Безопасность wordpress
TRANSCRIPT
![Page 1: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/1.jpg)
Безопасность по-флотски https://wphost.me
![Page 2: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/2.jpg)
Привет!Меня зовут -
ДмитрийИ я алкоголик люблю WordPress.
Добавляйтесь в друзья:fb.me/azzepis
![Page 3: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/3.jpg)
Когда кто-то сказал «безопасность»…..
![Page 4: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/4.jpg)
16,600,000
Атак за 7 дней, из них 2,036,508 с одного IP направленных против 30+ тыс. сайтов.
Статистика Wordfence https://goo.gl/ktyQBa
Meet Ivan from St. Petersburg, Russia
![Page 5: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/5.jpg)
Зачем я тут?Развеять пару популярных
заблуждений о безопасности
- Сайты на WP всегда ломают- Про мой сайт никто не знает- У меня нечего красть на
сайте- Безопасность не моя
проблема(пусть хостер/разработчик думает о защите моего сайта)
Рассказать, как сделать сайт на WP более защищённым!
![Page 6: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/6.jpg)
НЕМНОГО ВОДЫЧто, где, когда, зачем, почему…..
![Page 7: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/7.jpg)
Почему WP?
![Page 8: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/8.jpg)
и с чем его едят…..
Вот он OpenSource
![Page 9: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/9.jpg)
«Дыры» в плагинах + слабый пароль > 70% проблем
Как?
![Page 10: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/10.jpg)
и с чем его едят…..
Проблемы с ШаблономШаблон Всего атак Сайтовinfocus 83095 20587acento 43898 20481XXXXX* 43613 20340jarida 43451 20292markant 43307 20259yakimabait 43291 20300tess 43015 20110felis 42854 20030ypo-theme 42671 19995persuasion 41527 20316echelon 41398 20264modular 41322 20263awake 41123 20145fusion 41012 20132method 40908 20101myriad 40702 20007elegance 40677 19976dejavu 40551 19997construct 40278 19882epic 37141 17850linenity 36656 17619parallelus-salutation 36586 17623trinity 36295 17503antioch 36180 17322urbancity 36118 17416parallelus-mingle 35740 17179authentic 35683 17073churchope 35532 17040lote 35445 17027
![Page 11: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/11.jpg)
и с чем его едят…..
Проблемы с Шаблоном
![Page 12: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/12.jpg)
и с чем его едят…..
Проблемы с Шаблоном
![Page 13: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/13.jpg)
и с чем его едят…..
Проблемы с Плагином
Плагин Всего атак Сайтовfiledownload 46037 21373ajax-store-locator-wordpress 44123 20558plugin-newsletter 38227 18351pica-photo-gallery 37795 18126simple-download-button-shortcode 37684 18066wp-filemanager 37457 17236tinymce-thumbnail-gallery 37270 17888dukapress 36697 17495XXXXXX* 36303 17358db-backup 34966 16627
![Page 14: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/14.jpg)
и с чем его едят…..
Проблемы с Плагином
![Page 15: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/15.jpg)
6,611,909Атак за 16 часов, направленных против 70+ тыс. сайтов.
Статистика Wordfence https://goo.gl/nYzZrR
Meet Svitogor from Ukraine
![Page 16: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/16.jpg)
Ни один сайт не защищен на 100%
Безопасность сайта - это НЕ продукт,
это процесс
![Page 17: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/17.jpg)
WHY ME???
![Page 18: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/18.jpg)
Основные причины
Вы в списке
Вы случайная
жертваВы цель
Ваш логин admin и пароль Qwerty123
![Page 19: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/19.jpg)
Place your screenshot here
Экран смерти :)
![Page 20: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/20.jpg)
Place your screenshot here
Экран смерти 2 :)
![Page 21: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/21.jpg)
Продажи – доступность сайта 24/7 СЕО – результаты раскрутки, инфо в
выдаче Репутация домена , IP Доставка писем с корпоративных email-ов Расходы – оплата доп.ресурсов, доп.работ
(хостинг, очистка, восстановление…..) Личные данные (напр. Данные клиентов)
Какое мне дело?
