Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Sicherheit vonWebanwendungenam Beispiel von Wordpress24. Juni 2013 / #wpzhThomas Gemperle / @thomasgemperle
Security Themes Wordpress- Limiting Access- Containment- Preperation and knowledgehttp://codex.wordpress.org/Hardening_Wor...
Schwachstellen1. Webanwendung / CMS2. Technische Umgebung / Server3. Mensch / Usercopyrightbydigitalgraphixx(CCBY-NC-ND2.0)
Schwachstelle Webanwendung- Sicherheitslücken im CMS, Plugins, Themes- Gefährliche Features- Brute Force Attacken- Distrib...
Webanwendung: SicherheitslückenUpdates, updates, updates- Updatefähigkeit erhalten- Updates durchführen- Achtung: Kompatib...
Webanwendung: Sicherheitslücken
Webanwendung: Features- Plugins (phpMyAdmin, ...)- define(DISALLOW_FILE_EDIT, true);- File Permissions (auto. Update)- Plu...
Webanwendung: Brute ForcePlugin: Limit Login Attemps
Webanwendung: Brute ForcePlugin: Login Security SolutionPlus: Password Policy
Webanwendung: Kein Usernameadmin
Webanwendung: Two Factor Auth
Webanwendung: Two Factor Authhttps://www.duosecurity.com/http://wordpress.org/plugins/google-authenticator/
Webanwendung: Captchahttp://wordpress.org/plugins/captcha
Webanwendung: Prävention- Backups (z.B. Backup-Plugin)- Spezielle Security-Plugins (Security Ninja,BulletProof Security et...
Schwachstelle Server- Andere Applikationen auf dem selben Server- FTP-Zugänge- DDoS etc.
Server: Andere Applikationen- Nur eine WP Installation pro Server- Keine anderen Applikationen, (=Risiken)installiert (z.B...
Server: FTP- Kein externer FTP-Zugriff- Admin: SFTP oder VPN
Server: Monitoring- Vertrauenswürdiger Hoster- Eigene Monitoring Tools (Pingdom, Plugins?)
Schwachstelle MenschPasswort-Management- Schwach- Aufgeschrieben- WeitergegebenUnsichere Umgebung- WLANs- Phishing (URLs)-...
Mensch: Passwort Management- LastPass- Bewusstsein / Verhalten
Mensch: Benutzer-Accounts- Limitierter Zugriff- Passwort check- Security-Plugin?
Mensch: Unsichere Umgebung
Mensch: Unsichere UmgebungSSLdefine(FORCE_SSL_ADMIN, true);define(FORCE_SSL_LOGIN, true);VPNLastPass
Kontakt3: http://www.flickr.com/photos/digitalgraphixx/6347678309/15: http://www.flickr.com/photos/pawelbak/3494459979/Bil...
Nächste SlideShare
Wird geladen in …5
×

Sicherheit von Webanwendungen Juni 2013

861 Aufrufe

Veröffentlicht am

Session gehalten am Wordpress Zürich Meetup

  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Sicherheit von Webanwendungen Juni 2013

  1. 1. Sicherheit vonWebanwendungenam Beispiel von Wordpress24. Juni 2013 / #wpzhThomas Gemperle / @thomasgemperle
  2. 2. Security Themes Wordpress- Limiting Access- Containment- Preperation and knowledgehttp://codex.wordpress.org/Hardening_WordPress
  3. 3. Schwachstellen1. Webanwendung / CMS2. Technische Umgebung / Server3. Mensch / Usercopyrightbydigitalgraphixx(CCBY-NC-ND2.0)
  4. 4. Schwachstelle Webanwendung- Sicherheitslücken im CMS, Plugins, Themes- Gefährliche Features- Brute Force Attacken- Distributed BF attacks
  5. 5. Webanwendung: SicherheitslückenUpdates, updates, updates- Updatefähigkeit erhalten- Updates durchführen- Achtung: Kompatibilität Plugins --> StagingAllgemein: Vorsicht mit Plugins
  6. 6. Webanwendung: Sicherheitslücken
  7. 7. Webanwendung: Features- Plugins (phpMyAdmin, ...)- define(DISALLOW_FILE_EDIT, true);- File Permissions (auto. Update)- Plugin policy: Downloads,Bewertung, Updates
  8. 8. Webanwendung: Brute ForcePlugin: Limit Login Attemps
  9. 9. Webanwendung: Brute ForcePlugin: Login Security SolutionPlus: Password Policy
  10. 10. Webanwendung: Kein Usernameadmin
  11. 11. Webanwendung: Two Factor Auth
  12. 12. Webanwendung: Two Factor Authhttps://www.duosecurity.com/http://wordpress.org/plugins/google-authenticator/
  13. 13. Webanwendung: Captchahttp://wordpress.org/plugins/captcha
  14. 14. Webanwendung: Prävention- Backups (z.B. Backup-Plugin)- Spezielle Security-Plugins (Security Ninja,BulletProof Security etc.)- CDNs (CloudFlare etc.)http://www.wpjedi.com/find-security-vulnerabilities-in-wordpress/
  15. 15. Schwachstelle Server- Andere Applikationen auf dem selben Server- FTP-Zugänge- DDoS etc.
  16. 16. Server: Andere Applikationen- Nur eine WP Installation pro Server- Keine anderen Applikationen, (=Risiken)installiert (z.B. Joomla, T3, statische Seiten mitPHP-Code etc.)
  17. 17. Server: FTP- Kein externer FTP-Zugriff- Admin: SFTP oder VPN
  18. 18. Server: Monitoring- Vertrauenswürdiger Hoster- Eigene Monitoring Tools (Pingdom, Plugins?)
  19. 19. Schwachstelle MenschPasswort-Management- Schwach- Aufgeschrieben- WeitergegebenUnsichere Umgebung- WLANs- Phishing (URLs)- Malware, Trojaner,Spyware, Keylogger, ...copyrightbypawelbak(CCBY-NC-ND2.0)
  20. 20. Mensch: Passwort Management- LastPass- Bewusstsein / Verhalten
  21. 21. Mensch: Benutzer-Accounts- Limitierter Zugriff- Passwort check- Security-Plugin?
  22. 22. Mensch: Unsichere Umgebung
  23. 23. Mensch: Unsichere UmgebungSSLdefine(FORCE_SSL_ADMIN, true);define(FORCE_SSL_LOGIN, true);VPNLastPass
  24. 24. Kontakt3: http://www.flickr.com/photos/digitalgraphixx/6347678309/15: http://www.flickr.com/photos/pawelbak/3494459979/Bilder (Creative Commons)thomas.gemperle@openbyte.ch@thomasgemperlehttps://www.slideshare.net/thomasgemperle

×