WORDCAMP 2015 DANMARK Vi har et ansvar for vores kunders kunder
AGENDA Introduktion Vi har et ansvar Definition Udfordringen Løsninger Spørgsmål
YAN KNUDTSKOV PERSONLIGT 31 år, PROFESSIONELT (2004) IT ingeniør (2005) Ementor Danmark (2005) Udenrigs Ministeriet (2006) Danmarks Radio (2007) Personlig Træner WordPress siden 2008 (2008) International Practical Wing Chun Instruktør (2012) Selvstændig med Yan&Co (2015) Landstræner for DGI PASSIONER WordPress Kampkunst Personligt Lederskab Twitter @yanknudtskov LinkedIn http://linkedin.com/in/yanknudtskov http://yanco.dk yan@yanco.dk
VI HAR ET ANSVAR Hvad koster det dig hvis din hjemmeside er nede? Hvad betyder det for din virksomhed, hvis dine kunders sider hackes? Har du en plan hvis din hjemmeside hackes? Har du skrevet den ned? Har du prøvet den af?
HVAD ER SIKKERHED?
HVAD ER SIKKERHED Definition Beskyttelse Overvågning Reaktion Efterlader du din hoveddør ulåst? Kig efter mistænksom aktivitet Fordi, nogle gange går det galt WordPress Administrationen Fil-serveren (FTP) Databasen Hosting udbyders kontrolpanel Husk at tænde for alarmerne E-mail notifikationer Audit logs Ændringer i filer Malware Scans Backup Skades Begrænsning Audit logs Notifikation af brugere
UDFORDRINGEN
UDFORDRINGEN Kompetance trappen Bevidst kompetent Ubevidst kompetent Bevidst inkompetent Ubevidst inkompetent
UDFORDRINGEN Kan du genkende nogle af disse? Jeg ved godt, at jeg burde gøre det.. men jeg aner ikke hvor jeg skal starte - og hvad nu hvis jeg ødelægger noget? Handler om, at de ikke ved hvor de skal starte - og de er bange for at gøre mere skade end gavn! Der er ingen som gider bryde ind på min side - jeg har ikke noget de vil have! Handler oftest om, at personen ikke ved hvor de skal starte - og derfor fortæller de sig selv en historie om, at det sikkert ikke er vigtigt, for så undgår de at bekymre sig om det! Jamen, hvad er det hackerne vil have hos mig, jeg er jo bare en lille virksomhed uden Dankort eller noget Handler ofte om, at der ikke er overensstemmelse mellem den opfattede værdi af hjemmesiden og indsatsen det vil kræve at gøre noget ved det.
UDFORDRINGEN Er du i hackernes målgruppe Hvis du kan nikke genkendende til foregående udtalelser - enten fra dig selv, eller dine kunder, så er du / de netop målgruppen for hackere og automatiserede hacking forsøg. De nyeste statistikker fra 2015 viser at små og mellemstore virksomheder ofte bliver mål for hackere, da de ofte ikke prioriterer sikkerhed.
UDFORDRINGEN Hvad vil hackerne have Selv hvis hjemmesiden ikke ligger inde med Dankort- eller andre betalingsoplysninger så ligger den inde med nogle af følgende resourcer: Eksisterende brugeres e-mail adresser og adgangskoder Personfølsomme oplysninger (Navne, adresser, telefonnumre, etc.) Server resourcer Det giver potentielt adgang til Fordi brugerne anvender samme e-mail og adgangskode de fleste steder
UDFORDRINGEN Hvordan får hackerne adgang ALMINDELIGE METODER Administrator bruger uden et tilstrækkelig sikkert kodeord Plugins og/eller temaer med usikker kode Manglende opdatering af systemet Malware på din maskine Gratis Premium Plugins
LØSNINGER
