SlideShare ist ein Scribd-Unternehmen logo
WordPress und Sicherheit:
Grundlagen für den geschützten Betrieb
eines Online-Redaktionssystems
Vortrag beim Webmontag Hannover am 16.01.2017
Zu diesem Vortrag
• Dieser kurze Vortrag soll einen allgemeinverständlichen
Überblick für Nicht-Techniker zu wichtigen Grundsätzen und
Hilfsmitteln geben, um eine Web-Anwendung wie WordPress
sicher betreiben zu können.
• Vieles lässt sich auch für andere Web-Anwendungen
übertragen.
• Nicht behandelt werden hier die Aspekte zur lokalen
Sicherheit, Server-Sicherheit, Verbindungssicherheit und zu
gezielten Angriffen.
• Die Vollständigkeit und Richtigkeit kann nicht gewährleistet
werden.
Passwortsicherheit
• Wähle ein einmaliges und sicheres Passwort. Dieser
allgemeine Aspekt wird hier nicht näher behandelt! Infos:
http://www.gute-passwoerter.de/ - Danke an Michael Kaiser
• Verwalte Deine Passworte mit Hilfe einer sicheren
Anwendung – nicht im Browser! Vorschläge:
– https://1password.com/
– http://keepass.info/
– Die Passwortverwaltung Deiner AntiVirus/-
Sicherheitssoftware
Zusätzliche Möglichkeiten: Zwei-Faktor-Authentifizierung; Zugriff auf eigene
feste IP beschränken; Login-Zeigen beschränken...
3
Installation
Beachte in der Eingabemaske zum Installationsvorgang:
1. Eingabezeile „Table Prefix“: Ersetze
wp_ durch einmaliges Kürzel, bspw.
wpxyz_ für Website „xyz“.
Wenn einmal Schadcode injiziert werden sollte, der die
Datenbank modifzieren will, ist sein Scheitern
wahrscheinlicher.
2. Eingabezeile „Username:“ Ersetze
admin durch einmaligen Benutzernamen, bspw.
xyz-wp-admin für Website „xyz“
Wenn automatisierte Angriffe massenweise Login-Daten zu
erraten versuchen, ist deren Scheitern wahrscheinlicher.
4
Profilverwaltung
(Profil=Benutzer)
• Erstelle eine weiteres Profil mit der Rolle „Redakteur“. Nutze
dieses Profil für die alltägliche inhaltliche Arbeit. Die Folgen
eines Missbrauchs durch Dritte nach z.B. Ausspähung können
dadurch begrenzt werden.
Erstelle Profile für Dritte nur mit der nötigen Rolle. Informiere
Dritte in Sachen Passwortsicherheit und Sorgfalt und lasse
Benutzerzugänge nur so lange im System, wie nötig.
• Werden „Spitznamen“ öffentlich verwendet, sollten sie sich
vom Benutzernamen unterscheiden. Dies soll das Ausspähen
von Profilnamen erschweren.
5
Massenangriffe
Ungezielte Angriffe finden automatisiert statt. Erschwere ihren
Erfolg und schütze den Server vor Last und Ausfall!
• Ändere die Login URL, um die Anmeldeseite vor
automatisierten Angriffen zu verstecken.
Hilfsmittel: plugin „Rename WP Login“
https://wordpress.org/plugins/rename-wp-login/
• Das Aussperren nach vielen Anmeldeversuchen reduziert den
Erfolg durch Erraten der Zugangsdaten, vor allem aber die
Gefahr der Nichterreichbarkeit durch Überlastung des Servers.
Hilfsmittel: plugin „Login Lockdown“
https://wordpress.org/plugins/login-lockdown/
(Weitere Schutzmechanismen wie Firewalls, Cloud-Lösungen, .htaccess-Regeln usw. sind nicht Teil dieses Vortrags.)
6
Auswahl der Komponenten
Die Auswahl von plugins und themes solltest Du stets auch unter
Sicherheitsaspekten vornehmen.
• Kann das plugin nur das, was ich brauche, oder ist sie unnötig
mächtig? Negatives Beispiel: Benutzerrechte-Verwaltung, nur
um Menüpunkte auszublenden
• Freie Software lebt vom Engagement der Hersteller, dies
