WordPress Sicherheit ab Werk

866 Aufrufe

Veröffentlicht am

die Bordmittel von WordPress für sichere Plugins und Themes

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
866
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
51
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

WordPress Sicherheit ab Werk

  1. 1. Sicherheit ab Werk die Bordmittel von WordPress für sichere Plugins und Themes
  2. 2. ad personam • Stefan Kremer • freiberuflicher Systemberater
 Mac,Web, CTI • 10 Jahre WordPress • Contributor • Inhaber von AdminPress @WPAberSicher adminpress stefan@adminpress.de
  3. 3. Angriffsvektoren
  4. 4. Cross-Site-Scripting (XSS) bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft werden. Aus diesem vertrauenswürdigen Kontext kann dann ein Angriff gestartet werden.
  5. 5. SQL Injections bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. Der Angreifer versucht dabei, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen.
  6. 6. All data is guilty until proved innocent
  7. 7. Trefft keine Annahmen Vertraut keinen Daten Lehnt Euch nicht zurück
  8. 8. Datenüberprüfung
 (Validation) • Positivliste (Whitelisting) • nur definierte Werte werden akzeptiert • Tauglichkeit (Qualifying) • PHP Funktionen • WordPress Funktionen
  9. 9. PHP • is_bool() • is_float() • filter_input() • filter_var() • … • is_email() • wp_validate_boolean() • wp_kses_allowed_html() • … WP
  10. 10. "In diesem Augenblick ist alles perfekt. Die Weichheit des Lichts, dieser feine Duft, die ruhige Atmosphäre der Stadt. Sie atmet tief ein, und das Leben erscheint ihr so einfach, so klar, dass sie eine Anwandlung von Liebe überkommt und das Verlangen der gesamten Menschheit zu helfen." /wp-includes/kses.php
  11. 11. /wp-includes/formatting.php
 IST SICHERHEITSLYRIK
  12. 12. WordPress Funktionen absint() sanitize_post() esc_attr() sanitize_email() sanitize_text_field() esc_attr__() sanitize_file_name() sanitize_title() esc_attr_e() sanitize_html_class() sanitize_title_for_query() esc_js() sanitize_key() sanitize_title_with_dashes() esc_sql() sanitize_meta() sanitize_user() esc_textarea() sanitize_mime_type() esc_html() esc_url() sanitize_option() esc_html__() esc_url_raw() sanitize_sql_orderby() esc_html_e() urlencode()
  13. 13. Datenaufbereitung
 (Sanitization) • to sanitize = desinfizieren, reinigen, … • Validation: 
 Daten sollen bestimmte Merkmale aufweisen • Sanitization: 
 Daten werden von unerwünschten Inhalten befreit
  14. 14. Validate Input Sanitize Output
  15. 15. CRSF ist ein Angriff auf ein Computersystem, bei dem der Angreifer eine Transaktion in einer Webanwendung durchführt. Einem Opfers, das bei einer Webanwendung bereits angemeldet sein muss, wird ohne dessen Wissen im Webbrowser ein arglistiger HTTP-Request (‚Anforderung‘), der die vom Angreifer gewünschte Aktion ausführt, untergeschoben.
  16. 16. Nonces • Numbers used once = Einmalpasswort • keine dogmatische, reine Lehre • alphanumerisch ≠ numerisch • 12 h Lebensdauer ≠ einmalig • Prüfung der Intention • Erzeugung des nonces bei Aufruf Formular • Überprüfung des nonces bei Übermittlung
  17. 17. Qualitätssicherung
 Theme Review required recommended "ottomatisch"
  18. 18. Qualitätssicherung
 PlugIn Review 😱https://vip.wordpress.com/documentation/code-review-what-we-look-for/
  19. 19. … Security Team • http://www.joomla-security.de/das-team.html • https://security.drupal.org/team-members • http://typo3.org/teams/security/members/ • https://c-c-a.org/aktuelles/news/details/security- mailingliste • https://docs.djangoproject.com/en/1.8/internals/roles/ #security-team-list • https://plone.org/team/SecurityTeam
  20. 20. –Andrew Nacin, WordPress Lead Developer in a presentation
 ‘WordPress.org & Optimizing Security for your WordPress sites’ 
 June 2013 „The WordPress security team is made up of 25 experts including lead developers and security researchers — about half are employees of Automattic, and a number work in the web security field. We consult with well-known and trusted security researchers and hosting companies.“ WordPress Security Team
  21. 21. Stefan Kremer https://adminpress.de FRAGEN?

×