Sebastian Blum, profile picture
Hochgeladen vonSebastian Blum
PDF, PPTX4,235 aufrufe

WordPress Professional II

Die Präsentation behandelt die Sicherheit von WordPress, einschließlich der aktuellen Bedrohungslage durch Ransomware und den Umgang mit automatischen Updates und Zugriffsbeschränkungen, um die Plattform zu schützen. Zudem werden Best Practices für die Verwendung von Themes und Custom Post Types vorgestellt, sowie die Vorteile von Micro-Plugins zur Funktionalitätsoptimierung. Abschließend wird auf wichtige Maßnahmen zum Backup und zur Minimierung von Sicherheitsrisiken eingegangen.

Präsentation einbetten

Als PDF, PPTX herunterladen
WORDPRESS PROFESSIONAL II SEBASTIAN BLUM
WORDPRESS PROFESSIONAL II AGENDA WORDPRESS PROFESSIONAL II ▸ Security ▸ Aktuelle Lage ▸ Best Practices
 Automatische Updates und Zugriffsbeschränkung ▸ Environment ▸ Themes ▸ Custom Post Types ▸ (Micro-) Plug-Ins
WORDPRESS SECURITY TEIL 1
IT macht Arbeit nicht billiger, sondern in der Regel nur schneller. Wenn man Geschwindigkeit nicht immer benötigt, sollte man auf IT auch mal verzichten können. Klemens Kowalski, kowabit.de WORDPRESS SECURITY
WORDPRESS SECURITY
 AKTUELLE LAGE
WORDPRESS SECURITY: AKTUELLE LAGE RANSOMWARE BEFÄLLT NUTZER ÜBER EXPLOIT KITS ▸ TeslaCrypt
 Schwachstellen in veralteten CMS / WordPress-Installation ▸ Befall des Besuchers über Exploit Kits
 nutzt Lücken in Adobe Flash Player, Internet Explorer und Adobe Acrobat (Reader) ▸ Verschlüsselt alle Dateien (lokale und in Netzwerkfreigaben)
 → Gefahr für Nutzer mit veralteter Software
 → Regelmäßig Updates und Security-Fixes installieren
WORDPRESS SECURITY: AKTUELLE LAGE WORDPRESS AUF 26% ALLER INTERNETSEITEN ▸ Oftmals … ▸ … kein HTTPS für Backend (WP-Admin) ▸ … Standardbenutzer und einfache Passwörter ▸ … (zu viele) Plug-Ins aktiviert
WORDPRESS SECURITY: AKTUELLE LAGE RANSOMWARE BEFÄLLT AUCH WEBSERVER
WORDPRESS SECURITY: AKTUELLE LAGE RANSOMWARE BEFÄLLT AUCH WEBSERVER ▸ CTB-Locker
 „Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.“
 
 → Wiederherstellung (bisher) unmöglich
 → Externe Backups regelmäßig erstellen
WORDPRESS SECURITY
 AUTOMATISCHE UPDATES
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES PROBLEM ▸ WordPress Core und Plug-Ins sollten regelmäßig aktualisiert werden ▸ Theoretisch kein Problem:
 WordPress kann automatisch aktualisieren ▸ Automatische Updates benötigen Schreibrechte für PHP
 oder FTP-Zugang
 → keine Absicherung bei Angriffen
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES LÖSUNG ▸ Unix-Rechteverwaltung sinnvoll nutzen
 Standardwerte: Ordner = 755, Dateien = 644 ▸ 7 6 4
 rwx rwx rwx
 Besitzer Gruppe Sonstige ▸ Live-Modus ▸ Rechte Ordner (chmod 555), Rechte Dateien (444)
 → PHP kann keine Dateien / Ordner schreiben
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES LÖSUNG ▸ Update-Modus ▸ Rechte Dateien / Ordner (777)
 → PHP kann Dateien / Ordner schreiben und ausführen ▸ Vorgehen ▸ Rechte werden nur für die Zeit der Updates gesetzt ▸ Benutzer können zusätzlich angepasst werden, jedoch ▸ Einschränkungen beim Shared Hosting ▸ PHP-CGI-Prozesse laufen oftmals mit Standardbenutzer
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES UMSETZUNG ▸ Shared-Hosting mit Cronjobs und SSH ▸ all-inkl: ab Premium-Paket ▸ domainfactory: ab Professional-Paket ▸ STRATO: ab PowerWeb Plus ▸ Eigener Server ▸ Cronjobs über crontab ▸ Jobs mit Jenkins (continuous integration)
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES UMSETZUNG ▸ Update-Modus aktivieren
 
