SlideShare ist ein Scribd-Unternehmen logo
1 von 20
Downloaden Sie, um offline zu lesen
Mythen der WP-Sicherheit
Ich habe nichts zu befürchten! Oder doch?
Marc Nilius - @marcnilius - @WPSicherheit
FrOSCon 2015
Mythos 1
Warum sollte ich gehackt werden?
Bei mir auf der Website gibt es doch nichts
Interessantes zu holen!?
Unterschiedliche Arten von Angriffen
Die meisten Angriffe geschehen
automatisch und nicht zielgerichtet
Bewusste Angriffe auf bestimmte
Websites meistens bei größere Firmen
oder Angebote
Automatisierte Angriffe von Bots
auf kleine und mittlere Websites sind
sehr viel häufiger
Angriffe aus Langeweile oder wegen
politischen & gesellschaftlichen
Statements
Quelle: flickr.com - CC-BY MakeHackVoid / devdsp
Ökonomische Gründe für Angriffe
Drive-by-Downloads: Infizierung der
Website mit Malware, die sich beim
Besuch der Seite auf den Computer des
Besuchers herunterlädt / installiert
Blackhat SEO: Einbinden von
(unsichtbaren) Links, damit die Websites
in Google oder Bing gefunden werden.
Häufig Affiliate-Links (Provision)
Systemressourcen: Nutzung des Servers
für Aufgaben wie Botnetze, Spam, etc. Die
Website muss dabei keine Auffälligkeiten
zeigen
Quelle: flickr.com - Thomas Bauch / donbauches
Mythos 2
So schlimm ist das auch nicht,
wenn meine Seite gehackt wird!
Was soll da schon passieren?
Folgen von Angriffen und Hacks
Folgen von Angriffen und Hacks
Aussendung von Spam oder Malware hat
direkte Folgen für die Website-Besucher -
Fahrlässigkeit?
- Blocken der Website durch Google
- Abschalten der Website durch den
Hoster
- Blocken durch Anti-Virus-Programme
Folge: keine Besucher, keine
Bestellungen, verlorene Reputation
Neues IT-Sicherheitsgesetz
(seit 25.07.2015):
Unter Umständen sogar relevant,
Bußgelder drohen
Folgen von Angriffen und Hacks
Neues IT-Sicherheitsgesetz (seit 1.8.2015)
Betreiber kritischer Betriebe (KRITIS) müssen Hacker-Vorfälle künftig melden
(Ausnahmeregelung für kleine Unternehmen mit < 10 MA)
Telemediengesetz: geschäftsmäßige Diensteanbieter (inkl. Website-
Betreiber) müssen Angebote absichern
- nur kommerzielle Angebote,
jedoch keine Ausnahmeregelung für kleine Unternehmen
- Bußgelder bis zu 50.000 Euro
- Abmahnungen möglich!
Betreiber von Web-Angeboten sind verpflichtet, ausreichende,
dem Stand der Technik entsprechende technische und
organisatorische Maßnahmen zum Schutz ihrer Kundendaten
und der von ihnen genutzten IT-Systeme zu ergreifen.
Folgen von Angriffen und Hacks
“Stand der Technik” in Bezug auf WordPress:
- Regelmäßige Updates (Sicherheitslücken)
- Regelmäßige Backups
- Grund-Absicherung der Seite (Standard-Maßnahmen)
- Überwachung der Seite auf Auffälligkeiten
- Maßnahmen zur Abwehr von Angriffen
Mythos 3
Ein Profi hat meine Seite erstellt -
ich muss mich um nichts mehr kümmern!
Pflege und Wartung von Websites
Websites, die Drittsoftware einsetzen,
benötigen dauerhaft Wartung und Pflege
Schon nach wenigen Wochen sind die
technischen Grundlagen veraltet und
deswegen angreifbar
Für WordPress und dessen Plugins und
Themes erscheinen jede Woche
dutzende Sicherheitsupdates
(Fast) Jede Website wird regelmäßig von
Hackern attackiert. Überwachung und
Kontrolle ist daher dringend notwendig
(ggf. Gegenmaßnahmen)
Quelle: flickr.com - David McSpadden / familyclan
Mythos 4
WordPress ist generell unsicher!
WordPress ist nicht unsicher
WordPress ist nicht unsicher
Etwa 25% aller Websites
weltweit nutzen WordPress
Etwa 60% aller Websites, die
auf einem Redaktionssystem
basieren, nutzen dafür
WordPress
Als Angriffsziel bietet sich
WordPress deswegen
automatisch an
Mit automatisierten Angriffen
erreicht man eine
größtmögliche Abdeckung
WordPress ist nicht unsicher
WordPress ist nicht unsicher
Jede (halbwegs komplexe) Software
hat Fehler (Bugs) und
Sicherheitslücken
WordPress (und jedes andere
Redaktionssystem) ist Web-Software
Sicherheitslücken potenzieren sich
beim Einsatz von Dritt-Software für
WordPress (Plugins, Themes)
Die meisten erfolgreichen
Hackerangriffe geschehen
unabhängig von WordPress
Quelle: https://wpvulndb.com/statistics
Praxistest
Soviel weiß ich über Deine Seite!
(und Hacker auch)
Frage: Ist das schlimm?
Grundregeln Website-Sicherheit
Beispiel: WordPress
Grundregeln WP-Sicherheit
Updates, Updates, Updates!
Backups, Backups, Backups!
Plugins und Themes: nur aus sicheren Quellen, nur aktuelle und gewartete
Plugins/Themes, nur gut bewertete, Anzahl der aktiven Installation beachten,
so wenige Plugins wie möglich
Sichere und starke Passwörter für jeden Benutzer (Policies)
Benutzername nicht “admin”, Admin- und Redakteursbenutzer, ggf.
Benutzernamen verstecken
Als Anfänger: Sicherheitsplugin installieren, Dateien überwachen lassen
(Wordfence, iThemes Security)
PC regelmäßig mit Anti-Virus-Software prüfen, Passwörter nur geschützt
speichern
Mehr zum Thema WordPress-Sicherheit
Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen:
https://www.wp-sicherheit.info
Twitter: @WPSicherheit und @marcnilius
Facebook-Gruppe: “WordPress Sicherheit”

