Dieser kurze Vortrag soll einen allgemeinverständlichen Überblick für Nicht-Techniker zu wichtigen Grundsätzen und Hilfsmitteln geben, um eine Web-Anwendung wie WordPress sicher betreiben zu können.
▸ Security
WordPress und Plugins aktuell halten – ein Muss?
▸ Performance
Geschwindigkeit & WP als eierlegende Wollmilchsau – ein
Widerspruch?
▸ Qualitäts-Offensive für SEO und bessere UX
PNG, JPG und SVG richtig verwenden
▸ Security
WordPress und Plugins aktuell halten – ein Muss?
▸ Performance
Geschwindigkeit & WP als eierlegende Wollmilchsau – ein
Widerspruch?
▸ Qualitäts-Offensive für SEO und bessere UX
PNG, JPG und SVG richtig verwenden
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
Web-Anwendungen sind Programme, die auf einem Server im Internet laufen und über einen Web-Browser bedient werden. Dazu gehören Blogs, Foren, Foto-Gallerien und Redaktionssysteme (CMS).
Die Sebastian Blum GmbH betreibt seit einigen Jahren eine Multisite-Installation für eine Vielzahl an Kunden und für eigene Projekte. Durch das Hosting auf einem eigenen Server nur für WordPress läuft das System stabil, sicher und deutlich schneller als bei einem Shared Hosting.
In diesen Folien werden die Erfahrungen und Einsatzmöglichkeiten eines solchen Systems erklärt.
Wordpress ist das sympatische Redaktionssystem, mit dem Inhalte unkompliziert in Internet gestellt werden können, per Browser, Handy oder sogar per Mail oder Tweet. Für Journalistinnen und Journalisten ist es das System erster Wahl. Schon lange ist es nicht mehr "nur" ein Blog-System, sondern wird von Verlagen wie etwa Forbes zum Management ihrer Online-Seiten verwendet.
Inzwischen gibt es für die Arbeit mit Wordpress zahlreiche Tools, Zusatzprogramme, mit denen das Redaktionssystem ergänzt werden kann.
In unserem Webinar soll es nicht um "Wordpress für Einsteiger" gehen, sondern "für Profis". Welche Tools sind für diejenigen sinnvoll und hilfreich, die ihren Wordpress-Blog bereits am Laufen haben, jetzt aber einmal innehalten wollen und - statt stundenlang allein durchs Netz nach Ideen zu suchen - Profi-Tipps hören möchten.
WordPress ist das weltweit am meisten verwendete Content-Management-System. Es ist kostenlos erhältlich und ermöglicht es, auf einfache Weise einen Blog oder eine Webseite zu erstellen. Nur ein Webbrowser ist für die Installation, Konfiguration und Pflege von Webinhalten erforderlich.
Vortrag von Torsten Landsiedel beim WPCamp 2012 in Berlin
"Sicherheit ist kein Zustand, der erreicht werden kann, sondern eine Einstellung."
Es gibt unzählige Artikel zum Thema Sicherheit und WordPress im Netz mit vielen nützlichen, manchmal auch unnützen, Vorschlägen, wie man sein Blog absichern kann. In der Session zu der diese Slides gehören wollte ich die wichtigsten Sicherheitsmaßnahmen vorstellen und die Teilnehmer für das Thema Sicherheit sensibilisieren.
- Einführung in das Thema Sicherheit und WordPress für Anfänger
- Auffrischung des Themas Sicherheit für Fortgeschrittene
- Vorstellung von Plugins zur Verbesserung der Sicherheit
Nähere Infos unbedingt in dem Blogeintrag zu den Slides auf meinem Blog nachlesen:
http://torstenlandsiedel.de/blog/
Verwalten Sie mit der Anwendungskontrolle 'ApplicationPro' zentralgesteuert per Black- oder Whitlistverfahren, welche Mitarbeiter bestimmte Programme erlaubt oder gesperrt bekommen.
Weitere Informationen erhalten Sie unter http://cynapspro.com
MongoDB ist eine leistungsstarke NoSQL Datenbank. Dennoch ist die Security per Standard deaktiviert. Dass dies große Auswirkungen hat, zeigen regelmäßige Berichte, dass zahlreiche Firmen Opfer von Hacker-Attacken geworden sind. Sie steigen mit den Grundlagen von MongoDB´s Security ein und werden dann mit den wichtigsten Vorgehensweisen vertraut gemacht. Mit diesen Infos sind Sie gewappnet gegen üble Cyber-Angriffe.
