SlideShare ist ein Scribd-Unternehmen logo
CMS Security 
my ~/ is my castle
ad personam 
• Stefan Kremer 
• freiberuflicher Systemberater 
Mac, Web, CTI 
• WordPresser seit Duke Ellington 
• Contributor WordPress.tv 
Mitgründer WP-Meetup Franken 
• Vorrangiger Einsatz von WP als 
CMS für Kundenpräsenzen 
@stkjj 
stefanredaktiv 
stefan@redaktiv.de
CMS? No prob! Oder doch? 
• CVE-Hitliste 
• (19) Joomla: 305 
• (22) Drupal: 268 
• (27) WordPress: 232 
• (35) Typo3: 174 
• ohne Eintrag ≠ sicher, sondern nur noch 
nicht dokumentiert
Basisanalyse 
• Hosting 
• Shared Hosting 
• Virtual Host 
• Managed Server 
• Rootserver 
• Housing 
• Basissystem? 
• OS? 
• PHP? 
• MySQL? 
• Webadmin Tool?
Angriffsvektoren 
• „Standard“ Benutzernamen 
• schwache Passwörter 
• veraltete Installationen 
• schlechter Code 
• SQL Injections 
• XSS - Cross Site Scripting 
• …
Login Credentials 
• was spricht eigentlich gegen den 
Benutzernamen »asylufdeworig23r«? 
• Name der Katze oder Geburtsdatum der 
Oma ist kein Passwort! 
• Ein Admin, ein User-Account 
• Kopfschmerzen? Finger wund? 
➡ Passwortmanager!
Cms security
Cms security
Brute-Force Attacs 
• Durchprobieren von Credentials 
➡ willkürliche Benutzernamen 
➡ starke Passwörter 
• Sperre nach x Versuchen für Zeitintervall y 
• Blacklisting der IP 
➡ iThemes Security (ex BetterWPSecurity)
Monitoring 
• Server up? 
• Dateien verändert? 
• Benutzeranmeldungen? 
• Eindringungsversuche? 
• Logouts? 
➡ iThemes Security (ex BetterWPSecurity)
Update, Update, Update 
• regelmässig WP-Core aktualisieren 
• Achtung: AutoUpdater seit 3.7! 
• besser: Benachrichtigung bei Update 
• regelmässig PlugIns aktualisieren 
• regelmässig (Premium) Themes aktualisieren
TTV 
• zufällige Versionsnummer ausgeben 
• .htaccess-Regeln zum Zugriffsschutz 
• /wp-content/ 
• wp-config.php 
• readme.html + liesmich.html 
• „hide and seek“ (/wp-content, wp_, …) 
➡ iThemes Security (ex BetterWPSecurity)
die Mauer erhöhen 
• Login per SSL-Zertifikat absichern 
• Kosten < 50 €/p.a. 
• http://www.psw.net/ssl-zertifikate.cfm 
• Zwei-Faktor Authentifizierung 
• https://github.com/sergejmueller/2-Step-Verification
im Fall der (Un)Fälle 
• Backup! 
• regelmässig, automatisiert, zeitgesteuert 
• MySQL-Datenbank 
• Dateien, insp. /wp-content/uploads/ 
• Wiederherstellung üben!
Fazit 
• Sicherheit ist eine Daueraufgabe! 
• Aufwand vs. Nutzen 
• Make or Buy
Vielen Dank für die 
Aufmerksamkeit!

Weitere ähnliche Inhalte

Was ist angesagt?

