Das Dokument von Stefan Kremer behandelt die Sicherheit von WordPress und identifiziert häufige Angriffsvektoren sowie empfohlene Verteidigungsstrategien, wie die Verwendung starker Passwörter und regelmäßige Software-Updates. Es werden auch Möglichkeiten zur Erhöhung der Sicherheit, wie SSL-Zertifikate und Zwei-Faktor-Authentifizierung, angesprochen. Zudem wird darauf hingewiesen, dass Sicherheit eine kontinuierliche Aufgabe ist, die entsprechenden Aufwand erfordert.

1. WordPress
Security
my ~/ is my castle

2. ad personam
• Stefan Kremer
• freiberuflicher Systemberater
Mac,Web, CTI
• 10 Jahre WordPress
• Contributor
• Inhaber von AdminPress
@WPAberSicher
adminpress
stefan@adminpress.de

3. Das hat doch nix mit
mir zu tun!
• kleiner privater Blog
• unverfängliche Inhalte
• kaum öffentliche Wahrnehmung
• überschaubare Zielgruppe
• keine monetären Interessen

4. Content is King
• Rechenleistung (CPU)
• Speicherplatz
• Bandbreite
• sendmail für Spamversand
nothing

5. CMS? No prob!
• CVE-Hitliste
• (22) Joomla: 321
• (25) Drupal: 300
• (28) WordPress: 262
• (40) Typo3: 185
• ohne Eintrag ≠ sicher, sondern nur noch
nicht dokumentiert

6. Angriffsvektoren
• Brute-Force Attacs
• „Standard“ Benutzernamen
• schwache Passwörter
• XSS - Cross Site Scripting / SQL Injections
• schlechter Code
• veraltete Installationen

7. Benutzername
• »admin« bis 3.0 alsVorgabe
• Teile des Domainnamens
• häufige eMail-Adressen wie »info@…«
• Ein Admin-, ein User-Account
• was spricht eigentlich gegen den
Benutzernamen »asylufdeworig23r«?

8. Passwörter

9. Passwörter NoGos
• Vorkommen in Wörterbüchern
• SocialHacking anfälliges
• Tastaturläufe und Folgen
• Passwort-Recycling
• In Word/Excel speichern

10. Kopfschmerzen? Finger wund?
➡ Passwortmanager!

12. Verteidigungsstrategie
➡ willkürliche Benutzernamen
➡ starke Passwörter
➡ Sperre nach x Fehlversuchen
für Zeitintervall y
➡ Blacklisting der IP

13. Update, Update, Update
• regelmässig WP-Core aktualisieren
• AutoUpdater seit 3.7!
• ok für Minor/Security-Releases
• regelmässig PlugIns aktualisieren
• regelmässig (Premium) Themes aktualisieren
• ggf. Staging Environment!

14. Monitoring
• Server up?
• Dateien verändert?
• Benutzeranmeldungen?
• Eindringungsversuche?
• Wer hat wann was gemacht?

15. TTV
• zufälligeVersionsnummer ausgeben
• .htaccess-Regeln zum Zugriffsschutz
• /wp-content/
• wp-config.php
• readme.html + liesmich.html
• „hide and seek“ (/wp-content, wp_, …)

16. die Mauer erhöhen
• min. Login per SSL-Zertifikat absichern
• Kostenlos bis < 50 €/p.a.
• ggf. Kosten beim Hosting für eigene IP
• Zwei-Faktor Authentifizierung
• einfaches eMail Konzept von Sergej Müller
• aufwändiger Duo, Clef, Rublon
• Extra-HW: UbiKey, Fido U2F
• eingebaut in iThemes Security Pro

17. Weitwinkel
• Lokaler Rechner sicher?
• Keylogger
• FTP Zugang geschützt?
• besser SFTP oder FTPS (SSL/TLS)!
• PW per eMail übermittelt?
• eMail ohne Verschlüsselung = Postkarte

18. Serverbasis
• Hosting
• Shared Hosting
• Virtual Host
• Managed Server
• Rootserver
• Housing
• Basissystem?
• OS?
• PHP?
• MySQL?
• Webadmin Tool?
• Plesk

19. im Fall der (Un)Fälle
• Backup!
• regelmässig, automatisiert, zeitgesteuert, offsite
• MySQL-Datenbank
• Dateien, insp. /wp-content/uploads/
• Wiederherstellung üben!

20. Fazit
• Sicherheit ist eine Daueraufgabe!
• Aufwand vs. Nutzen
• Make or Buy

21. Stefan Kremer
https://adminpress.de
FRAGEN?

22. Linksammlung
https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php
https://wpvulndb.com
http://wpengine.com/unmasked/
http://codex.wordpress.org/Configuring_Automatic_Background_Updates
https://www.startssl.com
https://buy.wosign.com/free/
https://letsencrypt.org
https://www.psw.net/ssl-zertifikate.cfm
https://github.com/sergejmueller/2-Step-Verification
https://wordpress.org/plugins/better-wp-security/