Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
-
Upload
michal-smereczynski -
Category
Internet
-
view
940 -
download
6
description
Transcript of Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem
admina
WordCamp Warszawa 2014
• Kto?Michał Smereczyński
• Skąd?Szczecin
• Co robi?technology evangelist, devop, admin, infrastructure architect
• Co ma wspólnego z WP?wdrożenia, migracje, optymalizacje, blog
• Twitter / blog / LinkedIn
@smereczynski / superuser.org.pl/blog / pl.linkedin.com/in/smereczynski/
WordPress stack
• Linux / *NIX / Windows• PHP• MySQL / MariaDB / Percona• Apache / NGINX
Linux
• Firewall• Ukrycie wersji systemu (skanowanie portów)*• Wykrywanie rootkitów (np. rkhunter)• Fail2Ban• Bezpieczny kernel (GRSec / Pax)*• Aktualne oprogramowanie• Minimalna konfiguracja (w miarę możliwości)• Jail SSH jeśli user ma dostęp do SSH*• SFTP (śmierć FTP!)
PHP (WordPress )
• Pliki skryptu należą do użytkownika (CHOWN)• Redundantny Filesystem (klastrowany FS)• Izolacja• Backup• Staging• Kontrola wersji
MySQL (MariaDB )
• Redundancja• Izolacja• Load balancing• Backup
NGINX (Apache )
• Pule użytkowników• FCGI / FPM• Ukrycie wersji oprogramowania• Cache• Redundancja• Load balancing• Optymalizacja• Reverse Proxy* (varnish nie lubi ciastek... a WordPress tak.)
Single Point Of Failure
Checklist
• Infrastruktura • Wirtualizacja• Redundancja • Izolacja• Skalowalność• Powtarzalność• Przewidywalność• Dokumentacja
"Vision Without Implementation
Is Just Hallucination"
Wishlist (list do dewelopera)
• ukrywamy wp-content• ukrywamy wp-admin• ukrywamy wp-login• ukrywamy wersje• solimy hasła• uwierzytelniamy dwuetapowo• filtrujemy IP administratora (VPN)• używamy przetestowanych pluginów• uważamy na podatności na XSS• aktualizujemy skrypty• wyłączamy niepotrzebne/nieużywane moduły• C.D.N.
Pytania?