Ist deine Webseite wirklich Sicher?
Ist deine Webseite wirklich Sicher?Ist deine Webseite wirklich Sicher?
Ist deine Webseite wirklich Sicher?
Martin Wolfert
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen Kurs
Benjamin Hartwich
 
Wordpress Crashkurs
Wordpress CrashkursWordpress Crashkurs
Wordpress Crashkurs
Coworking Akademie
 
node.js Einführung
node.js Einführungnode.js Einführung
node.js Einführung
Benjamin-Timm Broich
 
node.js - Eine kurze Einführung
node.js - Eine kurze Einführungnode.js - Eine kurze Einführung
node.js - Eine kurze Einführung
nodeio
 
WordPress Professional II
WordPress Professional IIWordPress Professional II
WordPress Professional II
Sebastian Blum
 
WordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxWordPress Professional – SEO Campixx
WordPress Professional – SEO Campixx
Sebastian Blum
 
Startups in „Die Höhle der Löwen“ - SEODAY 2016
Startups in „Die Höhle der Löwen“ - SEODAY 2016Startups in „Die Höhle der Löwen“ - SEODAY 2016
Startups in „Die Höhle der Löwen“ - SEODAY 2016
Dennis Oderwald
 
9 WordPress Plugins für SEO, die reich und mächtig machen
9 WordPress Plugins für SEO, die reich und mächtig machen9 WordPress Plugins für SEO, die reich und mächtig machen
9 WordPress Plugins für SEO, die reich und mächtig machen
Alexander Rus
 
Wordpress - Einführung und Überblick über die Kernfunktionen
Wordpress - Einführung und Überblick über die KernfunktionenWordpress - Einführung und Überblick über die Kernfunktionen
Wordpress - Einführung und Überblick über die Kernfunktionen
Mario Fink
 
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
get on top gmbh
 
WordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinWordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in Berlin
Torsten Landsiedel
 

Was ist angesagt? (12)

Ist deine Webseite wirklich Sicher?
Ist deine Webseite wirklich Sicher?Ist deine Webseite wirklich Sicher?
Ist deine Webseite wirklich Sicher?
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen Kurs
 
Wordpress Crashkurs
Wordpress CrashkursWordpress Crashkurs
Wordpress Crashkurs
 
node.js Einführung
node.js Einführungnode.js Einführung
node.js Einführung
 
node.js - Eine kurze Einführung
node.js - Eine kurze Einführungnode.js - Eine kurze Einführung
node.js - Eine kurze Einführung
 
WordPress Professional II
WordPress Professional IIWordPress Professional II
WordPress Professional II
 
WordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxWordPress Professional – SEO Campixx
WordPress Professional – SEO Campixx
 
Startups in „Die Höhle der Löwen“ - SEODAY 2016
Startups in „Die Höhle der Löwen“ - SEODAY 2016Startups in „Die Höhle der Löwen“ - SEODAY 2016
Startups in „Die Höhle der Löwen“ - SEODAY 2016
 
9 WordPress Plugins für SEO, die reich und mächtig machen
9 WordPress Plugins für SEO, die reich und mächtig machen9 WordPress Plugins für SEO, die reich und mächtig machen
9 WordPress Plugins für SEO, die reich und mächtig machen
 
Wordpress - Einführung und Überblick über die Kernfunktionen
Wordpress - Einführung und Überblick über die KernfunktionenWordpress - Einführung und Überblick über die Kernfunktionen
Wordpress - Einführung und Überblick über die Kernfunktionen
 
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
 
WordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinWordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in Berlin
 

Andere mochten auch

Warum Lernen glücklich macht
Warum Lernen glücklich macht Warum Lernen glücklich macht
Warum Lernen glücklich macht
Andre_Schleiter
 
Actividad módulo 4: Scoop.it
Actividad módulo 4: Scoop.itActividad módulo 4: Scoop.it
Actividad módulo 4: Scoop.it
Mariam Feliciano-García
 
Meta 4.2
Meta 4.2Meta 4.2
Meta 4.2
pakko desmadres
 
Las TICS en la Educación
Las TICS en la EducaciónLas TICS en la Educación
Las TICS en la Educación
Vasquez Elizabeth
 
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
Mario Rümmler: Einfache Werkzeuge zur Erstellung von LerninhaltenMario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
lernet
 
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz RechtBernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert
 