LØSNINGER Beskyttelse Administrator bruger uden et tilstrækkeligt sikkert kodeord Alle med redaktør privilegier (editor) og højere Pålæg dem til at have et sikkert password Brug two-factor authentication Ingen admin bruger Auto-ban alle der forsøger at logge ind med admin Blokker gentagne forsøg på logins Om muligt (medium avanceret) White-list IP adresser som må tilgå /wp-admin/ Opsæt.htpasswd på /wp-admin/ og /wp-login.php Blokkér gentagne login forsøg, Sikre Passwords, Fjern admin bruger Sucuri Security (Gratis + Betalt) https://wordpress.org/plugins/sucuri-scanner/ ithemes Security (Gratis + Betalt) https://wordpress.org/plugins/better-wp-security/ WordFence (Gratis + Betalt) https://wordpress.org/plugins/wordfence/ Two-Factor Authentication Rublon Account Security (Gratis + Betalt) https://wordpress.org/plugins/rublon/ Clef Two-Factor Authentication (Gratis) https://getclef.com/ https://wordpress.org/plugins/wpclef/ HTPASSWD http://www.htaccesstools.com/htpasswd-generator/
LØSNINGER Beskyttelse Plugins og/eller temaer med usikker kode Blokker underlige HTTP forespørgsler Blacklist op imod HackRepair.com blacklist Fjern tilladelse til direkte, at køre.php filer i /wp-content/ og underbiblioteker Fjerne tilladelse til direkte, at køre.php filer i /wp-includes/ og underbiblioteker Opdatér plugins og temaer Fjern tilladelser, Blacklisting Sucuri Security (Gratis + Betalt) https://wordpress.org/plugins/sucuri-scanner/ ithemes Security (Gratis + Betalt) https://wordpress.org/plugins/better-wp-security/ WordFence (Gratis + Betalt) https://wordpress.org/plugins/wordfence/ Blokkér underlige HTTP forespørgsler BBQ: Block Bad Queries (Gratis + Betalt) https://wordpress.org/plugins/block-bad-queries/
LØSNINGER Beskyttelse Manglende opdatering af systemet Auto opdatér WordPress Core Auto opdatér (de fleste) plugins (Tag jævnlige backups) Auto Opdateringer Advanced Automatic Updates (Gratis) https://wordpress.org/plugins/automatic-updater/ Automatic Plugin Updates (Gratis) https://wordpress.org/plugins/automatic-plugin-updates/ Ja, du vil hellere have et opdateret site med en teknisk fejl, end et site med malware, der er hacket. Ville du ikke foretrække, en ufunktionel vaskemaskine over et indbrud i dit hjem?
LØSNINGER Overvågning Overvågning Notifikation om oprettet admin brugere Notifikation om admin logins Scan efter malware Scan efter filændringer Hold en opdateret liste over plugins der er installeret vs. rapporteret usikkerheder Opbevar en audit log Malware Scans og Filændringer Scans Sucuri Security (Gratis + Betalt) https://wordpress.org/plugins/sucuri-scanner/ ithemes Security (Gratis + Betalt) https://wordpress.org/plugins/better-wp-security/ WordFence (Gratis + Betalt) https://wordpress.org/plugins/wordfence/ Notifikation om logins og oprettet brugere Sucuri Security (Gratis + Betalt) https://wordpress.org/plugins/sucuri-scanner/ Audit Logs WP Security Audit Log (Gratis) https://wordpress.org/plugins/rublon/ Plugin Usikkerheder Plugin Vulnerabilities (Gratis) https://wordpress.org/plugins/rublon/
LØSNINGER Reaktion Reaktion Remote storage Notifikationer hvis en backup fejler Ideelt set mere end én backup lokation Test dit worst-case scenarie Backup BackupBuddy (Betalt) https://ithemes.com/purchase/backupbuddy/ VaultPress (Betalt) https://vaultpress.com/ BackWPUp (Gratis + Betalt) https://wordpress.org/plugins/backwpup/ UpdraftPlus (Gratis) https://wordpress.org/plugins/updraftplus/ Remote Storage Dropbox (Gratis + Betalt) Amazon S3 (Gratis + Betalt) FTP(S) (Betalt) Google Drive (Gratis + Betalt) Notificer brugere Email Users (Gratis) https://wordpress.org/plugins/email-users/
OPSUMMERING VI HAR ET ANSVAR Hvordan smitter det af på din forretning, hvis din eller dine kunders side hackes HVAD ER SIKKERHED Beskyttelse, overvågning, reaktion UDFORDRINGEN Uoverskueligt, manglende kompetencer, modstand pga. manglende forståelse LØSNINGER Sæt som minimum noget basis sikkerhed op for dig / kunden
SPØRGSMÅL
TUSIND TAK FOR JERES TID! Slides kan findes på http://yanco.dk/wordcamp