Hochgeladen vonstk_jj
PDF, PPTX954 aufrufe

Cms security

Das Dokument behandelt Sicherheitsaspekte von Content-Management-Systemen (CMS) wie WordPress, Joomla und Drupal, einschließlich gängiger Angriffsvektoren und Best Practices zur Verbesserung der Sicherheit. Es betont die Wichtigkeit von regelmäßigen Updates, starken Passwörtern, Monitoring und Sicherheitsmaßnahmen wie SSL-Zertifikaten und Zwei-Faktor-Authentifizierung. Zudem wird auf die Notwendigkeit von Backups und die kontinuierliche Auseinandersetzung mit Sicherheitsfragen hingewiesen.

Präsentation einbetten

Als PDF, PPTX herunterladen
CMS Security my ~/ is my castle
ad personam • Stefan Kremer • freiberuflicher Systemberater Mac, Web, CTI • WordPresser seit Duke Ellington • Contributor WordPress.tv Mitgründer WP-Meetup Franken • Vorrangiger Einsatz von WP als CMS für Kundenpräsenzen @stkjj stefanredaktiv stefan@redaktiv.de
CMS? No prob! Oder doch? • CVE-Hitliste • (19) Joomla: 305 • (22) Drupal: 268 • (27) WordPress: 232 • (35) Typo3: 174 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
Basisanalyse • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool?
Angriffsvektoren • „Standard“ Benutzernamen • schwache Passwörter • veraltete Installationen • schlechter Code • SQL Injections • XSS - Cross Site Scripting • …
Login Credentials • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«? • Name der Katze oder Geburtsdatum der Oma ist kein Passwort! • Ein Admin, ein User-Account • Kopfschmerzen? Finger wund? ➡ Passwortmanager!
Brute-Force Attacs • Durchprobieren von Credentials ➡ willkürliche Benutzernamen ➡ starke Passwörter • Sperre nach x Versuchen für Zeitintervall y • Blacklisting der IP ➡ iThemes Security (ex BetterWPSecurity)
Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Logouts? ➡ iThemes Security (ex BetterWPSecurity)
Update, Update, Update • regelmässig WP-Core aktualisieren • Achtung: AutoUpdater seit 3.7! • besser: Benachrichtigung bei Update • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren
TTV • zufällige Versionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …) ➡ iThemes Security (ex BetterWPSecurity)
die Mauer erhöhen • Login per SSL-Zertifikat absichern • Kosten < 50 €/p.a. • http://www.psw.net/ssl-zertifikate.cfm • Zwei-Faktor Authentifizierung • https://github.com/sergejmueller/2-Step-Verification
im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
Vielen Dank für die Aufmerksamkeit!

Weitere ähnliche Inhalte

PDF
WordPress Security - WP Meetup München 24.9.2015
vonstk_jj
 
PDF
WordPress Security
vonstk_jj
 
PDF
Sicherheit für WordPress
vonWalter Ebert
 
PDF
Wordpress für Profis
vonAnika Erdmann
 
PPTX
SEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwalten
vonget on top gmbh
 
PPTX
Sicher bloggen mit WordPresse - CMS absichern
vonSven Trautwein
 
PDF
2FA4WP - Two Factor Authentification for WordPress
vonstk_jj
 
PPT
Datensicherung WordPress
vonJoachim Hummel
 
WordPress Security - WP Meetup München 24.9.2015
vonstk_jj
 
WordPress Security
vonstk_jj
 
Sicherheit für WordPress
vonWalter Ebert
 
Wordpress für Profis
vonAnika Erdmann
 
SEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwalten
vonget on top gmbh
 
Sicher bloggen mit WordPresse - CMS absichern
vonSven Trautwein
 
2FA4WP - Two Factor Authentification for WordPress
vonstk_jj
 
Datensicherung WordPress
vonJoachim Hummel
 

Was ist angesagt?

