SlideShare ist ein Scribd-Unternehmen logo

Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)

libertello GmbH
libertello GmbH

Einführung in die Sicherheit von WordPress-Seiten. Klarstellung diverser Mythen (Warum sollte ich gehackt werden?)

Internet
1 von 20
Downloaden Sie, um offline zu lesen
Mythen der WP-Sicherheit Ich habe nichts zu befürchten! Oder doch? Marc Nilius - @marcnilius - @WPSicherheit Barcamp Koblenz 2015
Mythos 1 Warum sollte ich gehackt werden? Bei mir auf der Website gibt es doch nichts Interessantes zu holen!?
Unterschiedliche Arten von Angriffen Die meisten Angriffe geschehen automatisch und nicht zielgerichtet Bewusste Angriffe auf bestimmte Websites meistens bei größere Firmen oder Angebote Automatisierte Angriffe von Bots auf kleine und mittlere Websites sind sehr viel häufiger Angriffe aus Langeweile oder wegen politischen & gesellschaftlichen Statements Quelle: flickr.com - CC-BY MakeHackVoid / devdsp
Ökonomische Gründe für Angriffe Drive-by-Downloads: Infizierung der Website mit Malware, die sich beim Besuch der Seite auf den Computer des Besuchers herunterlädt / installiert Blackhat SEO: Einbinden von (unsichtbaren) Links, damit die Websites in Google oder Bing gefunden werden. Häufig Affiliate-Links (Provision) Systemressourcen: Nutzung des Servers für Aufgaben wie Botnetze, Spam, etc. Die Website muss dabei keine Auffälligkeiten zeigen Quelle: flickr.com - Thomas Bauch / donbauches
Mythos 2 So schlimm ist das auch nicht, wenn meine Seite gehackt wird! Was soll da schon passieren?
Folgen von Angriffen und Hacks
Folgen von Angriffen und Hacks Aussendung von Spam oder Malware hat direkte Folgen für die Website-Besucher - Fahrlässigkeit? - Blocken der Website durch Google - Abschalten der Website durch den Hoster - Blocken durch Anti-Virus-Programme Folge: keine Besucher, keine Bestellungen, verlorene Reputation Neues IT-Sicherheitsgesetz (seit 25.07.2015): Unter Umständen sogar relevant, Bußgelder drohen
Folgen von Angriffen und Hacks Neues IT-Sicherheitsgesetz (seit 25.07.2015) Betreiber kritischer Betriebe (KRITIS) müssen Hacker-Vorfälle künftig melden (Ausnahmeregelung für kleine Unternehmen mit < 10 MA) Telemediengesetz: geschäftsmäßige Diensteanbieter (inkl. Website- Betreiber) müssen Angebote absichern - nur kommerzielle Angebote, jedoch keine Ausnahmeregelung für kleine Unternehmen - Bußgelder bis zu 50.000 Euro Betreiber von Web-Angeboten sind verpflichtet, ausreichende, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu ergreifen.
Folgen von Angriffen und Hacks “Stand der Technik” in Bezug auf WordPress: - Regelmäßige Updates (Sicherheitslücken) - Regelmäßige Backups - Grund-Absicherung der Seite (Standard-Maßnahmen) - Überwachung der Seite auf Auffälligkeiten - Maßnahmen zur Abwehr von Angriffen
Mythos 3 Ein Profi hat meine Seite erstellt - ich muss mich um nichts mehr kümmern!
Pflege und Wartung von Websites Websites, die Drittsoftware einsetzen, benötigen dauerhaft Wartung und Pflege Schon nach wenigen Wochen sind die technischen Grundlagen veraltet und deswegen angreifbar Für WordPress und dessen Plugins und Themes erscheinen jede Woche dutzende Sicherheitsupdates (Fast) Jede Website wird regelmäßig von Hackern attackiert. Überwachung und Kontrolle ist daher dringend notwendig (ggf. Gegenmaßnahmen) Quelle: flickr.com - David McSpadden / familyclan
Mythos 4 WordPress ist generell unsicher!
WordPress ist nicht unsicher
WordPress ist nicht unsicher Etwa 25% aller Websites weltweit nutzen WordPress Etwa 60% aller Websites, die auf einem Redaktionssystem basieren, nutzen dafür WordPress Als Angriffsziel bietet sich WordPress deswegen automatisch an Mit automatisierten Angriffen erreicht man eine größtmögliche Abdeckung
WordPress ist nicht unsicher
WordPress ist nicht unsicher Jede (halbwegs komplexe) Software hat Fehler (Bugs) und Sicherheitslücken WordPress (und jedes andere Redaktionssystem) ist Web-Software Sicherheitslücken potenzieren sich beim Einsatz von Dritt-Software für WordPress (Plugins, Themes) Die meisten erfolgreichen Hackerangriffe geschehen unabhängig von WordPress Quelle: https://wpvulndb.com/statistics
Praxistest Soviel weiß ich über Deine Seite! (verlegt in Extra-Session an Tag 2) Links und Tipps zum Praxisteil hier
Grundregeln Website-Sicherheit Beispiel: WordPress
Grundregeln WP-Sicherheit Updates, Updates, Updates! Backups, Backups, Backups! Plugins und Themes: nur aus sicheren Quellen, nur aktuelle und gewartete Plugins/Themes, nur gut bewertete, Anzahl der aktiven Installation beachten, so wenige Plugins wie möglich Sichere und starke Passwörter für jeden Benutzer (Policies) Benutzername nicht “admin”, Admin- und Redakteursbenutzer, ggf. Benutzernamen verstecken Als Anfänger: Sicherheitsplugin installieren, Dateien überwachen lassen (Wordfence, iThemes Security) PC regelmäßig mit Anti-Virus-Software prüfen, Passwörter nur geschützt speichern
Mehr zum Thema WordPress-Sicherheit Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen: https://www.wp-sicherheit.info Twitter: @WPSicherheit und @marcnilius Facebook-Gruppe: “WordPress Sicherheit”