Weitere ähnliche Inhalte

Andere mochten auch

Führung der Zukunft: Unternehmen bald ohne Chef und Boss?
Führung der Zukunft: Unternehmen bald ohne Chef und Boss?Führung der Zukunft: Unternehmen bald ohne Chef und Boss?
Führung der Zukunft: Unternehmen bald ohne Chef und Boss?grow.up. Managementberatung GmbH
 
Lectura tarea para segunda sesión
Lectura tarea para segunda sesiónLectura tarea para segunda sesión
Lectura tarea para segunda sesiónpacojavierradio
 
SEO - Optimizacion en buscadores
SEO - Optimizacion en buscadoresSEO - Optimizacion en buscadores
SEO - Optimizacion en buscadoresKanvasMedia
 
Erste Schritte mit moodle
Erste Schritte mit moodleErste Schritte mit moodle
Erste Schritte mit moodleESch
 
Refactoring Rails Applications
Refactoring Rails ApplicationsRefactoring Rails Applications
Refactoring Rails ApplicationsJonathan Weiss
 
!Yo, mi región, mi cultura!
!Yo, mi región, mi cultura!!Yo, mi región, mi cultura!
!Yo, mi región, mi cultura!David Millan
 
Es un servicio de alojamiento de archivos multiplataforma
Es un servicio de alojamiento de archivos multiplataformaEs un servicio de alojamiento de archivos multiplataforma
Es un servicio de alojamiento de archivos multiplataformajaviercitoiglesias
 
El jclic en el ingles
El  jclic  en el inglesEl  jclic  en el ingles
El jclic en el inglesmzorro55
 
SAJBM 45(4) - Desember 2014
SAJBM 45(4) - Desember 2014SAJBM 45(4) - Desember 2014
SAJBM 45(4) - Desember 2014Stefan Du Toit
 
