SlideShare ist ein Scribd-Unternehmen logo
WordPress

Security
my ~/ is my castle
ad personam
• Stefan Kremer
• freiberuflicher Systemberater

Mac,Web, CTI
• 10 Jahre WordPress
• Contributor
• Inhaber von AdminPress
@WPAberSicher
adminpress
stefan@adminpress.de
Das hat doch nix mit
mir zu tun!
• kleiner privater Blog
• unverfängliche Inhalte
• kaum öffentliche Wahrnehmung
• überschaubare Zielgruppe
• keine monetären Interessen
Content is King
• Rechenleistung (CPU)
• Speicherplatz
• Bandbreite
• sendmail für Spamversand
nothing
CMS? No prob!
• CVE-Hitliste
• (22) Joomla: 321
• (25) Drupal: 300
• (28) WordPress: 262
• (40) Typo3: 185
• ohne Eintrag ≠ sicher, sondern nur noch
nicht dokumentiert
Angriffsvektoren
• Brute-Force Attacs
• „Standard“ Benutzernamen
• schwache Passwörter
• XSS - Cross Site Scripting / SQL Injections
• schlechter Code
• veraltete Installationen
Benutzername
• »admin« bis 3.0 alsVorgabe
• Teile des Domainnamens
• häufige eMail-Adressen wie »info@…«
• Ein Admin-, ein User-Account
• was spricht eigentlich gegen den
Benutzernamen »asylufdeworig23r«?
Passwörter
Passwörter NoGos
• Vorkommen in Wörterbüchern
• SocialHacking anfälliges
• Tastaturläufe und Folgen
• Passwort-Recycling
• In Word/Excel speichern
Kopfschmerzen? Finger wund?
➡ Passwortmanager!
Verteidigungsstrategie
➡ willkürliche Benutzernamen
➡ starke Passwörter
➡ Sperre nach x Fehlversuchen 

für Zeitintervall y
➡ Blacklisting der IP
Update, Update, Update
• regelmässig WP-Core aktualisieren
• AutoUpdater seit 3.7!
• ok für Minor/Security-Releases
• regelmässig PlugIns aktualisieren
• regelmässig (Premium) Themes aktualisieren
• ggf. Staging Environment!
Monitoring
• Server up?
• Dateien verändert?
• Benutzeranmeldungen?
• Eindringungsversuche?
• Wer hat wann was gemacht?
TTV
• zufälligeVersionsnummer ausgeben
• .htaccess-Regeln zum Zugriffsschutz
• /wp-content/
• wp-config.php
• readme.html + liesmich.html
• „hide and seek“ (/wp-content, wp_, …)
die Mauer erhöhen
• min. Login per SSL-Zertifikat absichern
• Kostenlos bis < 50 €/p.a.
• ggf. Kosten beim Hosting für eigene IP
• Zwei-Faktor Authentifizierung
• einfaches eMail Konzept von Sergej Müller
• aufwändiger Duo, Clef, Rublon
• Extra-HW: UbiKey, Fido U2F
• eingebaut in iThemes Security Pro
Weitwinkel
• Lokaler Rechner sicher?
• Keylogger
• FTP Zugang geschützt?
• besser SFTP oder FTPS (SSL/TLS)!
• PW per eMail übermittelt?
• eMail ohne Verschlüsselung = Postkarte
Serverbasis
• Hosting
• Shared Hosting
• Virtual Host
• Managed Server
• Rootserver
• Housing
• Basissystem?
• OS?
• PHP?
• MySQL?
• Webadmin Tool?
• Plesk
im Fall der (Un)Fälle
• Backup!
• regelmässig, automatisiert, zeitgesteuert, offsite
• MySQL-Datenbank
• Dateien, insp. /wp-content/uploads/
• Wiederherstellung üben!
Fazit
• Sicherheit ist eine Daueraufgabe!
• Aufwand vs. Nutzen
• Make or Buy
Stefan Kremer
https://adminpress.de
FRAGEN?
Linksammlung
https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php
https://wpvulndb.com
http://wpengine.com/unmasked/
http://codex.wordpress.org/Configuring_Automatic_Background_Updates
https://www.startssl.com
https://buy.wosign.com/free/
https://letsencrypt.org
https://www.psw.net/ssl-zertifikate.cfm
https://github.com/sergejmueller/2-Step-Verification
https://wordpress.org/plugins/better-wp-security/

