• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Sicherheit von Webanwendungen Juni 2013
 

Sicherheit von Webanwendungen Juni 2013

on

  • 398 views

Session gehalten am Wordpress Zürich Meetup

Session gehalten am Wordpress Zürich Meetup

Statistics

Views

Total Views
398
Views on SlideShare
398
Embed Views
0

Actions

Likes
0
Downloads
3
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Sicherheit von Webanwendungen Juni 2013 Sicherheit von Webanwendungen Juni 2013 Presentation Transcript

    • Sicherheit vonWebanwendungenam Beispiel von Wordpress24. Juni 2013 / #wpzhThomas Gemperle / @thomasgemperle
    • Security Themes Wordpress- Limiting Access- Containment- Preperation and knowledgehttp://codex.wordpress.org/Hardening_WordPress
    • Schwachstellen1. Webanwendung / CMS2. Technische Umgebung / Server3. Mensch / Usercopyrightbydigitalgraphixx(CCBY-NC-ND2.0)
    • Schwachstelle Webanwendung- Sicherheitslücken im CMS, Plugins, Themes- Gefährliche Features- Brute Force Attacken- Distributed BF attacks
    • Webanwendung: SicherheitslückenUpdates, updates, updates- Updatefähigkeit erhalten- Updates durchführen- Achtung: Kompatibilität Plugins --> StagingAllgemein: Vorsicht mit Plugins
    • Webanwendung: Sicherheitslücken
    • Webanwendung: Features- Plugins (phpMyAdmin, ...)- define(DISALLOW_FILE_EDIT, true);- File Permissions (auto. Update)- Plugin policy: Downloads,Bewertung, Updates
    • Webanwendung: Brute ForcePlugin: Limit Login Attemps
    • Webanwendung: Brute ForcePlugin: Login Security SolutionPlus: Password Policy
    • Webanwendung: Kein Usernameadmin
    • Webanwendung: Two Factor Auth
    • Webanwendung: Two Factor Authhttps://www.duosecurity.com/http://wordpress.org/plugins/google-authenticator/
    • Webanwendung: Captchahttp://wordpress.org/plugins/captcha
    • Webanwendung: Prävention- Backups (z.B. Backup-Plugin)- Spezielle Security-Plugins (Security Ninja,BulletProof Security etc.)- CDNs (CloudFlare etc.)http://www.wpjedi.com/find-security-vulnerabilities-in-wordpress/
    • Schwachstelle Server- Andere Applikationen auf dem selben Server- FTP-Zugänge- DDoS etc.
    • Server: Andere Applikationen- Nur eine WP Installation pro Server- Keine anderen Applikationen, (=Risiken)installiert (z.B. Joomla, T3, statische Seiten mitPHP-Code etc.)
    • Server: FTP- Kein externer FTP-Zugriff- Admin: SFTP oder VPN
    • Server: Monitoring- Vertrauenswürdiger Hoster- Eigene Monitoring Tools (Pingdom, Plugins?)
    • Schwachstelle MenschPasswort-Management- Schwach- Aufgeschrieben- WeitergegebenUnsichere Umgebung- WLANs- Phishing (URLs)- Malware, Trojaner,Spyware, Keylogger, ...copyrightbypawelbak(CCBY-NC-ND2.0)
    • Mensch: Passwort Management- LastPass- Bewusstsein / Verhalten
    • Mensch: Benutzer-Accounts- Limitierter Zugriff- Passwort check- Security-Plugin?
    • Mensch: Unsichere Umgebung
    • Mensch: Unsichere UmgebungSSLdefine(FORCE_SSL_ADMIN, true);define(FORCE_SSL_LOGIN, true);VPNLastPass
    • Kontakt3: http://www.flickr.com/photos/digitalgraphixx/6347678309/15: http://www.flickr.com/photos/pawelbak/3494459979/Bilder (Creative Commons)thomas.gemperle@openbyte.ch@thomasgemperlehttps://www.slideshare.net/thomasgemperle