Tutorial 2 - Einen Blog abonnieren
Tutorial 2 - Einen Blog abonnierenTutorial 2 - Einen Blog abonnieren
Tutorial 2 - Einen Blog abonnieren
Schestak
 
Geschlecht Und Demokratie
Geschlecht Und DemokratieGeschlecht Und Demokratie
Geschlecht Und Demokratie
guesta6eca45
 
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
04 Aspekte des Schriftspracherwerbs,  Schreiben, Schrift, Motorik04 Aspekte des Schriftspracherwerbs,  Schreiben, Schrift, Motorik
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
joness6
 
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzenUlrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
lernet
 
4 Grunde Sich Nicht Zu Beklagen
4 Grunde Sich Nicht Zu Beklagen4 Grunde Sich Nicht Zu Beklagen
4 Grunde Sich Nicht Zu Beklagen
guest381e96c8
 
Aim global Business Plan
Aim global Business PlanAim global Business Plan
Aim global Business Plan
altasaim
 
Einführung
EinführungEinführung
Einführung
Schestak
 
Buchlandschaft 2015
Buchlandschaft 2015Buchlandschaft 2015
Buchlandschaft 2015
Neopubli GmbH
 
Adobe Interaktive Formulare in SAP ERP
Adobe Interaktive Formulare in SAP ERPAdobe Interaktive Formulare in SAP ERP
Adobe Interaktive Formulare in SAP ERP
anthesis GmbH
 
schau.gmuend Nr.3
schau.gmuend Nr.3schau.gmuend Nr.3
schau.gmuend Nr.3
Andreas Krapohl
 
Familie Der Seligpreisungen
Familie Der SeligpreisungenFamilie Der Seligpreisungen
Familie Der Seligpreisungen
unterlechner
 

Andere mochten auch (20)

Warum Lernen glücklich macht
Warum Lernen glücklich macht Warum Lernen glücklich macht
Warum Lernen glücklich macht
 
Actividad módulo 4: Scoop.it
Actividad módulo 4: Scoop.itActividad módulo 4: Scoop.it
Actividad módulo 4: Scoop.it
 
Goudenhanddruk
GoudenhanddrukGoudenhanddruk
Goudenhanddruk
 
Meta 4.2
Meta 4.2Meta 4.2
Meta 4.2
 
Las TICS en la Educación
Las TICS en la EducaciónLas TICS en la Educación
Las TICS en la Educación
 
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
Mario Rümmler: Einfache Werkzeuge zur Erstellung von LerninhaltenMario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
 
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz RechtBernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
 
Tutorial 2 - Einen Blog abonnieren
Tutorial 2 - Einen Blog abonnierenTutorial 2 - Einen Blog abonnieren
Tutorial 2 - Einen Blog abonnieren
 
Geschlecht Und Demokratie
Geschlecht Und DemokratieGeschlecht Und Demokratie
Geschlecht Und Demokratie
 
a2n Awards
a2n Awardsa2n Awards
a2n Awards
 
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
04 Aspekte des Schriftspracherwerbs,  Schreiben, Schrift, Motorik04 Aspekte des Schriftspracherwerbs,  Schreiben, Schrift, Motorik
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
 
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzenUlrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
 
4 Grunde Sich Nicht Zu Beklagen
4 Grunde Sich Nicht Zu Beklagen4 Grunde Sich Nicht Zu Beklagen
4 Grunde Sich Nicht Zu Beklagen
 
Aim global Business Plan
Aim global Business PlanAim global Business Plan
Aim global Business Plan
 
Einführung
EinführungEinführung
Einführung
 
Buchlandschaft 2015
Buchlandschaft 2015Buchlandschaft 2015
Buchlandschaft 2015
 
Fee
FeeFee
Fee
 
Adobe Interaktive Formulare in SAP ERP
Adobe Interaktive Formulare in SAP ERPAdobe Interaktive Formulare in SAP ERP
Adobe Interaktive Formulare in SAP ERP
 
schau.gmuend Nr.3
schau.gmuend Nr.3schau.gmuend Nr.3
schau.gmuend Nr.3
 
Familie Der Seligpreisungen
Familie Der SeligpreisungenFamilie Der Seligpreisungen
Familie Der Seligpreisungen
 

