TRILOS new media, profile picture
Hochgeladen vonTRILOS new media
1,089 aufrufe

Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017

Der Vortrag bietet eine Übersicht über Sicherheitsgrundlagen für den Betrieb von WordPress und ähnlichen Webanwendungen, fokussiert auf Aspekte wie Passwortsicherheit, Profilverwaltung, und Auswahl sowie Pflege von Plugins und Themes. Wichtige Maßnahmen umfassen die Verwendung sicherer Passwörter, die Durchführung regelmäßiger Softwareupdates, das Erstellen von Sicherheitskopien und die Nutzung von Sicherheitsplugins. Zudem werden spezifische Tools und Plugins empfohlen, um automatisierte Angriffe zu erschweren und die Sicherheit zu erhöhen.

Präsentation einbetten

Downloaden Sie, um offline zu lesen
WordPress und Sicherheit: Grundlagen für den geschützten Betrieb eines Online-Redaktionssystems Vortrag beim Webmontag Hannover am 16.01.2017
Zu diesem Vortrag • Dieser kurze Vortrag soll einen allgemeinverständlichen Überblick für Nicht-Techniker zu wichtigen Grundsätzen und Hilfsmitteln geben, um eine Web-Anwendung wie WordPress sicher betreiben zu können. • Vieles lässt sich auch für andere Web-Anwendungen übertragen. • Nicht behandelt werden hier die Aspekte zur lokalen Sicherheit, Server-Sicherheit, Verbindungssicherheit und zu gezielten Angriffen. • Die Vollständigkeit und Richtigkeit kann nicht gewährleistet werden.
Passwortsicherheit • Wähle ein einmaliges und sicheres Passwort. Dieser allgemeine Aspekt wird hier nicht näher behandelt! Infos: http://www.gute-passwoerter.de/ - Danke an Michael Kaiser • Verwalte Deine Passworte mit Hilfe einer sicheren Anwendung – nicht im Browser! Vorschläge: – https://1password.com/ – http://keepass.info/ – Die Passwortverwaltung Deiner AntiVirus/- Sicherheitssoftware Zusätzliche Möglichkeiten: Zwei-Faktor-Authentifizierung; Zugriff auf eigene feste IP beschränken; Login-Zeigen beschränken... 3
Installation Beachte in der Eingabemaske zum Installationsvorgang: 1. Eingabezeile „Table Prefix“: Ersetze wp_ durch einmaliges Kürzel, bspw. wpxyz_ für Website „xyz“. Wenn einmal Schadcode injiziert werden sollte, der die Datenbank modifzieren will, ist sein Scheitern wahrscheinlicher. 2. Eingabezeile „Username:“ Ersetze admin durch einmaligen Benutzernamen, bspw. xyz-wp-admin für Website „xyz“ Wenn automatisierte Angriffe massenweise Login-Daten zu erraten versuchen, ist deren Scheitern wahrscheinlicher. 4
Profilverwaltung (Profil=Benutzer) • Erstelle eine weiteres Profil mit der Rolle „Redakteur“. Nutze dieses Profil für die alltägliche inhaltliche Arbeit. Die Folgen eines Missbrauchs durch Dritte nach z.B. Ausspähung können dadurch begrenzt werden. Erstelle Profile für Dritte nur mit der nötigen Rolle. Informiere Dritte in Sachen Passwortsicherheit und Sorgfalt und lasse Benutzerzugänge nur so lange im System, wie nötig. • Werden „Spitznamen“ öffentlich verwendet, sollten sie sich vom Benutzernamen unterscheiden. Dies soll das Ausspähen von Profilnamen erschweren. 5
Massenangriffe Ungezielte Angriffe finden automatisiert statt. Erschwere ihren Erfolg und schütze den Server vor Last und Ausfall! • Ändere die Login URL, um die Anmeldeseite vor automatisierten Angriffen zu verstecken. Hilfsmittel: plugin „Rename WP Login“ https://wordpress.org/plugins/rename-wp-login/ • Das Aussperren nach vielen Anmeldeversuchen reduziert den Erfolg durch Erraten der Zugangsdaten, vor allem aber die Gefahr der Nichterreichbarkeit durch Überlastung des Servers. Hilfsmittel: plugin „Login Lockdown“ https://wordpress.org/plugins/login-lockdown/ (Weitere Schutzmechanismen wie Firewalls, Cloud-Lösungen, .htaccess-Regeln usw. sind nicht Teil dieses Vortrags.) 6