 
 ▸ Live-Modus aktivieren cd /var/www chmod -R 0777 ./wordpress cd /var/www find ./wordpress -type d -exec chmod 0555 {} ; find ./wordpress -type f -exec chmod 0444 {} ; find ./wordpress/wp-content/cache -type d -exec chmod 0755 {} ; find ./wordpress/wp-content/cache -type f -exec chmod 0655 {} ; find ./wordpress/wp-content/uploads -type d -exec chmod 0755 {} ; find ./wordpress/wp-content/uploads -type f -exec chmod 0644 {} ;
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES UMSETZUNG ▸ WP-CLI herunterladen ▸ Updates installieren cd ~ curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages⤸ /phar/wp-cli.phar chmod +x wp-cli.phar ./wp-cli.phar core update --path=/var/www/wordpress (--debug) ./wp-cli.phar core update-db --path=/var/www/wordpress ./wp-cli.phar plugin update --all --path=/var/www/wordpress ./wp-cli.phar theme update --all--path=/var/www/wordpress
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES ÜBER DEN TELLERRAND ▸ Zusätzliche Überprüfung
 Tools suchen nach Schwachstellen
 WPScan: http://wpscan.org/
 wprecon: http://wprecon.com/ ▸ Jens Altmann
 Samstag Vortrag: Secure your company
WORDPRESS SECURITY
 ZUGRIFFSBESCHRÄNKUNG
WORDPRESS SECURITY: ZUGRIFFSBESCHRÄNKUNG .HTACCESS-DATEIEN BEI APACHE-WEBSERVER ▸ Ordner-Auflistung deaktivieren ▸ Direktzugriff nur für bestimmte Dateitypen erlauben
 Options All -Indexes Order deny,allow Deny from all <Files ~ ".(css|doc|docx|gif|jpe?g|js|odf|pdf|png|rar|rtf|xls|xlsx|⤸ xml|zip)$"> Allow from all </Files>
WORDPRESS SECURITY: ZUGRIFFSBESCHRÄNKUNG .HTACCESS-DATEIEN BEI APACHE-WEBSERVER ▸ Login nur nach Passworteingabe ▸ Zugriff auf wp-includes Ordner blockieren
 <Files wp-login.php> AuthType Basic AuthName "Restricted Admin-Area" AuthUserFile /pfad/zur/.htpasswd Require valid-user </Files> <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] </IfModule>
WORDPRESS SECURITY: ZUGRIFFSBESCHRÄNKUNG .HTACCESS-DATEIEN BEI APACHE-WEBSERVER ▸ Zugriff auf wp-config.php blockieren
 
 
 