Weitere ähnliche Inhalte

Andere mochten auch

WordPress und Mehrsprachigkeit
WordPress und MehrsprachigkeitWordPress und Mehrsprachigkeit
WordPress und Mehrsprachigkeit
frankstaude
 
Sessions aufzeichnen mit möglichst wenig Aufwand
Sessions aufzeichnen mit möglichst wenig AufwandSessions aufzeichnen mit möglichst wenig Aufwand
Sessions aufzeichnen mit möglichst wenig Aufwand
frankstaude
 
Pressmatic
PressmaticPressmatic
Pressmatic
frankstaude
 
Nürnberg WordPress Meetup - Custom Post Types mit PODS.io
Nürnberg WordPress Meetup - Custom Post Types mit PODS.ioNürnberg WordPress Meetup - Custom Post Types mit PODS.io
Nürnberg WordPress Meetup - Custom Post Types mit PODS.io
frankstaude
 
VersionPress
VersionPressVersionPress
VersionPress
frankstaude
 
Feco final presentation Athens Startup Weekend 30.9.2012
Feco final presentation Athens Startup Weekend 30.9.2012Feco final presentation Athens Startup Weekend 30.9.2012
Feco final presentation Athens Startup Weekend 30.9.2012
Pavlos Vos (Nikolaos Pavlos Vosniadis)
 
Sessions aufzeichnen mit möglichst wenig Aufwand - Stand Oktober 2016
Sessions aufzeichnen mit möglichst wenig Aufwand - Stand Oktober 2016Sessions aufzeichnen mit möglichst wenig Aufwand - Stand Oktober 2016
Sessions aufzeichnen mit möglichst wenig Aufwand - Stand Oktober 2016
frankstaude
 
5° laboratorio de fisica 2015 1
5° laboratorio de fisica 2015 15° laboratorio de fisica 2015 1
5° laboratorio de fisica 2015 1
Enrique Chuquiyauri Leon
 
Macarena miranda
Macarena mirandaMacarena miranda
Macarena miranda
flocuevas
 
DOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pubDOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pub
Loopback.ORG
 
Pfalz wein shop
Pfalz wein shopPfalz wein shop
Pfalz wein shop
eliaskoch
 
Sistema reproductor humano
Sistema reproductor humano Sistema reproductor humano
Sistema reproductor humano
Melsac3
 
CONSULT 2010 | Marienmuenster: Foerderung - Finanzierung fuer Existenzgruendu...
CONSULT 2010 | Marienmuenster: Foerderung - Finanzierung fuer Existenzgruendu...CONSULT 2010 | Marienmuenster: Foerderung - Finanzierung fuer Existenzgruendu...
CONSULT 2010 | Marienmuenster: Foerderung - Finanzierung fuer Existenzgruendu...
Markus Tonn
 
Tarea seminario 3
Tarea seminario 3Tarea seminario 3
Tarea seminario 3
marpingon3
 
algunos valores humanos
algunos valores humanosalgunos valores humanos
algunos valores humanos
manuelamnl
 
Views 2 Anfänger Workshop
Views 2 Anfänger WorkshopViews 2 Anfänger Workshop
Views 2 Anfänger Workshop
Johannes Haseitl
 
Power point buap
Power point buapPower point buap
Power point buap
carlos_gp22
 
BANQ
BANQBANQ
Tutorial Dim Dim
Tutorial Dim DimTutorial Dim Dim
Tutorial Dim Dim
Richar Alberto
 

Andere mochten auch (20)

WordPress und Mehrsprachigkeit
WordPress und MehrsprachigkeitWordPress und Mehrsprachigkeit
WordPress und Mehrsprachigkeit
 
Sessions aufzeichnen mit möglichst wenig Aufwand
Sessions aufzeichnen mit möglichst wenig AufwandSessions aufzeichnen mit möglichst wenig Aufwand
Sessions aufzeichnen mit möglichst wenig Aufwand
 