VBKI-Umfrage zum Thema Flüchtlinge
VBKI-Umfrage zum Thema FlüchtlingeVBKI-Umfrage zum Thema Flüchtlinge
VBKI-Umfrage zum Thema FlüchtlingeLukas Breitenbach
 
Leisenberg gesundheitswirtschaft social_media_2012.pptx
Leisenberg gesundheitswirtschaft social_media_2012.pptxLeisenberg gesundheitswirtschaft social_media_2012.pptx
Leisenberg gesundheitswirtschaft social_media_2012.pptxProf. Dr. Manfred Leisenberg
 
El uso de la tecnologia en la medicina
El uso de la tecnologia en la medicinaEl uso de la tecnologia en la medicina
El uso de la tecnologia en la medicinagiraldodaniela
 
DMX2012 Erfolgsfaktoren im Mobile Marketing
DMX2012 Erfolgsfaktoren im Mobile MarketingDMX2012 Erfolgsfaktoren im Mobile Marketing
DMX2012 Erfolgsfaktoren im Mobile MarketingAlexander Oswald
 
Historia y generacion del computador diana lucero chaparro -noche
Historia y generacion del computador  diana lucero chaparro -nocheHistoria y generacion del computador  diana lucero chaparro -noche
Historia y generacion del computador diana lucero chaparro -nochedinalucero29
 
Dispositivosmedicos david
Dispositivosmedicos davidDispositivosmedicos david
Dispositivosmedicos daviddvsdavidv
 

Andere mochten auch (20)

Führung der Zukunft: Unternehmen bald ohne Chef und Boss?
Führung der Zukunft: Unternehmen bald ohne Chef und Boss?Führung der Zukunft: Unternehmen bald ohne Chef und Boss?
Führung der Zukunft: Unternehmen bald ohne Chef und Boss?
 
El amor de dios
El amor de diosEl amor de dios
El amor de dios
 
Lectura tarea para segunda sesión
Lectura tarea para segunda sesiónLectura tarea para segunda sesión
Lectura tarea para segunda sesión
 
SEO - Optimizacion en buscadores
SEO - Optimizacion en buscadoresSEO - Optimizacion en buscadores
SEO - Optimizacion en buscadores
 
Erste Schritte mit moodle
Erste Schritte mit moodleErste Schritte mit moodle
Erste Schritte mit moodle
 
Refactoring Rails Applications
Refactoring Rails ApplicationsRefactoring Rails Applications
Refactoring Rails Applications
 
Tecnicas de archivo
Tecnicas de archivoTecnicas de archivo
Tecnicas de archivo
 
!Yo, mi región, mi cultura!
!Yo, mi región, mi cultura!!Yo, mi región, mi cultura!
!Yo, mi región, mi cultura!
 
Es un servicio de alojamiento de archivos multiplataforma
Es un servicio de alojamiento de archivos multiplataformaEs un servicio de alojamiento de archivos multiplataforma
Es un servicio de alojamiento de archivos multiplataforma
 
El jclic en el ingles
El  jclic  en el inglesEl  jclic  en el ingles
El jclic en el ingles
 
SAJBM 45(4) - Desember 2014
SAJBM 45(4) - Desember 2014SAJBM 45(4) - Desember 2014
SAJBM 45(4) - Desember 2014
 
VBKI-Umfrage zum Thema Flüchtlinge
VBKI-Umfrage zum Thema FlüchtlingeVBKI-Umfrage zum Thema Flüchtlinge
VBKI-Umfrage zum Thema Flüchtlinge
 
Leisenberg gesundheitswirtschaft social_media_2012.pptx
Leisenberg gesundheitswirtschaft social_media_2012.pptxLeisenberg gesundheitswirtschaft social_media_2012.pptx
Leisenberg gesundheitswirtschaft social_media_2012.pptx
 
El uso de la tecnologia en la medicina
El uso de la tecnologia en la medicinaEl uso de la tecnologia en la medicina
El uso de la tecnologia en la medicina
 
Unidad 4
Unidad 4Unidad 4
Unidad 4
 
Matriz de diseno_de_la_pregunta2011_
Matriz de diseno_de_la_pregunta2011_Matriz de diseno_de_la_pregunta2011_
Matriz de diseno_de_la_pregunta2011_
 