Ähnlich wie Cms security

Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
tschikarski
 
ASP.NET Core Security
ASP.NET Core SecurityASP.NET Core Security
ASP.NET Core Security
Albert Weinert
 
Passwörter lang oder kurz?
Passwörter lang oder kurz?Passwörter lang oder kurz?
Passwörter lang oder kurz?
OMM Solutions GmbH
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEARCH ONE
 
Javascript done right
Javascript done rightJavascript done right
Javascript done right
Dirk Ginader
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
kuehlhaus AG
 
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutschAnbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Askozia
 
"git.net" gibt's nicht?
"git.net" gibt's nicht?"git.net" gibt's nicht?
"git.net" gibt's nicht?
inovex GmbH
 
Sichere Webanwendungen
Sichere WebanwendungenSichere Webanwendungen
Sichere Webanwendungen
Thomas Bachmann
 
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
TRILOS new media
 
Wieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheiternWieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheitern
Digicomp Academy AG
 
Internet Information Services (deutsch)
Internet Information Services (deutsch)Internet Information Services (deutsch)
Internet Information Services (deutsch)
Joerg Krause
 
Sichere Passwörter
Sichere PasswörterSichere Passwörter
Sichere Passwörter
Björn Wibben
 
Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?
libertello GmbH
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Arian Kriesch
 
D3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultD3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id Vault
Andreas Schulte
 
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis GehrtFMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
Verein FM Konferenz
 
Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerter
Gunther Pippèrr
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
Agenda Europe 2035
 
CMS Sicherheit
CMS SicherheitCMS Sicherheit
CMS Sicherheit
frankstaude
 

Ähnlich wie Cms security (20)

Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
 
ASP.NET Core Security
ASP.NET Core SecurityASP.NET Core Security
ASP.NET Core Security
 
Passwörter lang oder kurz?
Passwörter lang oder kurz?Passwörter lang oder kurz?
Passwörter lang oder kurz?
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
 
Javascript done right
Javascript done rightJavascript done right
Javascript done right
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutschAnbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
 
"git.net" gibt's nicht?
"git.net" gibt's nicht?"git.net" gibt's nicht?
"git.net" gibt's nicht?
 
Sichere Webanwendungen
Sichere WebanwendungenSichere Webanwendungen
Sichere Webanwendungen
 
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
 
Wieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheiternWieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheitern
 
Internet Information Services (deutsch)
Internet Information Services (deutsch)Internet Information Services (deutsch)
Internet Information Services (deutsch)
 
Sichere Passwörter
Sichere PasswörterSichere Passwörter
Sichere Passwörter
 
Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
 
D3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultD3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id Vault
 
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis GehrtFMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
 
Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerter
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
 
CMS Sicherheit
CMS SicherheitCMS Sicherheit
CMS Sicherheit
 

Mehr von stk_jj

UX in the WordPress backend
UX in the WordPress backendUX in the WordPress backend
UX in the WordPress backend
stk_jj
 
Page Performance
Page PerformancePage Performance
Page Performance
stk_jj
 
The Business of WordPress
The Business of WordPressThe Business of WordPress
The Business of WordPress
stk_jj
 
WordPress Security 101 - Meetup Nairobi March 2020
WordPress Security 101 - Meetup Nairobi March 2020 WordPress Security 101 - Meetup Nairobi March 2020
WordPress Security 101 - Meetup Nairobi March 2020
stk_jj
 
WordPress Security 101 - WordCamp Nairobi 2019
WordPress Security 101 -  WordCamp Nairobi 2019WordPress Security 101 -  WordCamp Nairobi 2019
WordPress Security 101 - WordCamp Nairobi 2019
stk_jj
 
