Безопасность сайта на платформе WordPress: проблемы и решения Лев Звягинцев, Теплица социальных технологий Москва, 16 марта 2015
Теплица социальных технологий
Лев Звягинцев веб-разработчик, аналитик, консультант
www.te-st.ru
Безопасность сайта: основы
Зачем угрожают сайтам ● Получение доступа к закрытому контенту. ● Включение сайта в botnet. ● Внедрение чужеродного контента. ● Саботаж работы сайта. ● Чтобы убить время.
Популярные технологии взлома ● Уязвимости файловой системы ● SQL-инъекции ● Mail-инъекции ● HTTP-инъекции ● Eval() ● XSS ● CSRF ● Небрежности программистов ● Уязвимости хостинга ● ...тысячи их.
Что изменили CMS?
Что изменили CMS? ● Больше возможностей для вас ● Способы защиты могут тиражироваться ● Лучше таргетинг угроз ● Способы взлома могут тиражироваться
Безопасность твоего сайта в твоих руках
Уязвимости кода
● Только проверенный код из репозиториев ● Обновляйте код как можно чаще: ○ Ядро, плагины, темы ○ Браузер, антивирус и другие инструменты
● Только необходимые модули на сайте ● Причина большинства взломов WordPress
Уязвимости доступа к данным ● Только качественные пароли ○ … и правильные логины :) ● Многофакторная система авторизации ○ Обычный логин/пароль ○ HTTP-аутентификация ○ Google Authenticator ○ Для самых выносливых: капча
Уязвимости доступа к файлам ● Надёжный хостинг ○ И его саппорт
● Правильная настройка сервера ○
В том числе прав доступа к файлам и папкам
Закрытие основных лазеек ● Фильтрация данных от пользователей ● Сокрытие информации о версии движка ● Удаление сторонних ссылок ● Запрет редактирования кода средствами движка ● Защита ключевых файлов конфигурации ● Настройка директив для .htaccess
Резервное копирование ● Средствами сервера ○ Дополнительная услуга хостинга
● Средствами сайта ○ Специальные инструменты
● Облачные средства ○ Самые надёжные, чаще всего платные ○ От Acronis, Селектел, Amazon...
Для самых упорных - дополнительные услуги
Аудит безопасности сайта
Penetration testing
TOP-5 плагинов для безопасности
● All in one WP security and Firewall ○ Решает большинство вышеназванных задач для WordPress
● Bulletproof Security ○ Аналог предыдущего
● Google Authenticator
● Sucuri Security ● VaultPress ○ Платные сервисы безапасности
Успешной работы!
te-st.ru facebook.com/TeplitsaST