garantiert an sich noch keine dauerhafte Sicherheit.
Wird das theme/plugin vom Hersteller gepflegt? (Wird es
zumindest gelegentlich aktualisiert, ist die jüngste Version
nicht älter als ein Jahr, gibt es Reaktionen auf öffentliche
Support-Anfragen?)
7
Softwarepflege
Ist eine Anwendung grundlegend geschützt, müssen neue
Sicherheitslücken durch Updates geschlossen werden. Halte
WordPress und alle Komponenten (v.a. themes, plugins)
möglichst stets aktuell!
• WordPress prüft automatisch auf Sicherheitsupdates für die
Kern-Anwendung. Schalte dies nicht ab!
• Sicherheitslücken können sogar bei deaktivierten plugins und
themes ausgenutzt werden – lösche, was nicht benötigt wird!
• Prüfe themes und plugins auf Updates. Hilfsmittel:
https://wordpress.org/plugins/wp-updates-notifier/
• Halte Dich beim Hersteller des themes auf dem Laufenden
(Newsletter, RSS, Github, …)
8
Softwarepflege
Nicht jedes Update ist nötig, nicht jede Komponente wird
gepflegt. Informiere Dich bei Dritten über Sicherheitslücken:
• Verwendete plugins können mit bekannten Sicherheitslücken
laufend automatisch abgeglichen werden. Hilfsmittel:
https://wordpress.org/plugins/plugin-vulnerabilities/
• Verwendete plugins, die aus dem WordPress Repository
https://wordpress.org/plugins/ entfernt wurden, können Dir
gemeldet werden:
https://wordpress.org/plugins/no-longer-in-directory/
• Frage Deinen Webdesigner, Webhoster o.a. nach
Unterstützung durch Beratung, Sichtung und laufende
Softwarepflege
9
Sicherheitskopien (Backups)
Zum großen Thema Backups können hier nur kurz die für den
Vortrag relevanten Aspekte behandelt werden:
• Erstelle vor jedem manuellen Update eine vollständige
Sicherheitskopie. Benutze hierfür ein plugin mit unabhängiger
Wiederherstellungsfunktion oder eine unabhängige Lösung
wie z.B. die Verwaltungsoberfläche des Webhosters. So
kommst Du kommst einfacher zur Wiederherstellung, falls die
Installation nach einem Update nicht mehr funktioniert.
• Bewahre ältere Backups auf, da eine Infektion der Installation
evtl. erst spät entdeckt wird und dann meist auch in alten
Backups enthalten sein kann.
10
Sicherheits-plugins
Oft bestehen Sicherheitslücken aufgrund ähnlicher Ursachen und
werden daher mit automatisierten Methoden ausgenutzt. Um
diese Methoden zu verhindern und zu erschweren, können mit
Hilfe eines ausgefeilten Sicherheits-plugins viele Maßnahmen
einfach aktiviert werden. Dies bietet bspw. das kostenlose plugin
iThemes Security und vor allem iThemes Security Pro mit noch
mehr Funktionsumfang:
https://de.wordpress.org/plugins/better-wp-security/
Weitere Beispiele:
https://de.wordpress.org/plugins/ninjafirewall/
https://wordpress.org/plugins/wordfence/
https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
11
Link-Tipps
• Dieser Vortrag: http://de.slideshare.net/trilos-new-media
- siehe auch @trilos auf Twitter
• Videoaufzeichnungen von Vorträgen: http://wordpress.tv/
• Zurückliegende WordCamp-Konferenzen mit Vorträgen:
https://central.wordcamp.org/schedule/past-wordcamps/
• Blog, Newsletter: http://www.wp-sicherheit.info/
• ...
12
Danke für die Aufmerksamkeit.
Erik Petersen
petersen@trilos.de
TRILOS new media
Hanomaghof 2
30449 Hannover
tel 0511 214498-60
fax 0511 214498-65
Internet-Auftritte mit WordPress, Hosting uvm.
www.trilos.de