Security? hey, it's only word press!
Security? hey, it's only word press!Security? hey, it's only word press!
Security? hey, it's only word press!
stk_jj
 
Scaling WordPress - WP on AWS
Scaling WordPress - WP on AWSScaling WordPress - WP on AWS
Scaling WordPress - WP on AWS
stk_jj
 
WordPress Sicherheit ab Werk
WordPress Sicherheit ab WerkWordPress Sicherheit ab Werk
WordPress Sicherheit ab Werk
stk_jj
 
We are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 BerlinWe are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 Berlin
stk_jj
 

Mehr von stk_jj (9)

UX in the WordPress backend
UX in the WordPress backendUX in the WordPress backend
UX in the WordPress backend
 
Page Performance
Page PerformancePage Performance
Page Performance
 
The Business of WordPress
The Business of WordPressThe Business of WordPress
The Business of WordPress
 
WordPress Security 101 - Meetup Nairobi March 2020
WordPress Security 101 - Meetup Nairobi March 2020 WordPress Security 101 - Meetup Nairobi March 2020
WordPress Security 101 - Meetup Nairobi March 2020
 
WordPress Security 101 - WordCamp Nairobi 2019
WordPress Security 101 -  WordCamp Nairobi 2019WordPress Security 101 -  WordCamp Nairobi 2019
WordPress Security 101 - WordCamp Nairobi 2019
 
Security? hey, it's only word press!
Security? hey, it's only word press!Security? hey, it's only word press!
Security? hey, it's only word press!
 
Scaling WordPress - WP on AWS
Scaling WordPress - WP on AWSScaling WordPress - WP on AWS
Scaling WordPress - WP on AWS
 
WordPress Sicherheit ab Werk
WordPress Sicherheit ab WerkWordPress Sicherheit ab Werk
WordPress Sicherheit ab Werk
 
We are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 BerlinWe are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 Berlin
 

Cms security

  • 1. CMS Security my ~/ is my castle
  • 2. ad personam • Stefan Kremer • freiberuflicher Systemberater Mac, Web, CTI • WordPresser seit Duke Ellington • Contributor WordPress.tv Mitgründer WP-Meetup Franken • Vorrangiger Einsatz von WP als CMS für Kundenpräsenzen @stkjj stefanredaktiv stefan@redaktiv.de
  • 3. CMS? No prob! Oder doch? • CVE-Hitliste • (19) Joomla: 305 • (22) Drupal: 268 • (27) WordPress: 232 • (35) Typo3: 174 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
  • 4. Basisanalyse • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool?
  • 5. Angriffsvektoren • „Standard“ Benutzernamen • schwache Passwörter • veraltete Installationen • schlechter Code • SQL Injections • XSS - Cross Site Scripting • …
  • 6. Login Credentials • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«? • Name der Katze oder Geburtsdatum der Oma ist kein Passwort! • Ein Admin, ein User-Account • Kopfschmerzen? Finger wund? ➡ Passwortmanager!
  • 9. Brute-Force Attacs • Durchprobieren von Credentials ➡ willkürliche Benutzernamen ➡ starke Passwörter • Sperre nach x Versuchen für Zeitintervall y • Blacklisting der IP ➡ iThemes Security (ex BetterWPSecurity)
  • 10. Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Logouts? ➡ iThemes Security (ex BetterWPSecurity)
  • 11. Update, Update, Update • regelmässig WP-Core aktualisieren • Achtung: AutoUpdater seit 3.7! • besser: Benachrichtigung bei Update • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren
  • 12. TTV • zufällige Versionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …) ➡ iThemes Security (ex BetterWPSecurity)
  • 13. die Mauer erhöhen • Login per SSL-Zertifikat absichern • Kosten < 50 €/p.a. • http://www.psw.net/ssl-zertifikate.cfm • Zwei-Faktor Authentifizierung • https://github.com/sergejmueller/2-Step-Verification
  • 14. im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
  • 15. Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
  • 16. Vielen Dank für die Aufmerksamkeit!