DP
Hochgeladen vonDaniel Potthast
1,865 aufrufe

Wordpress Security

Die Präsentation von Daniel Potthast auf WordCamp Nürnberg 2016 behandelt die aktuelle Sicherheitslage von WordPress, einschließlich der Gefahren durch veraltete Plugins und Ransomware-Angriffe. Es werden Maßnahmen zur Verbesserung der Sicherheit empfohlen, wie die Nutzung automatischer Updates, Zugangsbeschränkungen über .htaccess-Dateien und die Notwendigkeit regelmäßiger Backups. Zusätzlich wird auf die Bedeutung der richtigen Rechteverwaltung und der regelmäßigen Aktualisierung von Software hingewiesen.

Präsentation einbetten

Downloaden Sie, um offline zu lesen
WORDPRESS SECURITY WORDCAMP NÜRNBERG 2016 Daniel Potthast
 @d_potthast#wcnbg
WORDPRESS SECURITY AGENDA WORDPRESS SECURITY ▸ Aktuelle Lage ▸ Automatische Updates ▸ Zugriffsbeschränkung
WORDPRESS SECURITY
 AKTUELLE LAGE
WORDPRESS SECURITY: AKTUELLE LAGE WORDPRESS AUF 26% ALLER INTERNETSEITEN1 ▸ Oftmals … ▸ … kein HTTPS für Backend (WP-Admin) ▸ … Standardbenutzer und einfache Passwörter ▸ … (zu viel) Plug-Ins aktiviert 1 http://w3techs.com/technologies/details/cm-wordpress/all/all
WORDPRESS SECURITY: AKTUELLE LAGE RANSOMWARE BEFÄLLT AUCH WEBSERVER
WORDPRESS SECURITY: AKTUELLE LAGE RANSOMWARE BEFÄLLT AUCH WEBSERVER ▸ CTB-Locker
 „Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.“
 → Wiederherstellung (bisher) unmöglich
 → Externe Backups regelmäßig erstellen
WORDPRESS SECURITY: AKTUELLE LAGE DER FALL MOSSACK FONSECA ▸ WordPress auf der Hauptseite ▸ Revolution Slider (Version 2.1.7)
 Zugriff auf Systemdateien und Zugangsdaten ▸ WP SMTP plugin
 Zugangsdaten des Mail-Servers im Klartext gespeichert → Gefahr durch veraltete Plug-Ins
 → Regelmäßig Updates und Security-Fixes installieren
 → Nicht mehr gepflegte Plug-Ins ersetzen https://www.wordfence.com/blog/2016/04/mossack-fonseca-breach-vulnerable-slider-revolution/
WORDPRESS SECURITY
 AUTOMATISCHE UPDATES
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES PROBLEM ▸ WordPress Core und Plug-Ins sollten regelmäßig aktualisiert werden ▸ Theoretisch kein Problem:
 WordPress kann automatisch aktualisieren ▸ Automatische Updates benötigen Schreibrechte für PHP
 oder FTP-Zugang
 → keinesfalls Lese- und Schreibrechte für „alle“ (777)
 → keine Absicherung bei Angriffen
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES LÖSUNG ▸ Unix-Rechteverwaltung sinnvoll nutzen
 Standardwerte: Ordner = 755, Dateien = 644 ▸ 7 6 4
 rwx rwx rwx
 Besitzer Gruppe Sonstige ▸ Live-Modus ▸ Rechte Ordner (chmod 755), Rechte Dateien (444)
 → PHP kann keine Dateien / Ordner schreiben
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES LÖSUNG ▸ Update-Modus ▸ Rechte Dateien / Ordner (777)
 → PHP kann Dateien / Ordner schreiben und ausführen ▸ Vorgehen ▸ Rechte werden nur für die Zeit der Updates gesetzt ▸ Benutzer können zusätzlich angepasst werden, jedoch ▸ Einschränkungen beim Shared Hosting ▸ PHP-CGI-Prozesse laufen oftmals mit Standardbenutzer
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES UMSETZUNG ▸ Shared-Hosting mit Cronjobs und SSH ▸ all-inkl: ab Premium-Paket ▸ domainfactory: ab Professional-Paket ▸ STRATO: ab PowerWeb Plus ▸ Eigener Server ▸ Cronjobs über crontab ▸ Jobs mit Jenkins (continuous integration)
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES UMSETZUNG ▸ Update-Modus aktivieren
 
