SlideShare a Scribd company logo

САМБО для WordPress

Download as PPTX, PDF
O
Oleksandr Strikha

by: Дмитро Кондрюк

Internet
1 of 60
САМБО для WordPress https://wphost.me
Привіт! Мене звуть - Дмитро І я алкоголік люблю WordPress. Додавайте у друзі: fb.me/azzepis fb.me/WPHostme
Привіт!
Коли хтось сказав
«небезпека»...
16,600,000 Атак за 7 днів, з них 2,036,508 з однієї IP адреси, направлені проти 30+ тис. сайтів. Статистика Wordfence https://goo.gl/ktyQBa Meet Ivan from St. Petersburg, Russia
і з чим його їдять….. Ща за звір - OpenSource
6,611,909 Атак за 16 годин, направлених проти 70+ тис. сайтів. Статистика Wordfence https://goo.gl/nYzZrR Meet Svitogor from Ukraine
Робота сайту 24/7
SEO – результати в google/yandex Цей сайт може нашкодити вашому комп'ютеру Цей сайт може нашкодити вашому комп'ютеру Цей сайт може нашкодити вашому комп'ютеру
Екран смерті :)
Яке мені діло? [root@server ~]# cat /var/log/exim/main.log | grep "steam“ 2016-09-07 00:27:10 H=smtp01.steampowered.com [208.64.202.37] F=<noreply@steampowered.com> rejected RCPT <admin@***>: rejected because 208.64.202.37 is in a black list at dnsbl.sorbs.netnCurrently Sending Spam See: http://www.sorbs.net/lookup.shtml?208.64.202.37 2016-09-07 22:58:12 H=smtp03.steampowered.com [208.64.202.39] F=<noreply@steampowered.com> rejected RCPT <admin@***>: rejected because 208.64.202.39 is in a black list at dnsbl.sorbs.netnCurrently Sending Spam See: http://www.sorbs.net/lookup.shtml?208.64.202.39
 Ecommerce – доступність сайту 24/7  SEO – результати в google/yandex  Репутація домену , IP  Доставка листів з корпоративних скриньок  Витрати – оплата дод.ресурсів, дод.робіт (хостинг, чистка, відновлення даних…..)  Особисті дані (напр. Дані клієнтів) Яке мені діло?
https://wordpress.org/showcase/
ЯК ЛАМАЮТЬ )))
Чому саме WP?
«Дірки» у плагінах + слабкий пароль > 70% проблем ЯК?
Основні причини Ви у списку Випадково ) Ви - ціль Ваш логин admin и пароль Qwerty123 
Тепер слухай уважно!
Плагін Всього атак Сайтів атаковано filedownload 46037 21373 ajax-store-locator-wordpress 44123 20558 plugin-newsletter 38227 18351 pica-photo-gallery 37795 18126 simple-download-button-shortcode 37684 18066 wp-filemanager 37457 17236 tinymce-thumbnail-gallery 37270 17888 dukapress 36697 17495 XXXXXX* 36303 17358 db-backup 34966 16627 Проблеми з плагінами https://wordpress.org/plugins/slug
Преміум сегмент не панацея
Регулярно оновлюйтесь!
Ваш логін admin и пароль Qwerty123 Якщо у якості паролю використати «Чак Норіс», отримаєте повідомлення, що пароль занадто МІЦНИЙ…
10 цифр, за 0,001 сек Пароль з 10 символів (літери + цифри) може бути підібрано приблизно за 1 добу. Суперкомп’ютер підбере пароль, що складається з Цікава статистика https://www.betterbuys.com/estimating-password-cracking-times/
Як не втрапити у пастку? Проблеми з Шаблонами Шаблон Всього атак Сайтів infocus 83095 20587 acento 43898 20481 XXXXX* 43613 20340 jarida 43451 20292 markant 43307 20259 yakimabait 43291 20300 tess 43015 20110 felis 42854 20030 ypo-theme 42671 19995 persuasion 41527 20316 echelon 41398 20264 modular 41322 20263 awake 41123 20145 fusion 41012 20132 method 40908 20101 myriad 40702 20007 elegance 40677 19976 dejavu 40551 19997 construct 40278 19882 epic 37141 17850 linenity 36656 17619 parallelus-salutation 36586 17623 trinity 36295 17503 antioch 36180 17322 urbancity 36118 17416 parallelus-mingle 35740 17179 authentic 35683 17073 churchope 35532 17040 lote 35445 17027
Преміум сегмент не панацея
Преміум сегмент не панацея
Жодних правок у ядрі! Ядро Тільки код, написаний Чаком Норісом, має одну версію… А той, хто сповістить про баг, не доживає до світанку…
Кожен раз, коли ви редагуєте файли ядра, вмирає одне кошеня… Оновлюйтесь до «мінорних» версій, намагайтеся оновлюватися до «мажорних» П.С. Бекап..…
Жоден сайт не захищений на 100% Безпека сайту - це НЕ продукт, це процес
shut up and dance Х+1 метод захисту для усіх і кожного
Про всякий випадок….. Мене звуть, Дмитро Додавайте у друзі: fb.me/azzepis
ТРИ КИТИ Оновлення Одна з найбільших «дірок» у безпеці WP – це застаріле ПЗ (ядро, плагіни, теми) Оновлюйтесь хоча б до мінорних версій ядра! Паролі Усі знають, що потрібно використовувати складні паролі. Це ускладнює підбір. Бекап Ще раз бекап, і потім все це забекапити разок…..
ВИКОРИСТОВУЮ - Переглянути активні плагіни і половину вимкнути - З тих, що залишились активними, обрати такі, якими будете користуватись, інші вимкнути - З тих, що вціліли, залишити лише ті, без яких сайт не буде працювати взагалі… ПЛАГІНИ НЕ ВИКОРИСТОВУЮ Усі плагіни, що Ви не використовуєте, необхідно видалити з серверу/сайту. П.С. Обновлення – також не забуваємо..!
Паролє…..Паролє…..
Пароль та сторінка входу Проблема - brute force, рішення: ✖ Змінити адресу входу, реєстрації, відновлення паролів. ✖ Складний пароль ✖ Обмеження по IP ✖ Авторизація по email
Пароль та сторінка входу Рекомендую: ✖ Не використовувати логін admin (не надавати роль адміна кому заманеться) ✖ Плагін https://wordpress.org/plugins/better-wp-security/ ✖ Плагін https://wordpress.org/plugins/rename-wp-login/ ✖ Плагін https://wordpress.org/plugins/wp-email-login/ ✖ Приховати імена користувачів в адресах сторінок https://wordpress.org/plugins/edit-author-slug/ ✖ В якості паролів можна використати будь-яку фразу, напр., «Ласкаво просимо до WordPress!» . Використовувати слова «Чак» та «Норіс», але тіьльки по одному!