 ▸ Zugriff auf .htaccess-Dateien blockieren <files ~ "^.*.([Hh][Tt])"> Order allow,deny Deny from all Satisfy all </files> <files wp-config.php> Order allow,deny Deny from all </files>
WORDPRESS SECURITY: LEARNINGS ZUSAMMENFASSUNG ▸ Möglichst wenig (Schreib-) Rechte für Web-Server ▸ Updatebarkeit ist Schutz und Risiko gleichzeitig ▸ Externe Backups notwendig ▸ Dateien: ohne Schreibrechte für Web-Server ▸ Datenbank: komplette Dumps ▸ Schwächstes Glied in Kette beachten!
WORDPRESS ENVIRONMENT TEIL 2
WORDPRESS PROFESSIONAL II AGENDA WORDPRESS PROFESSIONAL II ▸ Security ▸ Aktuelle Lage ▸ Best Practices
 Automatische Updates und Zugriffsbeschränkung ▸ Environment ▸ Themes ▸ Custom Post Types ▸ (Micro-) Plug-Ins
WORDPRESS ENVIRONMENT
 THEMES
VORTRAG 2015: WORDPRESS PROFESSIONAL I RÜCKBLICK: LETZTES JAHR ▸ Unterscheidungen von ▸ Default-Themes ▸ Starter-Themes ▸ Child-Themes ▸ Vollwertige Themes ▸ Den jeweiligen Einsatzzweck
WORDPRESS ENVIRONMENT: THEMES - THEME OPTIONS THEME OPTIONS: DESIGN ANPASSEN ▸ Wechsel zwischen Themes, die alle Theme Options unterstützen, sollte möglich sein
 (Beispiel: Jedes Theme von wordpress.com) ▸ Ziel: Optionen Theme-übergreifend zu standardisieren ▸ Viele Themes verwenden eigenes Theme Panel
 → Theme-Wechsel nur schwer möglich
VERWENDUNG DER THEME OPTIONS
VERWENDUNG EINES THEME PANELS
THEME UNIT TESTS WORDPRESS ENVIRONMENT – THEMES
WORDPRESS ENVIRONMENT: THEMES - UNIT TESTS THEME UNIT TESTS ▸ Theme Unit Tests sind möglich ▸ Verbessern deutlich die Qualität von Themes ▸ Mehr Infos unter:
 https://codex.wordpress.org/Theme_Unit_Test
Theme Plug-In Vorteile ‣ Stabiler, dank getesten Versionen ‣ Schnellere Updates ‣ Theme-Wechsel Nachteile ‣ Abhängigkeit vom Theme ‣ Theme-Lock-In ‣ Updates ‣ Versionskonflikte ‣ Namenkonflikte WORDPRESS ENVIRONMENT: THEMES FUNKTIONALITÄT IN THEME ODER PLUG-IN
WORDPRESS ENVIRONMENT: FAZIT THEMES FAZIT: FUNKTIONALITÄT IN THEMES ▸ Elegant Themes bringen die Funktionalität im Theme mit ▸ Eigener Page-Builder: Divi Builder ▸ Verwendung der Theme Options
 → guter Lösungsansatz ▸ Präferieren selbst die Funktionalität in Plug-Ins ▸ Probleme mit Visual Composer Versionskonflikten ▸ Lock-In bei Custom-Post-Types im Theme
 → Trennung ermöglicht größere Flexibilität
WORDPRESS ENVIRONMENT
 CUSTOM POST TYPE
WORDPRESS ENVIRONMENT: CUSTOM POST TYPE CUSTOM POST TYPE ▸ Einfach selbst definieren mit Hilfe eines kleinen Plug-Ins ▸ Bringt zusätzliche Dokumentarten mit ▸ Im Child-Theme können Template-Dateien speziell für den Custom-Post-Type erstellt werden
BEISPIEL
 BILDUNG FÜR FLÜCHTLINGE
WORDPRESS ENVIRONMENT: CUSTOM POST TYPE BILDUNG-FUER-FLUECHTLINGE.DE ▸ Organisationen mit zusätzlichen Informationen speichern ▸ Kontaktdaten (Auswahl und Textfelder) ▸ Ansprechpartner (Foto) ▸ Standort (Google Maps Karte) ▸ Bereich (Kategorie) ▸ Ausgabe der (gefilterten) Inhalte im Frontend
WORDPRESS ENVIRONMENT: CUSTOM POST TYPE BILDUNG-FUER-FLUECHTLINGE.DE: BACKEND ▸ Auswahl ▸ Textfeld ▸ Bild-Upload
 
 
 
 
 ▸ Standort (Google Maps)
WORDPRESS ENVIRONMENT: CUSTOM POST TYPE BILDUNG-FUER-FLUECHTLINGE.DE: FRONTEND ▸ Kontaktdaten
 ▸ Standort (Google Maps)
WORDPRESS ENVIRONMENT: FAZIT CUSTOM POST TYPES FAZIT: CUSTOM POST TYPES ▸ Eigene „Dokument-Arten“ mit zusätzlichen Feldern ▸ Bessere semantische Datenspeicherung ▸ Updatebarkeit ohne Inhaltsanpassung ▸ Mit Shortcodes in Widgets platzierbar
 → guter Lösungsansatz ▸ Am besten Custom Post Types Definition & Custom Taxonomy selbst mit einem Plugin erstellen ▸ AdvancedCustomFields-Plugin für Verwaltung zusätzlicher Felder im Backend nutzen
WORDPRESS ENVIRONMENT
 (MICRO-) PLUG-INS
WORDPRESS ENVIRONMENT: (MICRO-) PLUG-INS EINFACHE MICRO-PLUG-INS ▸ Beispiel: sblum-force-https
 Alle verlinkten / verknüpften Inhalte über HTTPS abrufen ▸ Single Responsibility Pattern
 → Bietet exakt eine Funktionalität ▸ Einfache Unit-Tests ▸ Keine Konfiguration, keine eierlegende Wollmilchsau Quelle: Pixelrausch - Wikimedia Commons
WORDPRESS ENVIRONMENT: (MICRO-) PLUG-INS SBLUM-FORCE-HTTPS PLUG-IN ▸ Einsatz-Zweck: Umstellung auf HTTPS ▸ Problemstellung ▸ Im Theme / Plug-in werden http:// Assets eingebunden ▸ Interne http-Links in Artikeln ▸ Lösung: Interne Links, CSS, Javascript durch https ersetzen
 → Micro-Plug-in für genau diese Anforderung ausreichend
WORDPRESS ENVIRONMENT: (MICRO-) PLUG-INS SBLUM-FORCE-HTTPS PLUG-IN
WORDPRESS ENVIRONMENT: (MICRO-) PLUG-INS MUST-USE-PLUGIN: FINAL OUTPUT HOOK
WORDPRESS ENVIRONMENT: FAZIT PLUGINS FAZIT: PLUG-INS ▸ Einsatz von Micro-Plug-Ins, wenn… ▸ ein Problem zu 100% gelöst werden kann ▸ Performance wichtig (keine aufwendige Konfiguration) ▸ Einsatz von (umfangreichen) Plug-Ins, wenn… ▸ eine Vielzahl von Anforderungen erfüllt werden ▸ Yoast SEO Plug-In ▸ W3 Total Cache ▸ Konfiguration / Anpassung notwendig
WORDPRESS PROFESSIONAL II DANKE FÜR DIE AUFMERKSAMKEIT ▸ Sebastian Blum
 sb@sblum.de ▸ Präsentation auf unserer Webseite
 lj https://www.sblum.de/seocampixx

