 Cześć wszystkim, temat będzie na temat jak nie zabezpieczać WordPressa i co jest czasem bardzo często źle robione, ale za czym zacznę musisz do czegoś od razu wam przyznać. Nieco ponad 4 lata temu zrobiłem coś czego nie jestem dumny, coś co pod tymi względami się ukryć, no ale skoro tu jestem muszę się przyznać, zainstalowałem WordPressa kiedyś. Także Krzysiek, wybacz, ale za czym zaczniemy o hackingu i tak dalej, po co w ogóle ktoś chciałby się włamać na naszego bloga, naszą stronę internetową. Kiedyś to było tak naprawdę takie dniały w serwis, po prostu po to żeby wyłączyć cudzy biznes, cudzego bloga, pozbyć się konkurencji, ale tak naprawdę era Tango Down skączyła się dawno temu. Wiecie, że najbardziej znana grupa Luluse, która zajmowała się security, tego typu atakami, to wszyscy siedzą. Sabu, który się tym najbardziej chwalił, no też siedzi w więzieniu, firma, naszej firma grupa hackerska Hack the Planet, która wykosiła Ninode'a i atakowała pewnie pamiętacie, który święta sieci Sony, że nie dało się grać, też ich nie ma. Co ciekawe, Dead Meloct, jeden z najsłynniejszych dedosowców, szuka teraz pracy. Tak, on był z Steamu, jak goł strzał, oni zajmowały się właśnie dedosami, no nie mają co robić. Tak, dedosy już nie są popularne, nie ma sensu wyłączać poprzez dedos z drugiej strony. Tak, bo to jest nieofłacalne. To to, co tak naprawdę się ludzie wyłamują, wyciek informacji. Tak, informacja scenna. Był taki sobie serwis, kto każe Ashway Madison, ręce do góry, tak, nikt się teraz nie przyzna, jak do Tinder'a, nie, nie używa. Ich motywem przewodnie było, życie jest zbyt krótkie, skocz w bok. Tak, to był taki serwis, gdzie się szukało partnera seksualnego, można było sobie pofiltrować po konkretnych preferencjach i w tajemnicy przed żoną, mężem i tak dalej. Bum, cenzura w kraju działa, widzę. Można było po prostu pewne dan, po prostu z kim się poznać i wyciekło z tego serwisu 25 giga danych. Loginy, hasła, preferencje seksualne, faktury do ten, do kontypu PayPal, tak, pracodawą mogli sobie potem poprzeglądać, czy jego pracownik nie zdradza żony, no nie dostaniesz podwyższkę na ciebie tę czuszkę. Ataki z powodów... Tak, ataki z powodów politycznych. Na przykład Boty Trumpa, które manipulowały głosami, robiły jakieś kampanie marketingowe, tylko po to, żeby na osoba powiedzmy wygrała gdzieś tam i tak dalej. Tworzenie nieprawdziwych informacji. Naprawdę, te mikrofony mi nie lubią. Dalej mamy kradzież. Włamujemy się po to i do tego, żeby wykrać konkretne informacje, karty kredytowe. Banki, konta, czy wykrać to fajniejsze, tożsamość. Być kimś w sieci i to na jego kontu robić coś złego. No, mam ataki z powodów aktywizmem, z powodów idealistycznych, okupowanie Wall Street, ataki anonimowych w związku z Akta, teraz było Akta 2 i tak dalej, i tak dalej. No, mamy też skrzypki. No, ci to generalnie sieją po prostu ruch po sieci. Generalnie atakują. Co znajdą w sieci, tym atakują, tak? Ale są też bardziej inteligentni skrzypki. Ci, którzy próbują zakomitować do Cora World Press'a Bagdora, tak? Generalnie został ten Bagdor odrzucony, ponieważ gościu zrobił błąd w swoim filmie. I bagdorze, i dlatego to nie weszło. No, dobra, ale dalej mamy jeszcze specjalistów, którzy zarabiają na tym, żeby szukać dziur w oprogramowaniu. Są to programy Bag Bounty, Porn Hub ma fajny program Bag Bounty, na przykład. I są też specjaliści na zlecenia rządowe. NSA szuka takich cyberprzestępców, którzy włamują się do sieci stanu z jednocześnie tak. Jest na stronie FBI, ich poszukuje i tak dalej, i tak dalej. W grupach tych cyberprzestępców na nich się pewnie mówi, mają jakieś swoje pseudonimy. I teraz tak, jak myślicie, z jakiego kraju pochodzą cyberprzestępcy, którzy nazywają się miśkami? – Rosja. – Tak, to jest Rosja. Dokładnie, to są Rosjanie. – Pandy. – Chin. – Chinczycy, dokładnie. Iran. Dokładnie, taka