Приклади паролів password default admin password1 dima1234 p@ssw0rd g0ldf1sh crabcrab stopstop passpass qwerty 12345 asdfgh 1 ?L)sn7`@Fdy8(F!# )fuTrm [_H9&vx v7}bcKuD~u"98A8b TSxs4PV*Yw@/ 3R?#Du_nCBed WtGfhjkmXfrfYjhscf
І це не дурня! )) Додай /?author=1
І це не дурня! )) Додай /?author=1
Зберігайте копію шаблона, редагуйте через дочірні теми.
І на десерт Корисні хаки
Ховаємось, захищаємось #.htaccess <files readme.html> order allow,deny deny from all </files> // functions.php function wpua_remove_version() { return ''; } add_filter('the_generator', 'wpua_remove_version');
https://wordpress.org/plugins/wp-hide-security-enhancer/
/wp-content/uploads/.htaccess <Files *.php> deny from all </Files> У цій директорії не має бути подібних файлів
Будьте у курсі….. - Додайте сайт у консоль google search - Переглядайте час від часу зміст файлів robots.txt , .htaccess, sitemap.xml
Редактор кодів, встановлення «модів» define( 'DISALLOW_FILE_EDIT', true ); define( 'DISALLOW_FILE_MODS', true ); Одне з двох…
wp-config.php <files wp-config.php> order allow,deny deny from all </files> Чи на рівень вище….. Одне з двох чи два ))…
Сторінка авторизації <Files wp-login.php> order deny,allow Deny from all # только мой IP адрес allow from 102.108.5.1 </files>
Адмінка # Block access to wp-admin. order deny,allow allow from x.x.x.x deny from all # Allow access to wp-admin/admin-ajax.php <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files>
Адмінка
404 – Indexes = Love! GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php inurl:/wp-content/plugins/revslider/ /wp-content/force-download.php?file=../wp-config.php HTTP/1.1 /wp-content/plugins/ajax-store-locator-wordpress_0/sl_file_download.php?download_file=../../../wp- config.php HTTP/1.1 /wp-content/plugins/filedownload/download.php/?path=../../../wp-config.php HTTP/1.1 /wp-content/plugins/google-mp3-audio-player/direct_download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/plugins/pica-photo-gallery/picadownload.php?imgname=../../../wp-config.php HTTP/1.1 /wp-content/plugins/plugin-newsletter/preview.php?data=../../../../wp-config.php HTTP/1.1 /wp-content/plugins/simple-download-button-shortcode/simple-download- button_dl.php?file=../../../../wp-config.php HTTP/1.1 /wp-content/plugins/tinymce-thumbnail-gallery/php/download-image.php?href=../../../../wp-config.php HTTP/1.1 /wp-content/themes/MichaelCanthony/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/Newspapertimes_1/download.php?filename=../../../wp-config.php HTTP/1.1 /wp-content/themes/SMWF/inc/download.php?file=../../../../wp-config.php HTTP/1.1 /wp-content/themes/TheLoft/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/acento/includes/view-pdf.php?download=1&file=../../../../wp-config.php HTTP/1.1 /wp-content/themes/churchope/lib/downloadlink.php?file=../../../../wp-config.php HTTP/1.1 /wp-content/themes/corporate_works/downloader.php?file_download=../../../wp-config.php HTTP/1.1 /wp-content/themes/felis/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/jarida/download.php?uri=../../../wp-config.php HTTP/1.1 /wp-content/themes/lote27/download.php?download=../../../wp-config.php HTTP/1.1 /wp-content/themes/markant/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/parallelus-mingle/framework/utilities/download/getfile.php?file=../../../../../../wp- config.php HTTP/1.1 /wp-content/themes/parallelus-salutation/framework/utilities/download/getfile.php?file=../../../../../../wp- config.php HTTP/1.1 /wp-content/themes/tess/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/yakimabait/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/ypo-theme/download.php?download=../../../wp-config.php HTTP/1.1
Попереджуйте https://perishablepress.com/blackhole-bad-bots/
Інтерфейс xml-rpc Вирубити )
CDN/Firewall Ваш сайт https://www.cloudflare.com/
Ще раз бекап! «3 дня тому» На вчора «Тиждень тому»
- Робити бекап - Додати сайт у гугл- консоль - Оновлювати ядро - Оновлювати плагіни - Видалити неактивні плагіни - Оновлювати шаблони - Використовувати актуальну версію php - Ставити коректні права на директорії/файли - Не використовувати логін admin - Не використовувати префікс таблиць wp_ ЧЕКЛІСТ - Використовувати складний пароль - Захист від підбору паролів - Обмежити доступ до адмін-панелі - Використовувати плагін «захисту» - За можливості, використовувати https, sftp - Слідкувати за безпекою свого локального комп’ютера - Робити бекап бекапу ))) - Хостинг с дод.захистом
Давай, до побачення… Плагіни захисту - Ithemes Security - Wordfence https://wordpress.org/plugins/se arch.php?type=term&q=firewall П.С. В першому є чудова опція, блокувати усіх, хто авторизуєтся під admin Корисне Статті по темі http://bit.ly/wpdefence Ще приклади коду https://codex.wordpress.org/ Brute_Force_Attacks
Дякую! Нагадаю, мене звати Дмитро Кондрюк ) Я на фейсбук: fb.me/azzepis info@wphost.me
Трошки оплисків не завадить )