Über Rechte/Rollen und den sicheren Betrieb der DatenbankGunther Pippèrr
Mit Rollen/Rechten und dem Proxy User ein persönliches User-Konzept auf der Datenbank umsetzen.
Gerade mit den gestiegenen Anforderungen der Datenschutz-Grundverordnung DSGVO wird es immer wichtiger, die Anwender und Entwickler auf einer Datenbank besser zu strukturieren und die Rechte aller Beteiligten so passend wie möglich einzurichten.
Besonders in einer Data Warehouse Umgebung lässt es sich oft nicht vermeiden, dass sich Endanwender mit MS Offices Tools, TOAD oder BI Werkzeugen wie Tableau direkt an der Datenbank anmelden um Ihre Abfragen adhoc durchzuführen.
Die Oracle DB stellt dabei schon seit Jahren sehr gute Funktionen zur Verfügung, die helfen die Zugriffe auf die Daten auf das Notwendigste einzuschränken.
Konzepte, wie die „Secure Application Role“ und der „Proxy User“, „Virtual private Database“ VPD, die normalen Rollen und Rechte und das Auditing, helfen uns dabei, diese Anforderungen umzusetzen und zu protokollieren.
Im Vortrag wird aufgezeigt, wie aus diesen Komponenten ein schlüssiges Konzept für den proaktiven Datenschutz in einer Datenbank Umgebung 12c zusammengestellt werden kann.
Vortragsreihe Dortmund: Unified Development EnvironmentsThorsten Kamann
Große Entwicklungsabteilungen stehen oft vor dem Problem einheitlicher Entwicklungsprozesse und Werkzeuge. Nach einiger Zeit hat jedes Projekt eigene Prozesse und Werkzeuge etabliert. Dies ist nicht im Sinne der Entwicklungsabteilung. Softwaresysteme müssen i. d. R. über Jahre hinweg gewartet und erweitert werden - oft von einem Team, das sich neu in die Anwendung einarbeiten muss.
Nicht selten stellt die Rekonstruktion der Entwicklungsumgebung einen erheblichen Aufwand dar.
Dieser Vortrag beschreibt - anhand eines Erfahrungsberichts - den Aufbau einer strukturierten Entwicklungsumgebung, die auch für grosse Entwicklungsabteilungen skaliert.
- Zentrale Projekt- und Codeverwaltung (ähnlich wie Sourceforge)
- Buildmanagement mit Maven
- Entwicklungswerkzeuge basierend auf Maven und Eclipse
- Installierbare Teamserver mit Virtualisierungstechnologie für Continuous Integration
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
Web-Anwendungen sind Programme, die auf einem Server im Internet laufen und über einen Web-Browser bedient werden. Dazu gehören Blogs, Foren, Foto-Gallerien und Redaktionssysteme (CMS).
Die Sebastian Blum GmbH betreibt seit einigen Jahren eine Multisite-Installation für eine Vielzahl an Kunden und für eigene Projekte. Durch das Hosting auf einem eigenen Server nur für WordPress läuft das System stabil, sicher und deutlich schneller als bei einem Shared Hosting.
In diesen Folien werden die Erfahrungen und Einsatzmöglichkeiten eines solchen Systems erklärt.
Wordpress ist das sympatische Redaktionssystem, mit dem Inhalte unkompliziert in Internet gestellt werden können, per Browser, Handy oder sogar per Mail oder Tweet. Für Journalistinnen und Journalisten ist es das System erster Wahl. Schon lange ist es nicht mehr "nur" ein Blog-System, sondern wird von Verlagen wie etwa Forbes zum Management ihrer Online-Seiten verwendet.
Inzwischen gibt es für die Arbeit mit Wordpress zahlreiche Tools, Zusatzprogramme, mit denen das Redaktionssystem ergänzt werden kann.
In unserem Webinar soll es nicht um "Wordpress für Einsteiger" gehen, sondern "für Profis". Welche Tools sind für diejenigen sinnvoll und hilfreich, die ihren Wordpress-Blog bereits am Laufen haben, jetzt aber einmal innehalten wollen und - statt stundenlang allein durchs Netz nach Ideen zu suchen - Profi-Tipps hören möchten.
