Birkaç ay geri ben katkıda Smashing Magazine ile bir yazı üst 4 WordPress Enfeksiyonlar üzerine, dün serbest bırakıldı ve daha iyi bir zamanda olamazdı. Herhangi bir WordCamp Las Vegas katıldı Eğer hatta bazı benzerlikler bulabilirsiniz. Neyse ki olay için hazırlanıyor ve ekibi ile çalışma sürecinde, biz biraz biz aslında son yazılan tartışılan şeyler genişleyen daha fazla bilgi derlemek başardık. Bu nedenlerle bir dizi için mükemmel bir zamanlama ve çok güzel bu yazı tamamlayacaktır.
Bu yazının fikri, geçmişte birçok gibi, geçtiğimiz hafta sonu sunumu anahat ve tartışmaktır. Bu süreç içinde, umarım uzakta bir şey almak. Ne yazık ki, sunum canlı bir saldırı ve hack ile kapalı şapkalı, ve bu yazı bu dahil etmek mümkün olmayacaktır, ama geliyor söz veriyorum.
** Not: size olmak planlıyorsanız WordCamp Philadelphia 2.012 bazı davranır için de olabilir, sadece söyledi. Eğer takvim üzerinde yoksa ve, yapmanız gerekir.
Öyleyse başlayalım ...
Öyleyse başlayalım ...
Sunum
Her zaman olduğu gibi, en sunumu ile başlayalım. Evet, eğer sunum ve bu yazı hem de başlığında cevapsız, onlar çeşitli WordPress kesmek ile yakından ilgili ve anlaşma hem konum.
Kapalı şeyler tekme
GÜVENİLİRLİĞİ
Tahmin edebileceğiniz gibi, kalkarken ve millet konuşurken, size yardımcı ama kalabalık üzerinden bakmak ve bu onların tavırları görmek ve yüzlerinde görünüyor olamaz. Bu bakışı biliyorum, bu Pffft "çığlıklar ..diyelim! bu adam bilir ne olduğunu görmek "veya" Büyük, başka bir salak güvenlik hakkında bana söylemek için gidiyor .. ". Ve en yayılmış bir arka görünümü ile geçti silah hakkında unutmayalım. Okula yaklaşım için çok iyi biliyorum. Her durumda, her zaman o sorunu baş mücadele etmek için iyi bir fikirdir. Ben ne yaptığını hangisi, "Ben sağ, ne biliyorsun? [Slayt 3].
Pazartesi destek yıl boyunca sağlamak için Pazar 300 web siteleri bir gün, ve iş - Sucuri altında olanlar habersiz, ve / veya sadece merak, burada biz 2 milyon taramalar bir ay içinde gerçekleştirmek, 200 arasında aga. Çoğu da farkında değilsiniz, ama bizim destek çok WordPress ötesine uzanır. Bizim portföyü de CMS (örneğin, Joomla, Drupal, vb.) Tabanlı ASP / uygulamaları, hem de diğer PHP içerir. Kısacası, biz gerçekten biz ne gibi.
VAKFI
Biz ancak sunum dalmak önce, bazı kurallar ayarlayın ve temel doğru ayarlanmış olduğundan emin olmak için önemlidir. Ne yazık ki, bazen pazarlama ekipleri şirket web siteleri ve bloglar ellerini almanın bir yolu var, ve tamamen özellikle INFOSEC dünyada, teslim ve sonrası niyetleri berbat. Yani burada bizim konuşma yardımcı bir kaç şey vardır:
Bilgi güvenliği risk azaltma ile ilgilidir. Bugün web üzerinde propaganda bakabilirsiniz zaman her zaman beni şaşırtıyor. Sen "Bana ile, kesmek olsun asla" ya da, ben neden bahsettiğimi biliyorum "Eğer sertleşmesine şeyler doğru Eğer kesmek hakkında endişelenmenize gerek yoksa." Bu cehalet ve INFOSEC etki alanı için anlayış eksikliği gösterir . Zaman herhangi bir miktar için yaklaşık edilmiş herkes bu bir yalan başka bir şey olduğunu biliyor, ve mesaj teslim pazarlama ekibi ise, biz toplumun bir haksızlık yapıyoruz.
Önleme idealdir, algılama anahtarıdır. Ben bu yaz bir SANS konferansta Dr Eric Cole bir araya geldi ve bu onun etiket hatları biriydi. Bu doğru çünkü ben duyunca, benim için eve basamak. Özellikle bugünün siber savaş / suç manzara. Bu da daha gerçekçi bir felsefedir. Tüm saldırıların% 100 engellemek ve önlemek düşünmek yanlış bir beklenti, bu nedenle algılama ile tamamlamak gerekir. Bu aslında size Sucuri gibi şirketler (algılama ve iyileştirme) bulmak ve neden önleyici tarafında CloudFlare gibi diğer şirketler tamamlayıcı aynı niş.