 
 ▸ Live-Modus aktivieren cd /var/www chmod -R 0777 ./wordpress cd /var/www find ./wordpress -type d -exec chmod 755 {} ; find ./wordpress -type f -exec chmod 444 {} ; find ./wordpress/wp-content/cache -type f -exec chmod 644 {} ; find ./wordpress/wp-content/uploads -type f -exec chmod 644 {} ;
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES UMSETZUNG ▸ WP-CLI herunterladen ▸ Updates installieren cd ~ curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages⤸ /phar/wp-cli.phar chmod +x wp-cli.phar ./wp-cli.phar core update --path=/var/www/wordpress (--debug) ./wp-cli.phar core update-db --path=/var/www/wordpress ./wp-cli.phar plugin update --all --path=/var/www/wordpress ./wp-cli.phar theme update --all --path=/var/www/wordpress
WORDPRESS SECURITY: AUTOMATISIERTE UPDATES ÜBER DEN TELLERRAND ▸ Zusätzliche Überprüfung ▸ Tools wie WPScan suchen nach Schwachstellen
 http://wpscan.org/
WORDPRESS SECURITY
 ZUGRIFFSBESCHRÄNKUNG
WORDPRESS SECURITY: ZUGRIFFSBESCHRÄNKUNG .HTACCESS-DATEIEN BEI APACHE-WEBSERVER ▸ Ordner-Auflistung deaktivieren ▸ Direktzugriff nur für bestimmte Dateitypen erlauben
 Options All -Indexes Order deny,allow Deny from all <Files ~ ".(css|doc|docx|gif|jpe?g|js|odf|pdf|png|rar|rtf|xls|xlsx|⤸ xml|zip)$"> Allow from all </Files>
WORDPRESS SECURITY: ZUGRIFFSBESCHRÄNKUNG .HTACCESS-DATEIEN BEI APACHE-WEBSERVER ▸ Login nur nach Passworteingabe ▸ Zugriff auf wp-includes Ordner blockieren
 <Files wp-login.php> AuthType Basic AuthName "Restricted Admin-Area" AuthUserFile /pfad/zur/.htpasswd Require valid-user </Files> <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] </IfModule>
WORDPRESS SECURITY: ZUGRIFFSBESCHRÄNKUNG .HTACCESS-DATEIEN BEI APACHE-WEBSERVER ▸ Zugriff auf wp-config.php blockieren
 
 
 
 ▸ Zugriff auf .htaccess-Dateien blockieren <files ~ "^.*.([Hh][Tt][Aa])"> Order allow,deny Deny from all Satisfy all </files> <files wp-config.php> Order allow,deny Deny from all </files>
WORDPRESS SECURITY: LEARNINGS ZUSAMMENFASSUNG ▸ Möglichst wenig (Schreib-) Rechte für Web-Server ▸ Updatebarkeit ist Schutz und Risiko gleichzeitig ▸ Regelmäßig externe Backups erstellen ▸ Dateien: ohne Schreibrechte für Web-Server ▸ Datenbank: komplette Dumps ▸ Veraltete Plug-Ins entfernen / ersetzen
WORDPRESS SECURITY DANKE FÜR DIE AUFMERKSAMKEIT ▸ Daniel Potthast
 dp@sblum.de
 @d_potthast ▸ Präsentation
 ! https://sblum.de/wordcamp