Recommended

Security WordCamp Kyiv 2016
Security WordCamp Kyiv 2016Security WordCamp Kyiv 2016
Security WordCamp Kyiv 2016Dmitry Kondryuk
 
TOP 2000 Ukrainian sites november 2011
TOP 2000 Ukrainian sites november 2011TOP 2000 Ukrainian sites november 2011
TOP 2000 Ukrainian sites november 2011Maksym Savanevskyi
 
Ukrainian websites-february 2015
Ukrainian websites-february 2015Ukrainian websites-february 2015
Ukrainian websites-february 2015Watcher
 
2000+ most vidsited websites in Ukraine, May 2017
2000+ most vidsited websites in Ukraine, May 20172000+ most vidsited websites in Ukraine, May 2017
2000+ most vidsited websites in Ukraine, May 2017Watcher
 
TOP websites in Ukraine, April 2017
TOP websites in Ukraine, April 2017TOP websites in Ukraine, April 2017
TOP websites in Ukraine, April 2017Watcher
 
Most popular Ukrainian websites in June 2017
Most popular Ukrainian websites in June 2017Most popular Ukrainian websites in June 2017
Most popular Ukrainian websites in June 2017Watcher
 
Most visited websites in Ukraine in March 2018
Most visited websites in Ukraine in March 2018Most visited websites in Ukraine in March 2018
Most visited websites in Ukraine in March 2018Watcher
 
2000 most visited websites in Ukraine, Jan 2018
2000 most visited websites in Ukraine, Jan 20182000 most visited websites in Ukraine, Jan 2018
2000 most visited websites in Ukraine, Jan 2018Watcher
 

Recommended

Security WordCamp Kyiv 2016
Security WordCamp Kyiv 2016Security WordCamp Kyiv 2016
Security WordCamp Kyiv 2016Dmitry Kondryuk
 
TOP 2000 Ukrainian sites november 2011
TOP 2000 Ukrainian sites november 2011TOP 2000 Ukrainian sites november 2011
TOP 2000 Ukrainian sites november 2011Maksym Savanevskyi
 
Ukrainian websites-february 2015
Ukrainian websites-february 2015Ukrainian websites-february 2015
Ukrainian websites-february 2015Watcher
 
2000+ most vidsited websites in Ukraine, May 2017
2000+ most vidsited websites in Ukraine, May 20172000+ most vidsited websites in Ukraine, May 2017
2000+ most vidsited websites in Ukraine, May 2017Watcher
 
TOP websites in Ukraine, April 2017
TOP websites in Ukraine, April 2017TOP websites in Ukraine, April 2017
TOP websites in Ukraine, April 2017Watcher
 
Most popular Ukrainian websites in June 2017
Most popular Ukrainian websites in June 2017Most popular Ukrainian websites in June 2017
Most popular Ukrainian websites in June 2017Watcher
 
Most visited websites in Ukraine in March 2018
Most visited websites in Ukraine in March 2018Most visited websites in Ukraine in March 2018
Most visited websites in Ukraine in March 2018Watcher
 
2000 most visited websites in Ukraine, Jan 2018
2000 most visited websites in Ukraine, Jan 20182000 most visited websites in Ukraine, Jan 2018
2000 most visited websites in Ukraine, Jan 2018Watcher
 
2000+ most vidsited websites in Ukraine, March 2017
2000+ most vidsited websites in Ukraine, March 20172000+ most vidsited websites in Ukraine, March 2017
2000+ most vidsited websites in Ukraine, March 2017Watcher
 
TOP websites in Ukraine, July 2016
TOP websites in Ukraine, July 2016TOP websites in Ukraine, July 2016
TOP websites in Ukraine, July 2016Watcher
 