WordPress ist das weltweit am meisten verwendete Content-Management-System. Es ist kostenlos erhältlich und ermöglicht es, auf einfache Weise einen Blog oder eine Webseite zu erstellen. Nur ein Webbrowser ist für die Installation, Konfiguration und Pflege von Webinhalten erforderlich.
Vortrag von Torsten Landsiedel beim WPCamp 2012 in Berlin
"Sicherheit ist kein Zustand, der erreicht werden kann, sondern eine Einstellung."
Es gibt unzählige Artikel zum Thema Sicherheit und WordPress im Netz mit vielen nützlichen, manchmal auch unnützen, Vorschlägen, wie man sein Blog absichern kann. In der Session zu der diese Slides gehören wollte ich die wichtigsten Sicherheitsmaßnahmen vorstellen und die Teilnehmer für das Thema Sicherheit sensibilisieren.
- Einführung in das Thema Sicherheit und WordPress für Anfänger
- Auffrischung des Themas Sicherheit für Fortgeschrittene
- Vorstellung von Plugins zur Verbesserung der Sicherheit
Nähere Infos unbedingt in dem Blogeintrag zu den Slides auf meinem Blog nachlesen:
http://torstenlandsiedel.de/blog/
Verwalten Sie mit der Anwendungskontrolle 'ApplicationPro' zentralgesteuert per Black- oder Whitlistverfahren, welche Mitarbeiter bestimmte Programme erlaubt oder gesperrt bekommen.
Weitere Informationen erhalten Sie unter http://cynapspro.com
MongoDB ist eine leistungsstarke NoSQL Datenbank. Dennoch ist die Security per Standard deaktiviert. Dass dies große Auswirkungen hat, zeigen regelmäßige Berichte, dass zahlreiche Firmen Opfer von Hacker-Attacken geworden sind. Sie steigen mit den Grundlagen von MongoDB´s Security ein und werden dann mit den wichtigsten Vorgehensweisen vertraut gemacht. Mit diesen Infos sind Sie gewappnet gegen üble Cyber-Angriffe.
Über Rechte/Rollen und den sicheren Betrieb der DatenbankGunther Pippèrr
Mit Rollen/Rechten und dem Proxy User ein persönliches User-Konzept auf der Datenbank umsetzen.
Gerade mit den gestiegenen Anforderungen der Datenschutz-Grundverordnung DSGVO wird es immer wichtiger, die Anwender und Entwickler auf einer Datenbank besser zu strukturieren und die Rechte aller Beteiligten so passend wie möglich einzurichten.
Besonders in einer Data Warehouse Umgebung lässt es sich oft nicht vermeiden, dass sich Endanwender mit MS Offices Tools, TOAD oder BI Werkzeugen wie Tableau direkt an der Datenbank anmelden um Ihre Abfragen adhoc durchzuführen.
Die Oracle DB stellt dabei schon seit Jahren sehr gute Funktionen zur Verfügung, die helfen die Zugriffe auf die Daten auf das Notwendigste einzuschränken.
Konzepte, wie die „Secure Application Role“ und der „Proxy User“, „Virtual private Database“ VPD, die normalen Rollen und Rechte und das Auditing, helfen uns dabei, diese Anforderungen umzusetzen und zu protokollieren.
Im Vortrag wird aufgezeigt, wie aus diesen Komponenten ein schlüssiges Konzept für den proaktiven Datenschutz in einer Datenbank Umgebung 12c zusammengestellt werden kann.
Vortragsreihe Dortmund: Unified Development EnvironmentsThorsten Kamann
Große Entwicklungsabteilungen stehen oft vor dem Problem einheitlicher Entwicklungsprozesse und Werkzeuge. Nach einiger Zeit hat jedes Projekt eigene Prozesse und Werkzeuge etabliert. Dies ist nicht im Sinne der Entwicklungsabteilung. Softwaresysteme müssen i. d. R. über Jahre hinweg gewartet und erweitert werden - oft von einem Team, das sich neu in die Anwendung einarbeiten muss.
Nicht selten stellt die Rekonstruktion der Entwicklungsumgebung einen erheblichen Aufwand dar.