DMX2012 Erfolgsfaktoren im Mobile Marketing
DMX2012 Erfolgsfaktoren im Mobile MarketingDMX2012 Erfolgsfaktoren im Mobile Marketing
DMX2012 Erfolgsfaktoren im Mobile Marketing
 
Historia y generacion del computador diana lucero chaparro -noche
Historia y generacion del computador  diana lucero chaparro -nocheHistoria y generacion del computador  diana lucero chaparro -noche
Historia y generacion del computador diana lucero chaparro -noche
 
Bufet1
Bufet1Bufet1
Bufet1
 
Dispositivosmedicos david
Dispositivosmedicos davidDispositivosmedicos david
Dispositivosmedicos david
 

Ähnlich wie Mythen der WordPress-Sicherheit (FrOSCon 2015)

Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPressJoachim Hummel
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointBernd Hoyer
 
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern  (Joomladay 2013 Vortrag b...Joomla Security: Angriffe verstehen und verhindern  (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...Yagendoo Media GmbH
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenMag.Natascha Ljubic
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkQAware GmbH
 
Typische Sicherheitslücken in ASP.NET MVC und Web API Anwendungen
Typische Sicherheitslücken in ASP.NET MVC und Web API AnwendungenTypische Sicherheitslücken in ASP.NET MVC und Web API Anwendungen
Typische Sicherheitslücken in ASP.NET MVC und Web API AnwendungenAndré Krämer
 
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...OPITZ CONSULTING Deutschland
 

Ähnlich wie Mythen der WordPress-Sicherheit (FrOSCon 2015) (10)

Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPress
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
ESET - Antivirus vs. Malware
ESET - Antivirus vs. MalwareESET - Antivirus vs. Malware
ESET - Antivirus vs. Malware
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
 
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern  (Joomladay 2013 Vortrag b...Joomla Security: Angriffe verstehen und verhindern  (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für Handelsagenten
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit Framework
 
Typische Sicherheitslücken in ASP.NET MVC und Web API Anwendungen
Typische Sicherheitslücken in ASP.NET MVC und Web API AnwendungenTypische Sicherheitslücken in ASP.NET MVC und Web API Anwendungen
Typische Sicherheitslücken in ASP.NET MVC und Web API Anwendungen
 
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
 

Mythen der WordPress-Sicherheit (FrOSCon 2015)

