tím
větší šance, že hacker
najde „díru“ kterou
hledal.
Pluginy, které už
nepoužíváte smažte.
Deaktivace nestačí.
Pluginy udržujte vždy
aktualizované!
Pluginy, které nebyly
dlouho aktualizované
nesou větší riziko.
Pozor na placené
pluginy, které jsou
oblíbeným terčem a
nemají automatické
aktualizace
Úroveň bezpečnosti
50%
8. Themes (šablony)
Šablony, které
nepoužíváte smažte.
Neponechávejte
neaktivní.
Prověřte, zda šablona
nepoužívá ke své
funkci další sadu
pluginů.
Pokud nevíte, co
děláte, neprovádějte
programové záshay.
Zkontrolujte, zda
šablona je pro
aktuální verzi WP
nebo alespoň verzi
blízkou.
Pozor na ty šablony,
které nenabízejí
automatický update.
Prověřujte, kdo je
autorem šablony a
zda má kladné
reference.
Úroveň bezpečnosti
60%
9. Jak se útočník chová?
Aby mohl hacker provést případný útok na WordPress instalaci (nebo na cokoliv jiného)
potřebuje znát všechny aspekty k tomu, aby jeho útok byl úspěšný.
Nejsme schopni zcela zamezit tomu, aby útočník zjistil, že se jedná o WordPress.
Nejsme schopni zcela zamezit tomu, aby útočník zjistil, jaké používáme pluginy.
Pokud používáte „obecně známe šablony“ detekuje i je.
Pokud zjistí WordPress a
jeho verzi, může prověřit
rizika dané verze.
Pokud zjistí plugin a jeho
verzi. Může využít chybu
právě tohoto pluginu.
Stejně tak může mít
bezpečnostní riziko i
používána šablona. Stačí jí
pouze detekovat.
10. A jdeme na to !
Pokud víme, jak se útočník chová a jak provádí své útoky, můžeme začít aplikovat
potřebnou obranu.
Využijeme již existující a velmi dobře fungující doplněk.
Link ke stažení
12. Detekce WordPressu
Útočník provádí dotazy na server, zda na určité cestě leží nějaký soubor, který by mu
prozradil, zda se jedná o WordPress, určitý plugin, nebo šablonu. To generuje řadu 404
chyb v rychlém sledu.
Úroveň bezpečnosti
65%
13. Místo, kde je možné se přihlásit
Všichni kdo WordPress používají vědí, že přihlašovací formulář se nachází na adrese
/wp-admin. Útočník to ví také a bude jí hledat, aby mohl zkoušet prolomit heslo.
Úroveň bezpečnosti
70%
14. Pokus o prolomení hesla
Útočník se pokouší opakovaně přihlásit a zkouší různé kombinace uživatelského
jména a hesla.
Úroveň bezpečnosti
75%
15. XML-RPC
XML-RPC je technologie, pomocí které se dá s WordPressem komunikovat a editovat
jeho obsah (nastavení) vzdáleně – například se používá pro pingbacky, mobilní aplikace
a některé pluginy. Nese ale velké riziko a většinou ho nikdo nepoužívá.
Úroveň bezpečnosti
80%
16. Další bezpečnostní doporučení
Nenechávejte
uživatele
„admin“. Stejně
tak nenechávat
uživatele s ID 1.
Nepoužívejte
defaultní
databázový prefix
wp_ dejte vlastní
unikátní.
Nepoužívejte
stejnou přezdívku
(ve WP) jako
login name do
WP.
Vynucujte u
ostatních
uživatelů
opravdu silné
heslo.
Prostudujte si
důkladně plugin
iTheme security
a řiďte se
průvodcem.
Provádějte
zálohy, kdyby
přeci jenom k
úspěšnému
útoku došlo.
Navštěvujte své
stránky
pravidelně a
provádějte
aktualizace.
Úroveň bezpečnosti
90%
Pokud máte své
servery, blokujte
Čínu a Rusko –
cca 60% útoků.
17. Co si tedy odneste?
Provést základní zabezpečení a nastavení iTheme security Vám zabere jen několik
minut. Oprava napadeného WordPressu může zabrat i hodiny.
Myslete na to, že největší bezpečnostní riziko jste Vy. Dělejte proto všechno, abyste
byly tím rizikem co nejmenším.
Důkladně prověřujte věci, které si do své instalace přidáte. Nikdy nevíte, jak je autor
pluginu nebo šablony dobrý vývojář.
Většinu útoků provádí „roboti“, kteří hledají běžné chyby a využívají je. Nedělejte
běžné chyby a Vaše data zůstanou v bezpečí. Cílený útok je velmi nepravděpodobný.
A bez dokonalé znalosti WP prakticky nemožný.