Weitere ähnliche Inhalte

PDF
WordPress Professional II
vonSebastian Blum
 
PDF
WordPress Grundlagen Kurs
vonBenjamin Hartwich
 
PDF
Startups in „Die Höhle der Löwen“ - SEODAY 2016
vonDennis Oderwald
 
PDF
WordPress Professional III
vonSebastian Blum
 
PDF
DDEV - Eine lokale Entwicklungsumgebung
vonFrank Schmittlein
 
ODP
WordPress absichern - WP Camp 2012 in Berlin
vonTorsten Landsiedel
 
PDF
WordPress Professional – SEO Campixx
vonSebastian Blum
 
PDF
Node.js
vonSebastian Springer
 
WordPress Professional II
vonSebastian Blum
 
WordPress Grundlagen Kurs
vonBenjamin Hartwich
 
Startups in „Die Höhle der Löwen“ - SEODAY 2016
vonDennis Oderwald
 
WordPress Professional III
vonSebastian Blum
 
DDEV - Eine lokale Entwicklungsumgebung
vonFrank Schmittlein
 
WordPress absichern - WP Camp 2012 in Berlin
vonTorsten Landsiedel
 
WordPress Professional – SEO Campixx
vonSebastian Blum
 
Node.js
vonSebastian Springer
 

Was ist angesagt?

PDF
Typo3 und Varnish
vonOliver Thiele
 
PDF
Neos CMS - das Kompendium (Version 2.0.0)
vondie.agilen GmbH
 
PDF
Hands-on Workshop: API-Dokumentation mit OpenAPI / Swagger in ASP.NET Core
vonGregor Biswanger
 
PDF
WordPress- eine Einführung
vonJohannes Fruth
 
PDF
Baustein 07 grundlagen-html-css-php
vonMichael Kollmannsberger
 
ODP
Bidirektionale Verbindungen für Webanwendungen
vonMarco Rico Gomez
 
PDF
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
vonSEARCH ONE
 
PPTX
Blogwerk WordPress für die Corporate Website
vonBlogwerk AG
 
PDF
WP-CLI - Das Kommandozeilen Interface für Wordpress
vonfrankstaude
 
PDF
WordPress für Einsteiger - Für wen eignet sich das CMS
vonEduPress / Inpsyde GmbH
 
PDF
Campixx 2012-ladezeit-extreme
vonAlexander Merkel
 
PDF
MongoDB: Security-Tipps gegen Hacker
vonGregor Biswanger
 
PDF
Wordpress für Profis
vonAnika Erdmann
 
KEY
Varnish PHP Unconference Hamburg 2012
vonFlorian Holzhauer
 
PDF
Performance Optimierung - Barrierefreiheit beginnt mit Ladezeiten
vonDavid Maciejewski
 
ODP
PhpStorm 6 Configuration for TYPO3
vonmarco-huber
 
PPTX
Ladezeiten Verbessern - Css Und JavaScript Komprimieren
vonJoomla! User Group Fulda
 
PPTX
Dockerize It - Mit apex in die amazon cloud
vonOPITZ CONSULTING Deutschland
 
PPTX
HTML5 und CSS3 - was jetzt schon möglich ist
vonRenate Hermanns
 
PDF
Was ist WordPress eigentlich?
vonlearnWP
 
Typo3 und Varnish
vonOliver Thiele
 
Neos CMS - das Kompendium (Version 2.0.0)
vondie.agilen GmbH
 
Hands-on Workshop: API-Dokumentation mit OpenAPI / Swagger in ASP.NET Core
vonGregor Biswanger
 
WordPress- eine Einführung
vonJohannes Fruth
 
Baustein 07 grundlagen-html-css-php
vonMichael Kollmannsberger
 
Bidirektionale Verbindungen für Webanwendungen
vonMarco Rico Gomez
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
vonSEARCH ONE
 
