Sicherheit vonWebanwendungenam Beispiel von Wordpress24. Juni 2013 / #wpzhThomas Gemperle / @thomasgemperle
Security Themes Wordpress- Limiting Access- Containment- Preperation and knowledgehttp://codex.wordpress.org/Hardening_Wor...
Schwachstellen1. Webanwendung / CMS2. Technische Umgebung / Server3. Mensch / Usercopyrightbydigitalgraphixx(CCBY-NC-ND2.0)
Schwachstelle Webanwendung- Sicherheitslücken im CMS, Plugins, Themes- Gefährliche Features- Brute Force Attacken- Distrib...
Webanwendung: SicherheitslückenUpdates, updates, updates- Updatefähigkeit erhalten- Updates durchführen- Achtung: Kompatib...
Webanwendung: Sicherheitslücken
Webanwendung: Features- Plugins (phpMyAdmin, ...)- define(DISALLOW_FILE_EDIT, true);- File Permissions (auto. Update)- Plu...
Webanwendung: Brute ForcePlugin: Limit Login Attemps
Webanwendung: Brute ForcePlugin: Login Security SolutionPlus: Password Policy
Webanwendung: Kein Usernameadmin
Webanwendung: Two Factor Auth
Webanwendung: Two Factor Authhttps://www.duosecurity.com/http://wordpress.org/plugins/google-authenticator/
Webanwendung: Captchahttp://wordpress.org/plugins/captcha
Webanwendung: Prävention- Backups (z.B. Backup-Plugin)- Spezielle Security-Plugins (Security Ninja,BulletProof Security et...
Schwachstelle Server- Andere Applikationen auf dem selben Server- FTP-Zugänge- DDoS etc.
Server: Andere Applikationen- Nur eine WP Installation pro Server- Keine anderen Applikationen, (=Risiken)installiert (z.B...
Server: FTP- Kein externer FTP-Zugriff- Admin: SFTP oder VPN
Server: Monitoring- Vertrauenswürdiger Hoster- Eigene Monitoring Tools (Pingdom, Plugins?)
Schwachstelle MenschPasswort-Management- Schwach- Aufgeschrieben- WeitergegebenUnsichere Umgebung- WLANs- Phishing (URLs)-...
Mensch: Passwort Management- LastPass- Bewusstsein / Verhalten
Mensch: Benutzer-Accounts- Limitierter Zugriff- Passwort check- Security-Plugin?
Mensch: Unsichere Umgebung
Mensch: Unsichere UmgebungSSLdefine(FORCE_SSL_ADMIN, true);define(FORCE_SSL_LOGIN, true);VPNLastPass
Kontakt3: http://www.flickr.com/photos/digitalgraphixx/6347678309/15: http://www.flickr.com/photos/pawelbak/3494459979/Bil...
Nächste SlideShare
Wird geladen in …5
×

Sicherheit von Webanwendungen Juni 2013

676 Aufrufe

Veröffentlicht am

Session gehalten am Wordpress Zürich Meetup

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
676
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
5
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Sicherheit von Webanwendungen Juni 2013

  1. 1. Sicherheit vonWebanwendungenam Beispiel von Wordpress24. Juni 2013 / #wpzhThomas Gemperle / @thomasgemperle
  2. 2. Security Themes Wordpress- Limiting Access- Containment- Preperation and knowledgehttp://codex.wordpress.org/Hardening_WordPress
  3. 3. Schwachstellen1. Webanwendung / CMS2. Technische Umgebung / Server3. Mensch / Usercopyrightbydigitalgraphixx(CCBY-NC-ND2.0)
  4. 4. Schwachstelle Webanwendung- Sicherheitslücken im CMS, Plugins, Themes- Gefährliche Features- Brute Force Attacken- Distributed BF attacks
  5. 5. Webanwendung: SicherheitslückenUpdates, updates, updates- Updatefähigkeit erhalten- Updates durchführen- Achtung: Kompatibilität Plugins --> StagingAllgemein: Vorsicht mit Plugins
  6. 6. Webanwendung: Sicherheitslücken
  7. 7. Webanwendung: Features- Plugins (phpMyAdmin, ...)- define(DISALLOW_FILE_EDIT, true);- File Permissions (auto. Update)- Plugin policy: Downloads,Bewertung, Updates
  8. 8. Webanwendung: Brute ForcePlugin: Limit Login Attemps
  9. 9. Webanwendung: Brute ForcePlugin: Login Security SolutionPlus: Password Policy
  10. 10. Webanwendung: Kein Usernameadmin
  11. 11. Webanwendung: Two Factor Auth
  12. 12. Webanwendung: Two Factor Authhttps://www.duosecurity.com/http://wordpress.org/plugins/google-authenticator/
  13. 13. Webanwendung: Captchahttp://wordpress.org/plugins/captcha
  14. 14. Webanwendung: Prävention- Backups (z.B. Backup-Plugin)- Spezielle Security-Plugins (Security Ninja,BulletProof Security etc.)- CDNs (CloudFlare etc.)http://www.wpjedi.com/find-security-vulnerabilities-in-wordpress/
  15. 15. Schwachstelle Server- Andere Applikationen auf dem selben Server- FTP-Zugänge- DDoS etc.
  16. 16. Server: Andere Applikationen- Nur eine WP Installation pro Server- Keine anderen Applikationen, (=Risiken)installiert (z.B. Joomla, T3, statische Seiten mitPHP-Code etc.)
  17. 17. Server: FTP- Kein externer FTP-Zugriff- Admin: SFTP oder VPN
  18. 18. Server: Monitoring- Vertrauenswürdiger Hoster- Eigene Monitoring Tools (Pingdom, Plugins?)
  19. 19. Schwachstelle MenschPasswort-Management- Schwach- Aufgeschrieben- WeitergegebenUnsichere Umgebung- WLANs- Phishing (URLs)- Malware, Trojaner,Spyware, Keylogger, ...copyrightbypawelbak(CCBY-NC-ND2.0)
  20. 20. Mensch: Passwort Management- LastPass- Bewusstsein / Verhalten
  21. 21. Mensch: Benutzer-Accounts- Limitierter Zugriff- Passwort check- Security-Plugin?
  22. 22. Mensch: Unsichere Umgebung
  23. 23. Mensch: Unsichere UmgebungSSLdefine(FORCE_SSL_ADMIN, true);define(FORCE_SSL_LOGIN, true);VPNLastPass
  24. 24. Kontakt3: http://www.flickr.com/photos/digitalgraphixx/6347678309/15: http://www.flickr.com/photos/pawelbak/3494459979/Bilder (Creative Commons)thomas.gemperle@openbyte.ch@thomasgemperlehttps://www.slideshare.net/thomasgemperle

×