CMS Security 
my ~/ is my castle
ad personam 
• Stefan Kremer 
• freiberuflicher Systemberater 
Mac, Web, CTI 
• WordPresser seit Duke Ellington 
• Contrib...
CMS? No prob! Oder doch? 
• CVE-Hitliste 
• (19) Joomla: 305 
• (22) Drupal: 268 
• (27) WordPress: 232 
• (35) Typo3: 174...
Basisanalyse 
• Hosting 
• Shared Hosting 
• Virtual Host 
• Managed Server 
• Rootserver 
• Housing 
• Basissystem? 
• OS...
Angriffsvektoren 
• „Standard“ Benutzernamen 
• schwache Passwörter 
• veraltete Installationen 
• schlechter Code 
• SQL ...
Login Credentials 
• was spricht eigentlich gegen den 
Benutzernamen »asylufdeworig23r«? 
• Name der Katze oder Geburtsdat...
Brute-Force Attacs 
• Durchprobieren von Credentials 
➡ willkürliche Benutzernamen 
➡ starke Passwörter 
• Sperre nach x V...
Monitoring 
• Server up? 
• Dateien verändert? 
• Benutzeranmeldungen? 
• Eindringungsversuche? 
• Logouts? 
➡ iThemes Sec...
Update, Update, Update 
• regelmässig WP-Core aktualisieren 
• Achtung: AutoUpdater seit 3.7! 
• besser: Benachrichtigung ...
TTV 
• zufällige Versionsnummer ausgeben 
• .htaccess-Regeln zum Zugriffsschutz 
• /wp-content/ 
• wp-config.php 
• readme...
die Mauer erhöhen 
• Login per SSL-Zertifikat absichern 
• Kosten < 50 €/p.a. 
• http://www.psw.net/ssl-zertifikate.cfm 
•...
im Fall der (Un)Fälle 
• Backup! 
• regelmässig, automatisiert, zeitgesteuert 
• MySQL-Datenbank 
• Dateien, insp. /wp-con...
Fazit 
• Sicherheit ist eine Daueraufgabe! 
• Aufwand vs. Nutzen 
• Make or Buy
Vielen Dank für die 
Aufmerksamkeit!
Cms security
Cms security
Nächste SlideShare
Wird geladen in …5
×

Cms security

630 Aufrufe

Veröffentlicht am

My Home is my Castle
Wie sichere ich Content Management Systeme ab am Beispiel von WordPress. Präsentation zur 6. CMS Night im Rahmen der #nueww

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
630
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
5
Aktionen
Geteilt
0
Downloads
1
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Cms security

  1. 1. CMS Security my ~/ is my castle
  2. 2. ad personam • Stefan Kremer • freiberuflicher Systemberater Mac, Web, CTI • WordPresser seit Duke Ellington • Contributor WordPress.tv Mitgründer WP-Meetup Franken • Vorrangiger Einsatz von WP als CMS für Kundenpräsenzen @stkjj stefanredaktiv stefan@redaktiv.de
  3. 3. CMS? No prob! Oder doch? • CVE-Hitliste • (19) Joomla: 305 • (22) Drupal: 268 • (27) WordPress: 232 • (35) Typo3: 174 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
  4. 4. Basisanalyse • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool?
  5. 5. Angriffsvektoren • „Standard“ Benutzernamen • schwache Passwörter • veraltete Installationen • schlechter Code • SQL Injections • XSS - Cross Site Scripting • …
  6. 6. Login Credentials • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«? • Name der Katze oder Geburtsdatum der Oma ist kein Passwort! • Ein Admin, ein User-Account • Kopfschmerzen? Finger wund? ➡ Passwortmanager!
  7. 7. Brute-Force Attacs • Durchprobieren von Credentials ➡ willkürliche Benutzernamen ➡ starke Passwörter • Sperre nach x Versuchen für Zeitintervall y • Blacklisting der IP ➡ iThemes Security (ex BetterWPSecurity)
  8. 8. Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Logouts? ➡ iThemes Security (ex BetterWPSecurity)
  9. 9. Update, Update, Update • regelmässig WP-Core aktualisieren • Achtung: AutoUpdater seit 3.7! • besser: Benachrichtigung bei Update • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren
  10. 10. TTV • zufällige Versionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …) ➡ iThemes Security (ex BetterWPSecurity)
  11. 11. die Mauer erhöhen • Login per SSL-Zertifikat absichern • Kosten < 50 €/p.a. • http://www.psw.net/ssl-zertifikate.cfm • Zwei-Faktor Authentifizierung • https://github.com/sergejmueller/2-Step-Verification
  12. 12. im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
  13. 13. Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
  14. 14. Vielen Dank für die Aufmerksamkeit!

×