Blogwerk WordPress für die Corporate Website
vonBlogwerk AG
 
WP-CLI - Das Kommandozeilen Interface für Wordpress
vonfrankstaude
 
WordPress für Einsteiger - Für wen eignet sich das CMS
vonEduPress / Inpsyde GmbH
 
Campixx 2012-ladezeit-extreme
vonAlexander Merkel
 
MongoDB: Security-Tipps gegen Hacker
vonGregor Biswanger
 
Wordpress für Profis
vonAnika Erdmann
 
Varnish PHP Unconference Hamburg 2012
vonFlorian Holzhauer
 
Performance Optimierung - Barrierefreiheit beginnt mit Ladezeiten
vonDavid Maciejewski
 
PhpStorm 6 Configuration for TYPO3
vonmarco-huber
 
Ladezeiten Verbessern - Css Und JavaScript Komprimieren
vonJoomla! User Group Fulda
 
Dockerize It - Mit apex in die amazon cloud
vonOPITZ CONSULTING Deutschland
 
HTML5 und CSS3 - was jetzt schon möglich ist
vonRenate Hermanns
 
Was ist WordPress eigentlich?
vonlearnWP
 

Andere mochten auch

PDF
WordPress Security - WP Meetup München 24.9.2015
vonstk_jj
 
PDF
Der WordPress Wolpertinger
vonfrankstaude
 
PPTX
Sicher bloggen mit WordPresse - CMS absichern
vonSven Trautwein
 
PDF
We are WP, we are legion - WP Camp 2013 Berlin
vonstk_jj
 
PDF
The Secret Sauce For Writing Reusable Code
vonAlain Schlesser
 
PDF
Das Child-Theme-Dilemma
vonTorsten Landsiedel
 
PDF
WordPress-Templates mit Twig erstellen - PHPUGFFM
vonWalter Ebert
 
PDF
WordPress SEO | Campixx 2016 | Hans Jung
vonHans Jung
 
PDF
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
vonlibertello GmbH
 
PDF
Weniger aus Bilder holen
vonWalter Ebert
 
PPTX
Wissen das du für die Arbeit mit Wordpress mindestens brauchst.
vonSabine Kronenberger
 
PDF
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
vonFelix Beilharz ✓
 
PDF
Podcasten ist Bloggen, nur mit der Stimme, WordCamp Nürnberg 2016
vondjrewerb
 
PDF
Kevin Indig - SEO and Growth Hacking
vonKevin Indig
 
PPTX
Why being hacked turned out to be the best thing that happened to me
vonValentin Vesa
 
PPTX
Die Zeit der Passwörter ist abgelaufen
vonJoachim Hummel
 
PDF
Vortrag hot spot
vonEhrhardt Heinold
 
PPTX
Wie Printformate auch in einer digitalen Welt überzeugen
vonEhrhardt Heinold
 
PDF
How (Not) to Write Testable Code
vonThorsten Frommen
 
PDF
IT Certifications: What Are They Good For?
vonThorsten Frommen
 
WordPress Security - WP Meetup München 24.9.2015
vonstk_jj
 
Der WordPress Wolpertinger
vonfrankstaude
 
Sicher bloggen mit WordPresse - CMS absichern
vonSven Trautwein
 
We are WP, we are legion - WP Camp 2013 Berlin
vonstk_jj
 
The Secret Sauce For Writing Reusable Code
vonAlain Schlesser
 
Das Child-Theme-Dilemma
vonTorsten Landsiedel
 
WordPress-Templates mit Twig erstellen - PHPUGFFM
vonWalter Ebert
 
WordPress SEO | Campixx 2016 | Hans Jung
vonHans Jung
 
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
vonlibertello GmbH
 
Weniger aus Bilder holen
vonWalter Ebert
 
Wissen das du für die Arbeit mit Wordpress mindestens brauchst.
vonSabine Kronenberger
 
