Best Practice für Webapplikationen zur Abwehr von Cross-Site Scripting (JUGM)...
Mythen der WordPress-Sicherheit (FrOSCon 2015)
1. Mythen der WP-Sicherheit
Ich habe nichts zu befürchten! Oder doch?
Marc Nilius - @marcnilius - @WPSicherheit
FrOSCon 2015
2. Mythos 1
Warum sollte ich gehackt werden?
Bei mir auf der Website gibt es doch nichts
Interessantes zu holen!?
3. Unterschiedliche Arten von Angriffen
Die meisten Angriffe geschehen
automatisch und nicht zielgerichtet
Bewusste Angriffe auf bestimmte
Websites meistens bei größere Firmen
oder Angebote
Automatisierte Angriffe von Bots
auf kleine und mittlere Websites sind
sehr viel häufiger
Angriffe aus Langeweile oder wegen
politischen & gesellschaftlichen
Statements
Quelle: flickr.com - CC-BY MakeHackVoid / devdsp
4. Ökonomische Gründe für Angriffe
Drive-by-Downloads: Infizierung der
Website mit Malware, die sich beim
Besuch der Seite auf den Computer des
Besuchers herunterlädt / installiert
Blackhat SEO: Einbinden von
(unsichtbaren) Links, damit die Websites
in Google oder Bing gefunden werden.
Häufig Affiliate-Links (Provision)
Systemressourcen: Nutzung des Servers
für Aufgaben wie Botnetze, Spam, etc. Die
Website muss dabei keine Auffälligkeiten
zeigen
Quelle: flickr.com - Thomas Bauch / donbauches
5. Mythos 2
So schlimm ist das auch nicht,
wenn meine Seite gehackt wird!
Was soll da schon passieren?
7. Folgen von Angriffen und Hacks
Aussendung von Spam oder Malware hat
direkte Folgen für die Website-Besucher -
Fahrlässigkeit?
- Blocken der Website durch Google
- Abschalten der Website durch den
Hoster
- Blocken durch Anti-Virus-Programme
Folge: keine Besucher, keine
Bestellungen, verlorene Reputation
Neues IT-Sicherheitsgesetz
(seit 25.07.2015):
Unter Umständen sogar relevant,
Bußgelder drohen
8. Folgen von Angriffen und Hacks
Neues IT-Sicherheitsgesetz (seit 1.8.2015)
Betreiber kritischer Betriebe (KRITIS) müssen Hacker-Vorfälle künftig melden
(Ausnahmeregelung für kleine Unternehmen mit < 10 MA)
Telemediengesetz: geschäftsmäßige Diensteanbieter (inkl. Website-
Betreiber) müssen Angebote absichern
- nur kommerzielle Angebote,
jedoch keine Ausnahmeregelung für kleine Unternehmen
- Bußgelder bis zu 50.000 Euro
- Abmahnungen möglich!
Betreiber von Web-Angeboten sind verpflichtet, ausreichende,
dem Stand der Technik entsprechende technische und
organisatorische Maßnahmen zum Schutz ihrer Kundendaten
und der von ihnen genutzten IT-Systeme zu ergreifen.
9. Folgen von Angriffen und Hacks
“Stand der Technik” in Bezug auf WordPress:
- Regelmäßige Updates (Sicherheitslücken)
- Regelmäßige Backups
- Grund-Absicherung der Seite (Standard-Maßnahmen)
- Überwachung der Seite auf Auffälligkeiten
- Maßnahmen zur Abwehr von Angriffen
10. Mythos 3
Ein Profi hat meine Seite erstellt -
ich muss mich um nichts mehr kümmern!
11. Pflege und Wartung von Websites
Websites, die Drittsoftware einsetzen,
benötigen dauerhaft Wartung und Pflege
Schon nach wenigen Wochen sind die
technischen Grundlagen veraltet und
deswegen angreifbar
Für WordPress und dessen Plugins und
Themes erscheinen jede Woche
dutzende Sicherheitsupdates
(Fast) Jede Website wird regelmäßig von
Hackern attackiert. Überwachung und
Kontrolle ist daher dringend notwendig
(ggf. Gegenmaßnahmen)
Quelle: flickr.com - David McSpadden / familyclan
14. WordPress ist nicht unsicher
Etwa 25% aller Websites
weltweit nutzen WordPress
Etwa 60% aller Websites, die
auf einem Redaktionssystem
basieren, nutzen dafür
WordPress
Als Angriffsziel bietet sich
WordPress deswegen
automatisch an
Mit automatisierten Angriffen
erreicht man eine
größtmögliche Abdeckung
16. WordPress ist nicht unsicher
Jede (halbwegs komplexe) Software
hat Fehler (Bugs) und
Sicherheitslücken
WordPress (und jedes andere
Redaktionssystem) ist Web-Software
Sicherheitslücken potenzieren sich
beim Einsatz von Dritt-Software für
WordPress (Plugins, Themes)
Die meisten erfolgreichen
Hackerangriffe geschehen
unabhängig von WordPress
Quelle: https://wpvulndb.com/statistics
19. Grundregeln WP-Sicherheit
Updates, Updates, Updates!
Backups, Backups, Backups!
Plugins und Themes: nur aus sicheren Quellen, nur aktuelle und gewartete
Plugins/Themes, nur gut bewertete, Anzahl der aktiven Installation beachten,
so wenige Plugins wie möglich
Sichere und starke Passwörter für jeden Benutzer (Policies)
Benutzername nicht “admin”, Admin- und Redakteursbenutzer, ggf.
Benutzernamen verstecken
Als Anfänger: Sicherheitsplugin installieren, Dateien überwachen lassen
(Wordfence, iThemes Security)
PC regelmäßig mit Anti-Virus-Software prüfen, Passwörter nur geschützt
speichern
20. Mehr zum Thema WordPress-Sicherheit
Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen:
https://www.wp-sicherheit.info
Twitter: @WPSicherheit und @marcnilius
Facebook-Gruppe: “WordPress Sicherheit”