Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

WordPress Security

1,085 views

Published on

aktualisierte Fassung für das WP Meetup Würzburg 5.7.2016

Published in: Internet
  • Be the first to comment

  • Be the first to like this

WordPress Security

  1. 1. WordPress
 Security my ~/ is my castle
  2. 2. ad personam • Stefan Kremer • freiberuflicher Systemberater
 Mac,Web, CTI • 10 Jahre WordPress • Contributor • Inhaber von AdminPress @WPAberSicher adminpress stefan@adminpress.de
  3. 3. Das hat doch nix mit mir zu tun! • kleiner privater Blog • unverfängliche Inhalte • kaum öffentliche Wahrnehmung • überschaubare Zielgruppe • keine monetären Interessen
  4. 4. Content is King • Rechenleistung (CPU) • Speicherplatz • Bandbreite • sendmail für Spamversand nothing
  5. 5. CMS? No prob! • CVE-Hitliste • (22) Joomla: 321 • (25) Drupal: 300 • (28) WordPress: 262 • (40) Typo3: 185 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
  6. 6. Angriffsvektoren • Brute-Force Attacs • „Standard“ Benutzernamen • schwache Passwörter • XSS - Cross Site Scripting / SQL Injections • schlechter Code • veraltete Installationen
  7. 7. Benutzername • »admin« bis 3.0 alsVorgabe • Teile des Domainnamens • häufige eMail-Adressen wie »info@…« • Ein Admin-, ein User-Account • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«?
  8. 8. Passwörter
  9. 9. Passwörter NoGos • Vorkommen in Wörterbüchern • SocialHacking anfälliges • Tastaturläufe und Folgen • Passwort-Recycling • In Word/Excel speichern
  10. 10. Kopfschmerzen? Finger wund? ➡ Passwortmanager!
  11. 11. Verteidigungsstrategie ➡ willkürliche Benutzernamen ➡ starke Passwörter ➡ Sperre nach x Fehlversuchen 
 für Zeitintervall y ➡ Blacklisting der IP
  12. 12. Update, Update, Update • regelmässig WP-Core aktualisieren • AutoUpdater seit 3.7! • ok für Minor/Security-Releases • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren • ggf. Staging Environment!
  13. 13. Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Wer hat wann was gemacht?
  14. 14. TTV • zufälligeVersionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …)
  15. 15. die Mauer erhöhen • min. Login per SSL-Zertifikat absichern • Kostenlos bis < 50 €/p.a. • ggf. Kosten beim Hosting für eigene IP • Zwei-Faktor Authentifizierung • einfaches eMail Konzept von Sergej Müller • aufwändiger Duo, Clef, Rublon • Extra-HW: UbiKey, Fido U2F • eingebaut in iThemes Security Pro
  16. 16. Weitwinkel • Lokaler Rechner sicher? • Keylogger • FTP Zugang geschützt? • besser SFTP oder FTPS (SSL/TLS)! • PW per eMail übermittelt? • eMail ohne Verschlüsselung = Postkarte
  17. 17. Serverbasis • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool? • Plesk
  18. 18. im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert, offsite • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
  19. 19. Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
  20. 20. Stefan Kremer https://adminpress.de FRAGEN?
  21. 21. Linksammlung https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php https://wpvulndb.com http://wpengine.com/unmasked/ http://codex.wordpress.org/Configuring_Automatic_Background_Updates https://www.startssl.com https://buy.wosign.com/free/ https://letsencrypt.org https://www.psw.net/ssl-zertifikate.cfm https://github.com/sergejmueller/2-Step-Verification https://wordpress.org/plugins/better-wp-security/

×