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
vonFelix Beilharz ✓
 
Podcasten ist Bloggen, nur mit der Stimme, WordCamp Nürnberg 2016
vondjrewerb
 
Kevin Indig - SEO and Growth Hacking
vonKevin Indig
 
Why being hacked turned out to be the best thing that happened to me
vonValentin Vesa
 
Die Zeit der Passwörter ist abgelaufen
vonJoachim Hummel
 
Vortrag hot spot
vonEhrhardt Heinold
 
Wie Printformate auch in einer digitalen Welt überzeugen
vonEhrhardt Heinold
 
How (Not) to Write Testable Code
vonThorsten Frommen
 
IT Certifications: What Are They Good For?
vonThorsten Frommen
 

Wordpress Security

  • 1.
    WORDPRESS SECURITY WORDCAMP NÜRNBERG2016 Daniel Potthast
 @d_potthast#wcnbg
  • 2.
    WORDPRESS SECURITY AGENDA WORDPRESSSECURITY ▸ Aktuelle Lage ▸ Automatische Updates ▸ Zugriffsbeschränkung
  • 3.
  • 4.
    WORDPRESS SECURITY: AKTUELLELAGE WORDPRESS AUF 26% ALLER INTERNETSEITEN1 ▸ Oftmals … ▸ … kein HTTPS für Backend (WP-Admin) ▸ … Standardbenutzer und einfache Passwörter ▸ … (zu viel) Plug-Ins aktiviert 1 http://w3techs.com/technologies/details/cm-wordpress/all/all
  • 5.
    WORDPRESS SECURITY: AKTUELLELAGE RANSOMWARE BEFÄLLT AUCH WEBSERVER
  • 6.
    WORDPRESS SECURITY: AKTUELLELAGE RANSOMWARE BEFÄLLT AUCH WEBSERVER ▸ CTB-Locker
 „Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.“
 → Wiederherstellung (bisher) unmöglich
 → Externe Backups regelmäßig erstellen
  • 7.
    WORDPRESS SECURITY: AKTUELLELAGE DER FALL MOSSACK FONSECA ▸ WordPress auf der Hauptseite ▸ Revolution Slider (Version 2.1.7)
 Zugriff auf Systemdateien und Zugangsdaten ▸ WP SMTP plugin
 Zugangsdaten des Mail-Servers im Klartext gespeichert → Gefahr durch veraltete Plug-Ins
 → Regelmäßig Updates und Security-Fixes installieren
 → Nicht mehr gepflegte Plug-Ins ersetzen https://www.wordfence.com/blog/2016/04/mossack-fonseca-breach-vulnerable-slider-revolution/
  • 8.
  • 9.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES PROBLEM ▸ WordPress Core und Plug-Ins sollten regelmäßig aktualisiert werden ▸ Theoretisch kein Problem:
 WordPress kann automatisch aktualisieren ▸ Automatische Updates benötigen Schreibrechte für PHP
 oder FTP-Zugang
 → keinesfalls Lese- und Schreibrechte für „alle“ (777)
 → keine Absicherung bei Angriffen
  • 10.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES LÖSUNG ▸ Unix-Rechteverwaltung sinnvoll nutzen
 Standardwerte: Ordner = 755, Dateien = 644 ▸ 7 6 4
 rwx rwx rwx
 Besitzer Gruppe Sonstige ▸ Live-Modus ▸ Rechte Ordner (chmod 755), Rechte Dateien (444)
 → PHP kann keine Dateien / Ordner schreiben
  • 11.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES LÖSUNG ▸ Update-Modus ▸ Rechte Dateien / Ordner (777)
 → PHP kann Dateien / Ordner schreiben und ausführen ▸ Vorgehen ▸ Rechte werden nur für die Zeit der Updates gesetzt ▸ Benutzer können zusätzlich angepasst werden, jedoch ▸ Einschränkungen beim Shared Hosting ▸ PHP-CGI-Prozesse laufen oftmals mit Standardbenutzer
  • 12.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES UMSETZUNG ▸ Shared-Hosting mit Cronjobs und SSH ▸ all-inkl: ab Premium-Paket ▸ domainfactory: ab Professional-Paket ▸ STRATO: ab PowerWeb Plus ▸ Eigener Server ▸ Cronjobs über crontab ▸ Jobs mit Jenkins (continuous integration)
  • 13.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES UMSETZUNG ▸ Update-Modus aktivieren
 
