Mythen der WP-Sicherheit
Ich habe nichts zu befürchten! Oder doch?
Marc Nilius - @marcnilius - @WPSicherheit
Barcamp Koble...
Mythos 1
Warum sollte ich gehackt werden?
Bei mir auf der Website gibt es doch nichts
Interessantes zu holen!?
Unterschiedliche Arten von Angriffen
Die meisten Angriffe geschehen
automatisch und nicht zielgerichtet
Bewusste Angriffe ...
Ökonomische Gründe für Angriffe
Drive-by-Downloads: Infizierung der
Website mit Malware, die sich beim
Besuch der Seite au...
Mythos 2
So schlimm ist das auch nicht,
wenn meine Seite gehackt wird!
Was soll da schon passieren?
Folgen von Angriffen und Hacks
Folgen von Angriffen und Hacks
Aussendung von Spam oder Malware hat
direkte Folgen für die Website-Besucher -
Fahrlässigke...
Folgen von Angriffen und Hacks
Neues IT-Sicherheitsgesetz (seit 25.07.2015)
Betreiber kritischer Betriebe (KRITIS) müssen ...
Folgen von Angriffen und Hacks
“Stand der Technik” in Bezug auf WordPress:
- Regelmäßige Updates (Sicherheitslücken)
- Reg...
Mythos 3
Ein Profi hat meine Seite erstellt -
ich muss mich um nichts mehr kümmern!
Pflege und Wartung von Websites
Websites, die Drittsoftware einsetzen,
benötigen dauerhaft Wartung und Pflege
Schon nach w...
Mythos 4
WordPress ist generell unsicher!
WordPress ist nicht unsicher
WordPress ist nicht unsicher
Etwa 25% aller Websites
weltweit nutzen WordPress
Etwa 60% aller Websites, die
auf einem Reda...
WordPress ist nicht unsicher
WordPress ist nicht unsicher
Jede (halbwegs komplexe) Software
hat Fehler (Bugs) und
Sicherheitslücken
WordPress (und jede...
Praxistest
Soviel weiß ich über Deine Seite!
(verlegt in Extra-Session an Tag 2)
Links und Tipps zum Praxisteil hier
Grundregeln Website-Sicherheit
Beispiel: WordPress
Grundregeln WP-Sicherheit
Updates, Updates, Updates!
Backups, Backups, Backups!
Plugins und Themes: nur aus sicheren Quell...
Mehr zum Thema WordPress-Sicherheit
Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen:
https://www.wp-s...
Nächste SlideShare
Wird geladen in …5
×

Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)

369 Aufrufe

Veröffentlicht am

Einführung in die Sicherheit von WordPress-Seiten. Klarstellung diverser Mythen (Warum sollte ich gehackt werden?)

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
369
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
71
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)