libańska partia Hezbollah, oni się womywali do kamery na lotniskach izralijskich portach lotniczych. Kadymon. Ta jest palestyna. Sajbergang. To też jest być może jakiś samodląd z palestyny. Potem mamy Guardians of Peace. To jest Korea Północna. No i najdłuższe Filoret Access Operations, no to są już specjaliści z NSA. To są takie gruby, które szukają dziur w oprogramowaniu w konkretnym celu. I teraz tak, zacznę w ogóle, zaczniemy myśleć o zabezpieczeniu WordPressa. Powinniśmy skupić się na takich ogólnych zasadach bezpieczeństwa, bo nic nam nie da nawet jakaś fajna wtyczka, plagin czy zabezpieczenia po stronie serwera, jeżeli będziemy źle traktować nasze hasła. Tak zapytaj sobie sobie ważne zdanie. Hasła są jak majtki. Tak? Przede wszystkim należy je często zmieniać. Tak, jeżeli zmieniamy często hasła, to ataki typu Brutforce, próbujące złamać nasze hasło, polegną. Nieboże tadiowe. Głupią mieć jedno współdzielne hasło przez kilkunastu pracowników w firmie, bo jak ta jedna osoba odejdzie, no to musimy to hasło w sieć w firmie zmienić. Co się często nie dzieje. I te same hasła po prostu dalej są używane. No i najważniejsze nie zostawiać ich we widoku. Dlaczego? Bo wystarczy ze przejść przez jakąś agencję interaktywną, zrobić zdjęcie, nawet w ruchu. No i można takie hasło zmienić, jaka jest najprostsza metoda zdobycia hasła do panelu WordPressa? Poprosić o nie. I Jimmy Kimmel to właśnie zrobił. Cześć, jedna jest Tel-A-V, 4, 6, 8. To tylko 3, ale to jest... ...4, 6, 7, 8. 1, 2, 3, 4. Cześć. Co ty słyszałeś? Spel G, E, N, N, N. Tak, tak. Moje ojczyzny są. Moje ojczyzny są. Maria. Maria. Tak, że jak widzicie, nie trzeba myśleć o zabezpieczenie WordPressa, jeśli polegamy w takim momencie, co może nas puszczyć. Nawet jeśli nasze hasło zostanie wykradzone. No, ale to ty się będziecie resztologować. Ale jeżeli już wyciekło nam hasło i nie możemy go zmienić. Tu faktor autentyfikajszy. Tak, drugi składnik, który pozwoli nam się uwierzyć. Na przykład tu faktor autentyfikacjonu Googlea. Są do tego wtyczki. Które pozwalają zalogować dopiero po podaniu loginu hasła i dodatkowo w ogóle czynnika. To może być SMS, przepisany kod z SMSa. To może być link kliknięty w maila. To może być jakaś biometryka. Tak? No dobra, ale jesteśmy tutaj. Jest takie powiedzenie, że twój dom jest tam, gdzie twoja sieć Wi-Fi łączy się automatycznie. Tak? Na pewno korzystacie z Wi-Fi, bo organizatorzy łatwili to. Po prostu zrobili sieć hotspota, podali też hasła. Więc tak naprawdę, nie trzeba już łązać hasła do Wi-Fi, żeby podsłuchać to, co robicie w czasie konferencji. Zwłaszcza, jeżeli ktoś na hostingu nie ma SSL i loguje się to panelu po HTTB. Tak? To wszystkie dane, ktoś może podsłuchać. I to są ataki typu menu. Pomiędzy tobą, twoim laptopem, a serwer, na który wchodzisz, jest jeszcze ktoś, na przykład mój laptop, który stara się podsłuchać ruch w sieci. Z kinota to jest rzut sieci takich się łączyliście. Tak? Uszawiam sobie na końcu specjalnie, żeby mieć dobry pogląd na sale. To są sieci, do których się logowaliście. Widzę dużo sieci z Łodzi. Z polskiego busa, więc dość pewnie przyjechał tym czymś. I tak dalej, i tak dalej. Więc pamiętajcie, że sieci publiczne nie są bezpieczne. I cokolwiek tam robicie, może być przez kogoś posłuchane i na nic wasze zabezpieczenia. Po prostu. No dobra, ale teraz powoli dochodzimy do tematu WordPressa. Szukałem, szukałem długo, co jest najczęstszym powodem włamań. Znalazłem taką infografikę i wszędzie pojawiało się to zdanie, że 41% włamań na WordPressa jest to wina hostingu lub serwera. Słabo, nie? Ale nigdzie nie znalazłem informacji dokładnie, co tak naprawdę pod tym się ukryje. I co się okazało, co się kryło? Słaby hasło do panelu hostingowego. Używanie starej wersji PHP hostingu, bo na to pozwala. To były rzeczy, tak