WordPress

Security
my ~/ is my castle
ad personam
• Stefan Kremer
• freiberuflicher Systemberater

Mac,Web, CTI
• 10 Jahre WordPress
• Contributor
• Inhaber von ...
Das hat doch nix mit
mir zu tun!
• kleiner privater Blog
• unverfängliche Inhalte
• kaum öffentliche Wahrnehmung
• übersch...
Content is King
• Rechenleistung (CPU)
• Speicherplatz
• Bandbreite
• sendmail für Spamversand
nothing
CMS? No prob!
• CVE-Hitliste
• (22) Joomla: 321
• (25) Drupal: 300
• (28) WordPress: 262
• (40) Typo3: 185
• ohne Eintrag ...
Angriffsvektoren
• Brute-Force Attacs
• „Standard“ Benutzernamen
• schwache Passwörter
• XSS - Cross Site Scripting / SQL ...
Benutzername
• »admin« bis 3.0 alsVorgabe
• Teile des Domainnamens
• häufige eMail-Adressen wie »info@…«
• Ein Admin-, ein ...
Passwörter
Passwörter NoGos
• Vorkommen in Wörterbüchern
• SocialHacking anfälliges
• Tastaturläufe und Folgen
• Passwort-Recycling
•...
Kopfschmerzen? Finger wund?
➡ Passwortmanager!
Verteidigungsstrategie
➡ willkürliche Benutzernamen
➡ starke Passwörter
➡ Sperre nach x Fehlversuchen 

für Zeitintervall ...
Update, Update, Update
• regelmässig WP-Core aktualisieren
• AutoUpdater seit 3.7!
• ok für Minor/Security-Releases
• rege...
Monitoring
• Server up?
• Dateien verändert?
• Benutzeranmeldungen?
• Eindringungsversuche?
• Wer hat wann was gemacht?
TTV
• zufälligeVersionsnummer ausgeben
• .htaccess-Regeln zum Zugriffsschutz
• /wp-content/
• wp-config.php
• readme.html +...
die Mauer erhöhen
• min. Login per SSL-Zertifikat absichern
• Kostenlos bis < 50 €/p.a.
• ggf. Kosten beim Hosting für eige...
Weitwinkel
• Lokaler Rechner sicher?
• Keylogger
• FTP Zugang geschützt?
• besser SFTP oder FTPS (SSL/TLS)!
• PW per eMail...
Serverbasis
• Hosting
• Shared Hosting
• Virtual Host
• Managed Server
• Rootserver
• Housing
• Basissystem?
• OS?
• PHP?
...
im Fall der (Un)Fälle
• Backup!
• regelmässig, automatisiert, zeitgesteuert, offsite
• MySQL-Datenbank
• Dateien, insp. /w...
Fazit
• Sicherheit ist eine Daueraufgabe!
• Aufwand vs. Nutzen
• Make or Buy
Stefan Kremer
https://adminpress.de
FRAGEN?
Linksammlung
https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php
https://wpvulndb.com
http://wpengine.com/...
WordPress Security
Nächste SlideShare
Wird geladen in …5
×

WordPress Security

623 Aufrufe

Veröffentlicht am

aktualisierte Fassung für das WP Meetup Würzburg 5.7.2016

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
623
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
342
Aktionen
Geteilt
0
Downloads
1
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

WordPress Security

  1. 1. WordPress
 Security my ~/ is my castle
  2. 2. ad personam • Stefan Kremer • freiberuflicher Systemberater
 Mac,Web, CTI • 10 Jahre WordPress • Contributor • Inhaber von AdminPress @WPAberSicher adminpress stefan@adminpress.de
  3. 3. Das hat doch nix mit mir zu tun! • kleiner privater Blog • unverfängliche Inhalte • kaum öffentliche Wahrnehmung • überschaubare Zielgruppe • keine monetären Interessen
  4. 4. Content is King • Rechenleistung (CPU) • Speicherplatz • Bandbreite • sendmail für Spamversand nothing
  5. 5. CMS? No prob! • CVE-Hitliste • (22) Joomla: 321 • (25) Drupal: 300 • (28) WordPress: 262 • (40) Typo3: 185 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
  6. 6. Angriffsvektoren • Brute-Force Attacs • „Standard“ Benutzernamen • schwache Passwörter • XSS - Cross Site Scripting / SQL Injections • schlechter Code • veraltete Installationen
  7. 7. Benutzername • »admin« bis 3.0 alsVorgabe • Teile des Domainnamens • häufige eMail-Adressen wie »info@…« • Ein Admin-, ein User-Account • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«?
  8. 8. Passwörter
  9. 9. Passwörter NoGos • Vorkommen in Wörterbüchern • SocialHacking anfälliges • Tastaturläufe und Folgen • Passwort-Recycling • In Word/Excel speichern
  10. 10. Kopfschmerzen? Finger wund? ➡ Passwortmanager!
  11. 11. Verteidigungsstrategie ➡ willkürliche Benutzernamen ➡ starke Passwörter ➡ Sperre nach x Fehlversuchen 
 für Zeitintervall y ➡ Blacklisting der IP
  12. 12. Update, Update, Update • regelmässig WP-Core aktualisieren • AutoUpdater seit 3.7! • ok für Minor/Security-Releases • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren • ggf. Staging Environment!
  13. 13. Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Wer hat wann was gemacht?
  14. 14. TTV • zufälligeVersionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …)
  15. 15. die Mauer erhöhen • min. Login per SSL-Zertifikat absichern • Kostenlos bis < 50 €/p.a. • ggf. Kosten beim Hosting für eigene IP • Zwei-Faktor Authentifizierung • einfaches eMail Konzept von Sergej Müller • aufwändiger Duo, Clef, Rublon • Extra-HW: UbiKey, Fido U2F • eingebaut in iThemes Security Pro
  16. 16. Weitwinkel • Lokaler Rechner sicher? • Keylogger • FTP Zugang geschützt? • besser SFTP oder FTPS (SSL/TLS)! • PW per eMail übermittelt? • eMail ohne Verschlüsselung = Postkarte
  17. 17. Serverbasis • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool? • Plesk
  18. 18. im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert, offsite • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
  19. 19. Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
  20. 20. Stefan Kremer https://adminpress.de FRAGEN?
  21. 21. Linksammlung https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php https://wpvulndb.com http://wpengine.com/unmasked/ http://codex.wordpress.org/Configuring_Automatic_Background_Updates https://www.startssl.com https://buy.wosign.com/free/ https://letsencrypt.org https://www.psw.net/ssl-zertifikate.cfm https://github.com/sergejmueller/2-Step-Verification https://wordpress.org/plugins/better-wp-security/

×