  1. 1. Mythen der WP-Sicherheit Ich habe nichts zu befürchten! Oder doch? Marc Nilius - @marcnilius - @WPSicherheit Barcamp Koblenz 2015
  2. 2. Mythos 1 Warum sollte ich gehackt werden? Bei mir auf der Website gibt es doch nichts Interessantes zu holen!?
  3. 3. Unterschiedliche Arten von Angriffen Die meisten Angriffe geschehen automatisch und nicht zielgerichtet Bewusste Angriffe auf bestimmte Websites meistens bei größere Firmen oder Angebote Automatisierte Angriffe von Bots auf kleine und mittlere Websites sind sehr viel häufiger Angriffe aus Langeweile oder wegen politischen & gesellschaftlichen Statements Quelle: flickr.com - CC-BY MakeHackVoid / devdsp
  4. 4. Ökonomische Gründe für Angriffe Drive-by-Downloads: Infizierung der Website mit Malware, die sich beim Besuch der Seite auf den Computer des Besuchers herunterlädt / installiert Blackhat SEO: Einbinden von (unsichtbaren) Links, damit die Websites in Google oder Bing gefunden werden. Häufig Affiliate-Links (Provision) Systemressourcen: Nutzung des Servers für Aufgaben wie Botnetze, Spam, etc. Die Website muss dabei keine Auffälligkeiten zeigen Quelle: flickr.com - Thomas Bauch / donbauches
  5. 5. Mythos 2 So schlimm ist das auch nicht, wenn meine Seite gehackt wird! Was soll da schon passieren?
  6. 6. Folgen von Angriffen und Hacks
  7. 7. Folgen von Angriffen und Hacks Aussendung von Spam oder Malware hat direkte Folgen für die Website-Besucher - Fahrlässigkeit? - Blocken der Website durch Google - Abschalten der Website durch den Hoster - Blocken durch Anti-Virus-Programme Folge: keine Besucher, keine Bestellungen, verlorene Reputation Neues IT-Sicherheitsgesetz (seit 25.07.2015): Unter Umständen sogar relevant, Bußgelder drohen
  8. 8. Folgen von Angriffen und Hacks Neues IT-Sicherheitsgesetz (seit 25.07.2015) Betreiber kritischer Betriebe (KRITIS) müssen Hacker-Vorfälle künftig melden (Ausnahmeregelung für kleine Unternehmen mit < 10 MA) Telemediengesetz: geschäftsmäßige Diensteanbieter (inkl. Website- Betreiber) müssen Angebote absichern - nur kommerzielle Angebote, jedoch keine Ausnahmeregelung für kleine Unternehmen - Bußgelder bis zu 50.000 Euro Betreiber von Web-Angeboten sind verpflichtet, ausreichende, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu ergreifen.
  9. 9. Folgen von Angriffen und Hacks “Stand der Technik” in Bezug auf WordPress: - Regelmäßige Updates (Sicherheitslücken) - Regelmäßige Backups - Grund-Absicherung der Seite (Standard-Maßnahmen) - Überwachung der Seite auf Auffälligkeiten - Maßnahmen zur Abwehr von Angriffen
  10. 10. Mythos 3 Ein Profi hat meine Seite erstellt - ich muss mich um nichts mehr kümmern!
  11. 11. Pflege und Wartung von Websites Websites, die Drittsoftware einsetzen, benötigen dauerhaft Wartung und Pflege Schon nach wenigen Wochen sind die technischen Grundlagen veraltet und deswegen angreifbar Für WordPress und dessen Plugins und Themes erscheinen jede Woche dutzende Sicherheitsupdates (Fast) Jede Website wird regelmäßig von Hackern attackiert. Überwachung und Kontrolle ist daher dringend notwendig (ggf. Gegenmaßnahmen) Quelle: flickr.com - David McSpadden / familyclan
  12. 12. Mythos 4 WordPress ist generell unsicher!
  13. 13. WordPress ist nicht unsicher
  14. 14. WordPress ist nicht unsicher Etwa 25% aller Websites weltweit nutzen WordPress Etwa 60% aller Websites, die auf einem Redaktionssystem basieren, nutzen dafür WordPress Als Angriffsziel bietet sich WordPress deswegen automatisch an Mit automatisierten Angriffen erreicht man eine größtmögliche Abdeckung
  15. 15. WordPress ist nicht unsicher
  16. 16. WordPress ist nicht unsicher Jede (halbwegs komplexe) Software hat Fehler (Bugs) und Sicherheitslücken WordPress (und jedes andere Redaktionssystem) ist Web-Software Sicherheitslücken potenzieren sich beim Einsatz von Dritt-Software für WordPress (Plugins, Themes) Die meisten erfolgreichen Hackerangriffe geschehen unabhängig von WordPress Quelle: https://wpvulndb.com/statistics
  17. 17. Praxistest Soviel weiß ich über Deine Seite! (verlegt in Extra-Session an Tag 2) Links und Tipps zum Praxisteil hier
  18. 18. Grundregeln Website-Sicherheit Beispiel: WordPress
  19. 19. Grundregeln WP-Sicherheit Updates, Updates, Updates! Backups, Backups, Backups! Plugins und Themes: nur aus sicheren Quellen, nur aktuelle und gewartete Plugins/Themes, nur gut bewertete, Anzahl der aktiven Installation beachten, so wenige Plugins wie möglich Sichere und starke Passwörter für jeden Benutzer (Policies) Benutzername nicht “admin”, Admin- und Redakteursbenutzer, ggf. Benutzernamen verstecken Als Anfänger: Sicherheitsplugin installieren, Dateien überwachen lassen (Wordfence, iThemes Security) PC regelmäßig mit Anti-Virus-Software prüfen, Passwörter nur geschützt speichern
  20. 20. Mehr zum Thema WordPress-Sicherheit Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen: https://www.wp-sicherheit.info Twitter: @WPSicherheit und @marcnilius Facebook-Gruppe: “WordPress Sicherheit”

×