Empfohlen

Mythen der WordPress-Sicherheit (FrOSCon 2015)
Mythen der WordPress-Sicherheit (FrOSCon 2015)Mythen der WordPress-Sicherheit (FrOSCon 2015)
Mythen der WordPress-Sicherheit (FrOSCon 2015)libertello GmbH
 
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013lemmingzshadow
 
WordPress Sicherheit
WordPress SicherheitWordPress Sicherheit
WordPress SicherheitDietmar Leher
 
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017TRILOS new media
 
Die Zeit der Passwörter ist abgelaufen
Die Zeit der Passwörter ist abgelaufenDie Zeit der Passwörter ist abgelaufen
Die Zeit der Passwörter ist abgelaufenJoachim Hummel
 
WordPress-Templates mit Twig erstellen - PHPUGFFM
WordPress-Templates mit Twig erstellen - PHPUGFFMWordPress-Templates mit Twig erstellen - PHPUGFFM
WordPress-Templates mit Twig erstellen - PHPUGFFMWalter Ebert
 
Das Child-Theme-Dilemma
Das Child-Theme-DilemmaDas Child-Theme-Dilemma
Das Child-Theme-DilemmaTorsten Landsiedel
 
Wordpress Security
Wordpress SecurityWordpress Security
Wordpress SecurityDaniel Potthast
 

Empfohlen

Mythen der WordPress-Sicherheit (FrOSCon 2015)
Mythen der WordPress-Sicherheit (FrOSCon 2015)Mythen der WordPress-Sicherheit (FrOSCon 2015)
Mythen der WordPress-Sicherheit (FrOSCon 2015)libertello GmbH
 
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013lemmingzshadow
 
WordPress Sicherheit
WordPress SicherheitWordPress Sicherheit
WordPress SicherheitDietmar Leher
 
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017TRILOS new media
 
Die Zeit der Passwörter ist abgelaufen
Die Zeit der Passwörter ist abgelaufenDie Zeit der Passwörter ist abgelaufen
Die Zeit der Passwörter ist abgelaufenJoachim Hummel
 
WordPress-Templates mit Twig erstellen - PHPUGFFM
WordPress-Templates mit Twig erstellen - PHPUGFFMWordPress-Templates mit Twig erstellen - PHPUGFFM
WordPress-Templates mit Twig erstellen - PHPUGFFMWalter Ebert
 
Das Child-Theme-Dilemma
Das Child-Theme-DilemmaDas Child-Theme-Dilemma
Das Child-Theme-DilemmaTorsten Landsiedel
 
Wordpress Security
Wordpress SecurityWordpress Security
Wordpress SecurityDaniel Potthast
 
Sicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichernSicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichernSven Trautwein
 
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]Felix Beilharz ✓
 
Kevin Indig - SEO and Growth Hacking
Kevin Indig - SEO and Growth HackingKevin Indig - SEO and Growth Hacking
Kevin Indig - SEO and Growth HackingKevin Indig
 
WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015stk_jj
 
We are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 BerlinWe are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 Berlinstk_jj
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen KursBenjamin Hartwich
 
Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für ProfisAnika Erdmann
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEARCH ONE
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheLeslie Samuel
 
Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPressJoachim Hummel
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
ESET - Antivirus vs. Malware
ESET - Antivirus vs. MalwareESET - Antivirus vs. Malware
ESET - Antivirus vs. MalwareESET | Enjoy Safer Technology (Deutsch)
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointBernd Hoyer
 
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...Yagendoo Media GmbH
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenMag.Natascha Ljubic
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkQAware GmbH
 
Typische Sicherheitslücken in ASP.NET MVC und Web API Anwendungen
Typische Sicherheitslücken in ASP.NET MVC und Web API AnwendungenTypische Sicherheitslücken in ASP.NET MVC und Web API Anwendungen
Typische Sicherheitslücken in ASP.NET MVC und Web API AnwendungenAndré Krämer
 
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...OPITZ CONSULTING Deutschland
 
Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?INFONAUTICS GmbH
 

Weitere ähnliche Inhalte

Andere mochten auch

Sicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichernSicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichernSven Trautwein
 
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]Felix Beilharz ✓
 
Kevin Indig - SEO and Growth Hacking
Kevin Indig - SEO and Growth HackingKevin Indig - SEO and Growth Hacking
Kevin Indig - SEO and Growth HackingKevin Indig
 
WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015stk_jj
 
We are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 BerlinWe are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 Berlinstk_jj
 
Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für ProfisAnika Erdmann
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEARCH ONE
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheLeslie Samuel
 

Andere mochten auch (9)

Sicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichernSicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichern
 
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
 
Kevin Indig - SEO and Growth Hacking
Kevin Indig - SEO and Growth HackingKevin Indig - SEO and Growth Hacking
Kevin Indig - SEO and Growth Hacking
 
WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015
 
We are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 BerlinWe are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 Berlin
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen Kurs
 
Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für Profis
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your Niche
 

Ähnlich wie Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)

Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPressJoachim Hummel
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointBernd Hoyer
 
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...Yagendoo Media GmbH
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenMag.Natascha Ljubic
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkQAware GmbH
 
Typische Sicherheitslücken in ASP.NET MVC und Web API Anwendungen
Typische Sicherheitslücken in ASP.NET MVC und Web API AnwendungenTypische Sicherheitslücken in ASP.NET MVC und Web API Anwendungen
Typische Sicherheitslücken in ASP.NET MVC und Web API AnwendungenAndré Krämer
 
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...OPITZ CONSULTING Deutschland
 
Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?INFONAUTICS GmbH
 

Ähnlich wie Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015) (11)

Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPress
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
ESET - Antivirus vs. Malware
ESET - Antivirus vs. MalwareESET - Antivirus vs. Malware
ESET - Antivirus vs. Malware
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
 
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für Handelsagenten
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit Framework
 
Typische Sicherheitslücken in ASP.NET MVC und Web API Anwendungen
Typische Sicherheitslücken in ASP.NET MVC und Web API AnwendungenTypische Sicherheitslücken in ASP.NET MVC und Web API Anwendungen
Typische Sicherheitslücken in ASP.NET MVC und Web API Anwendungen
 
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
 
Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?Wie schütze ich mich vor Malware?
Wie schütze ich mich vor Malware?
 

Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)

