Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und relevantere Anzeigen zu schalten. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
CMS Security 
my ~/ is my castle
ad personam 
• Stefan Kremer 
• freiberuflicher Systemberater 
Mac, Web, CTI 
• WordPresser seit Duke Ellington 
• Contrib...
CMS? No prob! Oder doch? 
• CVE-Hitliste 
• (19) Joomla: 305 
• (22) Drupal: 268 
• (27) WordPress: 232 
• (35) Typo3: 174...
Basisanalyse 
• Hosting 
• Shared Hosting 
• Virtual Host 
• Managed Server 
• Rootserver 
• Housing 
• Basissystem? 
• OS...
Angriffsvektoren 
• „Standard“ Benutzernamen 
• schwache Passwörter 
• veraltete Installationen 
• schlechter Code 
• SQL ...
Login Credentials 
• was spricht eigentlich gegen den 
Benutzernamen »asylufdeworig23r«? 
• Name der Katze oder Geburtsdat...
Brute-Force Attacs 
• Durchprobieren von Credentials 
➡ willkürliche Benutzernamen 
➡ starke Passwörter 
• Sperre nach x V...
Monitoring 
• Server up? 
• Dateien verändert? 
• Benutzeranmeldungen? 
• Eindringungsversuche? 
• Logouts? 
➡ iThemes Sec...
Update, Update, Update 
• regelmässig WP-Core aktualisieren 
• Achtung: AutoUpdater seit 3.7! 
• besser: Benachrichtigung ...
TTV 
• zufällige Versionsnummer ausgeben 
• .htaccess-Regeln zum Zugriffsschutz 
• /wp-content/ 
• wp-config.php 
• readme...
die Mauer erhöhen 
• Login per SSL-Zertifikat absichern 
• Kosten < 50 €/p.a. 
• http://www.psw.net/ssl-zertifikate.cfm 
•...
im Fall der (Un)Fälle 
• Backup! 
• regelmässig, automatisiert, zeitgesteuert 
• MySQL-Datenbank 
• Dateien, insp. /wp-con...
Fazit 
• Sicherheit ist eine Daueraufgabe! 
• Aufwand vs. Nutzen 
• Make or Buy
Vielen Dank für die 
Aufmerksamkeit!
Cms security
Cms security
Nächste SlideShare
Wird geladen in …5
×

Cms security

745 Aufrufe

Veröffentlicht am

My Home is my Castle
Wie sichere ich Content Management Systeme ab am Beispiel von WordPress. Präsentation zur 6. CMS Night im Rahmen der #nueww

Veröffentlicht in: Internet
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Cms security

  1. 1. CMS Security my ~/ is my castle
  2. 2. ad personam • Stefan Kremer • freiberuflicher Systemberater Mac, Web, CTI • WordPresser seit Duke Ellington • Contributor WordPress.tv Mitgründer WP-Meetup Franken • Vorrangiger Einsatz von WP als CMS für Kundenpräsenzen @stkjj stefanredaktiv stefan@redaktiv.de
  3. 3. CMS? No prob! Oder doch? • CVE-Hitliste • (19) Joomla: 305 • (22) Drupal: 268 • (27) WordPress: 232 • (35) Typo3: 174 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
  4. 4. Basisanalyse • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool?
  5. 5. Angriffsvektoren • „Standard“ Benutzernamen • schwache Passwörter • veraltete Installationen • schlechter Code • SQL Injections • XSS - Cross Site Scripting • …
  6. 6. Login Credentials • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«? • Name der Katze oder Geburtsdatum der Oma ist kein Passwort! • Ein Admin, ein User-Account • Kopfschmerzen? Finger wund? ➡ Passwortmanager!
  7. 7. Brute-Force Attacs • Durchprobieren von Credentials ➡ willkürliche Benutzernamen ➡ starke Passwörter • Sperre nach x Versuchen für Zeitintervall y • Blacklisting der IP ➡ iThemes Security (ex BetterWPSecurity)
  8. 8. Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Logouts? ➡ iThemes Security (ex BetterWPSecurity)
  9. 9. Update, Update, Update • regelmässig WP-Core aktualisieren • Achtung: AutoUpdater seit 3.7! • besser: Benachrichtigung bei Update • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren
  10. 10. TTV • zufällige Versionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …) ➡ iThemes Security (ex BetterWPSecurity)
  11. 11. die Mauer erhöhen • Login per SSL-Zertifikat absichern • Kosten < 50 €/p.a. • http://www.psw.net/ssl-zertifikate.cfm • Zwei-Faktor Authentifizierung • https://github.com/sergejmueller/2-Step-Verification
  12. 12. im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
  13. 13. Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
  14. 14. Vielen Dank für die Aufmerksamkeit!

×