Most popular Ukrainian websites in October 2017
Most popular Ukrainian websites in October 2017Most popular Ukrainian websites in October 2017
Most popular Ukrainian websites in October 2017Watcher
 
Ranking 2000 Most popular websites in Ukraine
Ranking 2000 Most popular websites in UkraineRanking 2000 Most popular websites in Ukraine
Ranking 2000 Most popular websites in UkraineWatcher
 
List of top2000 most popular website in Ukraine
List of top2000 most popular website in UkraineList of top2000 most popular website in Ukraine
List of top2000 most popular website in UkraineWatcher
 
Most popular websites in Ukraine December 2017
Most popular websites in Ukraine December 2017Most popular websites in Ukraine December 2017
Most popular websites in Ukraine December 2017Watcher
 
Ukrainian websites-ranking-january 2015
Ukrainian websites-ranking-january 2015Ukrainian websites-ranking-january 2015
Ukrainian websites-ranking-january 2015Watcher
 
Lectorium
LectoriumLectorium
LectoriumDmitry Kondryuk
 
Повний рейтинг відвідуваності сайтів у листопаді 2016
Повний рейтинг відвідуваності сайтів у листопаді 2016Повний рейтинг відвідуваності сайтів у листопаді 2016
Повний рейтинг відвідуваності сайтів у листопаді 2016Watcher
 
Ukrainian Most visited websites December 2015
Ukrainian Most visited websites December 2015Ukrainian Most visited websites December 2015
Ukrainian Most visited websites December 2015Watcher
 
Рейтинг найбільш відвідуваних сайтів уанету, січень 2017
Рейтинг найбільш відвідуваних сайтів уанету, січень 2017Рейтинг найбільш відвідуваних сайтів уанету, січень 2017
Рейтинг найбільш відвідуваних сайтів уанету, січень 2017Watcher
 
Ukraine internet-audience-october 2015
Ukraine internet-audience-october 2015Ukraine internet-audience-october 2015
Ukraine internet-audience-october 2015Watcher
 
Ukrainian web sites r anking november 2012
Ukrainian web sites r anking november 2012Ukrainian web sites r anking november 2012
Ukrainian web sites r anking november 2012Watcher
 
Повний рейтинг відвідуваності сайтів у жовтні 2016
Повний рейтинг відвідуваності сайтів у жовтні 2016Повний рейтинг відвідуваності сайтів у жовтні 2016
Повний рейтинг відвідуваності сайтів у жовтні 2016Watcher
 
Повний рейтинг відвідуваності сайтів у грудні 2016
Повний рейтинг відвідуваності сайтів у грудні 2016Повний рейтинг відвідуваності сайтів у грудні 2016
Повний рейтинг відвідуваності сайтів у грудні 2016Watcher
 
Top ukrainian-sites-fabruary-2013
Top ukrainian-sites-fabruary-2013Top ukrainian-sites-fabruary-2013
Top ukrainian-sites-fabruary-2013Watcher
 
Ukrainian Most visited websites August 2016
Ukrainian Most visited websites August 2016Ukrainian Most visited websites August 2016
Ukrainian Most visited websites August 2016Watcher
 
Ukrainian Most visited websites September 2016
Ukrainian Most visited websites September 2016Ukrainian Most visited websites September 2016
Ukrainian Most visited websites September 2016Watcher
 
List of the most popular Ukrainian Web-sites, November 2015
List of the most popular Ukrainian Web-sites, November 2015List of the most popular Ukrainian Web-sites, November 2015
List of the most popular Ukrainian Web-sites, November 2015Watcher
 
Ukrainian web sites ranking july 2012
Ukrainian web sites ranking july 2012Ukrainian web sites ranking july 2012
Ukrainian web sites ranking july 2012Watcher
 
P.S. I love you
P.S. I love youP.S. I love you
P.S. I love youOleksandr Strikha
 
OOP и WordPress. Подумаем о будущем проекта.
OOP и WordPress. Подумаем о будущем проекта.OOP и WordPress. Подумаем о будущем проекта.
OOP и WordPress. Подумаем о будущем проекта.Oleksandr Strikha
 

More Related Content

What's hot

2000+ most vidsited websites in Ukraine, March 2017
2000+ most vidsited websites in Ukraine, March 20172000+ most vidsited websites in Ukraine, March 2017
2000+ most vidsited websites in Ukraine, March 2017Watcher
 
TOP websites in Ukraine, July 2016
TOP websites in Ukraine, July 2016TOP websites in Ukraine, July 2016
TOP websites in Ukraine, July 2016Watcher
 
Most popular Ukrainian websites in October 2017
Most popular Ukrainian websites in October 2017Most popular Ukrainian websites in October 2017
Most popular Ukrainian websites in October 2017Watcher
 
Ranking 2000 Most popular websites in Ukraine
Ranking 2000 Most popular websites in UkraineRanking 2000 Most popular websites in Ukraine
Ranking 2000 Most popular websites in UkraineWatcher
 
List of top2000 most popular website in Ukraine
List of top2000 most popular website in UkraineList of top2000 most popular website in Ukraine
List of top2000 most popular website in UkraineWatcher
 
Most popular websites in Ukraine December 2017
Most popular websites in Ukraine December 2017Most popular websites in Ukraine December 2017
Most popular websites in Ukraine December 2017Watcher
 