Auswahl der Komponenten Die Auswahl von plugins und themes solltest Du stets auch unter Sicherheitsaspekten vornehmen. • Kann das plugin nur das, was ich brauche, oder ist sie unnötig mächtig? Negatives Beispiel: Benutzerrechte-Verwaltung, nur um Menüpunkte auszublenden • Freie Software lebt vom Engagement der Hersteller, dies garantiert an sich noch keine dauerhafte Sicherheit. Wird das theme/plugin vom Hersteller gepflegt? (Wird es zumindest gelegentlich aktualisiert, ist die jüngste Version nicht älter als ein Jahr, gibt es Reaktionen auf öffentliche Support-Anfragen?) 7
Softwarepflege Ist eine Anwendung grundlegend geschützt, müssen neue Sicherheitslücken durch Updates geschlossen werden. Halte WordPress und alle Komponenten (v.a. themes, plugins) möglichst stets aktuell! • WordPress prüft automatisch auf Sicherheitsupdates für die Kern-Anwendung. Schalte dies nicht ab! • Sicherheitslücken können sogar bei deaktivierten plugins und themes ausgenutzt werden – lösche, was nicht benötigt wird! • Prüfe themes und plugins auf Updates. Hilfsmittel: https://wordpress.org/plugins/wp-updates-notifier/ • Halte Dich beim Hersteller des themes auf dem Laufenden (Newsletter, RSS, Github, …) 8
Softwarepflege Nicht jedes Update ist nötig, nicht jede Komponente wird gepflegt. Informiere Dich bei Dritten über Sicherheitslücken: • Verwendete plugins können mit bekannten Sicherheitslücken laufend automatisch abgeglichen werden. Hilfsmittel: https://wordpress.org/plugins/plugin-vulnerabilities/ • Verwendete plugins, die aus dem WordPress Repository https://wordpress.org/plugins/ entfernt wurden, können Dir gemeldet werden: https://wordpress.org/plugins/no-longer-in-directory/ • Frage Deinen Webdesigner, Webhoster o.a. nach Unterstützung durch Beratung, Sichtung und laufende Softwarepflege 9
Sicherheitskopien (Backups) Zum großen Thema Backups können hier nur kurz die für den Vortrag relevanten Aspekte behandelt werden: • Erstelle vor jedem manuellen Update eine vollständige Sicherheitskopie. Benutze hierfür ein plugin mit unabhängiger Wiederherstellungsfunktion oder eine unabhängige Lösung wie z.B. die Verwaltungsoberfläche des Webhosters. So kommst Du kommst einfacher zur Wiederherstellung, falls die Installation nach einem Update nicht mehr funktioniert. • Bewahre ältere Backups auf, da eine Infektion der Installation evtl. erst spät entdeckt wird und dann meist auch in alten Backups enthalten sein kann. 10
Sicherheits-plugins Oft bestehen Sicherheitslücken aufgrund ähnlicher Ursachen und werden daher mit automatisierten Methoden ausgenutzt. Um diese Methoden zu verhindern und zu erschweren, können mit Hilfe eines ausgefeilten Sicherheits-plugins viele Maßnahmen einfach aktiviert werden. Dies bietet bspw. das kostenlose plugin iThemes Security und vor allem iThemes Security Pro mit noch mehr Funktionsumfang: https://de.wordpress.org/plugins/better-wp-security/ Weitere Beispiele: https://de.wordpress.org/plugins/ninjafirewall/ https://wordpress.org/plugins/wordfence/ https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ 11
Link-Tipps • Dieser Vortrag: http://de.slideshare.net/trilos-new-media - siehe auch @trilos auf Twitter • Videoaufzeichnungen von Vorträgen: http://wordpress.tv/ • Zurückliegende WordCamp-Konferenzen mit Vorträgen: https://central.wordcamp.org/schedule/past-wordcamps/ • Blog, Newsletter: http://www.wp-sicherheit.info/ • ... 12
Danke für die Aufmerksamkeit. Erik Petersen petersen@trilos.de TRILOS new media Hanomaghof 2 30449 Hannover tel 0511 214498-60 fax 0511 214498-65 Internet-Auftritte mit WordPress, Hosting uvm. www.trilos.de

