Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017TRILOS new media
Dieser kurze Vortrag soll einen allgemeinverständlichen Überblick für Nicht-Techniker zu wichtigen Grundsätzen und Hilfsmitteln geben, um eine Web-Anwendung wie WordPress sicher betreiben zu können.
Vortrag von Torsten Landsiedel beim WPCamp 2012 in Berlin
"Sicherheit ist kein Zustand, der erreicht werden kann, sondern eine Einstellung."
Es gibt unzählige Artikel zum Thema Sicherheit und WordPress im Netz mit vielen nützlichen, manchmal auch unnützen, Vorschlägen, wie man sein Blog absichern kann. In der Session zu der diese Slides gehören wollte ich die wichtigsten Sicherheitsmaßnahmen vorstellen und die Teilnehmer für das Thema Sicherheit sensibilisieren.
- Einführung in das Thema Sicherheit und WordPress für Anfänger
- Auffrischung des Themas Sicherheit für Fortgeschrittene
- Vorstellung von Plugins zur Verbesserung der Sicherheit
Nähere Infos unbedingt in dem Blogeintrag zu den Slides auf meinem Blog nachlesen:
http://torstenlandsiedel.de/blog/
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017TRILOS new media
Dieser kurze Vortrag soll einen allgemeinverständlichen Überblick für Nicht-Techniker zu wichtigen Grundsätzen und Hilfsmitteln geben, um eine Web-Anwendung wie WordPress sicher betreiben zu können.
Vortrag von Torsten Landsiedel beim WPCamp 2012 in Berlin
"Sicherheit ist kein Zustand, der erreicht werden kann, sondern eine Einstellung."
Es gibt unzählige Artikel zum Thema Sicherheit und WordPress im Netz mit vielen nützlichen, manchmal auch unnützen, Vorschlägen, wie man sein Blog absichern kann. In der Session zu der diese Slides gehören wollte ich die wichtigsten Sicherheitsmaßnahmen vorstellen und die Teilnehmer für das Thema Sicherheit sensibilisieren.
- Einführung in das Thema Sicherheit und WordPress für Anfänger
- Auffrischung des Themas Sicherheit für Fortgeschrittene
- Vorstellung von Plugins zur Verbesserung der Sicherheit
Nähere Infos unbedingt in dem Blogeintrag zu den Slides auf meinem Blog nachlesen:
http://torstenlandsiedel.de/blog/
Referent: Alexander Fend
Vortrag beim LinuxDay 2012 in Dornbirn.
In der heutigen Zeit entscheiden Sicherheitsthematiken mehr denn je über den Ruf von Firmen, Institutionen oder Privatanwender. Sony, Google, Microsoft - alles namhafte Hersteller und dennoch Opfer von einfachsten Angriffen wie SQL Injection, Social Engineering oder Cross Site Scripting.
Der Vortrag wird grundlegende Informationen über Websicherheit geben, sowie die Theorie des „sicheren Programmierens“ ansprechen. Eine kurze Demonstration rundet den einstündigen Vortrag dann ab.
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
Web-Anwendungen sind Programme, die auf einem Server im Internet laufen und über einen Web-Browser bedient werden. Dazu gehören Blogs, Foren, Foto-Gallerien und Redaktionssysteme (CMS).
WordPress bietet mehr als “nur” eine Funktion zum Bloggen. In meinem WordPress Trainings kommt oft die Frage auf, was man alles mit WordPress umsetzen kann. Viele Webseiten von kleinen und mittelständischen Unternehmen (KMU) basieren auf dem Contentmanagement System WordPress.
Daher haben wir im Rahmen des WP Camp 2012 in Berlin für alle Interessierten eine Session angeboten, die neben den Grundlagen auch die Einsatzgebiete von WordPress aufzeigt. Damit sollte auch vermitteln werden, wie leicht es sein kann, die eigene Webseite mit WordPress zu betreiben und das auch ohne tiefgreifende Programmierkenntnisse.
Angefangen beim privaten Webtagebuch, Foto- und Videologs über die klassische Unternehmens-Webseite bis hin zu multiplen Webseiten in einem Multisite-Netzwerk basierend auf einer einzigen Installation von WordPress. WordPress wird immer beliebter für Vereine, Coaches und Trainer, kleine Onlineshops und natürlich für den Handwerker um die Ecke.
Jeder, der sich über die Einsatzmöglichkeiten von WordPress informieren möchte, war herzlich eingeladen nach dem Impulsvortrag auch an der Frage-und-Antwort-Runde teilzunehmen.