PDF
Ist deine Webseite wirklich Sicher?
vonMartin Wolfert
 
PDF
WordPress Grundlagen Kurs
vonBenjamin Hartwich
 
PDF
Wordpress Crashkurs
vonCoworking Akademie
 
PDF
node.js Einführung
vonBenjamin-Timm Broich
 
PDF
node.js - Eine kurze Einführung
vonnodeio
 
PDF
WordPress Professional II
vonSebastian Blum
 
PDF
WordPress Professional – SEO Campixx
vonSebastian Blum
 
PDF
Startups in „Die Höhle der Löwen“ - SEODAY 2016
vonDennis Oderwald
 
PDF
9 WordPress Plugins für SEO, die reich und mächtig machen
vonAlexander Rus
 
PDF
Wordpress - Einführung und Überblick über die Kernfunktionen
vonMario Fink
 
PPTX
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
vonget on top gmbh
 
ODP
WordPress absichern - WP Camp 2012 in Berlin
vonTorsten Landsiedel
 
Ist deine Webseite wirklich Sicher?
vonMartin Wolfert
 
WordPress Grundlagen Kurs
vonBenjamin Hartwich
 
Wordpress Crashkurs
vonCoworking Akademie
 
node.js Einführung
vonBenjamin-Timm Broich
 
node.js - Eine kurze Einführung
vonnodeio
 
WordPress Professional II
vonSebastian Blum
 
WordPress Professional – SEO Campixx
vonSebastian Blum
 
Startups in „Die Höhle der Löwen“ - SEODAY 2016
vonDennis Oderwald
 
9 WordPress Plugins für SEO, die reich und mächtig machen
vonAlexander Rus
 
Wordpress - Einführung und Überblick über die Kernfunktionen
vonMario Fink
 
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
vonget on top gmbh
 
WordPress absichern - WP Camp 2012 in Berlin
vonTorsten Landsiedel
 

Andere mochten auch

PPTX
Warum Lernen glücklich macht
vonAndre_Schleiter
 
PPTX
Actividad módulo 4: Scoop.it
vonMariam Feliciano-García
 
PPT
Goudenhanddruk
vongoudenhanddrukshop
 
PPTX
Meta 4.2
vonpakko desmadres
 
PPTX
Las TICS en la Educación
vonVasquez Elizabeth
 
PDF
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
vonlernet
 
PDF
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
vonBernd Fuhlert
 
PPT
Tutorial 2 - Einen Blog abonnieren
vonSchestak
 
PPTX
Geschlecht Und Demokratie
vonguesta6eca45
 
KEY
a2n Awards
vonguestff4711
 
PDF
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
vonjoness6
 
PPT
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
vonlernet
 
PPS
4 Grunde Sich Nicht Zu Beklagen
vonguest381e96c8
 
PPTX
Aim global Business Plan
vonaltasaim
 
PPT
Einführung
vonSchestak
 
PDF
Buchlandschaft 2015
vonNeopubli GmbH
 
PPTX
Fee
vonFee070488
 
PPTX
Adobe Interaktive Formulare in SAP ERP
vonanthesis GmbH
 
PDF
schau.gmuend Nr.3
vonAndreas Krapohl
 
PPTX
Familie Der Seligpreisungen
vonunterlechner
 
Warum Lernen glücklich macht
vonAndre_Schleiter
 
Actividad módulo 4: Scoop.it
vonMariam Feliciano-García
 
Goudenhanddruk
vongoudenhanddrukshop
 
Meta 4.2
vonpakko desmadres
 
Las TICS en la Educación
vonVasquez Elizabeth
 
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
vonlernet
 
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
vonBernd Fuhlert
 
Tutorial 2 - Einen Blog abonnieren
vonSchestak
 
Geschlecht Und Demokratie
vonguesta6eca45
 
a2n Awards
vonguestff4711
 
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
vonjoness6
 
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
vonlernet
 
4 Grunde Sich Nicht Zu Beklagen
vonguest381e96c8
 
Aim global Business Plan
vonaltasaim
 
Einführung