  • 1. Mythen der WP-Sicherheit Ich habe nichts zu befürchten! Oder doch? Marc Nilius - @marcnilius - @WPSicherheit FrOSCon 2015
  • 2. Mythos 1 Warum sollte ich gehackt werden? Bei mir auf der Website gibt es doch nichts Interessantes zu holen!?
  • 3. Unterschiedliche Arten von Angriffen Die meisten Angriffe geschehen automatisch und nicht zielgerichtet Bewusste Angriffe auf bestimmte Websites meistens bei größere Firmen oder Angebote Automatisierte Angriffe von Bots auf kleine und mittlere Websites sind sehr viel häufiger Angriffe aus Langeweile oder wegen politischen & gesellschaftlichen Statements Quelle: flickr.com - CC-BY MakeHackVoid / devdsp
  • 4. Ökonomische Gründe für Angriffe Drive-by-Downloads: Infizierung der Website mit Malware, die sich beim Besuch der Seite auf den Computer des Besuchers herunterlädt / installiert Blackhat SEO: Einbinden von (unsichtbaren) Links, damit die Websites in Google oder Bing gefunden werden. Häufig Affiliate-Links (Provision) Systemressourcen: Nutzung des Servers für Aufgaben wie Botnetze, Spam, etc. Die Website muss dabei keine Auffälligkeiten zeigen Quelle: flickr.com - Thomas Bauch / donbauches
  • 5. Mythos 2 So schlimm ist das auch nicht, wenn meine Seite gehackt wird! Was soll da schon passieren?
  • 7. Folgen von Angriffen und Hacks Aussendung von Spam oder Malware hat direkte Folgen für die Website-Besucher - Fahrlässigkeit? - Blocken der Website durch Google - Abschalten der Website durch den Hoster - Blocken durch Anti-Virus-Programme Folge: keine Besucher, keine Bestellungen, verlorene Reputation Neues IT-Sicherheitsgesetz (seit 25.07.2015): Unter Umständen sogar relevant, Bußgelder drohen
  • 8. Folgen von Angriffen und Hacks Neues IT-Sicherheitsgesetz (seit 1.8.2015) Betreiber kritischer Betriebe (KRITIS) müssen Hacker-Vorfälle künftig melden (Ausnahmeregelung für kleine Unternehmen mit < 10 MA) Telemediengesetz: geschäftsmäßige Diensteanbieter (inkl. Website- Betreiber) müssen Angebote absichern - nur kommerzielle Angebote, jedoch keine Ausnahmeregelung für kleine Unternehmen - Bußgelder bis zu 50.000 Euro - Abmahnungen möglich! Betreiber von Web-Angeboten sind verpflichtet, ausreichende, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu ergreifen.
  • 9. Folgen von Angriffen und Hacks “Stand der Technik” in Bezug auf WordPress: - Regelmäßige Updates (Sicherheitslücken) - Regelmäßige Backups - Grund-Absicherung der Seite (Standard-Maßnahmen) - Überwachung der Seite auf Auffälligkeiten - Maßnahmen zur Abwehr von Angriffen
  • 10. Mythos 3 Ein Profi hat meine Seite erstellt - ich muss mich um nichts mehr kümmern!
  • 11. Pflege und Wartung von Websites Websites, die Drittsoftware einsetzen, benötigen dauerhaft Wartung und Pflege Schon nach wenigen Wochen sind die technischen Grundlagen veraltet und deswegen angreifbar Für WordPress und dessen Plugins und Themes erscheinen jede Woche dutzende Sicherheitsupdates (Fast) Jede Website wird regelmäßig von Hackern attackiert. Überwachung und Kontrolle ist daher dringend notwendig (ggf. Gegenmaßnahmen) Quelle: flickr.com - David McSpadden / familyclan
  • 12. Mythos 4 WordPress ist generell unsicher!
  • 14. WordPress ist nicht unsicher Etwa 25% aller Websites weltweit nutzen WordPress Etwa 60% aller Websites, die auf einem Redaktionssystem basieren, nutzen dafür WordPress Als Angriffsziel bietet sich WordPress deswegen automatisch an Mit automatisierten Angriffen erreicht man eine größtmögliche Abdeckung
  • 16. WordPress ist nicht unsicher Jede (halbwegs komplexe) Software hat Fehler (Bugs) und Sicherheitslücken WordPress (und jedes andere Redaktionssystem) ist Web-Software Sicherheitslücken potenzieren sich beim Einsatz von Dritt-Software für WordPress (Plugins, Themes) Die meisten erfolgreichen Hackerangriffe geschehen unabhängig von WordPress Quelle: https://wpvulndb.com/statistics
  • 17. Praxistest Soviel weiß ich über Deine Seite! (und Hacker auch) Frage: Ist das schlimm?
  • 19. Grundregeln WP-Sicherheit Updates, Updates, Updates! Backups, Backups, Backups! Plugins und Themes: nur aus sicheren Quellen, nur aktuelle und gewartete Plugins/Themes, nur gut bewertete, Anzahl der aktiven Installation beachten, so wenige Plugins wie möglich Sichere und starke Passwörter für jeden Benutzer (Policies) Benutzername nicht “admin”, Admin- und Redakteursbenutzer, ggf. Benutzernamen verstecken Als Anfänger: Sicherheitsplugin installieren, Dateien überwachen lassen (Wordfence, iThemes Security) PC regelmäßig mit Anti-Virus-Software prüfen, Passwörter nur geschützt speichern
  • 20. Mehr zum Thema WordPress-Sicherheit Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen: https://www.wp-sicherheit.info Twitter: @WPSicherheit und @marcnilius Facebook-Gruppe: “WordPress Sicherheit”