Web-Automatisierung mit WWW::MechanizeThomas Fahle
Oft sind wichtige Informationen, Daten und Dateien nur über aufwendig manuell auszufüllende Formulare zu ereichen.
Der Vortrag zeigt anhand einfacher und praktischer Beispiele auf, wie sich diese Tätigkeiten mit WWW::Mechanize schnell und kostengünstig automatisieren lassen.
Zielgruppe des Vortrags sind Einsteiger in das Thema Webscraping.
Inhalt
* Was ist Webscraping?
* Warum WWW::Mechanize?
* Erste Schritte
* Links extrahieren
* Links folgen
* Formulare
* Download von Dateien
* Passwortgeschützte Seiten
* CPAN-Module für Standardaufgaben
Beim April Termin dreht sich alles um die lokale Entwicklungsumgebung DDEV. Lange Jahre galten AMP-Lösungen als das Maß aller Dinge. Ohne großes Vorwissen erhielt man eine direkt nutzungsbereite Anwendung, welche Apache/Nginx, MySQL und PHP enthielt. Der Haken dabei, die Versionsnummer der mitgelieferten Anwendungen war fix vorgegeben und eine eigenständige Erweiterung war schwer bis unmöglich. Zudem war man von den Entwicklerinnen und Entwicklern abhängig, wann diese eine neue Version veröffentlichten um z. B. eine neue PHP Version zu unterstützen.
Vagrant behob, mit dessen Veröffentlichung, die meisten der genannten Fallstricke. Mit selbigem konnte man komplette Linux-Installation virtualisieren. In Kombination mit einer Orchestrierungs-Lösung wie Ansible oder Puppet konnte dann ein lokales Entwicklungssystem komplett nach den eigenen Wünschen konfektioniert und angepasst werden, damit es die Serverkonfiguration auf dem eigenen Webserver exakt widerspiegelt. Die Kehrseite der neu gewonnenen Flexibilität, der Anspruch an Nutzerinnen und Nutzer stieg exorbitant und eine lokale Entwicklungsumgebung war nicht mehr in einem Mausklick gestartet.
Hier kam nun vor ein paar Jahren Docker ins Spiel. Anstelle der Virtualisierung ganzer Betriebssysteme werden nun einzelne Applikationen in Container verpackt. Sprich ein Container beinhaltet jeweils nur eine Version einer Anwendung wie PHP, MySQL oder Apache. Aber auch hier ist das Auswählen, Zusammenstellen und Betreiben der einzelnen Container nicht untrivial. Hier schlägt nun die Stunde von Lösungen wie DDEV. Eine Applikation beziehungsweise Abstraktionsebene für die Verwendung von Docker, die dessen Nutzung auf ein paar einfache Befehle reduziert und viel Nachdenken, Hirnschmalz sowie Arbeit erspart.
Frank Schmittlein wird beim April-Meetup besagtes DDEV vorstellen. Er geht dabei der Frage nach, was bei der Installation alles zu beachten ist. Wie man DDEV im Anschluss richtig konfiguriert und welche Befehle man für die tägliche Nutzung kennen sollte. Er zeigt zudem wie man DDEV mittels Hooks beim Start oder beim Import von Datenbanken und oder Dateien um weitere Anweisungen erweitern kann. Zu guter Letzt demonstriert er, wie man WordPress mit Hilfe von wp-cli, einer Sammlung von Kommandozeilen-Tools, einfach unter DDEV installieren kann. Sollten am Ende noch Fragen offen geblieben sein, können selbige in der anschließenden Fragerunde mit Sicherheit von Frank beantwortet werden. Wir sehen uns im April!
Vortrag "WordPress Professional II" von Sebastian Blum
Vortrag WordPress Professional II
Seit Jahren betreiben wir eine große WordPress-Multi-Installation mit über 50 Domains, gehostet auf einem ausfallsicheren Server-Cluster mit vielen selbstentwickelten Plugins & Themes.
Dieses Know-How möchten wir mit Euch teilen und geben im Vortrag tiefe Einblicke in die folgenden zwei Themengebiete:
WordPress Sicherheit – Wie sichere ich meine Installation ab und was sollte ich beachten?
Learnings aus Themes & Plugins – Wie baue ich eine zukunftssichere und wartbare WordPress-Anwendung auf?
Secure Scripting SIG Security Köln Dienstag, 16. Oktober 2012
Wo hin nur mit den Passwörtern in Oracle Scripten?
