Diese Präsentation wurde erfolgreich gemeldet.

CMS Sicherheit

0

Teilen

Nächste SlideShare
Pressmatic
Pressmatic
Wird geladen in …3
×
1 von 21
1 von 21

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Ähnliche Hörbücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

CMS Sicherheit

  1. 1. WordPress Security
 my ~/ is my castle 19.09.2015 Frank Staude <frank@staude.net>
  2. 2. Hallo! Frank Staude Email: frank@staude.net Twitter: @staude Webseite: www.staude.net GitHub: staude Co-Founder of WP Meetup Hannover Co-Founder of PHP UG Hannover Co-Founder of Arduino Meetup Hannover Organizer of WP Meetup Nuremberg Mod @ german WordPress.org Supportforum Translation Contributor & Editor for german Speaker and Volunteer @ WordCamp Hamburg 2014 Speaker @ WordCamp Cologne 2015 Co-Organizer @ WordCamp Nürnberg 2016 Co-Founder of adminpress.de
  3. 3. Das hat doch nix mit mir zu tun! •kleiner privater Blog •unverfängliche Inhalte •kaum öffentliche Wahrnehmung •überschaubare Zielgruppe •keine monetären Interessen
  4. 4. Content is King •Rechenleistung (CPU) •Speicherplatz •Bandbreite •sendmail für Spamversand nothing
  5. 5. CMS? No prob! •CVE-Hitliste •(21) Joomla: 309 •(22) Drupal: 290 •(29) WordPress: 247 •(38) Typo3: 178 •ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
  6. 6. Angriffsvektoren •Brute-Force Attacs •„Standard“ Benutzernamen •schwache Passwörter •XSS - Cross Site Scripting / SQL Injections •schlechter Code •veraltete Installationen
  7. 7. Benutzername •»admin« bis 3.0 als Vorgabe •Teile des Domainnamens •häufige eMail-Adressen wie »info@…« •Ein Admin-, ein User-Account •was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«?
  8. 8. Passwörter
  9. 9. Passwörter NoGos •Vorkommen in Wörterbüchern •SocialHacking anfälliges •Tastaturläufe und Folgen •Passwort-Recycling •In Word/Excel speichern
  10. 10. Kopfschmerzen? Finger wund? ➡ Passwortmanager!
  11. 11. Verteidigungsstrategie •willkürliche Benutzernamen •starke Passwörter •Sperre nach x Fehlversuchen 
 für Zeitintervall y • Blacklisting der IP
  12. 12. Update, Update, Update •regelmässig WP-Core aktualisieren •AutoUpdater seit 3.7! •ok für Minor/Security-Releases •regelmässig PlugIns aktualisieren •regelmässig (Premium) Themes aktualisieren
  13. 13. Monitoring •Server up? •Dateien verändert? •Benutzeranmeldungen? •Eindringungsversuche? •Wer hat wann was gemacht?
  14. 14. TTV •zufällige Versionsnummer ausgeben •.htaccess-Regeln zum Zugriffsschutz •/wp-content/ •wp-config.php •readme.html + liesmich.html •„hide and seek“ (/wp-content, wp_, …)
  15. 15. die Mauer erhöhen •min. Login per SSL-Zertifikat absichern •Kostenlos bis < 50 €/p.a. •ggf. Kosten beim Hosting für eigene IP •Zwei-Faktor Authentifizierung •einfaches eMail Konzept vom Pluginkollektiv ehemals Sergej Müller •aufwändiger Duo, Clef, Rublon •Hardware abhängige Lösungen (YubiKey, U2F)
  16. 16. Weitwinkel •Lokaler Rechner sicher? •Keylogger •FTP Zugang geschützt? •besser SFTP oder FTPS (SSL/TLS)! •PW per eMail übermittelt? •eMail ohne Verschlüsselung = Postkarte
  17. 17. Serverbasis •Hosting •Shared Hosting •Virtual Host •Managed Server •Rootserver •Housing •Basissystem? •OS? •PHP? •MySQL? •Webadmin Tool? •Plesk
  18. 18. im Fall der (Un)Fälle •Backup! •regelmässig, automatisiert, zeitgesteuert, offsite •MySQL-Datenbank •Dateien, insp. /wp-content/uploads/ •Wiederherstellung üben!
  19. 19. Fazit •Sicherheit ist eine Daueraufgabe! •Aufwand vs. Nutzen •Make or Buy
  20. 20. Danke! Fragen? frank@adminpress.de
  21. 21. Linksammlung https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php https://wpvulndb.com http://wpengine.com/unmasked/ http://codex.wordpress.org/Configuring_Automatic_Background_Updates https://www.startssl.com https://buy.wosign.com/free/ https://letsencrypt.org https://www.psw.net/ssl-zertifikate.cfm https://github.com/sergejmueller/2-Step-Verification https://wordpress.org/plugins/better-wp-security/

×