Bu ayrıntı
Benim son konuşmada, WordPress Güvenlik - BS Through Kesme , geri adım ve bakmak ihtiyacı, her zamankinden daha önce daha ayrıntılı girdi Ekosistem / Çevre , bu sunum farklı değildi. Aslında, bu işler başladı nasıl. Hadi onlara yansıtmak için hızlı bir dakika atalım:
- Rogue Apache Modülü - Eylül 2012M - Dostumuz Dennis maskesini Parazitler ile sahtekar Apache modülü sunucuda web sızmak için eklenen ve kullanılan nerede o, görme olmuştu bir sorun özetleyen mükemmel bir makale yazdı. Biz aslında kendi kendine barındırılan sitesi olmayan bir durum, ama bir altyapı uzlaşma yaşıyor edildiği bir ev sahibi olsun başardık.
- phpMyAdmin Bozuk Ayna - Eylül 2012 - prognostik önemi gösterilmiştir gösterilen gibi kabuk yoluyla bir ayna tatlıya ve basit bir geçiş sunucuya sızmak için kullanılmıştır.
- Wild İstismara Uğrayan olmak PHP-CGI Güvenlik Açığı - May 2012 Aslında bu konuda bir yazı yazdı ve bu yararlanıldığına nasıl gösterdi. Bu durumda başka bir uzaktan komut çalıştırma güvenlik açığı oldu.
- Plesk Güvenlik Açığı - Haziran 2012 - Bu durumda aslında iki konu oldu. Bir açık veri depolama, ikinci saldırganların savunma bypass ve ortamınıza erişim sağlayan bir SQL ekleme güvenlik açığı oldu.
Ne üzücü bu orada sorunların ancak bir kısmını temsil ediyor olmasıdır. Her gün yeni güvenlik açıkları var, biz bir toplum olarak kendimizi ve medya yardımcı olmuyor için bunu yapmak, Ne yazık ki olsa içeri olduğunuz işin doğası var, biz bizim okuyucu, tüketiciler üzerine kötü beklentileri ve kusturmak, müşteriler ve son kullanıcılar hem. Biz ortalama WordPress kurulum ve mantıksal mimarisi bakmak ve biz potansiyel vektörler vurgulamak noktasına eve getirmek yardımcı olmak için:
Genellikle ben bu slayt gösterisi zaman insanların yüzlerini karşısında yazılı gördüğünüz yanıttır ve neden sürpriz merak yardımcı olamaz. Önümde oturan ne zaman görme ve / veya ilk kez bu anlayış eğer biz eğitmek ve kullanıcıları eğitmek şekilde kırık bir şey var.
En zorlu ve muhtemelen neden insanlara yeterince mafsallı değil, taşıyan bir görüntü böyle bu umutsuzluk tam duygusu. Belki de en iyi kesmek ve tekrar internet dokunmayın bu duygu. Bu konuda sadece yarım gülümseme ise, fikri pratik değildir. Evet, gerçek, biraz zor olabilir, inkar olduğunu. Kendi beklentileri bir kez ama aynı zamanda yönetilebilir.
Aşağıdaki gibi grubuna yapılan anahtar nokta şudur:
İlk olarak, sadece ilk kez bu konuda öğrenme ve kendi sunucu çalıştırıyorsanız, Eğer bir sorununuz varsa ve kendinizi kontrol etmek için derhal dalış gerekir.
İkinci olarak, ben sadece dedi veya referans, o zaman yönetilen WordPress ev sahibi ile gitmek ne yaptı bilmiyorum. Bizim kontrol WordPress bilgisayarlar için ortaklar sayfa kalbinde güvenlik çıkarları var.
Bu aynı tavsiye, bu yazı okumaya gider.
Olsa açık olmak istiyorum, ben bir yönetilen hizmet ile üzüntülerin pencere ve / çıkmak demiyorum veya tekrar kesmek asla. Kesinlikle arkadaşlarım, risk tartışmaya geri dönemem. Hayır, bu sadece olursa, size kesmek, size ensues delilik gezinmek yardımcı olmak için bir ekip vardır almak anlamına gelir.
Kesmek çoğu için saf kaos başka bir şey değil sonra Evet, ne ensues - genellikle biraz ağlama içerir, bağırıyor çığlık ve son yenilgi.
Hiç yorum yok:
Yorum Gönder