Weitere ähnliche Inhalte

PDF
Wordpress Security
vonDaniel Potthast
 
PDF
WordPress Professional III
vonSebastian Blum
 
PDF
WordPress Professional – SEO Campixx
vonSebastian Blum
 
ODP
WordPress absichern - WP Camp 2012 in Berlin
vonTorsten Landsiedel
 
PDF
Startups in „Die Höhle der Löwen“ - SEODAY 2016
vonDennis Oderwald
 
PDF
WordPress Grundlagen Kurs
vonBenjamin Hartwich
 
PDF
Wordpress für Profis
vonAnika Erdmann
 
PDF
DDEV - Eine lokale Entwicklungsumgebung
vonFrank Schmittlein
 
Wordpress Security
vonDaniel Potthast
 
WordPress Professional III
vonSebastian Blum
 
WordPress Professional – SEO Campixx
vonSebastian Blum
 
WordPress absichern - WP Camp 2012 in Berlin
vonTorsten Landsiedel
 
Startups in „Die Höhle der Löwen“ - SEODAY 2016
vonDennis Oderwald
 
WordPress Grundlagen Kurs
vonBenjamin Hartwich
 
Wordpress für Profis
vonAnika Erdmann
 
DDEV - Eine lokale Entwicklungsumgebung
vonFrank Schmittlein
 

Was ist angesagt?

PDF
WordPress für Einsteiger - Für wen eignet sich das CMS
vonEduPress / Inpsyde GmbH
 
PDF
Was ist WordPress eigentlich?
vonlearnWP
 
PDF
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
vonSEARCH ONE
 
PDF
Baustein 07 grundlagen-html-css-php
vonMichael Kollmannsberger
 
PDF
Node.js
vonSebastian Springer
 
PPTX
HTML5 und CSS3 - was jetzt schon möglich ist
vonRenate Hermanns
 
PDF
Campixx 2012-ladezeit-extreme
vonAlexander Merkel
 
PDF
Typo3 und Varnish
vonOliver Thiele
 
ODP
PhpStorm 6 Configuration for TYPO3
vonmarco-huber
 
PDF
WordPress- eine Einführung
vonJohannes Fruth
 
PDF
MongoDB: Security-Tipps gegen Hacker
vonGregor Biswanger
 
PDF
Ein kurze Einführung in WordPress
vonCathrin Tusche
 
PDF
Performance Optimierung - Barrierefreiheit beginnt mit Ladezeiten
vonDavid Maciejewski
 
PDF
WP-CLI - Das Kommandozeilen Interface für Wordpress
vonfrankstaude
 
PDF
Wordpress - Einführung und Überblick über die Kernfunktionen
vonMario Fink
 
PPTX
SEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwalten
vonget on top gmbh
 
PPTX
Dockerize It - Mit apex in die amazon cloud
vonOPITZ CONSULTING Deutschland
 
PDF
Sicherheit für WordPress
vonWalter Ebert
 
PPTX
Blogwerk WordPress für die Corporate Website
vonBlogwerk AG
 
PDF
Hands-on Workshop: API-Dokumentation mit OpenAPI / Swagger in ASP.NET Core
vonGregor Biswanger
 
WordPress für Einsteiger - Für wen eignet sich das CMS
vonEduPress / Inpsyde GmbH
 
Was ist WordPress eigentlich?
vonlearnWP
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
vonSEARCH ONE
 
