6. 16,600,000
Атак за 7 днів, з них 2,036,508 з однієї IP адреси,
направлені проти 30+ тис. сайтів.
Статистика Wordfence https://goo.gl/ktyQBa
Meet Ivan from St. Petersburg, Russia
10. SEO – результати в google/yandex
Цей сайт може нашкодити вашому комп'ютеру
Цей сайт може нашкодити вашому комп'ютеру
Цей сайт може нашкодити вашому комп'ютеру
12. Яке мені діло?
[root@server ~]# cat /var/log/exim/main.log | grep "steam“
2016-09-07 00:27:10 H=smtp01.steampowered.com [208.64.202.37]
F=<noreply@steampowered.com> rejected RCPT <admin@***>:
rejected because 208.64.202.37 is in a black list at
dnsbl.sorbs.netnCurrently
Sending Spam See: http://www.sorbs.net/lookup.shtml?208.64.202.37
2016-09-07 22:58:12 H=smtp03.steampowered.com [208.64.202.39]
F=<noreply@steampowered.com> rejected RCPT <admin@***>:
rejected because 208.64.202.39 is in a black list at
dnsbl.sorbs.netnCurrently
Sending Spam See: http://www.sorbs.net/lookup.shtml?208.64.202.39
13. Ecommerce – доступність сайту 24/7
SEO – результати в google/yandex
Репутація домену , IP
Доставка листів з корпоративних скриньок
Витрати – оплата дод.ресурсів, дод.робіт
(хостинг, чистка, відновлення даних…..)
Особисті дані (напр. Дані клієнтів)
Яке мені діло?
23. Ваш логін admin и пароль Qwerty123
Якщо у якості паролю
використати «Чак Норіс»,
отримаєте повідомлення, що
пароль занадто
МІЦНИЙ…
24. 10 цифр,
за 0,001 сек
Пароль з 10 символів (літери + цифри) може бути
підібрано приблизно за 1 добу.
Суперкомп’ютер підбере пароль, що складається з
Цікава статистика https://www.betterbuys.com/estimating-password-cracking-times/
28. Жодних правок у ядрі!
Ядро
Тільки код, написаний Чаком Норісом, має одну версію…
А той, хто сповістить про баг, не доживає до світанку…
29. Кожен раз, коли ви
редагуєте файли ядра,
вмирає одне кошеня…
Оновлюйтесь до «мінорних» версій, намагайтеся
оновлюватися до «мажорних»
П.С. Бекап..…
30. Жоден сайт не захищений на 100%
Безпека сайту - це НЕ продукт,
це процес
31. shut up and dance
Х+1 метод захисту для усіх і кожного
33. ТРИ КИТИ
Оновлення
Одна з найбільших «дірок» у
безпеці WP – це застаріле
ПЗ (ядро, плагіни, теми)
Оновлюйтесь хоча б до
мінорних версій ядра!
Паролі
Усі знають, що
потрібно
використовувати
складні паролі. Це
ускладнює підбір.
Бекап
Ще раз бекап, і потім все
це забекапити разок…..
34. ВИКОРИСТОВУЮ
- Переглянути активні плагіни і
половину вимкнути
- З тих, що залишились активними,
обрати такі, якими будете
користуватись, інші вимкнути
- З тих, що вціліли, залишити лише
ті, без яких сайт не буде
працювати взагалі…
ПЛАГІНИ
НЕ ВИКОРИСТОВУЮ
Усі плагіни, що Ви не
використовуєте, необхідно
видалити з серверу/сайту.
П.С. Обновлення – також
не забуваємо..!
36. Пароль та сторінка входу
Проблема - brute force, рішення:
✖ Змінити адресу входу, реєстрації, відновлення паролів.
✖ Складний пароль
✖ Обмеження по IP
✖ Авторизація по email
37. Пароль та сторінка входу
Рекомендую:
✖ Не використовувати логін admin (не надавати роль адміна кому
заманеться)
✖ Плагін https://wordpress.org/plugins/better-wp-security/
✖ Плагін https://wordpress.org/plugins/rename-wp-login/
✖ Плагін https://wordpress.org/plugins/wp-email-login/
✖ Приховати імена користувачів в адресах сторінок
https://wordpress.org/plugins/edit-author-slug/
✖ В якості паролів можна використати будь-яку фразу, напр.,
«Ласкаво просимо до WordPress!» . Використовувати слова
«Чак» та «Норіс», але тіьльки по одному!
50. Адмінка
# Block access to wp-admin.
order deny,allow
allow from x.x.x.x
deny from all
# Allow access to wp-admin/admin-ajax.php
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
57. - Робити бекап
- Додати сайт у гугл-
консоль
- Оновлювати ядро
- Оновлювати плагіни
- Видалити неактивні
плагіни
- Оновлювати шаблони
- Використовувати
актуальну версію php
- Ставити коректні права
на директорії/файли
- Не використовувати
логін admin
- Не використовувати
префікс таблиць wp_
ЧЕКЛІСТ
- Використовувати
складний пароль
- Захист від підбору
паролів
- Обмежити доступ до
адмін-панелі
- Використовувати плагін
«захисту»
- За можливості,
використовувати https,
sftp
- Слідкувати за безпекою
свого локального
комп’ютера
- Робити бекап бекапу )))
- Хостинг с дод.захистом
58. Давай, до побачення…
Плагіни захисту
- Ithemes Security
- Wordfence
https://wordpress.org/plugins/se
arch.php?type=term&q=firewall
П.С. В першому є чудова
опція, блокувати усіх, хто
авторизуєтся під admin
Корисне
Статті по темі
http://bit.ly/wpdefence
Ще приклади коду
https://codex.wordpress.org/
Brute_Force_Attacks