vonSchestak
 
Buchlandschaft 2015
vonNeopubli GmbH
 
Fee
vonFee070488
 
Adobe Interaktive Formulare in SAP ERP
vonanthesis GmbH
 
schau.gmuend Nr.3
vonAndreas Krapohl
 
Familie Der Seligpreisungen
vonunterlechner
 

Mehr von stk_jj

PDF
UX in the WordPress backend
vonstk_jj
 
PDF
Page Performance
vonstk_jj
 
PDF
The Business of WordPress
vonstk_jj
 
PDF
WordPress Security 101 - Meetup Nairobi March 2020
vonstk_jj
 
PDF
WordPress Security 101 - WordCamp Nairobi 2019
vonstk_jj
 
PDF
Security? hey, it's only word press!
vonstk_jj
 
PDF
Scaling WordPress - WP on AWS
vonstk_jj
 
PDF
WordPress Sicherheit ab Werk
vonstk_jj
 
PDF
We are WP, we are legion - WP Camp 2013 Berlin
vonstk_jj
 
UX in the WordPress backend
vonstk_jj
 
Page Performance
vonstk_jj
 
The Business of WordPress
vonstk_jj
 
WordPress Security 101 - Meetup Nairobi March 2020
vonstk_jj
 
WordPress Security 101 - WordCamp Nairobi 2019
vonstk_jj
 
Security? hey, it's only word press!
vonstk_jj
 
Scaling WordPress - WP on AWS
vonstk_jj
 
WordPress Sicherheit ab Werk
vonstk_jj
 
We are WP, we are legion - WP Camp 2013 Berlin
vonstk_jj
 

Cms security

  • 1.
    CMS Security my~/ is my castle
  • 2.
    ad personam •Stefan Kremer • freiberuflicher Systemberater Mac, Web, CTI • WordPresser seit Duke Ellington • Contributor WordPress.tv Mitgründer WP-Meetup Franken • Vorrangiger Einsatz von WP als CMS für Kundenpräsenzen @stkjj stefanredaktiv stefan@redaktiv.de
  • 3.
    CMS? No prob!Oder doch? • CVE-Hitliste • (19) Joomla: 305 • (22) Drupal: 268 • (27) WordPress: 232 • (35) Typo3: 174 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
  • 4.
    Basisanalyse • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool?
  • 5.
    Angriffsvektoren • „Standard“Benutzernamen • schwache Passwörter • veraltete Installationen • schlechter Code • SQL Injections • XSS - Cross Site Scripting • …
  • 6.
    Login Credentials •was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«? • Name der Katze oder Geburtsdatum der Oma ist kein Passwort! • Ein Admin, ein User-Account • Kopfschmerzen? Finger wund? ➡ Passwortmanager!
  • 9.
    Brute-Force Attacs •Durchprobieren von Credentials ➡ willkürliche Benutzernamen ➡ starke Passwörter • Sperre nach x Versuchen für Zeitintervall y • Blacklisting der IP ➡ iThemes Security (ex BetterWPSecurity)
  • 10.
    Monitoring • Serverup? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Logouts? ➡ iThemes Security (ex BetterWPSecurity)
  • 11.
    Update, Update, Update • regelmässig WP-Core aktualisieren • Achtung: AutoUpdater seit 3.7! • besser: Benachrichtigung bei Update • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren
  • 12.
    TTV • zufälligeVersionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …) ➡ iThemes Security (ex BetterWPSecurity)
  • 13.
    die Mauer erhöhen • Login per SSL-Zertifikat absichern • Kosten < 50 €/p.a. • http://www.psw.net/ssl-zertifikate.cfm • Zwei-Faktor Authentifizierung • https://github.com/sergejmueller/2-Step-Verification
  • 14.
    im Fall der(Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
  • 15.
    Fazit • Sicherheitist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
  • 16.
    Vielen Dank fürdie Aufmerksamkeit!