Baustein 07 grundlagen-html-css-php
vonMichael Kollmannsberger
 
Node.js
vonSebastian Springer
 
HTML5 und CSS3 - was jetzt schon möglich ist
vonRenate Hermanns
 
Campixx 2012-ladezeit-extreme
vonAlexander Merkel
 
Typo3 und Varnish
vonOliver Thiele
 
PhpStorm 6 Configuration for TYPO3
vonmarco-huber
 
WordPress- eine Einführung
vonJohannes Fruth
 
MongoDB: Security-Tipps gegen Hacker
vonGregor Biswanger
 
Ein kurze Einführung in WordPress
vonCathrin Tusche
 
Performance Optimierung - Barrierefreiheit beginnt mit Ladezeiten
vonDavid Maciejewski
 
WP-CLI - Das Kommandozeilen Interface für Wordpress
vonfrankstaude
 
Wordpress - Einführung und Überblick über die Kernfunktionen
vonMario Fink
 
SEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwalten
vonget on top gmbh
 
Dockerize It - Mit apex in die amazon cloud
vonOPITZ CONSULTING Deutschland
 
Sicherheit für WordPress
vonWalter Ebert
 
Blogwerk WordPress für die Corporate Website
vonBlogwerk AG
 
Hands-on Workshop: API-Dokumentation mit OpenAPI / Swagger in ASP.NET Core
vonGregor Biswanger
 

Andere mochten auch

PPTX
Pagespeed Learnings aus mehreren Relaunches (SEO Campixx 2017)
vonSEO & UX München
 
PDF
Campixx 2017 SEO für KMU
vonHeiko Hoehn
 
PDF
Content-Produktion aus der Praxis – Von der Idee zum Inhalt – SEO Campixx 2017
vonNiels Dahnke
 
PPTX
ADO.NET
vonLeonardo Lourenço Silva
 
PPTX
Excel Based IP Functions
vonRajiv Bhardwaj
 
PPT
Lecture#5 Operators in C++
vonNUST Stuff
 
PDF
Java Concurrency Idioms
vonAlex Miller
 
PPT
Operators in c language
vonAmit Singh
 
PPTX
2017 Info Night Presentation - TIF bond
vonF. X. Flinn
 
PPT
Slides chapter 16
vonPriyanka Shetty
 
PDF
Elm intro
vonGonzalo Gabriel Jiménez Fuentes
 
PDF
Disruptor tools in action
vonMichael Barker
 
PDF
Java - Introdução a banco de dados
vonSérgio Souza Costa
 
PPT
Trial set
vonLaxmi Eye Institute
 
PPS
Control statements
vonkamal kotecha
 
PDF
5 retro pay_methods_i___ii_part_5
vonOracle HRMS Functional Consultant
 
PDF
Manual de Usuário - TCC André Luiz Jamarino Abekawa
vonAndré Luiz Jamarino Abekawa
 
PPT
Replicacao Object Sistemas
vontaniamaciel
 
ODP
Minicurso de Cakephp
vonCauan Cabral
 
Pagespeed Learnings aus mehreren Relaunches (SEO Campixx 2017)
vonSEO & UX München
 
Campixx 2017 SEO für KMU
vonHeiko Hoehn
 
Content-Produktion aus der Praxis – Von der Idee zum Inhalt – SEO Campixx 2017
vonNiels Dahnke
 
ADO.NET
vonLeonardo Lourenço Silva
 
Excel Based IP Functions
vonRajiv Bhardwaj
 
Lecture#5 Operators in C++
vonNUST Stuff
 
Java Concurrency Idioms
vonAlex Miller
 
Operators in c language
vonAmit Singh
 
2017 Info Night Presentation - TIF bond
vonF. X. Flinn
 
Slides chapter 16
vonPriyanka Shetty
 
Elm intro
vonGonzalo Gabriel Jiménez Fuentes
 
Disruptor tools in action
vonMichael Barker
 
Java - Introdução a banco de dados
vonSérgio Souza Costa
 
Trial set
vonLaxmi Eye Institute
 
Control statements
vonkamal kotecha
 
5 retro pay_methods_i___ii_part_5
vonOracle HRMS Functional Consultant
 
Manual de Usuário - TCC André Luiz Jamarino Abekawa
vonAndré Luiz Jamarino Abekawa
 
