View
231
Download
0
Category
Preview:
Citation preview
WordPress Security Brecht Ryckaert
Brecht Ryckaert
- Support engineer @ Combell.com- WordPress sinds 1.5- Blogger (tot 2010 techblogger)- Auteur- WordCamp Netherlands 2014
WordPress Security 101
• Amazon Kindle
• + 1800 exemplaren
• Blijft een “work in progress”
• Eerstkomende update ergens in de komende 4 weken
Wie zijn site werd al eens gehacked of had een site van een client die gehacked is geweest?
“Is WordPress nog veilig?”
Tuurlijk!
“Een keten is zo sterk als zijn zwakste schakel."
WordPress hacking - de dreigingen
Onderzoek van WPMUdev heeft uitgewezen dat hacking gebeurt door volgende oorzaken:
• 50%: thema’s of plugins
• 25%: WordPress core (verouderde versies)
• 25%: server configuratie + andere factoren
Wie van jullie installeert security plugins in zijn/haar WordPress websites?
En bij wie van die mensen is dat de enige beveiligingsmaatregel?
Wie gebruikt FTP om bestanden op zijn website te plaatsen en eventuele code te bewerken?
FTP
Uit persoonlijke ervaring heb ik geleerd dat FTP eveneens een bijzonder zwakke schakel is. Heel wat hacks gebeuren middels gestolen FTP-gegevens die men heeft bemachtigd via:
• Keyloggers
• Virussen (meestal trojans)
• Andere malware of spyware
• Lekken in oudere versies van software (Acrobat Reader 8, Flash Player)
FTP
Hoe vermijden we hacking via FTP:
• Geen FTP gebruiken! Gebruik SFTP waar mogelijk.
• OS up to date houden
• Software up to date houden
• Gebruik anti-virus + anti-malware + firewall software
Welke soorten aanvallen?
*Meest voorkomende soorten
Type 1 Backdoors
Type 2 Drive By Downloads
Type 3 Pharma Hack
Type 4 Malafide Redirects
Hoe gaan we dergelijke hacks vermijden?
Security in WordPress Plugins, Themes & Best Practices
Security door middel van plugins
iThemes Security
Wordfence Security
Sucuri Security
Sucuri Security Website Firewall
Bulletproof Security
Limit Login Attempts
All in one WP Security & Firewall
…
Security mét plugins
• Beperk het aantal plugins waar mogelijk
• Verwijder gedeactiveerde plugins altijd
• Hou je plugins altijd up to date
• Probeer je te beperken tot plugins uit de officiële WordPress plugin repository (http://www.wordpress.org/plugins)
• Check altijd hoe lang geleden de laatste update uitgegeven werd.
WordPress gebruikers
• Gebruik geen admin user, verwijder deze na installatie!
• Kies een goed wachtwoord: - Hoofdletters & kleine letters- Cijfers- Speciale tekens (@, !, ?, …) - Gebruik geen bestaande woorden
WordPress Themes
• Altijd up to date houden
• Gratis theme? Altijd via http://www.wordpress.org/themes.
• Premium themes? Hou dit altijd goed up to date
• Nooit themes aanpassen in de theme files zelf. Werk ALTIJD met een child theme voor aanpassingen.
Eigen thema gemaakt?
• test met https://wordpress.org/plugins/theme-check/
WordPress opties
• Pingbacks uitschakelen
• User Registration uitschakelen indien niet noodzakelijk
De bestandsstructuur Tweaks binnen je hosting
Toegang tot gevoelige files blokkeren via htaccessOptions All -Indexes<files .htaccess> Order allow,deny Deny from all</files><files readme.html>Order allow,deny Deny from all</files><files license.txt> Order allow,deny Deny from all</files><files install.php> Order allow,deny Deny from all</files><files wp-config.php>Order allow,deny Deny from all</files>
Plaats dit in de hoofdmap van je WordPress-installatie
Injections blokkeren via htaccess<IfModule mod_rewrite.c>RewriteEngine OnRewriteBase /RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]RewriteRule ^(.*)$ - [F,L] RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR] RewriteCond %{QUERY_STRING} boot\.ini [NC,OR] RewriteCond %{QUERY_STRING} tag\= [NC,OR]RewriteCond %{QUERY_STRING} ftp\: [NC,OR] RewriteCond %{QUERY_STRING} http\: [NC,OR]RewriteCond %{QUERY_STRING} https\: [NC,OR]RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|ê|"|;|\?|\*|=$).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*("|'|<|>|\|{||).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^(.*)$ - [F,L] </IfModule>
Robots.txt
User-agent: *Disallow: /cgi-binDisallow: /wp-adminDisallow: /wp-includesDisallow: /wp-content/pluginsDisallow: /wp-content/cacheDisallow: /wp-content/themesAllow: /wp-content/uploads
wp-content/uploads beveiligen met .htaccess
<Files *.php>deny from all
</Files>
Server configuratie Tweaks in php.ini, …
PHP versie
• Huidige PHP-versie 5.6
• Heel wat security tweaks vanaf 5.4
• Heel wat hosters draaien nog 5.3
• Vraag actief naar upgrades bij je hoster! Een goede hoster standaardiseert op 5.5.
PHP.ini
• safe_mode (weg sinds 5.4, deprecated in 5.3)
• allow_url_fopen
• register_globals (weg sinds 5.4, deprecated in 5.3)
Fail2ban
• Server package tegen brute forcing
• Integreerbaar met wp-fail2ban (https://wordpress.org/plugins/wp-fail2ban/)
Wat als je zelf onvoldoende technisch onderlegd bent om dit
zelf te implementeren?
Managed (WordPress) Hosting
- Nemen de serverconfiguratie voor hun rekening- Doen de WordPress & plugin updates voor je- Ondersteunen jou bij hacking
savvii.nl
• Sponsor van dit event(waarvoor dank!)
• Gespecialiseerd in managed WordPress hosting
Hoe kan je je website proactief doorlichten?
WPScan
• scanner voor WordPress• scant naar vulnerabilities• kan gebruikt worden om DDOS
te simuleren• via CLI• Self hosted• Gratis te gebruiken
Site toch gehacked Wat nu?
Zelf te nemen acties
• Wijzig alle wachtwoorden: MySQL database, FTP, WordPress, …
• Update je gehele installatie van WordPress, de thema’s, plugins
• Controleer de inhoud van je database op eventuele malafide entries of verdachte users
Zijn er nog vragen?
Recommended