WordPress

Security
my ~/ is my castle
ad personam
• Stefan Kremer
• freiberuflicher Systemberater

Mac,Web, CTI
• 10 Jahre WordPress
• Contributor
• Inhaber von ...
Das hat doch nix mit
mir zu tun!
• kleiner privater Blog
• unverfängliche Inhalte
• kaum öffentliche Wahrnehmung
• übersch...
Das hat doch nix mit
mir zu tun!
• kleiner privater Blog
• unverfängliche Inhalte
• kaum öffentliche Wahrnehmung
• übersch...
Content is King
• Rechenleistung (CPU)
• Speicherplatz
• Bandbreite
• sendmail
nothing
CMS? No prob!
• CVE-Hitliste
• (21) Joomla: 309
• (22) Drupal: 290
• (29) WordPress: 247
• (38) Typo3: 178
• ohne Eintrag ...
Angriffsvektoren
• Brute-Force Attacs
• „Standard“ Benutzernamen
• schwache Passwörter
• XSS - Cross Site Scripting / SQL ...
Benutzername
• »admin« bis 3.0 alsVorgabe
• Teile des Domainnamens
• häufige eMail-Adressen wie »info@…«
• Ein Admin-, ein ...
Passwörter
Passwörter NoGos
• Vorkommen in Wörterbüchern
• SocialHacking anfälliges
• Tastaturläufe und Folgen
• Passwort-Recycling
•...
Kopfschmerzen? Finger wund?
➡ Passwortmanager!
Verteidigungsstrategie
➡ willkürliche Benutzernamen
➡ starke Passwörter
➡ Sperre nach x Fehlversuchen 

für Zeitintervall ...
Update, Update, Update
• regelmässig WP-Core aktualisieren
• AutoUpdater seit 3.7!
• ok für Minor/Security-Releases
• rege...
Monitoring
• Server up?
• Dateien verändert?
• Benutzeranmeldungen?
• Eindringungsversuche?
• Wer hat wann was gemacht?
TTV
• zufälligeVersionsnummer ausgeben
• .htaccess-Regeln zum Zugriffsschutz
• /wp-content/
• wp-config.php
• readme.html +...
die Mauer erhöhen
• min. Login per SSL-Zertifikat absichern
• Kostenlos bis < 50 €/p.a.
• ggf. Kosten beim Hosting für eige...
Weitwinkel
• Lokaler Rechner sicher?
• Keylogger
• FTP Zugang geschützt?
• besser SFTP oder FTPS (SSL/TLS)!
• PW per eMail...
Serverbasis
• Hosting
• Shared Hosting
• Virtual Host
• Managed Server
• Rootserver
• Housing
• Basissystem?
• OS?
• PHP?
...
im Fall der (Un)Fälle
• Backup!
• regelmässig, automatisiert, zeitgesteuert, offsite
• MySQL-Datenbank
• Dateien, insp. /w...
Fazit
• Sicherheit ist eine Daueraufgabe!
• Aufwand vs. Nutzen
• Make or Buy
Stefan Kremer
https://adminpress.de
FRAGEN?
Linksammlung
https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php
http://codex.wordpress.org/WordPress_Vers...
WordPress Security - WP Meetup München 24.9.2015
Nächste SlideShare
Wird geladen in …5
×

WordPress Security - WP Meetup München 24.9.2015

2.013 Aufrufe

Veröffentlicht am

Betrifft mich die Diskussion um Angriffe auf WordPress überhaupt? Welche Angriffsvektoren gibt es überhaupt und wie kann ich meine Installation dagegen verteidigen?

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.013
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
1.214
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

WordPress Security - WP Meetup München 24.9.2015

  1. 1. WordPress
 Security my ~/ is my castle
  2. 2. ad personam • Stefan Kremer • freiberuflicher Systemberater
 Mac,Web, CTI • 10 Jahre WordPress • Contributor • Inhaber von AdminPress @WPAberSicher adminpress stefan@adminpress.de
  3. 3. Das hat doch nix mit mir zu tun! • kleiner privater Blog • unverfängliche Inhalte • kaum öffentliche Wahrnehmung • überschaubare Zielgruppe • keine monetären Interessen
  4. 4. Das hat doch nix mit mir zu tun! • kleiner privater Blog • unverfängliche Inhalte • kaum öffentliche Wahrnehmung • überschaubare Zielgruppe • keine monetären Interessen
  5. 5. Content is King • Rechenleistung (CPU) • Speicherplatz • Bandbreite • sendmail nothing
  6. 6. CMS? No prob! • CVE-Hitliste • (21) Joomla: 309 • (22) Drupal: 290 • (29) WordPress: 247 • (38) Typo3: 178 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
  7. 7. Angriffsvektoren • Brute-Force Attacs • „Standard“ Benutzernamen • schwache Passwörter • XSS - Cross Site Scripting / SQL Injections • schlechter Code • veraltete Installationen
  8. 8. Benutzername • »admin« bis 3.0 alsVorgabe • Teile des Domainnamens • häufige eMail-Adressen wie »info@…« • Ein Admin-, ein User-Account • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«?
  9. 9. Passwörter
  10. 10. Passwörter NoGos • Vorkommen in Wörterbüchern • SocialHacking anfälliges • Tastaturläufe und Folgen • Passwort-Recycling • In Word/Excel speichern
  11. 11. Kopfschmerzen? Finger wund? ➡ Passwortmanager!
  12. 12. Verteidigungsstrategie ➡ willkürliche Benutzernamen ➡ starke Passwörter ➡ Sperre nach x Fehlversuchen 
 für Zeitintervall y ➡ Blacklisting der IP
  13. 13. Update, Update, Update • regelmässig WP-Core aktualisieren • AutoUpdater seit 3.7! • ok für Minor/Security-Releases • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren • ggf. Staging Environment!
  14. 14. Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Wer hat wann was gemacht?
  15. 15. TTV • zufälligeVersionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …)
  16. 16. die Mauer erhöhen • min. Login per SSL-Zertifikat absichern • Kostenlos bis < 50 €/p.a. • ggf. Kosten beim Hosting für eigene IP • Zwei-Faktor Authentifizierung • einfaches eMail Konzept von Sergej Müller • aufwändiger Duo, Clef, Rublon • Extra-HW: UbiKey, Fido U2F
  17. 17. Weitwinkel • Lokaler Rechner sicher? • Keylogger • FTP Zugang geschützt? • besser SFTP oder FTPS (SSL/TLS)! • PW per eMail übermittelt? • eMail ohne Verschlüsselung = Postkarte
  18. 18. Serverbasis • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool? • Plesk
  19. 19. im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert, offsite • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
  20. 20. Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
  21. 21. Stefan Kremer https://adminpress.de FRAGEN?
  22. 22. Linksammlung https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php http://codex.wordpress.org/WordPress_Versions https://wpvulndb.com http://wpengine.com/unmasked/ https://en.wikipedia.org/wiki/Password_cracking http://codex.wordpress.org/Configuring_Automatic_Background_Updates https://www.startssl.com https://buy.wosign.com/free/ https://letsencrypt.org https://www.psw.net/ssl-zertifikate.cfm https://github.com/sergejmueller/2-Step-Verification https://wordpress.org/plugins/better-wp-security/

×