  • 1. Mythen der WP-Sicherheit Ich habe nichts zu befürchten! Oder doch? Marc Nilius - @marcnilius - @WPSicherheit Barcamp Koblenz 2015
  • 2. Mythos 1 Warum sollte ich gehackt werden? Bei mir auf der Website gibt es doch nichts Interessantes zu holen!?
  • 3. Unterschiedliche Arten von Angriffen Die meisten Angriffe geschehen automatisch und nicht zielgerichtet Bewusste Angriffe auf bestimmte Websites meistens bei größere Firmen oder Angebote Automatisierte Angriffe von Bots auf kleine und mittlere Websites sind sehr viel häufiger Angriffe aus Langeweile oder wegen politischen & gesellschaftlichen Statements Quelle: flickr.com - CC-BY MakeHackVoid / devdsp
  • 4. Ökonomische Gründe für Angriffe Drive-by-Downloads: Infizierung der Website mit Malware, die sich beim Besuch der Seite auf den Computer des Besuchers herunterlädt / installiert Blackhat SEO: Einbinden von (unsichtbaren) Links, damit die Websites in Google oder Bing gefunden werden. Häufig Affiliate-Links (Provision) Systemressourcen: Nutzung des Servers für Aufgaben wie Botnetze, Spam, etc. Die Website muss dabei keine Auffälligkeiten zeigen Quelle: flickr.com - Thomas Bauch / donbauches
  • 5. Mythos 2 So schlimm ist das auch nicht, wenn meine Seite gehackt wird! Was soll da schon passieren?
  • 7. Folgen von Angriffen und Hacks Aussendung von Spam oder Malware hat direkte Folgen für die Website-Besucher - Fahrlässigkeit? - Blocken der Website durch Google - Abschalten der Website durch den Hoster - Blocken durch Anti-Virus-Programme Folge: keine Besucher, keine Bestellungen, verlorene Reputation Neues IT-Sicherheitsgesetz (seit 25.07.2015): Unter Umständen sogar relevant, Bußgelder drohen
  • 8. Folgen von Angriffen und Hacks Neues IT-Sicherheitsgesetz (seit 25.07.2015) Betreiber kritischer Betriebe (KRITIS) müssen Hacker-Vorfälle künftig melden (Ausnahmeregelung für kleine Unternehmen mit < 10 MA) Telemediengesetz: geschäftsmäßige Diensteanbieter (inkl. Website- Betreiber) müssen Angebote absichern - nur kommerzielle Angebote, jedoch keine Ausnahmeregelung für kleine Unternehmen - Bußgelder bis zu 50.000 Euro Betreiber von Web-Angeboten sind verpflichtet, ausreichende, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu ergreifen.
  • 9. Folgen von Angriffen und Hacks “Stand der Technik” in Bezug auf WordPress: - Regelmäßige Updates (Sicherheitslücken) - Regelmäßige Backups - Grund-Absicherung der Seite (Standard-Maßnahmen) - Überwachung der Seite auf Auffälligkeiten - Maßnahmen zur Abwehr von Angriffen
  • 10. Mythos 3 Ein Profi hat meine Seite erstellt - ich muss mich um nichts mehr kümmern!
  • 11. Pflege und Wartung von Websites Websites, die Drittsoftware einsetzen, benötigen dauerhaft Wartung und Pflege Schon nach wenigen Wochen sind die technischen Grundlagen veraltet und deswegen angreifbar Für WordPress und dessen Plugins und Themes erscheinen jede Woche dutzende Sicherheitsupdates (Fast) Jede Website wird regelmäßig von Hackern attackiert. Überwachung und Kontrolle ist daher dringend notwendig (ggf. Gegenmaßnahmen) Quelle: flickr.com - David McSpadden / familyclan
  • 12. Mythos 4 WordPress ist generell unsicher!
  • 14. WordPress ist nicht unsicher Etwa 25% aller Websites weltweit nutzen WordPress Etwa 60% aller Websites, die auf einem Redaktionssystem basieren, nutzen dafür WordPress Als Angriffsziel bietet sich WordPress deswegen automatisch an Mit automatisierten Angriffen erreicht man eine größtmögliche Abdeckung
  • 16. WordPress ist nicht unsicher Jede (halbwegs komplexe) Software hat Fehler (Bugs) und Sicherheitslücken WordPress (und jedes andere Redaktionssystem) ist Web-Software Sicherheitslücken potenzieren sich beim Einsatz von Dritt-Software für WordPress (Plugins, Themes) Die meisten erfolgreichen Hackerangriffe geschehen unabhängig von WordPress Quelle: https://wpvulndb.com/statistics
  • 17. Praxistest Soviel weiß ich über Deine Seite! (verlegt in Extra-Session an Tag 2) Links und Tipps zum Praxisteil hier
  • 19. Grundregeln WP-Sicherheit Updates, Updates, Updates! Backups, Backups, Backups! Plugins und Themes: nur aus sicheren Quellen, nur aktuelle und gewartete Plugins/Themes, nur gut bewertete, Anzahl der aktiven Installation beachten, so wenige Plugins wie möglich Sichere und starke Passwörter für jeden Benutzer (Policies) Benutzername nicht “admin”, Admin- und Redakteursbenutzer, ggf. Benutzernamen verstecken Als Anfänger: Sicherheitsplugin installieren, Dateien überwachen lassen (Wordfence, iThemes Security) PC regelmäßig mit Anti-Virus-Software prüfen, Passwörter nur geschützt speichern
  • 20. Mehr zum Thema WordPress-Sicherheit Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen: https://www.wp-sicherheit.info Twitter: @WPSicherheit und @marcnilius Facebook-Gruppe: “WordPress Sicherheit”