Replicacao Object Sistemas
vontaniamaciel
 
Minicurso de Cakephp
vonCauan Cabral
 

WordPress Professional II

  • 1.
  • 2.
    WORDPRESS PROFESSIONAL II AGENDAWORDPRESS PROFESSIONAL II ▸ Security ▸ Aktuelle Lage ▸ Best Practices
 Automatische Updates und Zugriffsbeschränkung ▸ Environment ▸ Themes ▸ Custom Post Types ▸ (Micro-) Plug-Ins
  • 3.
  • 4.
    IT macht Arbeitnicht billiger, sondern in der Regel nur schneller. Wenn man Geschwindigkeit nicht immer benötigt, sollte man auf IT auch mal verzichten können. Klemens Kowalski, kowabit.de WORDPRESS SECURITY
  • 5.
  • 6.
    WORDPRESS SECURITY: AKTUELLELAGE RANSOMWARE BEFÄLLT NUTZER ÜBER EXPLOIT KITS ▸ TeslaCrypt
 Schwachstellen in veralteten CMS / WordPress-Installation ▸ Befall des Besuchers über Exploit Kits
 nutzt Lücken in Adobe Flash Player, Internet Explorer und Adobe Acrobat (Reader) ▸ Verschlüsselt alle Dateien (lokale und in Netzwerkfreigaben)
 → Gefahr für Nutzer mit veralteter Software
 → Regelmäßig Updates und Security-Fixes installieren
  • 7.
    WORDPRESS SECURITY: AKTUELLELAGE WORDPRESS AUF 26% ALLER INTERNETSEITEN ▸ Oftmals … ▸ … kein HTTPS für Backend (WP-Admin) ▸ … Standardbenutzer und einfache Passwörter ▸ … (zu viele) Plug-Ins aktiviert
  • 8.
    WORDPRESS SECURITY: AKTUELLELAGE RANSOMWARE BEFÄLLT AUCH WEBSERVER
  • 9.
    WORDPRESS SECURITY: AKTUELLELAGE RANSOMWARE BEFÄLLT AUCH WEBSERVER ▸ CTB-Locker
 „Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.“
 
 → Wiederherstellung (bisher) unmöglich
 → Externe Backups regelmäßig erstellen
  • 10.
  • 11.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES PROBLEM ▸ WordPress Core und Plug-Ins sollten regelmäßig aktualisiert werden ▸ Theoretisch kein Problem:
 WordPress kann automatisch aktualisieren ▸ Automatische Updates benötigen Schreibrechte für PHP
 oder FTP-Zugang
 → keine Absicherung bei Angriffen
  • 12.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES LÖSUNG ▸ Unix-Rechteverwaltung sinnvoll nutzen
 Standardwerte: Ordner = 755, Dateien = 644 ▸ 7 6 4
 rwx rwx rwx
 Besitzer Gruppe Sonstige ▸ Live-Modus ▸ Rechte Ordner (chmod 555), Rechte Dateien (444)
 → PHP kann keine Dateien / Ordner schreiben
  • 13.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES LÖSUNG ▸ Update-Modus ▸ Rechte Dateien / Ordner (777)
 → PHP kann Dateien / Ordner schreiben und ausführen ▸ Vorgehen ▸ Rechte werden nur für die Zeit der Updates gesetzt ▸ Benutzer können zusätzlich angepasst werden, jedoch ▸ Einschränkungen beim Shared Hosting ▸ PHP-CGI-Prozesse laufen oftmals mit Standardbenutzer
  • 14.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES UMSETZUNG ▸ Shared-Hosting mit Cronjobs und SSH ▸ all-inkl: ab Premium-Paket ▸ domainfactory: ab Professional-Paket ▸ STRATO: ab PowerWeb Plus ▸ Eigener Server ▸ Cronjobs über crontab ▸ Jobs mit Jenkins (continuous integration)
  • 15.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES UMSETZUNG ▸ Update-Modus aktivieren
 