naprawdę, na które my mamy wpływ. Tak? Więc pamiętajcie, hosting nie ochroni twojej strony. Jeżeli to to nie zazwasz, jeżeli będziecie mieli słaby hasła, różne dziwne rzeczy na WordPressie to najlepszy hosting was przed tym nie ochroni. No właśnie, są hostingi, które dostępniają wiele wersji PHP na serwerze. Jeżeli nasza strona chodzi na tym PHP starym, tym czerwonym lub powoli żółtym, to narażamy naszą stronę na atak. Tak to są wersje praktycznie już nie rozwijane, nie wspieramy, które kończą swoje wsparcie bezpieczeństwa w tym roku chyba w grudniu i nie powinny być używane wersji 5.6.7.0. Więc sprawdźcie, w jakich wersji używacie i zmienicie na te zielone. Najprościej. Błędy, jakie są w tych wersjach, to są ataki DDoS, wykonywanie kodu, bez algoryzacji itd. Kolejna rzecz, na którą były obwijane hostingi to to, że ktoś podsłuchał. No ale hostingi bardzo często udostępniają zdalne połączenie do baz danych, które jest szyfrowane czy nie jest. Może jest. No nie jest generalnie tak. Powinno być, ale w domyślej konfiguracji większości hostingów nie jest, no bo po co? Więc jeżeli znowuż coś łączy się zdalnie z hostingiem, co gorsza na takiej konferencji, to ktoś może podsłuchać te dane. Więc należy też na to uważać. Kolejna rzecz to właśnie tworzenie śmieci na serwerze, typu pliki wupyconfig.old, wersje testowe gdzieś na serwerze produkcyjnym, beta.nazowa strony, test.nazowa strony itd. itd. Nam się wydaje, że tego nikt nie widzi, ale boty sieciowe i cyberprzestępcy to widzą i bardzo często tam potrafią znaleźć coś, co wpłynie na bezpieczenie słonego tej strony. Więc rzumać my środowisko testowe, wydzielmy jest ze strony głównej, gdziekolwiek na localhost, na inny serwer, tak by nie interferowało ze stroną produkcyjną. Są niektóre hosty, które się chwalą, że mają antywirusy exploit-scanery. Ich jakość tych exploit-scanerów jest na poziomie, no na samym dole, na poziomie skuteczny takie 12-23%. Tak, one nie wykrywają zagrożenia, bo to zagrożenie przybywa z różnych stron, jest tak fajnie ukrywane, że te exploit-scanery dają tylko złudne poczucie bezpieczeństwa. To jest też jak włączenie wtyczki i nam się wydaje, że jest secure. Separacja. Hosting i separacją. Na czym polega separacja? Od separowania plików. Najczęstsze ataki są jednak przez HTTP, więc separacja plików nic nie daje. Jeżeli mamy luge w dwóch wordpressach, jest ta sama ruka w tej samiej wtyczce, to separacja nam nic nie da. Po prostu idzie atak po domenach, bo od drugiej strony jest atakowany. Separacja taki fajny, marketingowy, był już się sprzedawany po prostu. Każdy hosting ma taką separację, z nic nadzwyczajnego. A takie najczęściej idą przez, z drugiej strony. Auto-instalatorie. Jak ktoś używa auto-instalatora, to dla mnie wiedzy tak to wygląda. Coś tam jest instalowany gdzieś tam z czymś tam. Nie mamy kompletnie pojęcia, jaką wersję wordpressa nam instaluje auto-instalator, co on tam wrzuca, jakie wtyczki, jakie motywy, jakie śmieci tworzy, czy tworzy dobrze hasła do bazdanych, czy są secure. Coś tam robi. One bardzo często robią klona istniejącego wordpressa, więc twój wordpress jest dokładnie taki sam, jak czterysta innych na serwerze. Super vector ataku. Włamiemy jedną stronę, mamy czterysta. To jest aktualna wersja wordpressa, księdza ministra, bo niedawno wyszła. No i tylko 48% to on chodzi pod najnowszą i stabilną wersją. Tak? To dosyć mało, to są oficjalne statystyki ze strony wordpressa. Nie, nie tylko mu imakualizacji, to jest główny powód ataków. I zobaczcie to, co mówi wordpress. Tylko ta wersja jest oficjalna, nie wspierana. Tu powinno być 4.7, tak? 4.9.7 zgodnie z tą wersją. Poprzednie wersje mogą być supportowane, ale nie muszą. Tak, jedyna oficjalna to jest ta i należy aktualizować, nie tylko wordpressa, ale wtyczki i motywy. I tu jest właśnie ten problem, to my