 
 ▸ Live-Modus aktivieren cd /var/www chmod -R 0777 ./wordpress cd /var/www find ./wordpress -type d -exec chmod 755 {} ; find ./wordpress -type f -exec chmod 444 {} ; find ./wordpress/wp-content/cache -type f -exec chmod 644 {} ; find ./wordpress/wp-content/uploads -type f -exec chmod 644 {} ;
  • 14.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES UMSETZUNG ▸ WP-CLI herunterladen ▸ Updates installieren cd ~ curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages⤸ /phar/wp-cli.phar chmod +x wp-cli.phar ./wp-cli.phar core update --path=/var/www/wordpress (--debug) ./wp-cli.phar core update-db --path=/var/www/wordpress ./wp-cli.phar plugin update --all --path=/var/www/wordpress ./wp-cli.phar theme update --all --path=/var/www/wordpress
  • 15.
    WORDPRESS SECURITY: AUTOMATISIERTEUPDATES ÜBER DEN TELLERRAND ▸ Zusätzliche Überprüfung ▸ Tools wie WPScan suchen nach Schwachstellen
 http://wpscan.org/
  • 16.
  • 17.
    WORDPRESS SECURITY: ZUGRIFFSBESCHRÄNKUNG .HTACCESS-DATEIENBEI APACHE-WEBSERVER ▸ Ordner-Auflistung deaktivieren ▸ Direktzugriff nur für bestimmte Dateitypen erlauben
 Options All -Indexes Order deny,allow Deny from all <Files ~ ".(css|doc|docx|gif|jpe?g|js|odf|pdf|png|rar|rtf|xls|xlsx|⤸ xml|zip)$"> Allow from all </Files>
  • 18.
    WORDPRESS SECURITY: ZUGRIFFSBESCHRÄNKUNG .HTACCESS-DATEIENBEI APACHE-WEBSERVER ▸ Login nur nach Passworteingabe ▸ Zugriff auf wp-includes Ordner blockieren
 <Files wp-login.php> AuthType Basic AuthName "Restricted Admin-Area" AuthUserFile /pfad/zur/.htpasswd Require valid-user </Files> <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] </IfModule>
  • 19.
    WORDPRESS SECURITY: ZUGRIFFSBESCHRÄNKUNG .HTACCESS-DATEIENBEI APACHE-WEBSERVER ▸ Zugriff auf wp-config.php blockieren
 
 
 
 ▸ Zugriff auf .htaccess-Dateien blockieren <files ~ "^.*.([Hh][Tt][Aa])"> Order allow,deny Deny from all Satisfy all </files> <files wp-config.php> Order allow,deny Deny from all </files>
  • 20.
    WORDPRESS SECURITY: LEARNINGS ZUSAMMENFASSUNG ▸Möglichst wenig (Schreib-) Rechte für Web-Server ▸ Updatebarkeit ist Schutz und Risiko gleichzeitig ▸ Regelmäßig externe Backups erstellen ▸ Dateien: ohne Schreibrechte für Web-Server ▸ Datenbank: komplette Dumps ▸ Veraltete Plug-Ins entfernen / ersetzen
  • 21.
    WORDPRESS SECURITY DANKE FÜRDIE AUFMERKSAMKEIT ▸ Daniel Potthast
 dp@sblum.de
 @d_potthast ▸ Präsentation
 ! https://sblum.de/wordcamp