WordPress Security

WordPress Security Brecht Ryckaert

Brecht Ryckaert
- Support engineer @ Combell.com

- WordPress sinds 1.5

- Blogger (tot 2010 techblogger)

- Auteur

- WordCamp Netherlands 2014

WordPress Security 101
• Amazon Kindle

• + 1800 exemplaren

• Blijft een “work in progress”

• Eerstkomende update ergens
in de komende 4 weken

Wie zijn site werd al
eens gehacked of had
een site van een client
die gehacked is
geweest?

“Is WordPress nog veilig?”

“Een keten is zo sterk als zijn zwakste schakel."

WordPress hacking - de dreigingen
Onderzoek van WPMUdev heeft uitgewezen dat hacking
gebeurt door volgende oorzaken:
• 50%: thema’s of plugins
• 25%: WordPress core (verouderde versies)
• 25%: server conﬁguratie + andere factoren

Wie van jullie
installeert security
plugins in zijn/haar
WordPress websites?

En bij wie van die mensen
is dat de enige
beveiligingsmaatregel?

Wie gebruikt FTP om
bestanden op zijn
website te plaatsen en
eventuele code te
bewerken?

FTP
Uit persoonlijke ervaring heb ik geleerd dat FTP eveneens een
bijzonder zwakke schakel is. Heel wat hacks gebeuren middels
gestolen FTP-gegevens die men heeft bemachtigd via:
• Keyloggers
• Virussen (meestal trojans)
• Andere malware of spyware
• Lekken in oudere versies van software (Acrobat Reader 8, Flash
Player)

FTP
Hoe vermijden we hacking via FTP:
• Geen FTP gebruiken! Gebruik SFTP waar mogelijk.
• OS up to date houden
• Software up to date houden
• Gebruik anti-virus + anti-malware + ﬁrewall software

Welke soorten aanvallen?
*Meest voorkomende soorten

Hoe gaan we dergelijke  
hacks vermijden?

Security in WordPress Plugins, Themes & Best Practices

Security door middel van plugins
iThemes Security
Wordfence Security
Sucuri Security
Sucuri Security Website Firewall
Bulletproof Security
Limit Login Attempts
All in one WP Security & Firewall
…

Security mét plugins
• Beperk het aantal plugins waar mogelijk
• Verwijder gedeactiveerde plugins altijd
• Hou je plugins altijd up to date
• Probeer je te beperken tot plugins uit de ofﬁciële
WordPress plugin repository (http://www.wordpress.org/
plugins)
• Check altijd hoe lang geleden de laatste update
uitgegeven werd.

WordPress gebruikers
• Gebruik geen admin user, verwijder deze na installatie!
• Kies een goed wachtwoord:  
- Hoofdletters & kleine letters 
- Cijfers 
- Speciale tekens (@, !, ?, …) 
- Gebruik geen bestaande woorden

WordPress Themes
• Altijd up to date houden
• Gratis theme? Altijd via http://www.wordpress.org/
themes.
• Premium themes? Hou dit altijd goed up to date
• Nooit themes aanpassen in de theme ﬁles zelf. Werk
ALTIJD met een child theme voor aanpassingen.

Eigen thema gemaakt?
• test met https://wordpress.org/plugins/theme-check/

WordPress opties
• Pingbacks uitschakelen
• User Registration uitschakelen indien niet noodzakelijk

De bestandsstructuur Tweaks binnen je hosting

Toegang tot gevoelige files blokkeren via htaccess
Options All -Indexes 
<files .htaccess> 
Order allow,deny 
Deny from all 
</files> 
<files readme.html> 
Order allow,deny 
Deny from all 
</files> 
<files license.txt> 
Order allow,deny 
Deny from all 
</files> 
<files install.php> 
Order allow,deny 
Deny from all 
</files> 
<files wp-config.php> 
Order allow,deny 
Deny from all 
</files>
Plaats dit in de hoofdmap  
van je WordPress-installatie

Injections blokkeren via htaccess
<IfModule mod_rewrite.c> 
RewriteEngine On 
RewriteBase / 
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC] 
RewriteRule ^(.*)$ - [F,L] 
RewriteCond %{QUERY_STRING} ../ [NC,OR] 
RewriteCond %{QUERY_STRING} boot.ini [NC,OR] 
RewriteCond %{QUERY_STRING} tag= [NC,OR] 
RewriteCond %{QUERY_STRING} ftp: [NC,OR] 
RewriteCond %{QUERY_STRING} http: [NC,OR] 
RewriteCond %{QUERY_STRING} https: [NC,OR] 
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] 
RewriteCond %{QUERY_STRING} mosConﬁg_[a-zA-Z_]{1,21}(=|%3D) [NC,OR] 
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR] 
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR] 
RewriteCond %{QUERY_STRING} ^.*("|'|<|>|\|{||).* [NC,OR] 
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR] 
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR] 
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR] 
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC] 
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ 
RewriteRule ^(.*)$ - [F,L] 
</IfModule>

Robots.txt
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Allow: /wp-content/uploads

wp-content/uploads beveiligen met .htaccess
<Files *.php> 
deny from all 
</Files>

Server conﬁguratie Tweaks in php.ini, …

PHP versie
• Huidige PHP-versie 5.6
• Heel wat security tweaks vanaf 5.4
• Heel wat hosters draaien nog 5.3
• Vraag actief naar upgrades bij je hoster! Een goede
hoster standaardiseert op 5.5.

PHP.ini
• safe_mode (weg sinds 5.4, deprecated in 5.3)
• allow_url_fopen
• register_globals (weg sinds 5.4, deprecated in 5.3)

Fail2ban
• Server package tegen brute forcing
• Integreerbaar met wp-fail2ban (https://wordpress.org/
plugins/wp-fail2ban/)

Wat als je zelf onvoldoende
technisch onderlegd bent om dit
zelf te implementeren?

Managed (WordPress)
Hosting
- Nemen de serverconﬁguratie voor
hun rekening

- Doen de WordPress & plugin
updates voor je

- Ondersteunen jou bij hacking

savvii.nl
• Sponsor van dit event 
(waarvoor dank!)

• Gespecialiseerd in managed
WordPress hosting

Hoe kan je je website  
proactief doorlichten?

WPScan
• scanner voor WordPress

• scant naar vulnerabilities

• kan gebruikt worden om DDOS
te simuleren

• via CLI

• Self hosted

• Gratis te gebruiken

Sucuri’s sitecheck
• http://sitecheck.sucuri.net/

• Gratis te gebruiken

Zelf te nemen acties
• Wijzig alle wachtwoorden: MySQL database, FTP,
WordPress, …
• Update je gehele installatie van WordPress, de thema’s,
plugins
• Controleer de inhoud van je database op eventuele
malaﬁde entries of verdachte users

Bedankt!
https://joind.in/13678

WordPress Security

More Related Content

Similar to WordPress Security (20)

More from Brecht Ryckaert (11)

WordPress Security