![Page 22: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/22.jpg)
shut up and dance
Х+1 метод защиты для всех и каждого
![Page 23: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/23.jpg)
На всякий случай…..Меня зовут, Дмитрий
Добавляйтесь в друзья:fb.me/azzepis
![Page 24: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/24.jpg)
- Делать бекап- Добавить сайт в гугл-
консоль- Обновлять ядро- Обновлять плагины- Удалить неактивные
плагины- Обновлять шаблоны- Использовать
актуальные версии php
- Поставить правильные права на папки/файлы
- Не использовать логин admin
- Не использовать префикс таблиц wp_
ЧЕКЛИСТ- Использовать
сложный пароль- Защита от подбора
пароля- Настроить
ограничение доступа в админку
- Использовать плагин защиты
- По возможности использовать https, sftp
- Следить за безопасностью своего локального компьютера
- Делать бекап бекапа )))
- Хостинг с допзащитой
![Page 25: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/25.jpg)
ТРИ КИТАОбновлениеОдна из наибольших «дыр» в безопасности WP – это устаревшее ПО (ядро, плагины, темы/шаблоны)Обновляйтесь хотя бы до минорных версий ядра!
ПаролиВсе знают, что нужно использовать «сложные» пароли. Это усложняет их подбор.
БекапРезервное копирование – мать …..
![Page 26: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/26.jpg)
ИСОПЛЬЗУЮ- Надо пройтись по
списку активных плагинов и половину отключить
- Из оставшейся половины активных выбрать те, которыми пользуетесь, остальные отключить
- Из тех, что выжили, оставить активными только те, без которых Ваш сайт не будет работать
ПЛАГИНЫ
НЕ ИСПОЛЬЗУЮВсе неиспользуемые плагины, неактивные плагины, необходимо удалить с сервера/сайта.
П.С. Обновление – тоже мать..!
![Page 27: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/27.jpg)
Пароле…..Пароле…..
![Page 28: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/28.jpg)
Пароль и страница входаПроблема - brute force, решения:
✖ Смена адреса страниц входа, регистрации, восстановления пароля
✖ Сложный пароль✖ Ограничение по IP✖ Авторизация по email
![Page 29: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/29.jpg)
Пароль и страница входа
Рекомендуется:✖ Не использовать логин admin (не давать роль
админа всем)✖ Плагин https://wordpress.org/plugins/better-wp-security/✖ Плагин https://wordpress.org/plugins/rename-wp-login/✖ Плагин https://wordpress.org/plugins/wp-email-login/✖ Скрыть имена пользователей в адресах страниц
https://wordpress.org/plugins/edit-author-slug/✖ В качестве пароля может быть использована любая
фраза, даже с пробелами. Напр., «Ласкаво просимо до WordPress!»
![Page 30: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/30.jpg)
Примеры паролей
![Page 31: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/31.jpg)
Каждый раз, когда вы правите файлы ядра, умирает один
котенок…Обновляйтесь до «минорных» версий,
старайтесь обновляться до «мажорных»П.С. Бекап..…
![Page 32: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/32.jpg)
Храните копию шаблона, изменяйте через дочерние темы
![Page 33: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/33.jpg)
И на десертПолезные хаки
![Page 34: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/34.jpg)
Скрываемся, защищаемся
![Page 35: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/35.jpg)
/wp-content/uploads/.htaccess
<Files *.php>deny from all</Files>
В этой папке не должно быть исполняемых файлов…
![Page 36: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/36.jpg)
Будьте в курсе…..
- Добавьте сайт в консоль google search - Просматривайте время от времени файлы
robots.txt , .htaccess, sitemap.xml
![Page 37: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/37.jpg)
Редактор кодов, установка «модов»
define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );
Одно из двух…
![Page 38: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/38.jpg)
wp-config.php<files wp-config.php>order allow,denydeny from all</files>
Или на уровень вверх…..
Одно из двух или два ))…
![Page 39: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/39.jpg)
Страница авторизации<Files wp-login.php>order deny,allowDeny from all# только мой IP адресallow from 102.108.5.1</files>
И дальше…
![Page 40: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/40.jpg)
Админка# Block access to wp-admin.order deny,allowallow from x.x.x.x deny from all# Allow access to wp-admin/admin-ajax.php<Files admin-ajax.php> Order allow,deny Allow from all Satisfy any</Files>
И дальше…
![Page 41: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/41.jpg)
Интерфейс xml-rpc
Отключить )
![Page 42: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/42.jpg)
CDN/Firewall
Ваш сайт
https://www.cloudflare.com/
![Page 43: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/43.jpg)
Ещё раз бекап!
«3 дня назад»На вчера «Неделю
назад»
![Page 44: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/44.jpg)
Давай, до свидания…
Плагины защитыIthemes SecurityWordfenceП.С. В первом есть классная опция, блокировать всех, кто авторизуется под admin
ПолезноеСтатьи по теме https://wordpress.co.ua/defence
Ещё примеры кодаhttps://codex.wordpress.org/Brute_Force_Attacks
![Page 46: Безопасность WordPress](https://reader036.vdocument.in/reader036/viewer/2022062412/58f9b3441a28ab0a508b45b7/html5/thumbnails/46.jpg)
Слышны аплодисменты
…..