 
 ▸ Live-Modus aktivieren cd /var/www chmod -R 0777 ./wordpress cd /var/www find ./wordpress -type d -exec chmod 0555 {} ; find ./wordpress -type f -exec chmod 0444 {} ; find ./wordpress/wp-content/cache -type d -exec chmod 0755 {} ; find ./wordpress/wp-content/cache -type f -exec chmod 0655 {} ; find ./wordpress/wp-content/uploads -type d -exec chmod 0755 {} ; find ./wordpress/wp-content/uploads -type f -exec chmod 0644 {} ;
  • 16.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES UMSETZUNG ▸ WP-CLI herunterladen ▸ Updates installieren cd ~ curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages⤸ /phar/wp-cli.phar chmod +x wp-cli.phar ./wp-cli.phar core update --path=/var/www/wordpress (--debug) ./wp-cli.phar core update-db --path=/var/www/wordpress ./wp-cli.phar plugin update --all --path=/var/www/wordpress ./wp-cli.phar theme update --all--path=/var/www/wordpress
  • 17.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES ÜBER DEN TELLERRAND ▸ Zusätzliche Überprüfung
 Tools suchen nach Schwachstellen
 WPScan: http://wpscan.org/
 wprecon: http://wprecon.com/ ▸ Jens Altmann
 Samstag Vortrag: Secure your company
  • 18.
  • 19.
    WORDPRESS SECURITY: ZUGRIFFSBESCHRÄNKUNG .HTACCESS-DATEIENBEI APACHE-WEBSERVER ▸ Ordner-Auflistung deaktivieren ▸ Direktzugriff nur für bestimmte Dateitypen erlauben
 Options All -Indexes Order deny,allow Deny from all <Files ~ ".(css|doc|docx|gif|jpe?g|js|odf|pdf|png|rar|rtf|xls|xlsx|⤸ xml|zip)$"> Allow from all </Files>
  • 20.
    WORDPRESS SECURITY: ZUGRIFFSBESCHRÄNKUNG .HTACCESS-DATEIENBEI APACHE-WEBSERVER ▸ Login nur nach Passworteingabe ▸ Zugriff auf wp-includes Ordner blockieren
 <Files wp-login.php> AuthType Basic AuthName "Restricted Admin-Area" AuthUserFile /pfad/zur/.htpasswd Require valid-user </Files> <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] </IfModule>
  • 21.
    WORDPRESS SECURITY: ZUGRIFFSBESCHRÄNKUNG .HTACCESS-DATEIENBEI APACHE-WEBSERVER ▸ Zugriff auf wp-config.php blockieren
 
 
 
 ▸ Zugriff auf .htaccess-Dateien blockieren <files ~ "^.*.([Hh][Tt])"> Order allow,deny Deny from all Satisfy all </files> <files wp-config.php> Order allow,deny Deny from all </files>
  • 22.
    WORDPRESS SECURITY: LEARNINGS ZUSAMMENFASSUNG ▸Möglichst wenig (Schreib-) Rechte für Web-Server ▸ Updatebarkeit ist Schutz und Risiko gleichzeitig ▸ Externe Backups notwendig ▸ Dateien: ohne Schreibrechte für Web-Server ▸ Datenbank: komplette Dumps ▸ Schwächstes Glied in Kette beachten!
  • 23.
  • 24.
    WORDPRESS PROFESSIONAL II AGENDAWORDPRESS PROFESSIONAL II ▸ Security ▸ Aktuelle Lage ▸ Best Practices
 Automatische Updates und Zugriffsbeschränkung ▸ Environment ▸ Themes ▸ Custom Post Types ▸ (Micro-) Plug-Ins
  • 25.
  • 26.
    VORTRAG 2015: WORDPRESSPROFESSIONAL I RÜCKBLICK: LETZTES JAHR ▸ Unterscheidungen von ▸ Default-Themes ▸ Starter-Themes ▸ Child-Themes ▸ Vollwertige Themes ▸ Den jeweiligen Einsatzzweck
  • 27.
    WORDPRESS ENVIRONMENT: THEMES- THEME OPTIONS THEME OPTIONS: DESIGN ANPASSEN ▸ Wechsel zwischen Themes, die alle Theme Options unterstützen, sollte möglich sein
 (Beispiel: Jedes Theme von wordpress.com) ▸ Ziel: Optionen Theme-übergreifend zu standardisieren ▸ Viele Themes verwenden eigenes Theme Panel
 → Theme-Wechsel nur schwer möglich
  • 28.
  • 29.
  • 30.
    THEME UNIT TESTS WORDPRESSENVIRONMENT – THEMES
  • 31.
    WORDPRESS ENVIRONMENT: THEMES- UNIT TESTS THEME UNIT TESTS ▸ Theme Unit Tests sind möglich ▸ Verbessern deutlich die Qualität von Themes ▸ Mehr Infos unter:
 https://codex.wordpress.org/Theme_Unit_Test
  • 32.
    Theme Plug-In Vorteile ‣Stabiler, dank getesten Versionen ‣ Schnellere Updates ‣ Theme-Wechsel Nachteile ‣ Abhängigkeit vom Theme ‣ Theme-Lock-In ‣ Updates ‣ Versionskonflikte ‣ Namenkonflikte WORDPRESS ENVIRONMENT: THEMES FUNKTIONALITÄT IN THEME ODER PLUG-IN
  • 33.
    WORDPRESS ENVIRONMENT: FAZITTHEMES FAZIT: FUNKTIONALITÄT IN THEMES ▸ Elegant Themes bringen die Funktionalität im Theme mit ▸ Eigener Page-Builder: Divi Builder ▸ Verwendung der Theme Options
 → guter Lösungsansatz ▸ Präferieren selbst die Funktionalität in Plug-Ins ▸ Probleme mit Visual Composer Versionskonflikten ▸ Lock-In bei Custom-Post-Types im Theme
 → Trennung ermöglicht größere Flexibilität
  • 34.
  • 35.
    WORDPRESS ENVIRONMENT: CUSTOMPOST TYPE CUSTOM POST TYPE ▸ Einfach selbst definieren mit Hilfe eines kleinen Plug-Ins ▸ Bringt zusätzliche Dokumentarten mit ▸ Im Child-Theme können Template-Dateien speziell für den Custom-Post-Type erstellt werden
  • 36.
  • 37.
    WORDPRESS ENVIRONMENT: CUSTOMPOST TYPE BILDUNG-FUER-FLUECHTLINGE.DE ▸ Organisationen mit zusätzlichen Informationen speichern ▸ Kontaktdaten (Auswahl und Textfelder) ▸ Ansprechpartner (Foto) ▸ Standort (Google Maps Karte) ▸ Bereich (Kategorie) ▸ Ausgabe der (gefilterten) Inhalte im Frontend
  • 38.
    WORDPRESS ENVIRONMENT: CUSTOMPOST TYPE BILDUNG-FUER-FLUECHTLINGE.DE: BACKEND ▸ Auswahl ▸ Textfeld ▸ Bild-Upload
 
