CMS Sicherheit

938 Aufrufe

Veröffentlicht am

BarCamp Kirche Online - CMS Sicherheit

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
938
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
250
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

CMS Sicherheit

  1. 1. WordPress Security
 my ~/ is my castle 19.09.2015 Frank Staude <frank@staude.net>
  2. 2. Hallo! Frank Staude Email: frank@staude.net Twitter: @staude Webseite: www.staude.net GitHub: staude Co-Founder of WP Meetup Hannover Co-Founder of PHP UG Hannover Co-Founder of Arduino Meetup Hannover Organizer of WP Meetup Nuremberg Mod @ german WordPress.org Supportforum Translation Contributor & Editor for german Speaker and Volunteer @ WordCamp Hamburg 2014 Speaker @ WordCamp Cologne 2015 Co-Organizer @ WordCamp Nürnberg 2016 Co-Founder of adminpress.de
  3. 3. Das hat doch nix mit mir zu tun! •kleiner privater Blog •unverfängliche Inhalte •kaum öffentliche Wahrnehmung •überschaubare Zielgruppe •keine monetären Interessen
  4. 4. Content is King •Rechenleistung (CPU) •Speicherplatz •Bandbreite •sendmail für Spamversand nothing
  5. 5. CMS? No prob! •CVE-Hitliste •(21) Joomla: 309 •(22) Drupal: 290 •(29) WordPress: 247 •(38) Typo3: 178 •ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
  6. 6. Angriffsvektoren •Brute-Force Attacs •„Standard“ Benutzernamen •schwache Passwörter •XSS - Cross Site Scripting / SQL Injections •schlechter Code •veraltete Installationen
  7. 7. Benutzername •»admin« bis 3.0 als Vorgabe •Teile des Domainnamens •häufige eMail-Adressen wie »info@…« •Ein Admin-, ein User-Account •was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«?
  8. 8. Passwörter
  9. 9. Passwörter NoGos •Vorkommen in Wörterbüchern •SocialHacking anfälliges •Tastaturläufe und Folgen •Passwort-Recycling •In Word/Excel speichern
  10. 10. Kopfschmerzen? Finger wund? ➡ Passwortmanager!
  11. 11. Verteidigungsstrategie •willkürliche Benutzernamen •starke Passwörter •Sperre nach x Fehlversuchen 
 für Zeitintervall y • Blacklisting der IP
  12. 12. Update, Update, Update •regelmässig WP-Core aktualisieren •AutoUpdater seit 3.7! •ok für Minor/Security-Releases •regelmässig PlugIns aktualisieren •regelmässig (Premium) Themes aktualisieren
  13. 13. Monitoring •Server up? •Dateien verändert? •Benutzeranmeldungen? •Eindringungsversuche? •Wer hat wann was gemacht?
  14. 14. TTV •zufällige Versionsnummer ausgeben •.htaccess-Regeln zum Zugriffsschutz •/wp-content/ •wp-config.php •readme.html + liesmich.html •„hide and seek“ (/wp-content, wp_, …)
  15. 15. die Mauer erhöhen •min. Login per SSL-Zertifikat absichern •Kostenlos bis < 50 €/p.a. •ggf. Kosten beim Hosting für eigene IP •Zwei-Faktor Authentifizierung •einfaches eMail Konzept vom Pluginkollektiv ehemals Sergej Müller •aufwändiger Duo, Clef, Rublon •Hardware abhängige Lösungen (YubiKey, U2F)
  16. 16. Weitwinkel •Lokaler Rechner sicher? •Keylogger •FTP Zugang geschützt? •besser SFTP oder FTPS (SSL/TLS)! •PW per eMail übermittelt? •eMail ohne Verschlüsselung = Postkarte
  17. 17. Serverbasis •Hosting •Shared Hosting •Virtual Host •Managed Server •Rootserver •Housing •Basissystem? •OS? •PHP? •MySQL? •Webadmin Tool? •Plesk
  18. 18. im Fall der (Un)Fälle •Backup! •regelmässig, automatisiert, zeitgesteuert, offsite •MySQL-Datenbank •Dateien, insp. /wp-content/uploads/ •Wiederherstellung üben!
  19. 19. Fazit •Sicherheit ist eine Daueraufgabe! •Aufwand vs. Nutzen •Make or Buy
  20. 20. Danke! Fragen? frank@adminpress.de
  21. 21. Linksammlung https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php https://wpvulndb.com http://wpengine.com/unmasked/ http://codex.wordpress.org/Configuring_Automatic_Background_Updates https://www.startssl.com https://buy.wosign.com/free/ https://letsencrypt.org https://www.psw.net/ssl-zertifikate.cfm https://github.com/sergejmueller/2-Step-Verification https://wordpress.org/plugins/better-wp-security/

×