Ukrainian websites-ranking-january 2015
Ukrainian websites-ranking-january 2015Ukrainian websites-ranking-january 2015
Ukrainian websites-ranking-january 2015Watcher
 
Повний рейтинг відвідуваності сайтів у листопаді 2016
Повний рейтинг відвідуваності сайтів у листопаді 2016Повний рейтинг відвідуваності сайтів у листопаді 2016
Повний рейтинг відвідуваності сайтів у листопаді 2016Watcher
 
Ukrainian Most visited websites December 2015
Ukrainian Most visited websites December 2015Ukrainian Most visited websites December 2015
Ukrainian Most visited websites December 2015Watcher
 
Рейтинг найбільш відвідуваних сайтів уанету, січень 2017
Рейтинг найбільш відвідуваних сайтів уанету, січень 2017Рейтинг найбільш відвідуваних сайтів уанету, січень 2017
Рейтинг найбільш відвідуваних сайтів уанету, січень 2017Watcher
 
Ukraine internet-audience-october 2015
Ukraine internet-audience-october 2015Ukraine internet-audience-october 2015
Ukraine internet-audience-october 2015Watcher
 
Ukrainian web sites r anking november 2012
Ukrainian web sites r anking november 2012Ukrainian web sites r anking november 2012
Ukrainian web sites r anking november 2012Watcher
 
Повний рейтинг відвідуваності сайтів у жовтні 2016
Повний рейтинг відвідуваності сайтів у жовтні 2016Повний рейтинг відвідуваності сайтів у жовтні 2016
Повний рейтинг відвідуваності сайтів у жовтні 2016Watcher
 
Повний рейтинг відвідуваності сайтів у грудні 2016
Повний рейтинг відвідуваності сайтів у грудні 2016Повний рейтинг відвідуваності сайтів у грудні 2016
Повний рейтинг відвідуваності сайтів у грудні 2016Watcher
 
Top ukrainian-sites-fabruary-2013
Top ukrainian-sites-fabruary-2013Top ukrainian-sites-fabruary-2013
Top ukrainian-sites-fabruary-2013Watcher
 
Ukrainian Most visited websites August 2016
Ukrainian Most visited websites August 2016Ukrainian Most visited websites August 2016
Ukrainian Most visited websites August 2016Watcher
 
Ukrainian Most visited websites September 2016
Ukrainian Most visited websites September 2016Ukrainian Most visited websites September 2016
Ukrainian Most visited websites September 2016Watcher
 
List of the most popular Ukrainian Web-sites, November 2015
List of the most popular Ukrainian Web-sites, November 2015List of the most popular Ukrainian Web-sites, November 2015
List of the most popular Ukrainian Web-sites, November 2015Watcher
 
Ukrainian web sites ranking july 2012
Ukrainian web sites ranking july 2012Ukrainian web sites ranking july 2012
Ukrainian web sites ranking july 2012Watcher
 

What's hot (20)

2000+ most vidsited websites in Ukraine, March 2017
2000+ most vidsited websites in Ukraine, March 20172000+ most vidsited websites in Ukraine, March 2017
2000+ most vidsited websites in Ukraine, March 2017
 
TOP websites in Ukraine, July 2016
TOP websites in Ukraine, July 2016TOP websites in Ukraine, July 2016
TOP websites in Ukraine, July 2016
 
Most popular Ukrainian websites in October 2017
Most popular Ukrainian websites in October 2017Most popular Ukrainian websites in October 2017
Most popular Ukrainian websites in October 2017
 
Ranking 2000 Most popular websites in Ukraine
Ranking 2000 Most popular websites in UkraineRanking 2000 Most popular websites in Ukraine
Ranking 2000 Most popular websites in Ukraine
 
List of top2000 most popular website in Ukraine
List of top2000 most popular website in UkraineList of top2000 most popular website in Ukraine
List of top2000 most popular website in Ukraine
 
Most popular websites in Ukraine December 2017
Most popular websites in Ukraine December 2017Most popular websites in Ukraine December 2017
Most popular websites in Ukraine December 2017
 
Ukrainian websites-ranking-january 2015
Ukrainian websites-ranking-january 2015Ukrainian websites-ranking-january 2015
Ukrainian websites-ranking-january 2015
 
Lectorium
LectoriumLectorium
Lectorium
 
Повний рейтинг відвідуваності сайтів у листопаді 2016
Повний рейтинг відвідуваності сайтів у листопаді 2016Повний рейтинг відвідуваності сайтів у листопаді 2016
Повний рейтинг відвідуваності сайтів у листопаді 2016
 
Ukrainian Most visited websites December 2015
Ukrainian Most visited websites December 2015Ukrainian Most visited websites December 2015
Ukrainian Most visited websites December 2015
 
Рейтинг найбільш відвідуваних сайтів уанету, січень 2017
Рейтинг найбільш відвідуваних сайтів уанету, січень 2017Рейтинг найбільш відвідуваних сайтів уанету, січень 2017
Рейтинг найбільш відвідуваних сайтів уанету, січень 2017
 
Ukraine internet-audience-october 2015
Ukraine internet-audience-october 2015Ukraine internet-audience-october 2015
Ukraine internet-audience-october 2015
 
Ukrainian web sites r anking november 2012
Ukrainian web sites r anking november 2012Ukrainian web sites r anking november 2012
Ukrainian web sites r anking november 2012
 