Dieser Vortrag beschreibt - anhand eines Erfahrungsberichts - den Aufbau einer strukturierten Entwicklungsumgebung, die auch für grosse Entwicklungsabteilungen skaliert.
- Zentrale Projekt- und Codeverwaltung (ähnlich wie Sourceforge)
- Buildmanagement mit Maven
- Entwicklungswerkzeuge basierend auf Maven und Eclipse
- Installierbare Teamserver mit Virtualisierungstechnologie für Continuous Integration
2. Zu diesem Vortrag
• Dieser kurze Vortrag soll einen allgemeinverständlichen
Überblick für Nicht-Techniker zu wichtigen Grundsätzen und
Hilfsmitteln geben, um eine Web-Anwendung wie WordPress
sicher betreiben zu können.
• Vieles lässt sich auch für andere Web-Anwendungen
übertragen.
• Nicht behandelt werden hier die Aspekte zur lokalen
Sicherheit, Server-Sicherheit, Verbindungssicherheit und zu
gezielten Angriffen.
• Die Vollständigkeit und Richtigkeit kann nicht gewährleistet
werden.
3. Passwortsicherheit
• Wähle ein einmaliges und sicheres Passwort. Dieser
allgemeine Aspekt wird hier nicht näher behandelt! Infos:
http://www.gute-passwoerter.de/ - Danke an Michael Kaiser
• Verwalte Deine Passworte mit Hilfe einer sicheren
Anwendung – nicht im Browser! Vorschläge:
– https://1password.com/
– http://keepass.info/
– Die Passwortverwaltung Deiner AntiVirus/-
Sicherheitssoftware
Zusätzliche Möglichkeiten: Zwei-Faktor-Authentifizierung; Zugriff auf eigene
feste IP beschränken; Login-Zeigen beschränken...
3
4. Installation
Beachte in der Eingabemaske zum Installationsvorgang:
1. Eingabezeile „Table Prefix“: Ersetze
wp_ durch einmaliges Kürzel, bspw.
wpxyz_ für Website „xyz“.
Wenn einmal Schadcode injiziert werden sollte, der die
Datenbank modifzieren will, ist sein Scheitern
wahrscheinlicher.
2. Eingabezeile „Username:“ Ersetze
admin durch einmaligen Benutzernamen, bspw.
xyz-wp-admin für Website „xyz“
Wenn automatisierte Angriffe massenweise Login-Daten zu
erraten versuchen, ist deren Scheitern wahrscheinlicher.
4
5. Profilverwaltung
(Profil=Benutzer)
• Erstelle eine weiteres Profil mit der Rolle „Redakteur“. Nutze
dieses Profil für die alltägliche inhaltliche Arbeit. Die Folgen
eines Missbrauchs durch Dritte nach z.B. Ausspähung können
dadurch begrenzt werden.
Erstelle Profile für Dritte nur mit der nötigen Rolle. Informiere
Dritte in Sachen Passwortsicherheit und Sorgfalt und lasse
Benutzerzugänge nur so lange im System, wie nötig.
• Werden „Spitznamen“ öffentlich verwendet, sollten sie sich
vom Benutzernamen unterscheiden. Dies soll das Ausspähen
von Profilnamen erschweren.
5
6. Massenangriffe
Ungezielte Angriffe finden automatisiert statt. Erschwere ihren
Erfolg und schütze den Server vor Last und Ausfall!
• Ändere die Login URL, um die Anmeldeseite vor
automatisierten Angriffen zu verstecken.
Hilfsmittel: plugin „Rename WP Login“
https://wordpress.org/plugins/rename-wp-login/
• Das Aussperren nach vielen Anmeldeversuchen reduziert den
Erfolg durch Erraten der Zugangsdaten, vor allem aber die
Gefahr der Nichterreichbarkeit durch Überlastung des Servers.
Hilfsmittel: plugin „Login Lockdown“
https://wordpress.org/plugins/login-lockdown/
(Weitere Schutzmechanismen wie Firewalls, Cloud-Lösungen, .htaccess-Regeln usw. sind nicht Teil dieses Vortrags.)
6
7. Auswahl der Komponenten
Die Auswahl von plugins und themes solltest Du stets auch unter
Sicherheitsaspekten vornehmen.
