WordPress Security

252 Aufrufe

Veröffentlicht am

aktualisierte Fassung für das WP Meetup Würzburg 5.7.2016

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
252
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
88
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

WordPress Security

  1. 1. WordPress
 Security my ~/ is my castle
  2. 2. ad personam • Stefan Kremer • freiberuflicher Systemberater
 Mac,Web, CTI • 10 Jahre WordPress • Contributor • Inhaber von AdminPress @WPAberSicher adminpress stefan@adminpress.de
  3. 3. Das hat doch nix mit mir zu tun! • kleiner privater Blog • unverfängliche Inhalte • kaum öffentliche Wahrnehmung • überschaubare Zielgruppe • keine monetären Interessen
  4. 4. Content is King • Rechenleistung (CPU) • Speicherplatz • Bandbreite • sendmail für Spamversand nothing
  5. 5. CMS? No prob! • CVE-Hitliste • (22) Joomla: 321 • (25) Drupal: 300 • (28) WordPress: 262 • (40) Typo3: 185 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
  6. 6. Angriffsvektoren • Brute-Force Attacs • „Standard“ Benutzernamen • schwache Passwörter • XSS - Cross Site Scripting / SQL Injections • schlechter Code • veraltete Installationen
  7. 7. Benutzername • »admin« bis 3.0 alsVorgabe • Teile des Domainnamens • häufige eMail-Adressen wie »info@…« • Ein Admin-, ein User-Account • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«?
  8. 8. Passwörter
  9. 9. Passwörter NoGos • Vorkommen in Wörterbüchern • SocialHacking anfälliges • Tastaturläufe und Folgen • Passwort-Recycling • In Word/Excel speichern
  10. 10. Kopfschmerzen? Finger wund? ➡ Passwortmanager!
  11. 11. Verteidigungsstrategie ➡ willkürliche Benutzernamen ➡ starke Passwörter ➡ Sperre nach x Fehlversuchen 
 für Zeitintervall y ➡ Blacklisting der IP
  12. 12. Update, Update, Update • regelmässig WP-Core aktualisieren • AutoUpdater seit 3.7! • ok für Minor/Security-Releases • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren • ggf. Staging Environment!
  13. 13. Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Wer hat wann was gemacht?
  14. 14. TTV • zufälligeVersionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …)
  15. 15. die Mauer erhöhen • min. Login per SSL-Zertifikat absichern • Kostenlos bis < 50 €/p.a. • ggf. Kosten beim Hosting für eigene IP • Zwei-Faktor Authentifizierung • einfaches eMail Konzept von Sergej Müller • aufwändiger Duo, Clef, Rublon • Extra-HW: UbiKey, Fido U2F • eingebaut in iThemes Security Pro
  16. 16. Weitwinkel • Lokaler Rechner sicher? • Keylogger • FTP Zugang geschützt? • besser SFTP oder FTPS (SSL/TLS)! • PW per eMail übermittelt? • eMail ohne Verschlüsselung = Postkarte
  17. 17. Serverbasis • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool? • Plesk
  18. 18. im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert, offsite • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
  19. 19. Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
  20. 20. Stefan Kremer https://adminpress.de FRAGEN?
  21. 21. Linksammlung https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php https://wpvulndb.com http://wpengine.com/unmasked/ http://codex.wordpress.org/Configuring_Automatic_Background_Updates https://www.startssl.com https://buy.wosign.com/free/ https://letsencrypt.org https://www.psw.net/ssl-zertifikate.cfm https://github.com/sergejmueller/2-Step-Verification https://wordpress.org/plugins/better-wp-security/

×