nie wiemy, co on tam poinstallował i co aktualizować trzeba. No właśnie, a propos wtyczki i motywów należy instalować się z zaufanej źródeł. Jakie są zaufane powiedzmy źródła instalacji takich dodatków? Repozytorią wordpressa i tak naprawdę koniec chcesz nie do końca, ale jeszcze można pomyśleć o Team Foresti i Kotkanie. Tak, że tam też ktoś sprawdza. Są miejsca, w których ktoś powinien lub mamy taką nadzieję, sprawdza. Jeżeli chodzi o oficjalne repozytorią, był Team, który... ilu osobowy? Czterosobowy Team wczoraj weryfikował motywy. Tak, czyli są ludzie, którzy sprawdzają, czy to co instał jest w oficjalnym repozytorium, jest bezpieczna. I to są te miejsca, z których powinniśmy brać. Natomiast są płatne wtyczki, płatne motywy i są też serwisty w chomiku i doręd. Tak? Tam bardzo często pojawiają się za darmo wersje płatnych plaginów, ale one mają coś fajnego dorównego twórcy. Jakieś backdora i tak dalej, i tak dalej. No właśnie, podawanie daleko. Są wtyczki, które robią backup lub wtyczki do wysyłki poczyty. One muszą w sobie zapisać dane do serwera pocztowego lub serwera backupowego, tak? Więc jeżeli dojdzie do włamania na WordPressa, to również te dane w wtyczce też są do wykradzenia. Jeżeli używamy wtyczki, które, nie wiem, duplikator, jakieś inne, jak plus, 3 do emezona i nam się ktoś włamie, to ma dostęp również do kopie emezona. Jeżeli źle ustawimy po stronie emezona, to ma dostęp do wszystkiego. Możemy wyczyścić kartę kredytową, budując jakieś instancje EC2. I to ciągnij za sobą sporo konsekwencji, bo nam się wydaje. Nam się po prostu wydaje, że mamy wtyczkę, która robi backup na zewnętrznym serwisie, ale używamy też poziom rewolucją sidera, który ma luchę, które mogą być zainfekowane. No i tak już mówiłem wcześniej, dwóch składnęłkowych uwierzytewnie nie nam pomoże. No i właśnie backup. Jeżeli coś wpójcie nie tak, to róbmy backup. Gdzie robisz najlepiej backup na zewnętrznym serwerze? Bo jeżeli ten, na którym jesteśmy robi backup w tym samym miejscu, co mamy w stronę, to jest to bezsensu totalnie. I to nie ma kompletnie sensu, bo włamani się na stronę, co nie należy robić? Generalnie zmiana do myśli chcieży czy ukrywanie informacji o wersji WordPressa to nie ma kompletnego sensu, dlaczego? Atakującego nie interesuje wersja WordPressa, jaką macie, bo on i tak szuka luch. I czy poładanym może mamy inną wersję niż tą i tak masowy skaner będzie szukał luki w oprogramowaniu, a nie będzie patrzył, jak ta wersja jest mu wyświetlana postawiana. No i to jest to, jak działają wtyczki o zabezpieczeń generalnie. To jest coś podobnego do tych skanerów, które są na stronach. Dają złudne poczucie bezpieczeństwa. W top najdziesięć, najczęściej jurowych wtyczek, chyba na szóstym miejscu jest WordPress. I tam później gdzieś tam ósme, dziewiąte też ojna wtyczka. No one nie zabezpieczają. Tak, one robią dużo fajnych rzeczy wypisują, coś tam na ziołno, że się w panelu stało, że jest bezpiecznie i tyle. Czyli na przykład przed takimi atakami typu hasło zostawione gdzieś, czy jak jesteśmy podłączeni do na przykład sieci Wi-Fi, tu jest przykład z Lublina, jak się podsłuchiwało uczestników w konferencji, to są ich adresy, takie jakby się łączyli, co robili z telefonów, więc pamiętajmy, wtyczki nie chronią. Zabrałem też pod tym linkiem Compendium, jak tego robić. 6000 słów ponad mardyku, duże, duże Compendium, plus podcast, jak zabezpieczyć strony, jak tego nie robić. Tak, co warto, co nie warto, dlatego jeżeli chcecie, to możecie sobie zrobić screen na tego linku. Chyba od niedawna iOS'a też można, normalnie dwa barata robić QR-gody, zdjęcia, to mi dziutek podpowiedział. Więc polecam zabezpieczyć naszą stronkę. Zdjęcia zrobione? I uważajcie, jak wchodzicie na link, ten który na pewno nie mówił, i tym miłym akcentem dziękuję i zapraszam was do zadawania pytań.