 
 
 
 ▸ Standort (Google Maps)
  • 39.
    WORDPRESS ENVIRONMENT: CUSTOMPOST TYPE BILDUNG-FUER-FLUECHTLINGE.DE: FRONTEND ▸ Kontaktdaten
 ▸ Standort (Google Maps)
  • 40.
    WORDPRESS ENVIRONMENT: FAZITCUSTOM POST TYPES FAZIT: CUSTOM POST TYPES ▸ Eigene „Dokument-Arten“ mit zusätzlichen Feldern ▸ Bessere semantische Datenspeicherung ▸ Updatebarkeit ohne Inhaltsanpassung ▸ Mit Shortcodes in Widgets platzierbar
 → guter Lösungsansatz ▸ Am besten Custom Post Types Definition & Custom Taxonomy selbst mit einem Plugin erstellen ▸ AdvancedCustomFields-Plugin für Verwaltung zusätzlicher Felder im Backend nutzen
  • 41.
  • 42.
    WORDPRESS ENVIRONMENT: (MICRO-)PLUG-INS EINFACHE MICRO-PLUG-INS ▸ Beispiel: sblum-force-https
 Alle verlinkten / verknüpften Inhalte über HTTPS abrufen ▸ Single Responsibility Pattern
 → Bietet exakt eine Funktionalität ▸ Einfache Unit-Tests ▸ Keine Konfiguration, keine eierlegende Wollmilchsau Quelle: Pixelrausch - Wikimedia Commons
  • 43.
    WORDPRESS ENVIRONMENT: (MICRO-)PLUG-INS SBLUM-FORCE-HTTPS PLUG-IN ▸ Einsatz-Zweck: Umstellung auf HTTPS ▸ Problemstellung ▸ Im Theme / Plug-in werden http:// Assets eingebunden ▸ Interne http-Links in Artikeln ▸ Lösung: Interne Links, CSS, Javascript durch https ersetzen
 → Micro-Plug-in für genau diese Anforderung ausreichend
  • 44.
    WORDPRESS ENVIRONMENT: (MICRO-)PLUG-INS SBLUM-FORCE-HTTPS PLUG-IN
  • 45.
    WORDPRESS ENVIRONMENT: (MICRO-)PLUG-INS MUST-USE-PLUGIN: FINAL OUTPUT HOOK
  • 46.
    WORDPRESS ENVIRONMENT: FAZITPLUGINS FAZIT: PLUG-INS ▸ Einsatz von Micro-Plug-Ins, wenn… ▸ ein Problem zu 100% gelöst werden kann ▸ Performance wichtig (keine aufwendige Konfiguration) ▸ Einsatz von (umfangreichen) Plug-Ins, wenn… ▸ eine Vielzahl von Anforderungen erfüllt werden ▸ Yoast SEO Plug-In ▸ W3 Total Cache ▸ Konfiguration / Anpassung notwendig
  • 47.
    WORDPRESS PROFESSIONAL II DANKEFÜR DIE AUFMERKSAMKEIT ▸ Sebastian Blum
 sb@sblum.de ▸ Präsentation auf unserer Webseite
 lj https://www.sblum.de/seocampixx