Weitere ähnliche Inhalte

Ähnlich wie Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017

Joomla
JoomlaJoomla
Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und Administration
Thomas Siegers
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
Carsten Muetzlitz
 
WordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxWordPress Professional – SEO Campixx
WordPress Professional – SEO Campixx
Sebastian Blum
 
Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für Profis
Anika Erdmann
 
WordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMSWordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMS
Thomas Siegers
 
WordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinWordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in Berlin
Torsten Landsiedel
 
Software Entwicklung im Team
Software Entwicklung im TeamSoftware Entwicklung im Team
Software Entwicklung im Team
brandts
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstall
tayiera
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstall
tayiera
 
Mach‘s selbst - mit WordPress zum Website-Erfolg!
Mach‘s selbst - mit WordPress zum Website-Erfolg!Mach‘s selbst - mit WordPress zum Website-Erfolg!
Mach‘s selbst - mit WordPress zum Website-Erfolg!
Tim Ehling
 
WordPress sicherer machen - Basics
WordPress sicherer machen - BasicsWordPress sicherer machen - Basics
WordPress sicherer machen - Basics
Andreas Rudorfer
 
ApplicationPro Flyer deutsch
ApplicationPro Flyer deutschApplicationPro Flyer deutsch
ApplicationPro Flyer deutsch
cynapspro GmbH
 
MongoDB: Security-Tipps gegen Hacker
MongoDB: Security-Tipps gegen HackerMongoDB: Security-Tipps gegen Hacker
MongoDB: Security-Tipps gegen Hacker
Gregor Biswanger
 
Ueberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web ApplicationsUeberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web Applications
Günther Haslbeck
 
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankÜber Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
Gunther Pippèrr
 
Word Press PräSentation
Word Press PräSentationWord Press PräSentation
Word Press PräSentation
pfw208br
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstall
tayiera
 
Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020
HansruediDbeli1
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development Environments
Thorsten Kamann
 

Ähnlich wie Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017 (20)

Joomla
JoomlaJoomla
Joomla
 
Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und Administration
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
 
WordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxWordPress Professional – SEO Campixx
WordPress Professional – SEO Campixx
 
Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für Profis
 
WordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMSWordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMS
 
WordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinWordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in Berlin
 
Software Entwicklung im Team
Software Entwicklung im TeamSoftware Entwicklung im Team
Software Entwicklung im Team
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstall
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstall
 
Mach‘s selbst - mit WordPress zum Website-Erfolg!
Mach‘s selbst - mit WordPress zum Website-Erfolg!Mach‘s selbst - mit WordPress zum Website-Erfolg!
Mach‘s selbst - mit WordPress zum Website-Erfolg!
 
WordPress sicherer machen - Basics
WordPress sicherer machen - BasicsWordPress sicherer machen - Basics
WordPress sicherer machen - Basics
 
ApplicationPro Flyer deutsch
ApplicationPro Flyer deutschApplicationPro Flyer deutsch
ApplicationPro Flyer deutsch
 
MongoDB: Security-Tipps gegen Hacker
MongoDB: Security-Tipps gegen HackerMongoDB: Security-Tipps gegen Hacker
MongoDB: Security-Tipps gegen Hacker
 
Ueberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web ApplicationsUeberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web Applications
 
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankÜber Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
 
Word Press PräSentation
Word Press PräSentationWord Press PräSentation
Word Press PräSentation
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstall
 
Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development Environments
 

Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017

  • 1. WordPress und Sicherheit: Grundlagen für den geschützten Betrieb eines Online-Redaktionssystems Vortrag beim Webmontag Hannover am 16.01.2017
  • 2. Zu diesem Vortrag • Dieser kurze Vortrag soll einen allgemeinverständlichen Überblick für Nicht-Techniker zu wichtigen Grundsätzen und Hilfsmitteln geben, um eine Web-Anwendung wie WordPress sicher betreiben zu können. • Vieles lässt sich auch für andere Web-Anwendungen übertragen. • Nicht behandelt werden hier die Aspekte zur lokalen Sicherheit, Server-Sicherheit, Verbindungssicherheit und zu gezielten Angriffen. • Die Vollständigkeit und Richtigkeit kann nicht gewährleistet werden.
  • 3. Passwortsicherheit • Wähle ein einmaliges und sicheres Passwort. Dieser allgemeine Aspekt wird hier nicht näher behandelt! Infos: http://www.gute-passwoerter.de/ - Danke an Michael Kaiser • Verwalte Deine Passworte mit Hilfe einer sicheren Anwendung – nicht im Browser! Vorschläge: – https://1password.com/ – http://keepass.info/ – Die Passwortverwaltung Deiner AntiVirus/- Sicherheitssoftware Zusätzliche Möglichkeiten: Zwei-Faktor-Authentifizierung; Zugriff auf eigene feste IP beschränken; Login-Zeigen beschränken... 3
  • 4. Installation Beachte in der Eingabemaske zum Installationsvorgang: 1. Eingabezeile „Table Prefix“: Ersetze wp_ durch einmaliges Kürzel, bspw. wpxyz_ für Website „xyz“. Wenn einmal Schadcode injiziert werden sollte, der die Datenbank modifzieren will, ist sein Scheitern wahrscheinlicher. 2. Eingabezeile „Username:“ Ersetze admin durch einmaligen Benutzernamen, bspw. xyz-wp-admin für Website „xyz“ Wenn automatisierte Angriffe massenweise Login-Daten zu erraten versuchen, ist deren Scheitern wahrscheinlicher. 4
  • 5. Profilverwaltung (Profil=Benutzer) • Erstelle eine weiteres Profil mit der Rolle „Redakteur“. Nutze dieses Profil für die alltägliche inhaltliche Arbeit. Die Folgen eines Missbrauchs durch Dritte nach z.B. Ausspähung können dadurch begrenzt werden. Erstelle Profile für Dritte nur mit der nötigen Rolle. Informiere Dritte in Sachen Passwortsicherheit und Sorgfalt und lasse Benutzerzugänge nur so lange im System, wie nötig. • Werden „Spitznamen“ öffentlich verwendet, sollten sie sich vom Benutzernamen unterscheiden. Dies soll das Ausspähen von Profilnamen erschweren. 5
  • 6. Massenangriffe Ungezielte Angriffe finden automatisiert statt. Erschwere ihren Erfolg und schütze den Server vor Last und Ausfall! • Ändere die Login URL, um die Anmeldeseite vor automatisierten Angriffen zu verstecken. Hilfsmittel: plugin „Rename WP Login“ https://wordpress.org/plugins/rename-wp-login/ • Das Aussperren nach vielen Anmeldeversuchen reduziert den Erfolg durch Erraten der Zugangsdaten, vor allem aber die Gefahr der Nichterreichbarkeit durch Überlastung des Servers. Hilfsmittel: plugin „Login Lockdown“ https://wordpress.org/plugins/login-lockdown/ (Weitere Schutzmechanismen wie Firewalls, Cloud-Lösungen, .htaccess-Regeln usw. sind nicht Teil dieses Vortrags.) 6