Passwörter "verstecken"
Datenbank Skripte vor Manipulationen schützen
Blogwerk WordPress für die Corporate WebsiteBlogwerk AG
An der WordPress Konferenz Zürich vom 5. März 2013 sprachen Karin Friedli und Michael Sebel von der Blogwerk AG von den Möglichkeiten und Herausforderungen beim Einsatz von WordPress für Corporate Websites.
Meine Slides für den ganzjährigen Workshop zu Zend\Expressive auf der International PHP Conference 2017 Spring Edition. Die Slides bilden die Grundlagen für den Workshop.
WordPress CMS - WebMontag Chemnitz Oktober 2011David Decker
Kurzvorstellung des CMS WordPress auf dem WebMontag in Chemnitz am 17. Oktober 2011 - unter dem Motto "Internet-Basics für Unternehmer".
Webseite: http://deckerweb.de
Referent: Alexander Fend
Vortrag beim LinuxDay 2012 in Dornbirn.
In der heutigen Zeit entscheiden Sicherheitsthematiken mehr denn je über den Ruf von Firmen, Institutionen oder Privatanwender. Sony, Google, Microsoft - alles namhafte Hersteller und dennoch Opfer von einfachsten Angriffen wie SQL Injection, Social Engineering oder Cross Site Scripting.
Der Vortrag wird grundlegende Informationen über Websicherheit geben, sowie die Theorie des „sicheren Programmierens“ ansprechen. Eine kurze Demonstration rundet den einstündigen Vortrag dann ab.
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
Web-Anwendungen sind Programme, die auf einem Server im Internet laufen und über einen Web-Browser bedient werden. Dazu gehören Blogs, Foren, Foto-Gallerien und Redaktionssysteme (CMS).
WordPress bietet mehr als “nur” eine Funktion zum Bloggen. In meinem WordPress Trainings kommt oft die Frage auf, was man alles mit WordPress umsetzen kann. Viele Webseiten von kleinen und mittelständischen Unternehmen (KMU) basieren auf dem Contentmanagement System WordPress.
Daher haben wir im Rahmen des WP Camp 2012 in Berlin für alle Interessierten eine Session angeboten, die neben den Grundlagen auch die Einsatzgebiete von WordPress aufzeigt. Damit sollte auch vermitteln werden, wie leicht es sein kann, die eigene Webseite mit WordPress zu betreiben und das auch ohne tiefgreifende Programmierkenntnisse.
Angefangen beim privaten Webtagebuch, Foto- und Videologs über die klassische Unternehmens-Webseite bis hin zu multiplen Webseiten in einem Multisite-Netzwerk basierend auf einer einzigen Installation von WordPress. WordPress wird immer beliebter für Vereine, Coaches und Trainer, kleine Onlineshops und natürlich für den Handwerker um die Ecke.
Jeder, der sich über die Einsatzmöglichkeiten von WordPress informieren möchte, war herzlich eingeladen nach dem Impulsvortrag auch an der Frage-und-Antwort-Runde teilzunehmen.
Web-Automatisierung mit WWW::MechanizeThomas Fahle
Oft sind wichtige Informationen, Daten und Dateien nur über aufwendig manuell auszufüllende Formulare zu ereichen.
Der Vortrag zeigt anhand einfacher und praktischer Beispiele auf, wie sich diese Tätigkeiten mit WWW::Mechanize schnell und kostengünstig automatisieren lassen.
Zielgruppe des Vortrags sind Einsteiger in das Thema Webscraping.
Inhalt
* Was ist Webscraping?
* Warum WWW::Mechanize?
* Erste Schritte
* Links extrahieren
* Links folgen
* Formulare
* Download von Dateien
* Passwortgeschützte Seiten
* CPAN-Module für Standardaufgaben
Beim April Termin dreht sich alles um die lokale Entwicklungsumgebung DDEV. Lange Jahre galten AMP-Lösungen als das Maß aller Dinge. Ohne großes Vorwissen erhielt man eine direkt nutzungsbereite Anwendung, welche Apache/Nginx, MySQL und PHP enthielt. Der Haken dabei, die Versionsnummer der mitgelieferten Anwendungen war fix vorgegeben und eine eigenständige Erweiterung war schwer bis unmöglich. Zudem war man von den Entwicklerinnen und Entwicklern abhängig, wann diese eine neue Version veröffentlichten um z. B. eine neue PHP Version zu unterstützen.
