Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Sicherheit von Webanwendungen

Sicherheit von Webanwendungen am Beispiel von Wordpress

  • Login to see the comments

  • Be the first to like this

Sicherheit von Webanwendungen

  1. 1. Sicherheit von Webanwendungen am Beispiel von Wordpress 10. März 2013 / #bcruhr6Thomas Gemperle / @thomasgemperle
  2. 2. Security Themes Wordpress- Limiting Access- Containment- Preperation and knowledgehttp://codex.wordpress.org/Hardening_WordPress
  3. 3. Schwachstellen copyright by digitalgraphixx (CC BY-NC-ND 2.0)1. Webanwendung / CMS2. Technische Umgebung / Server3. Mensch / User
  4. 4. Schwachstelle Webanwendung- Sicherheitslücken im CMS, Plugins, Themes- Gefährliche Features- Brute Force Attacken
  5. 5. Webanwendung: SicherheitslückenUpdates, updates, updates- Updatefähigkeit erhalten- Updates durchführen- Achtung: Kompatibilität Plugins --> StagingAllgemein: Vorsicht mit Plugins
  6. 6. Webanwendung: Sicherheitslücken
  7. 7. Webanwendung: Features- Plugins (phpMyAdmin, ...)- define(DISALLOW_FILE_EDIT, true);- File Permissions (auto. Update)http://codex.wordpress.org/Hardening_WordPress
  8. 8. Webanwendung: Brute ForcePlugin: Limit Login Attemps
  9. 9. Webanwendung: Kein Usernameadmin
  10. 10. Webanwendung: Prävention- Backups (z.B. Backup-Plugin)- Spezielle Security-Plugins (Security Ninja,BulletProof Security etc.)http://www.wpjedi.com/find-security-vulnerabilities-in-wordpress/
  11. 11. Schwachstelle Server- Andere Applikationen auf dem selben Server- FTP-Zugänge- DDoS etc.
  12. 12. Server: Andere Applikationen- Nur eine WP Installation pro Server- Keine anderen Applikationen, (=Risiken)installiert (z.B. Joomla, T3, statische Seiten mitPHP-Code etc.)
  13. 13. Server: FTP- Kein externer FTP-Zugriff- Admin: SFTP oder VPN
  14. 14. Server: Monitoring- Vertrauenswürdiger Hoster- Eigene Monitoring Tools (Pingdom, Plugins?)
  15. 15. Schwachstelle MenschPasswort-Management- Schwach- Aufgeschrieben- Weitergegeben copyright by pawelbak (CC BY-NC-ND 2.0)Unsichere Umgebung- WLANs- Phishing (URLs)- Malware, Trojaner,Spyware, Keylogger, ...
  16. 16. Mensch: Passwort Management- LastPass- Bewusstsein / Verhalten
  17. 17. Mensch: Benutzer-Accounts- Limitierter Zugriff- Passworte- Security-Plugin?
  18. 18. Mensch: Unsichere UmgebungSSLdefine(FORCE_SSL_ADMIN, true);define(FORCE_SSL_LOGIN, true);VPNLastPass
  19. 19. Kontaktthomas.gemperle@openbyte.ch@thomasgemperlehttps://www.slideshare.net/thomasgemperleBilder (Creative Commons)3: http://www.flickr.com/photos/digitalgraphixx/6347678309/15: http://www.flickr.com/photos/pawelbak/3494459979/

×