• Kann das plugin nur das, was ich brauche, oder ist sie unnötig
mächtig? Negatives Beispiel: Benutzerrechte-Verwaltung, nur
um Menüpunkte auszublenden
• Freie Software lebt vom Engagement der Hersteller, dies
garantiert an sich noch keine dauerhafte Sicherheit.
Wird das theme/plugin vom Hersteller gepflegt? (Wird es
zumindest gelegentlich aktualisiert, ist die jüngste Version
nicht älter als ein Jahr, gibt es Reaktionen auf öffentliche
Support-Anfragen?)
7
8. Softwarepflege
Ist eine Anwendung grundlegend geschützt, müssen neue
Sicherheitslücken durch Updates geschlossen werden. Halte
WordPress und alle Komponenten (v.a. themes, plugins)
möglichst stets aktuell!
• WordPress prüft automatisch auf Sicherheitsupdates für die
Kern-Anwendung. Schalte dies nicht ab!
• Sicherheitslücken können sogar bei deaktivierten plugins und
themes ausgenutzt werden – lösche, was nicht benötigt wird!
• Prüfe themes und plugins auf Updates. Hilfsmittel:
https://wordpress.org/plugins/wp-updates-notifier/
• Halte Dich beim Hersteller des themes auf dem Laufenden
(Newsletter, RSS, Github, …)
8
9. Softwarepflege
Nicht jedes Update ist nötig, nicht jede Komponente wird
gepflegt. Informiere Dich bei Dritten über Sicherheitslücken:
• Verwendete plugins können mit bekannten Sicherheitslücken
laufend automatisch abgeglichen werden. Hilfsmittel:
https://wordpress.org/plugins/plugin-vulnerabilities/
• Verwendete plugins, die aus dem WordPress Repository
https://wordpress.org/plugins/ entfernt wurden, können Dir
gemeldet werden:
https://wordpress.org/plugins/no-longer-in-directory/
• Frage Deinen Webdesigner, Webhoster o.a. nach
Unterstützung durch Beratung, Sichtung und laufende
Softwarepflege
9
10. Sicherheitskopien (Backups)
Zum großen Thema Backups können hier nur kurz die für den
Vortrag relevanten Aspekte behandelt werden:
• Erstelle vor jedem manuellen Update eine vollständige
Sicherheitskopie. Benutze hierfür ein plugin mit unabhängiger
Wiederherstellungsfunktion oder eine unabhängige Lösung
wie z.B. die Verwaltungsoberfläche des Webhosters. So
kommst Du kommst einfacher zur Wiederherstellung, falls die
Installation nach einem Update nicht mehr funktioniert.
• Bewahre ältere Backups auf, da eine Infektion der Installation
evtl. erst spät entdeckt wird und dann meist auch in alten
Backups enthalten sein kann.
10
11. Sicherheits-plugins
Oft bestehen Sicherheitslücken aufgrund ähnlicher Ursachen und
werden daher mit automatisierten Methoden ausgenutzt. Um
diese Methoden zu verhindern und zu erschweren, können mit
Hilfe eines ausgefeilten Sicherheits-plugins viele Maßnahmen
einfach aktiviert werden. Dies bietet bspw. das kostenlose plugin
iThemes Security und vor allem iThemes Security Pro mit noch
mehr Funktionsumfang:
https://de.wordpress.org/plugins/better-wp-security/
Weitere Beispiele:
https://de.wordpress.org/plugins/ninjafirewall/
https://wordpress.org/plugins/wordfence/
https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
11
12. Link-Tipps
• Dieser Vortrag: http://de.slideshare.net/trilos-new-media
- siehe auch @trilos auf Twitter
• Videoaufzeichnungen von Vorträgen: http://wordpress.tv/
• Zurückliegende WordCamp-Konferenzen mit Vorträgen:
https://central.wordcamp.org/schedule/past-wordcamps/
• Blog, Newsletter: http://www.wp-sicherheit.info/
• ...
12
13. Danke für die Aufmerksamkeit.
Erik Petersen
petersen@trilos.de
TRILOS new media
Hanomaghof 2
30449 Hannover
tel 0511 214498-60
fax 0511 214498-65
Internet-Auftritte mit WordPress, Hosting uvm.
www.trilos.de