Vagrant behob, mit dessen Veröffentlichung, die meisten der genannten Fallstricke. Mit selbigem konnte man komplette Linux-Installation virtualisieren. In Kombination mit einer Orchestrierungs-Lösung wie Ansible oder Puppet konnte dann ein lokales Entwicklungssystem komplett nach den eigenen Wünschen konfektioniert und angepasst werden, damit es die Serverkonfiguration auf dem eigenen Webserver exakt widerspiegelt. Die Kehrseite der neu gewonnenen Flexibilität, der Anspruch an Nutzerinnen und Nutzer stieg exorbitant und eine lokale Entwicklungsumgebung war nicht mehr in einem Mausklick gestartet.
Hier kam nun vor ein paar Jahren Docker ins Spiel. Anstelle der Virtualisierung ganzer Betriebssysteme werden nun einzelne Applikationen in Container verpackt. Sprich ein Container beinhaltet jeweils nur eine Version einer Anwendung wie PHP, MySQL oder Apache. Aber auch hier ist das Auswählen, Zusammenstellen und Betreiben der einzelnen Container nicht untrivial. Hier schlägt nun die Stunde von Lösungen wie DDEV. Eine Applikation beziehungsweise Abstraktionsebene für die Verwendung von Docker, die dessen Nutzung auf ein paar einfache Befehle reduziert und viel Nachdenken, Hirnschmalz sowie Arbeit erspart.
Frank Schmittlein wird beim April-Meetup besagtes DDEV vorstellen. Er geht dabei der Frage nach, was bei der Installation alles zu beachten ist. Wie man DDEV im Anschluss richtig konfiguriert und welche Befehle man für die tägliche Nutzung kennen sollte. Er zeigt zudem wie man DDEV mittels Hooks beim Start oder beim Import von Datenbanken und oder Dateien um weitere Anweisungen erweitern kann. Zu guter Letzt demonstriert er, wie man WordPress mit Hilfe von wp-cli, einer Sammlung von Kommandozeilen-Tools, einfach unter DDEV installieren kann. Sollten am Ende noch Fragen offen geblieben sein, können selbige in der anschließenden Fragerunde mit Sicherheit von Frank beantwortet werden. Wir sehen uns im April!
Vortrag "WordPress Professional II" von Sebastian Blum
Vortrag WordPress Professional II
Seit Jahren betreiben wir eine große WordPress-Multi-Installation mit über 50 Domains, gehostet auf einem ausfallsicheren Server-Cluster mit vielen selbstentwickelten Plugins & Themes.
Dieses Know-How möchten wir mit Euch teilen und geben im Vortrag tiefe Einblicke in die folgenden zwei Themengebiete:
WordPress Sicherheit – Wie sichere ich meine Installation ab und was sollte ich beachten?
Learnings aus Themes & Plugins – Wie baue ich eine zukunftssichere und wartbare WordPress-Anwendung auf?
Secure Scripting SIG Security Köln Dienstag, 16. Oktober 2012
Wo hin nur mit den Passwörtern in Oracle Scripten?
Passwörter "verstecken"
Datenbank Skripte vor Manipulationen schützen
Blogwerk WordPress für die Corporate WebsiteBlogwerk AG
An der WordPress Konferenz Zürich vom 5. März 2013 sprachen Karin Friedli und Michael Sebel von der Blogwerk AG von den Möglichkeiten und Herausforderungen beim Einsatz von WordPress für Corporate Websites.
Meine Slides für den ganzjährigen Workshop zu Zend\Expressive auf der International PHP Conference 2017 Spring Edition. Die Slides bilden die Grundlagen für den Workshop.
WordPress CMS - WebMontag Chemnitz Oktober 2011David Decker
Kurzvorstellung des CMS WordPress auf dem WebMontag in Chemnitz am 17. Oktober 2011 - unter dem Motto "Internet-Basics für Unternehmer".
Webseite: http://deckerweb.de
1. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
🔒
WordPress
sicherer machen
Ein paar Basics
2. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
"
Warum sollte mein WordPress gehackt werden?
3. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
#
Warum sollte mein WordPress gehackt werden?
u.a.
Verbreitung von Malware, Adware, Viren
Nutzung der System Ressourcen
Versand von Spam
Backlinks
Werbung
z.B. PopUps, iFrames
4. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
$
Was kann ich machen?
5. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
🏭
Hoster
aktuelleste PHP Version
sFTP / FTP
https / http
SSH
Datenbank sollte nicht von Extern erreichbar sein
Für jede WP-Installation eine eigene Datenbank und ein eigener Benutzer
6. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
🔐
Starke Passwörter
Website User / MySQL User / WordPress User
keine Mehrfachverwendung
nutze Passwort-Manager wie 1Password, LastPass, Keepass…
7. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
🛠
Updates
WordPress, Plugins und Themes auf dem neuesten Stand halten
WordPress Auto-Update aktiviert lassen
Updates zeitnah nach Erscheinen durchführen
denn spätesten nach Veröffentlichung des Updates wird auch die Lücke bekannt
8. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
(
Finger weg vom Core
niemals die Core-Dateien von WordPress verändern
9. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
)
Plugins & Themes
nur aus vertrauenswürdigen Quellen laden
WordPress.org oder hinreichend bekannte Unternehmen
regelmäßige Updates
das kann ich nicht oft genug sagen
inaktive Plugins und Themes deinstallieren
10. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
*
Benutzer & Login
Starke Passwörter
Ich würde mich nicht wiederholen, wenn´s nicht wirklich wichtig wäre
individuelle Benutzernamen
plumpe Massenangriffe auf gängige Benutzernamen (Admin, Webmaster, Demo, Test…), laufen so ins Leere
Benutzer trennen
Admin > nur für administrative Aufgaben
Redakteur, Autor > für alle redaktionellen Aufgaben
2-Faktor Authentifizierung
https://de.wordpress.org/plugins/two-factor/
https://wordpress.org/plugins/miniorange-2-factor-authentication/
11. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
+
Dateirechte
Standard
Ordner - 755
Dateien - 644
Da ist nichts falsch dran
Niemals Ordner oder Dateien auf 777 setzen
Dateirechte lassen sich auch noch restriktiver einstellen
hierbei gibt es allerdings einige zu beachten
https://codex.wordpress.org/Changing_File_Permissions
12. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
⚙
wp-config.php
Zugriff sperren
Einen Ordner nach oben verschieben
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
/home/beispiel.de/wp/
WP-Installation im Ordner wp
wp-config.php im Ordner beispiel.de
13. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
⚙
wp-config.php
Salts & Keys
define('AUTH_KEY', 'Füge hier deine Zeichenkette ein');
define('SECURE_AUTH_KEY', 'Füge hier deine Zeichenkette ein');
define('LOGGED_IN_KEY', 'Füge hier deine Zeichenkette ein');
define('NONCE_KEY', 'Füge hier deine Zeichenkette ein');
define('AUTH_SALT', 'Füge hier deine Zeichenkette ein');
define('SECURE_AUTH_SALT', 'Füge hier deine Zeichenkette ein');
define('LOGGED_IN_SALT', 'Füge hier deine Zeichenkette ein');
define('NONCE_SALT', 'Füge hier deine Zeichenkette ein');
https://api.wordpress.org/secret-key/1.1/salt/
14. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
⚙
wp-config.php
Dateibearbeitung im Backend deaktivieren
define('DISALLOW_FILE_EDIT', true);
15. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
⚙
.htaccess
<Files install.php>
Order allow,deny
Deny from all
Satisfy All
</Files>
Zugriff auf die install.php verhindern
auskommentieren, um die Installation von Wordpress auszuführen
16. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
⚙
.htaccess
<Files ~ "^[._]ht">
Order Allow,Deny
Deny from all
Satisfy All
</Files>
Zugriff auf htaccess und htpasswd verhindern
17. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
⚙
.htaccess
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
XML-RPC-Schnittstelle sperren
Vor dem Sperren überprüfen, ob die Schnittstelle benötigt wird.
Wird für das Pingback-System innerhalb von WordPress benötigt und
für den Zugriff von externen Anwendungen wie z.B. Editoren.
18. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
)
Kann ich noch mehr machen?
Ja klar
Zum Beispiel
WordPress-Sicherheit Newsletter abonnieren
https://www.wp-wartung24.de/newsletter/
In der WPScan Vulnerability Database schauen ob es Sicherheitslücken
in den von dir verwendeten Plugins und Themes gibt
https://wpvulndb.com/
Eine Web Application Firewall einsetzten
Erfordert etwas Einarbeitung
https://de.wordpress.org/plugins/ninjafirewall/
Die .htaccess um ein paar Regeln ergänzen
https://gist.github.com/zottto/608a18d109bd22e76aa4