  • 7. Auswahl der Komponenten Die Auswahl von plugins und themes solltest Du stets auch unter Sicherheitsaspekten vornehmen. • Kann das plugin nur das, was ich brauche, oder ist sie unnötig mächtig? Negatives Beispiel: Benutzerrechte-Verwaltung, nur um Menüpunkte auszublenden • Freie Software lebt vom Engagement der Hersteller, dies garantiert an sich noch keine dauerhafte Sicherheit. Wird das theme/plugin vom Hersteller gepflegt? (Wird es zumindest gelegentlich aktualisiert, ist die jüngste Version nicht älter als ein Jahr, gibt es Reaktionen auf öffentliche Support-Anfragen?) 7
  • 8. Softwarepflege Ist eine Anwendung grundlegend geschützt, müssen neue Sicherheitslücken durch Updates geschlossen werden. Halte WordPress und alle Komponenten (v.a. themes, plugins) möglichst stets aktuell! • WordPress prüft automatisch auf Sicherheitsupdates für die Kern-Anwendung. Schalte dies nicht ab! • Sicherheitslücken können sogar bei deaktivierten plugins und themes ausgenutzt werden – lösche, was nicht benötigt wird! • Prüfe themes und plugins auf Updates. Hilfsmittel: https://wordpress.org/plugins/wp-updates-notifier/ • Halte Dich beim Hersteller des themes auf dem Laufenden (Newsletter, RSS, Github, …) 8
  • 9. Softwarepflege Nicht jedes Update ist nötig, nicht jede Komponente wird gepflegt. Informiere Dich bei Dritten über Sicherheitslücken: • Verwendete plugins können mit bekannten Sicherheitslücken laufend automatisch abgeglichen werden. Hilfsmittel: https://wordpress.org/plugins/plugin-vulnerabilities/ • Verwendete plugins, die aus dem WordPress Repository https://wordpress.org/plugins/ entfernt wurden, können Dir gemeldet werden: https://wordpress.org/plugins/no-longer-in-directory/ • Frage Deinen Webdesigner, Webhoster o.a. nach Unterstützung durch Beratung, Sichtung und laufende Softwarepflege 9
  • 10. Sicherheitskopien (Backups) Zum großen Thema Backups können hier nur kurz die für den Vortrag relevanten Aspekte behandelt werden: • Erstelle vor jedem manuellen Update eine vollständige Sicherheitskopie. Benutze hierfür ein plugin mit unabhängiger Wiederherstellungsfunktion oder eine unabhängige Lösung wie z.B. die Verwaltungsoberfläche des Webhosters. So kommst Du kommst einfacher zur Wiederherstellung, falls die Installation nach einem Update nicht mehr funktioniert. • Bewahre ältere Backups auf, da eine Infektion der Installation evtl. erst spät entdeckt wird und dann meist auch in alten Backups enthalten sein kann. 10
  • 11. Sicherheits-plugins Oft bestehen Sicherheitslücken aufgrund ähnlicher Ursachen und werden daher mit automatisierten Methoden ausgenutzt. Um diese Methoden zu verhindern und zu erschweren, können mit Hilfe eines ausgefeilten Sicherheits-plugins viele Maßnahmen einfach aktiviert werden. Dies bietet bspw. das kostenlose plugin iThemes Security und vor allem iThemes Security Pro mit noch mehr Funktionsumfang: https://de.wordpress.org/plugins/better-wp-security/ Weitere Beispiele: https://de.wordpress.org/plugins/ninjafirewall/ https://wordpress.org/plugins/wordfence/ https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ 11
  • 12. Link-Tipps • Dieser Vortrag: http://de.slideshare.net/trilos-new-media - siehe auch @trilos auf Twitter • Videoaufzeichnungen von Vorträgen: http://wordpress.tv/ • Zurückliegende WordCamp-Konferenzen mit Vorträgen: https://central.wordcamp.org/schedule/past-wordcamps/ • Blog, Newsletter: http://www.wp-sicherheit.info/ • ... 12
  • 13. Danke für die Aufmerksamkeit. Erik Petersen petersen@trilos.de TRILOS new media Hanomaghof 2 30449 Hannover tel 0511 214498-60 fax 0511 214498-65 Internet-Auftritte mit WordPress, Hosting uvm. www.trilos.de