Повний рейтинг відвідуваності сайтів у жовтні 2016
Повний рейтинг відвідуваності сайтів у жовтні 2016Повний рейтинг відвідуваності сайтів у жовтні 2016
Повний рейтинг відвідуваності сайтів у жовтні 2016
 
Повний рейтинг відвідуваності сайтів у грудні 2016
Повний рейтинг відвідуваності сайтів у грудні 2016Повний рейтинг відвідуваності сайтів у грудні 2016
Повний рейтинг відвідуваності сайтів у грудні 2016
 
Top ukrainian-sites-fabruary-2013
Top ukrainian-sites-fabruary-2013Top ukrainian-sites-fabruary-2013
Top ukrainian-sites-fabruary-2013
 
Ukrainian Most visited websites August 2016
Ukrainian Most visited websites August 2016Ukrainian Most visited websites August 2016
Ukrainian Most visited websites August 2016
 
Ukrainian Most visited websites September 2016
Ukrainian Most visited websites September 2016Ukrainian Most visited websites September 2016
Ukrainian Most visited websites September 2016
 
List of the most popular Ukrainian Web-sites, November 2015
List of the most popular Ukrainian Web-sites, November 2015List of the most popular Ukrainian Web-sites, November 2015
List of the most popular Ukrainian Web-sites, November 2015
 
Ukrainian web sites ranking july 2012
Ukrainian web sites ranking july 2012Ukrainian web sites ranking july 2012
Ukrainian web sites ranking july 2012
 

Viewers also liked

OOP и WordPress. Подумаем о будущем проекта.
OOP и WordPress. Подумаем о будущем проекта.OOP и WordPress. Подумаем о будущем проекта.
OOP и WordPress. Подумаем о будущем проекта.Oleksandr Strikha
 
Moving the design process to the browser
Moving the design process to the browserMoving the design process to the browser
Moving the design process to the browserOleksandr Strikha
 
Як я запускаю проекти без програмування на WordPress і скільки це коштує
Як я запускаю проекти без програмування на WordPress і скільки це коштуєЯк я запускаю проекти без програмування на WordPress і скільки це коштує
Як я запускаю проекти без програмування на WordPress і скільки це коштуєOleksandr Strikha
 
Вывод своих плагинов на глобальный рынок: их продвижение, контент-маркетинг, ...
Вывод своих плагинов на глобальный рынок: их продвижение, контент-маркетинг, ...Вывод своих плагинов на глобальный рынок: их продвижение, контент-маркетинг, ...
Вывод своих плагинов на глобальный рынок: их продвижение, контент-маркетинг, ...Oleksandr Strikha
 
WordPress is at the core of the advertising revolution — but it’s not perfect
WordPress is at the core of the advertising revolution — but it’s not perfectWordPress is at the core of the advertising revolution — but it’s not perfect
WordPress is at the core of the advertising revolution — but it’s not perfectOleksandr Strikha
 
Зачем вам нужен BuddyPress?
Зачем вам нужен BuddyPress?Зачем вам нужен BuddyPress?
Зачем вам нужен BuddyPress?Oleksandr Strikha
 

Viewers also liked (7)

P.S. I love you
P.S. I love youP.S. I love you
P.S. I love you
 
OOP и WordPress. Подумаем о будущем проекта.
OOP и WordPress. Подумаем о будущем проекта.OOP и WordPress. Подумаем о будущем проекта.
OOP и WordPress. Подумаем о будущем проекта.
 
Moving the design process to the browser
Moving the design process to the browserMoving the design process to the browser
Moving the design process to the browser
 
Як я запускаю проекти без програмування на WordPress і скільки це коштує
Як я запускаю проекти без програмування на WordPress і скільки це коштуєЯк я запускаю проекти без програмування на WordPress і скільки це коштує
Як я запускаю проекти без програмування на WordPress і скільки це коштує
 
Вывод своих плагинов на глобальный рынок: их продвижение, контент-маркетинг, ...
Вывод своих плагинов на глобальный рынок: их продвижение, контент-маркетинг, ...Вывод своих плагинов на глобальный рынок: их продвижение, контент-маркетинг, ...
Вывод своих плагинов на глобальный рынок: их продвижение, контент-маркетинг, ...
 
WordPress is at the core of the advertising revolution — but it’s not perfect
WordPress is at the core of the advertising revolution — but it’s not perfectWordPress is at the core of the advertising revolution — but it’s not perfect
WordPress is at the core of the advertising revolution — but it’s not perfect
 
Зачем вам нужен BuddyPress?
Зачем вам нужен BuddyPress?Зачем вам нужен BuddyPress?
Зачем вам нужен BuddyPress?
 