Weitere ähnliche Inhalte

PPT
Datensicherung WordPress
vonJoachim Hummel
 
PDF
Sicherheit von Webanwendungen
vonthomasgemperle
 
PDF
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
vonlibertello GmbH
 
ODP
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
vonlemmingzshadow
 
PDF
Mythen der WordPress-Sicherheit (FrOSCon 2015)
vonlibertello GmbH
 
PDF
Sicherheit von Webanwendungen Juni 2013
vonthomasgemperle
 
PDF
WordPress Sicherheit
vonDietmar Leher
 
PDF
WordPress Professional III
vonSebastian Blum
 
Datensicherung WordPress
vonJoachim Hummel
 
Sicherheit von Webanwendungen
vonthomasgemperle
 
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
vonlibertello GmbH
 
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
vonlemmingzshadow
 
Mythen der WordPress-Sicherheit (FrOSCon 2015)
vonlibertello GmbH
 
Sicherheit von Webanwendungen Juni 2013
vonthomasgemperle
 
WordPress Sicherheit
vonDietmar Leher
 
WordPress Professional III
vonSebastian Blum
 

Ähnlich wie Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017

PDF
wordpress-sicherheit-absichern-cybersecurity.pdf
vonjensgae1
 
PDF
WordPress Security
vonstk_jj
 
PDF
WordPress Security - WP Meetup München 24.9.2015
vonstk_jj
 
ODP
WordPress absichern - WP Camp 2012 in Berlin
vonTorsten Landsiedel
 
PPTX
Sicher bloggen mit WordPresse - CMS absichern
vonSven Trautwein
 
PDF
Web application security
vonOliver Hader
 
PDF
Cms security
vonstk_jj
 
wordpress-sicherheit-absichern-cybersecurity.pdf
vonjensgae1
 
WordPress Security
vonstk_jj
 
WordPress Security - WP Meetup München 24.9.2015
vonstk_jj
 
WordPress absichern - WP Camp 2012 in Berlin
vonTorsten Landsiedel
 
Sicher bloggen mit WordPresse - CMS absichern
vonSven Trautwein
 
Web application security
vonOliver Hader
 
Cms security
vonstk_jj
 

Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017

  • 1.
    WordPress und Sicherheit: Grundlagenfür den geschützten Betrieb eines Online-Redaktionssystems Vortrag beim Webmontag Hannover am 16.01.2017
  • 2.
    Zu diesem Vortrag •Dieser kurze Vortrag soll einen allgemeinverständlichen Überblick für Nicht-Techniker zu wichtigen Grundsätzen und Hilfsmitteln geben, um eine Web-Anwendung wie WordPress sicher betreiben zu können. • Vieles lässt sich auch für andere Web-Anwendungen übertragen. • Nicht behandelt werden hier die Aspekte zur lokalen Sicherheit, Server-Sicherheit, Verbindungssicherheit und zu gezielten Angriffen. • Die Vollständigkeit und Richtigkeit kann nicht gewährleistet werden.
  • 3.
    Passwortsicherheit • Wähle eineinmaliges und sicheres Passwort. Dieser allgemeine Aspekt wird hier nicht näher behandelt! Infos: http://www.gute-passwoerter.de/ - Danke an Michael Kaiser • Verwalte Deine Passworte mit Hilfe einer sicheren Anwendung – nicht im Browser! Vorschläge: – https://1password.com/ – http://keepass.info/ – Die Passwortverwaltung Deiner AntiVirus/- Sicherheitssoftware Zusätzliche Möglichkeiten: Zwei-Faktor-Authentifizierung; Zugriff auf eigene feste IP beschränken; Login-Zeigen beschränken... 3
  • 4.
    Installation Beachte in derEingabemaske zum Installationsvorgang: 1. Eingabezeile „Table Prefix“: Ersetze wp_ durch einmaliges Kürzel, bspw. wpxyz_ für Website „xyz“. Wenn einmal Schadcode injiziert werden sollte, der die Datenbank modifzieren will, ist sein Scheitern wahrscheinlicher. 2. Eingabezeile „Username:“ Ersetze admin durch einmaligen Benutzernamen, bspw. xyz-wp-admin für Website „xyz“ Wenn automatisierte Angriffe massenweise Login-Daten zu erraten versuchen, ist deren Scheitern wahrscheinlicher. 4
  • 5.
    Profilverwaltung (Profil=Benutzer) • Erstelle eineweiteres Profil mit der Rolle „Redakteur“. Nutze dieses Profil für die alltägliche inhaltliche Arbeit. Die Folgen eines Missbrauchs durch Dritte nach z.B. Ausspähung können dadurch begrenzt werden. Erstelle Profile für Dritte nur mit der nötigen Rolle. Informiere Dritte in Sachen Passwortsicherheit und Sorgfalt und lasse Benutzerzugänge nur so lange im System, wie nötig. • Werden „Spitznamen“ öffentlich verwendet, sollten sie sich vom Benutzernamen unterscheiden. Dies soll das Ausspähen von Profilnamen erschweren. 5
  • 6.
