Безопасность сайта на платформе wordpress
DESCRIPTION
Слайды презентации Льва Звягинцева в рамках митапа Теплицы социальных технологийTRANSCRIPT
Лев Звягинцев, Теплица социальных технологийМосква, 16 марта 2015
Безопасность сайта на платформе WordPress: проблемы и решения
Теплица социальных технологий
www.te-st.ru
веб-разработчик, аналитик, консультант
Лев Звягинцев
Безопасность сайта: основы
Зачем угрожают сайтам
● Получение доступа к закрытому контенту.
● Включение сайта в botnet.
● Внедрение чужеродного контента.
● Саботаж работы сайта.
● Чтобы убить время.
Популярные технологии взлома
● Уязвимости файловой системы
● SQL-инъекции
● Mail-инъекции
● HTTP-инъекции
● Eval()
● XSS
● CSRF
● Небрежности программистов
● Уязвимости хостинга
● ...тысячи их.
Что изменили CMS?
Что изменили CMS?
● Больше возможностей для вас
● Способы защиты могут тиражироваться
● Лучше таргетинг угроз
● Способы взлома могут тиражироваться
Безопасность твоего сайта - в твоих руках
Уязвимости кода
● Только проверенный код из репозиториев
● Обновляйте код как можно чаще:○ Ядро, плагины, темы
○ Браузер, антивирус и другие инструменты
● Только необходимые модули на сайте
● Причина большинства взломов WordPress
Уязвимости доступа к данным
● Только качественные пароли○ … и правильные логины :)
● Многофакторная система авторизации○ Обычный логин/пароль
○ HTTP-аутентификация
○ Google Authenticator
○ Для самых выносливых: капча
Уязвимости доступа к файлам
● Надёжный хостинг○ И его саппорт
● Правильная настройка сервера○ В том числе прав доступа к файлам и папкам
Закрытие основных лазеек
● Фильтрация данных от пользователей
● Сокрытие информации о версии движка
● Удаление сторонних ссылок
● Запрет редактирования кода средствами
движка
● Защита ключевых файлов конфигурации
● Настройка директив для .htaccess
Резервное копирование
● Средствами сервера○ Дополнительная услуга хостинга
● Средствами сайта○ Специальные инструменты
● Облачные средства○ Самые надёжные, чаще всего платные○ От Acronis, Селектел, Amazon...
Для самых упорных - дополнительные услуги
Аудит безопасности сайта Penetration testing
TOP-5 плагинов для безопасности
● All in one WP security and Firewall○ Решает большинство вышеназванных задач для WordPress
● Bulletproof Security○ Аналог предыдущего
● Google Authenticator
● Sucuri Security● VaultPress
○ Платные сервисы безапасности
Успешной работы!
te-st.rufacebook.com/TeplitsaST