Mity (nie)bezpieczeństwa

Krzysiek Dróżdż
krzysiek@wpmagus.pl
WPmagus.pl

Mam małą stronkę. Nie jestem Microsoftem czy innym Sony. Kto by mnie miał atakować i po co?

Anonimowy Klient

W ilości siła

  • 58.8% spośród CMSów to WordPress
    (10 września 2015, w3techs.com)
  • 8 804 tys. pobrań WP 4.3
    (10 września 2015, wordpress.org/download/counter)

Jak ktoś zaatakuje moją stronę, to z pewnością to zauważę, albo powiadomią mnie użytkownicy.

A jeśli nie, to to nieistotne i nikomu nie szkodzi.

Użytkownik grupy WordPress PL

Po co atakować?

  • spamerskie linki
  • przekierowania
  • rozsyłanie spamu
  • ataki DDoS
  • zarażanie innych
  • itd.

Byłem pewien, że obsługa hostingu się tym zajmuje i dba, żeby wszystko było jak należy.

Anonimowy Klient

A statystyki na to…

  • 41% zaatakowanych WordPressów dzięki luce zabezpieczeń hostingu
    (wpwhitesecurity.com)

W czym hosting pomoże?

  • zablokuje
  • udostępni logi
  • udostępni backupy (?)

Aktualizacje z poprawkami zabezpieczeń to straszenie ludzi. Wkrótce wyjdzie kolejna aktualizacja. Szkoda sobie tym zaprzątać głowę.

Użytkownik grupy WordPress PL

Po ataku/infekcji przywrócimy stronę z backupu i wszystko będzie OK.

Support firmy X

A czy o czymś nie zapominamy?

  • a co z plikami dodanymi?
  • a jak się dowiemy, co robił malware?
  • ale skoro raz się dostał, to pewnie dostanie się znowu

Jestem bezpieczny, bo na moich stronach używam tylko popularnych wtyczek. Skoro są popularne (i płatne), to z pewnością są bezpieczne.

Anonimowy Klient

Głośne podatności

  • RevSlider (17 września 2014)
  • WPML (2 września 2015)
  • WooCommerce (13 marca 2015)
  • Google Analytics by Yoast (10 sierpnia 2015)
  • Gravity Forms (20 kwietnia 2015)

(wpvulndb.com)

Motywy są odpowiedzialne tylko za wygląd. Nie trzeba ich aktualizować, bo ich kod nie może zawierać błędów czy dziur.

Użytkownik grupy WordPress PL

Ale motyw to kod PHP

  • 29% zhackowanych WP na skutek podatności motywu (wpwhitesecurity.com)
  • Twenty Fifteen (6 maja 2015)
  • Avada (3 maja 2015)
  • Divi (3 maja 2015)
  • Pagelines (22 stycznia 2015)

(wpvulndb.com)

Używamy oprogramowania X, którym przeskanowaliśmy nasz kod i jesteśmy pewni, że nie zawiera on dziur czy błędów.

Anonimowy Klient

Pomyślmy…

  • a skąd pewność, że to oprogramowanie nie ma błędów?
  • jeśli to takie proste, to czemu nie zrobią tego autorzy?

Używam wtyczki X, która pilnuje bezpieczeństwa mojej strony, powiadomi mnie o wszystkim i ochroni przed każdym atakiem.

Anonimowy Klient

Czy na pewno? :>

  • All In One WP Security - SQL Injection (7 kwietnia 2015)
  • WordFence - CSRF (8 grudnia 2014)
  • iThemes Security - XSS (15 kwietnia 2015)
  • BulletProof Security - XSS, Script Injection (5 listopada 2014)
  • Acunetix WP Security - XSS (1 sierpnia 2014)

(wpvulndb.com)

Ale to jeszcze nic :>

Na mojej stronie używam wtyczki X do podwójnego logowania, dzięki temu moja strona jest bezpieczna i nie mam się czym martwić.

Anonimowy Klient

O tyle, o ile…

  • 8% zaatakowanych WordPressów poprzez słabe hasło (wpwhitesecurity.com)
  • a co z XML-RPC?
  • a co z resztą podatności?

Za pomocą wtyczki X zmieniłem adres wp-admin i ukryłem informację o tym, że ta strona to WordPress. Jestem bezpieczny.

Użytkownik grupy WordPress PL

To hosting się ucieszy ;)

  • czy to odciąży serwer?
  • jeśli atakujący szuka dziurawej wtyczki/motywu, to i tak znajdzie

WordPress to dziurawe badziewie, którego nie należy używać. Co chwilę wypuszczają jakieś poprawki.

Programista piszący własne CMSy

Niewidoczne nie istnieje?

Dzięki za uwagę!

Krzysiek Dróżdż
krzysiek@wpmagus.pl
WPmagus.pl