    Massenangriffe Ungezielte Angriffe findenautomatisiert statt. Erschwere ihren Erfolg und schütze den Server vor Last und Ausfall! • Ändere die Login URL, um die Anmeldeseite vor automatisierten Angriffen zu verstecken. Hilfsmittel: plugin „Rename WP Login“ https://wordpress.org/plugins/rename-wp-login/ • Das Aussperren nach vielen Anmeldeversuchen reduziert den Erfolg durch Erraten der Zugangsdaten, vor allem aber die Gefahr der Nichterreichbarkeit durch Überlastung des Servers. Hilfsmittel: plugin „Login Lockdown“ https://wordpress.org/plugins/login-lockdown/ (Weitere Schutzmechanismen wie Firewalls, Cloud-Lösungen, .htaccess-Regeln usw. sind nicht Teil dieses Vortrags.) 6
  • 7.
    Auswahl der Komponenten DieAuswahl von plugins und themes solltest Du stets auch unter Sicherheitsaspekten vornehmen. • Kann das plugin nur das, was ich brauche, oder ist sie unnötig mächtig? Negatives Beispiel: Benutzerrechte-Verwaltung, nur um Menüpunkte auszublenden • Freie Software lebt vom Engagement der Hersteller, dies garantiert an sich noch keine dauerhafte Sicherheit. Wird das theme/plugin vom Hersteller gepflegt? (Wird es zumindest gelegentlich aktualisiert, ist die jüngste Version nicht älter als ein Jahr, gibt es Reaktionen auf öffentliche Support-Anfragen?) 7
  • 8.
    Softwarepflege Ist eine Anwendunggrundlegend geschützt, müssen neue Sicherheitslücken durch Updates geschlossen werden. Halte WordPress und alle Komponenten (v.a. themes, plugins) möglichst stets aktuell! • WordPress prüft automatisch auf Sicherheitsupdates für die Kern-Anwendung. Schalte dies nicht ab! • Sicherheitslücken können sogar bei deaktivierten plugins und themes ausgenutzt werden – lösche, was nicht benötigt wird! • Prüfe themes und plugins auf Updates. Hilfsmittel: https://wordpress.org/plugins/wp-updates-notifier/ • Halte Dich beim Hersteller des themes auf dem Laufenden (Newsletter, RSS, Github, …) 8
  • 9.
    Softwarepflege Nicht jedes Updateist nötig, nicht jede Komponente wird gepflegt. Informiere Dich bei Dritten über Sicherheitslücken: • Verwendete plugins können mit bekannten Sicherheitslücken laufend automatisch abgeglichen werden. Hilfsmittel: https://wordpress.org/plugins/plugin-vulnerabilities/ • Verwendete plugins, die aus dem WordPress Repository https://wordpress.org/plugins/ entfernt wurden, können Dir gemeldet werden: https://wordpress.org/plugins/no-longer-in-directory/ • Frage Deinen Webdesigner, Webhoster o.a. nach Unterstützung durch Beratung, Sichtung und laufende Softwarepflege 9
  • 10.
    Sicherheitskopien (Backups) Zum großenThema Backups können hier nur kurz die für den Vortrag relevanten Aspekte behandelt werden: • Erstelle vor jedem manuellen Update eine vollständige Sicherheitskopie. Benutze hierfür ein plugin mit unabhängiger Wiederherstellungsfunktion oder eine unabhängige Lösung wie z.B. die Verwaltungsoberfläche des Webhosters. So kommst Du kommst einfacher zur Wiederherstellung, falls die Installation nach einem Update nicht mehr funktioniert. • Bewahre ältere Backups auf, da eine Infektion der Installation evtl. erst spät entdeckt wird und dann meist auch in alten Backups enthalten sein kann. 10
  • 11.
    Sicherheits-plugins Oft bestehen Sicherheitslückenaufgrund ähnlicher Ursachen und werden daher mit automatisierten Methoden ausgenutzt. Um diese Methoden zu verhindern und zu erschweren, können mit Hilfe eines ausgefeilten Sicherheits-plugins viele Maßnahmen einfach aktiviert werden. Dies bietet bspw. das kostenlose plugin iThemes Security und vor allem iThemes Security Pro mit noch mehr Funktionsumfang: https://de.wordpress.org/plugins/better-wp-security/ Weitere Beispiele: https://de.wordpress.org/plugins/ninjafirewall/ https://wordpress.org/plugins/wordfence/ https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ 11
  • 12.
    Link-Tipps • Dieser Vortrag:http://de.slideshare.net/trilos-new-media - siehe auch @trilos auf Twitter • Videoaufzeichnungen von Vorträgen: http://wordpress.tv/ • Zurückliegende WordCamp-Konferenzen mit Vorträgen: https://central.wordcamp.org/schedule/past-wordcamps/ • Blog, Newsletter: http://www.wp-sicherheit.info/ • ... 12
  • 13.
    Danke für dieAufmerksamkeit. Erik Petersen petersen@trilos.de TRILOS new media Hanomaghof 2 30449 Hannover tel 0511 214498-60 fax 0511 214498-65 Internet-Auftritte mit WordPress, Hosting uvm. www.trilos.de