Pressmatic
PressmaticPressmatic
Pressmatic
 
Nürnberg WordPress Meetup - Custom Post Types mit PODS.io
Nürnberg WordPress Meetup - Custom Post Types mit PODS.ioNürnberg WordPress Meetup - Custom Post Types mit PODS.io
Nürnberg WordPress Meetup - Custom Post Types mit PODS.io
 
VersionPress
VersionPressVersionPress
VersionPress
 
Feco final presentation Athens Startup Weekend 30.9.2012
Feco final presentation Athens Startup Weekend 30.9.2012Feco final presentation Athens Startup Weekend 30.9.2012
Feco final presentation Athens Startup Weekend 30.9.2012
 
Sessions aufzeichnen mit möglichst wenig Aufwand - Stand Oktober 2016
Sessions aufzeichnen mit möglichst wenig Aufwand - Stand Oktober 2016Sessions aufzeichnen mit möglichst wenig Aufwand - Stand Oktober 2016
Sessions aufzeichnen mit möglichst wenig Aufwand - Stand Oktober 2016
 
5° laboratorio de fisica 2015 1
5° laboratorio de fisica 2015 15° laboratorio de fisica 2015 1
5° laboratorio de fisica 2015 1
 
Macarena miranda
Macarena mirandaMacarena miranda
Macarena miranda
 
DOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pubDOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pub
 
Pfalz wein shop
Pfalz wein shopPfalz wein shop
Pfalz wein shop
 
Sistema reproductor humano
Sistema reproductor humano Sistema reproductor humano
Sistema reproductor humano
 
CONSULT 2010 | Marienmuenster: Foerderung - Finanzierung fuer Existenzgruendu...
CONSULT 2010 | Marienmuenster: Foerderung - Finanzierung fuer Existenzgruendu...CONSULT 2010 | Marienmuenster: Foerderung - Finanzierung fuer Existenzgruendu...
CONSULT 2010 | Marienmuenster: Foerderung - Finanzierung fuer Existenzgruendu...
 
Tarea seminario 3
Tarea seminario 3Tarea seminario 3
Tarea seminario 3
 
algunos valores humanos
algunos valores humanosalgunos valores humanos
algunos valores humanos
 
Views 2 Anfänger Workshop
Views 2 Anfänger WorkshopViews 2 Anfänger Workshop
Views 2 Anfänger Workshop
 
Power point buap
Power point buapPower point buap
Power point buap
 
Unglaublich
UnglaublichUnglaublich
Unglaublich
 
BANQ
BANQBANQ
BANQ
 
Tutorial Dim Dim
Tutorial Dim DimTutorial Dim Dim
Tutorial Dim Dim
 

Ähnlich wie WordPress Security

Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?
libertello GmbH
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
tschikarski
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
kuehlhaus AG
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen Kurs
Benjamin Hartwich
 
Javascript done right
Javascript done rightJavascript done right
Javascript done rightDirk Ginader
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Arian Kriesch
 
CMS Sicherheit
CMS SicherheitCMS Sicherheit
CMS Sicherheit
frankstaude
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
Peter Tröger
 
Passwörter lang oder kurz?
Passwörter lang oder kurz?Passwörter lang oder kurz?
Passwörter lang oder kurz?
OMM Solutions GmbH
 
Wieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheiternWieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheitern
Digicomp Academy AG
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEARCH ONE
 
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoKeine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
BCC - Solutions for IBM Collaboration Software
 
Sichere Passwörter
Sichere PasswörterSichere Passwörter
Sichere Passwörter
Björn Wibben
 
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
get on top gmbh
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
Agenda Europe 2035
 
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis GehrtFMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
Verein FM Konferenz
 
Sichere Webanwendungen
Sichere WebanwendungenSichere Webanwendungen
Sichere Webanwendungen
Thomas Bachmann
 
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
NETWAYS
 
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutschAnbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Askozia
 
FMK 2016 - Thomas Hirt - FileMaker Server SSL Zertifikate
FMK 2016 - Thomas Hirt - FileMaker Server SSL ZertifikateFMK 2016 - Thomas Hirt - FileMaker Server SSL Zertifikate
FMK 2016 - Thomas Hirt - FileMaker Server SSL Zertifikate
Verein FM Konferenz
 

Ähnlich wie WordPress Security (20)

Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen Kurs
 
Javascript done right
Javascript done rightJavascript done right
Javascript done right
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
 
CMS Sicherheit
CMS SicherheitCMS Sicherheit
CMS Sicherheit
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
 
Passwörter lang oder kurz?
Passwörter lang oder kurz?Passwörter lang oder kurz?
Passwörter lang oder kurz?
 
Wieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheiternWieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheitern
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
 
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM DominoKeine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
Keine Kompromisse! Mehr Sicherheit & Compliance für IBM Domino
 
Sichere Passwörter
Sichere PasswörterSichere Passwörter
Sichere Passwörter
 
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
 
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis GehrtFMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
 
Sichere Webanwendungen
Sichere WebanwendungenSichere Webanwendungen
Sichere Webanwendungen
 
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
OSCamp Kubernetes 2024 | Confidential Containers – Sensible Daten und Privats...
 
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutschAnbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
 
FMK 2016 - Thomas Hirt - FileMaker Server SSL Zertifikate
FMK 2016 - Thomas Hirt - FileMaker Server SSL ZertifikateFMK 2016 - Thomas Hirt - FileMaker Server SSL Zertifikate
FMK 2016 - Thomas Hirt - FileMaker Server SSL Zertifikate
 

Mehr von stk_jj

UX in the WordPress backend
UX in the WordPress backendUX in the WordPress backend
UX in the WordPress backend
stk_jj
 
Page Performance
Page PerformancePage Performance
Page Performance
stk_jj
 
The Business of WordPress
The Business of WordPressThe Business of WordPress
The Business of WordPress
stk_jj
 
WordPress Security 101 - Meetup Nairobi March 2020
WordPress Security 101 - Meetup Nairobi March 2020 WordPress Security 101 - Meetup Nairobi March 2020
WordPress Security 101 - Meetup Nairobi March 2020
stk_jj
 
WordPress Security 101 - WordCamp Nairobi 2019
WordPress Security 101 -  WordCamp Nairobi 2019WordPress Security 101 -  WordCamp Nairobi 2019
WordPress Security 101 - WordCamp Nairobi 2019
stk_jj
 
Security? hey, it's only word press!
Security? hey, it's only word press!Security? hey, it's only word press!
Security? hey, it's only word press!
stk_jj
 
Scaling WordPress - WP on AWS
Scaling WordPress - WP on AWSScaling WordPress - WP on AWS
Scaling WordPress - WP on AWS
stk_jj
 
WordPress Sicherheit ab Werk
WordPress Sicherheit ab WerkWordPress Sicherheit ab Werk
WordPress Sicherheit ab Werk
stk_jj
 
We are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 BerlinWe are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 Berlin
stk_jj
 

Mehr von stk_jj (9)

UX in the WordPress backend
UX in the WordPress backendUX in the WordPress backend
UX in the WordPress backend
 
Page Performance
Page PerformancePage Performance
Page Performance
 
The Business of WordPress
The Business of WordPressThe Business of WordPress
The Business of WordPress
 
WordPress Security 101 - Meetup Nairobi March 2020
WordPress Security 101 - Meetup Nairobi March 2020 WordPress Security 101 - Meetup Nairobi March 2020
WordPress Security 101 - Meetup Nairobi March 2020
 
WordPress Security 101 - WordCamp Nairobi 2019
WordPress Security 101 -  WordCamp Nairobi 2019WordPress Security 101 -  WordCamp Nairobi 2019
WordPress Security 101 - WordCamp Nairobi 2019
 
Security? hey, it's only word press!
Security? hey, it's only word press!Security? hey, it's only word press!
Security? hey, it's only word press!
 
Scaling WordPress - WP on AWS
Scaling WordPress - WP on AWSScaling WordPress - WP on AWS
Scaling WordPress - WP on AWS
 
WordPress Sicherheit ab Werk
WordPress Sicherheit ab WerkWordPress Sicherheit ab Werk
WordPress Sicherheit ab Werk
 
We are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 BerlinWe are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 Berlin
 

WordPress Security