САМБО для WordPress

  • 2. Привіт! Мене звуть - Дмитро І я алкоголік люблю WordPress. Додавайте у друзі: fb.me/azzepis fb.me/WPHostme
  • 6. 16,600,000 Атак за 7 днів, з них 2,036,508 з однієї IP адреси, направлені проти 30+ тис. сайтів. Статистика Wordfence https://goo.gl/ktyQBa Meet Ivan from St. Petersburg, Russia
  • 7. і з чим його їдять….. Ща за звір - OpenSource
  • 8. 6,611,909 Атак за 16 годин, направлених проти 70+ тис. сайтів. Статистика Wordfence https://goo.gl/nYzZrR Meet Svitogor from Ukraine
  • 10. SEO – результати в google/yandex Цей сайт може нашкодити вашому комп'ютеру Цей сайт може нашкодити вашому комп'ютеру Цей сайт може нашкодити вашому комп'ютеру
  • 12. Яке мені діло? [root@server ~]# cat /var/log/exim/main.log | grep "steam“ 2016-09-07 00:27:10 H=smtp01.steampowered.com [208.64.202.37] F=<noreply@steampowered.com> rejected RCPT <admin@***>: rejected because 208.64.202.37 is in a black list at dnsbl.sorbs.netnCurrently Sending Spam See: http://www.sorbs.net/lookup.shtml?208.64.202.37 2016-09-07 22:58:12 H=smtp03.steampowered.com [208.64.202.39] F=<noreply@steampowered.com> rejected RCPT <admin@***>: rejected because 208.64.202.39 is in a black list at dnsbl.sorbs.netnCurrently Sending Spam See: http://www.sorbs.net/lookup.shtml?208.64.202.39
  • 13.  Ecommerce – доступність сайту 24/7  SEO – результати в google/yandex  Репутація домену , IP  Доставка листів з корпоративних скриньок  Витрати – оплата дод.ресурсів, дод.робіт (хостинг, чистка, відновлення даних…..)  Особисті дані (напр. Дані клієнтів) Яке мені діло?
  • 17. «Дірки» у плагінах + слабкий пароль > 70% проблем ЯК?
  • 18. Основні причини Ви у списку Випадково ) Ви - ціль Ваш логин admin и пароль Qwerty123 
  • 20. Плагін Всього атак Сайтів атаковано filedownload 46037 21373 ajax-store-locator-wordpress 44123 20558 plugin-newsletter 38227 18351 pica-photo-gallery 37795 18126 simple-download-button-shortcode 37684 18066 wp-filemanager 37457 17236 tinymce-thumbnail-gallery 37270 17888 dukapress 36697 17495 XXXXXX* 36303 17358 db-backup 34966 16627 Проблеми з плагінами https://wordpress.org/plugins/slug
  • 23. Ваш логін admin и пароль Qwerty123 Якщо у якості паролю використати «Чак Норіс», отримаєте повідомлення, що пароль занадто МІЦНИЙ…
  • 24. 10 цифр, за 0,001 сек Пароль з 10 символів (літери + цифри) може бути підібрано приблизно за 1 добу. Суперкомп’ютер підбере пароль, що складається з Цікава статистика https://www.betterbuys.com/estimating-password-cracking-times/
  • 25. Як не втрапити у пастку? Проблеми з Шаблонами Шаблон Всього атак Сайтів infocus 83095 20587 acento 43898 20481 XXXXX* 43613 20340 jarida 43451 20292 markant 43307 20259 yakimabait 43291 20300 tess 43015 20110 felis 42854 20030 ypo-theme 42671 19995 persuasion 41527 20316 echelon 41398 20264 modular 41322 20263 awake 41123 20145 fusion 41012 20132 method 40908 20101 myriad 40702 20007 elegance 40677 19976 dejavu 40551 19997 construct 40278 19882 epic 37141 17850 linenity 36656 17619 parallelus-salutation 36586 17623 trinity 36295 17503 antioch 36180 17322 urbancity 36118 17416 parallelus-mingle 35740 17179 authentic 35683 17073 churchope 35532 17040 lote 35445 17027
  • 28. Жодних правок у ядрі! Ядро Тільки код, написаний Чаком Норісом, має одну версію… А той, хто сповістить про баг, не доживає до світанку…
  • 29. Кожен раз, коли ви редагуєте файли ядра, вмирає одне кошеня… Оновлюйтесь до «мінорних» версій, намагайтеся оновлюватися до «мажорних» П.С. Бекап..…
  • 30. Жоден сайт не захищений на 100% Безпека сайту - це НЕ продукт, це процес
  • 31. shut up and dance Х+1 метод захисту для усіх і кожного
  • 32. Про всякий випадок….. Мене звуть, Дмитро Додавайте у друзі: fb.me/azzepis
  • 33. ТРИ КИТИ Оновлення Одна з найбільших «дірок» у безпеці WP – це застаріле ПЗ (ядро, плагіни, теми) Оновлюйтесь хоча б до мінорних версій ядра! Паролі Усі знають, що потрібно використовувати складні паролі. Це ускладнює підбір. Бекап Ще раз бекап, і потім все це забекапити разок…..
  • 34. ВИКОРИСТОВУЮ - Переглянути активні плагіни і половину вимкнути - З тих, що залишились активними, обрати такі, якими будете користуватись, інші вимкнути - З тих, що вціліли, залишити лише ті, без яких сайт не буде працювати взагалі… ПЛАГІНИ НЕ ВИКОРИСТОВУЮ Усі плагіни, що Ви не використовуєте, необхідно видалити з серверу/сайту. П.С. Обновлення – також не забуваємо..!
  • 36. Пароль та сторінка входу Проблема - brute force, рішення: ✖ Змінити адресу входу, реєстрації, відновлення паролів. ✖ Складний пароль ✖ Обмеження по IP ✖ Авторизація по email
  • 37. Пароль та сторінка входу Рекомендую: ✖ Не використовувати логін admin (не надавати роль адміна кому заманеться) ✖ Плагін https://wordpress.org/plugins/better-wp-security/ ✖ Плагін https://wordpress.org/plugins/rename-wp-login/ ✖ Плагін https://wordpress.org/plugins/wp-email-login/ ✖ Приховати імена користувачів в адресах сторінок https://wordpress.org/plugins/edit-author-slug/ ✖ В якості паролів можна використати будь-яку фразу, напр., «Ласкаво просимо до WordPress!» . Використовувати слова «Чак» та «Норіс», але тіьльки по одному!
  • 39. І це не дурня! )) Додай /?author=1
  • 40. І це не дурня! )) Додай /?author=1
  • 43. Ховаємось, захищаємось #.htaccess <files readme.html> order allow,deny deny from all </files> // functions.php function wpua_remove_version() { return ''; } add_filter('the_generator', 'wpua_remove_version');
  • 45. /wp-content/uploads/.htaccess <Files *.php> deny from all </Files> У цій директорії не має бути подібних файлів
  • 46. Будьте у курсі….. - Додайте сайт у консоль google search - Переглядайте час від часу зміст файлів robots.txt , .htaccess, sitemap.xml
  • 47. Редактор кодів, встановлення «модів» define( 'DISALLOW_FILE_EDIT', true ); define( 'DISALLOW_FILE_MODS', true ); Одне з двох…
  • 48. wp-config.php <files wp-config.php> order allow,deny deny from all </files> Чи на рівень вище….. Одне з двох чи два ))…
  • 49. Сторінка авторизації <Files wp-login.php> order deny,allow Deny from all # только мой IP адрес allow from 102.108.5.1 </files>
  • 50. Адмінка # Block access to wp-admin. order deny,allow allow from x.x.x.x deny from all # Allow access to wp-admin/admin-ajax.php <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files>
  • 52. 404 – Indexes = Love! GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php inurl:/wp-content/plugins/revslider/ /wp-content/force-download.php?file=../wp-config.php HTTP/1.1 /wp-content/plugins/ajax-store-locator-wordpress_0/sl_file_download.php?download_file=../../../wp- config.php HTTP/1.1 /wp-content/plugins/filedownload/download.php/?path=../../../wp-config.php HTTP/1.1 /wp-content/plugins/google-mp3-audio-player/direct_download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/plugins/pica-photo-gallery/picadownload.php?imgname=../../../wp-config.php HTTP/1.1 /wp-content/plugins/plugin-newsletter/preview.php?data=../../../../wp-config.php HTTP/1.1 /wp-content/plugins/simple-download-button-shortcode/simple-download- button_dl.php?file=../../../../wp-config.php HTTP/1.1 /wp-content/plugins/tinymce-thumbnail-gallery/php/download-image.php?href=../../../../wp-config.php HTTP/1.1 /wp-content/themes/MichaelCanthony/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/Newspapertimes_1/download.php?filename=../../../wp-config.php HTTP/1.1 /wp-content/themes/SMWF/inc/download.php?file=../../../../wp-config.php HTTP/1.1 /wp-content/themes/TheLoft/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/acento/includes/view-pdf.php?download=1&file=../../../../wp-config.php HTTP/1.1 /wp-content/themes/churchope/lib/downloadlink.php?file=../../../../wp-config.php HTTP/1.1 /wp-content/themes/corporate_works/downloader.php?file_download=../../../wp-config.php HTTP/1.1 /wp-content/themes/felis/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/jarida/download.php?uri=../../../wp-config.php HTTP/1.1 /wp-content/themes/lote27/download.php?download=../../../wp-config.php HTTP/1.1 /wp-content/themes/markant/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/parallelus-mingle/framework/utilities/download/getfile.php?file=../../../../../../wp- config.php HTTP/1.1 /wp-content/themes/parallelus-salutation/framework/utilities/download/getfile.php?file=../../../../../../wp- config.php HTTP/1.1 /wp-content/themes/tess/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/yakimabait/download.php?file=../../../wp-config.php HTTP/1.1 /wp-content/themes/ypo-theme/download.php?download=../../../wp-config.php HTTP/1.1
  • 56. Ще раз бекап! «3 дня тому» На вчора «Тиждень тому»
  • 57. - Робити бекап - Додати сайт у гугл- консоль - Оновлювати ядро - Оновлювати плагіни - Видалити неактивні плагіни - Оновлювати шаблони - Використовувати актуальну версію php - Ставити коректні права на директорії/файли - Не використовувати логін admin - Не використовувати префікс таблиць wp_ ЧЕКЛІСТ - Використовувати складний пароль - Захист від підбору паролів - Обмежити доступ до адмін-панелі - Використовувати плагін «захисту» - За можливості, використовувати https, sftp - Слідкувати за безпекою свого локального комп’ютера - Робити бекап бекапу ))) - Хостинг с дод.захистом
  • 58. Давай, до побачення… Плагіни захисту - Ithemes Security - Wordfence https://wordpress.org/plugins/se arch.php?type=term&q=firewall П.С. В першому є чудова опція, блокувати усіх, хто авторизуєтся під admin Корисне Статті по темі http://bit.ly/wpdefence Ще приклади коду https://codex.wordpress.org/ Brute_Force_Attacks
  • 59. Дякую! Нагадаю, мене звати Дмитро Кондрюк ) Я на фейсбук: fb.me/azzepis info@wphost.me