Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
WordPress und Sicherheit:
Grundlagen für den geschützten Betrieb
eines Online-Redaktionssystems
Vortrag beim Webmontag Han...
Zu diesem Vortrag
• Dieser kurze Vortrag soll einen allgemeinverständlichen
Überblick für Nicht-Techniker zu wichtigen Gru...
Passwortsicherheit
• Wähle ein einmaliges und sicheres Passwort. Dieser
allgemeine Aspekt wird hier nicht näher behandelt!...
Installation
Beachte in der Eingabemaske zum Installationsvorgang:
1. Eingabezeile „Table Prefix“: Ersetze
wp_ durch einma...
Profilverwaltung
(Profil=Benutzer)
• Erstelle eine weiteres Profil mit der Rolle „Redakteur“. Nutze
dieses Profil für die ...
Massenangriffe
Ungezielte Angriffe finden automatisiert statt. Erschwere ihren
Erfolg und schütze den Server vor Last und ...
Auswahl der Komponenten
Die Auswahl von plugins und themes solltest Du stets auch unter
Sicherheitsaspekten vornehmen.
• K...
Softwarepflege
Ist eine Anwendung grundlegend geschützt, müssen neue
Sicherheitslücken durch Updates geschlossen werden. H...
Softwarepflege
Nicht jedes Update ist nötig, nicht jede Komponente wird
gepflegt. Informiere Dich bei Dritten über Sicherh...
Sicherheitskopien (Backups)
Zum großen Thema Backups können hier nur kurz die für den
Vortrag relevanten Aspekte behandelt...
Sicherheits-plugins
Oft bestehen Sicherheitslücken aufgrund ähnlicher Ursachen und
werden daher mit automatisierten Method...
Link-Tipps
• Dieser Vortrag: http://de.slideshare.net/trilos-new-media
- siehe auch @trilos auf Twitter
• Videoaufzeichnun...
Danke für die Aufmerksamkeit.
Erik Petersen
petersen@trilos.de
TRILOS new media
Hanomaghof 2
30449 Hannover
tel 0511 21449...
Upcoming SlideShare
Loading in …5
×

Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017

614 views

Published on

Dieser kurze Vortrag soll einen allgemeinverständlichen Überblick für Nicht-Techniker zu wichtigen Grundsätzen und Hilfsmitteln geben, um eine Web-Anwendung wie WordPress sicher betreiben zu können.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017

  1. 1. WordPress und Sicherheit: Grundlagen für den geschützten Betrieb eines Online-Redaktionssystems Vortrag beim Webmontag Hannover am 16.01.2017
  2. 2. Zu diesem Vortrag • Dieser kurze Vortrag soll einen allgemeinverständlichen Überblick für Nicht-Techniker zu wichtigen Grundsätzen und Hilfsmitteln geben, um eine Web-Anwendung wie WordPress sicher betreiben zu können. • Vieles lässt sich auch für andere Web-Anwendungen übertragen. • Nicht behandelt werden hier die Aspekte zur lokalen Sicherheit, Server-Sicherheit, Verbindungssicherheit und zu gezielten Angriffen. • Die Vollständigkeit und Richtigkeit kann nicht gewährleistet werden.
  3. 3. Passwortsicherheit • Wähle ein einmaliges und sicheres Passwort. Dieser allgemeine Aspekt wird hier nicht näher behandelt! Infos: http://www.gute-passwoerter.de/ - Danke an Michael Kaiser • Verwalte Deine Passworte mit Hilfe einer sicheren Anwendung – nicht im Browser! Vorschläge: – https://1password.com/ – http://keepass.info/ – Die Passwortverwaltung Deiner AntiVirus/- Sicherheitssoftware Zusätzliche Möglichkeiten: Zwei-Faktor-Authentifizierung; Zugriff auf eigene feste IP beschränken; Login-Zeigen beschränken... 3
  4. 4. Installation Beachte in der Eingabemaske zum Installationsvorgang: 1. Eingabezeile „Table Prefix“: Ersetze wp_ durch einmaliges Kürzel, bspw. wpxyz_ für Website „xyz“. Wenn einmal Schadcode injiziert werden sollte, der die Datenbank modifzieren will, ist sein Scheitern wahrscheinlicher. 2. Eingabezeile „Username:“ Ersetze admin durch einmaligen Benutzernamen, bspw. xyz-wp-admin für Website „xyz“ Wenn automatisierte Angriffe massenweise Login-Daten zu erraten versuchen, ist deren Scheitern wahrscheinlicher. 4
  5. 5. Profilverwaltung (Profil=Benutzer) • Erstelle eine weiteres Profil mit der Rolle „Redakteur“. Nutze dieses Profil für die alltägliche inhaltliche Arbeit. Die Folgen eines Missbrauchs durch Dritte nach z.B. Ausspähung können dadurch begrenzt werden. Erstelle Profile für Dritte nur mit der nötigen Rolle. Informiere Dritte in Sachen Passwortsicherheit und Sorgfalt und lasse Benutzerzugänge nur so lange im System, wie nötig. • Werden „Spitznamen“ öffentlich verwendet, sollten sie sich vom Benutzernamen unterscheiden. Dies soll das Ausspähen von Profilnamen erschweren. 5
  6. 6. Massenangriffe Ungezielte Angriffe finden automatisiert statt. Erschwere ihren Erfolg und schütze den Server vor Last und Ausfall! • Ändere die Login URL, um die Anmeldeseite vor automatisierten Angriffen zu verstecken. Hilfsmittel: plugin „Rename WP Login“ https://wordpress.org/plugins/rename-wp-login/ • Das Aussperren nach vielen Anmeldeversuchen reduziert den Erfolg durch Erraten der Zugangsdaten, vor allem aber die Gefahr der Nichterreichbarkeit durch Überlastung des Servers. Hilfsmittel: plugin „Login Lockdown“ https://wordpress.org/plugins/login-lockdown/ (Weitere Schutzmechanismen wie Firewalls, Cloud-Lösungen, .htaccess-Regeln usw. sind nicht Teil dieses Vortrags.) 6
  7. 7. Auswahl der Komponenten Die Auswahl von plugins und themes solltest Du stets auch unter Sicherheitsaspekten vornehmen. • Kann das plugin nur das, was ich brauche, oder ist sie unnötig mächtig? Negatives Beispiel: Benutzerrechte-Verwaltung, nur um Menüpunkte auszublenden • Freie Software lebt vom Engagement der Hersteller, dies garantiert an sich noch keine dauerhafte Sicherheit. Wird das theme/plugin vom Hersteller gepflegt? (Wird es zumindest gelegentlich aktualisiert, ist die jüngste Version nicht älter als ein Jahr, gibt es Reaktionen auf öffentliche Support-Anfragen?) 7
  8. 8. Softwarepflege Ist eine Anwendung grundlegend geschützt, müssen neue Sicherheitslücken durch Updates geschlossen werden. Halte WordPress und alle Komponenten (v.a. themes, plugins) möglichst stets aktuell! • WordPress prüft automatisch auf Sicherheitsupdates für die Kern-Anwendung. Schalte dies nicht ab! • Sicherheitslücken können sogar bei deaktivierten plugins und themes ausgenutzt werden – lösche, was nicht benötigt wird! • Prüfe themes und plugins auf Updates. Hilfsmittel: https://wordpress.org/plugins/wp-updates-notifier/ • Halte Dich beim Hersteller des themes auf dem Laufenden (Newsletter, RSS, Github, …) 8
  9. 9. Softwarepflege Nicht jedes Update ist nötig, nicht jede Komponente wird gepflegt. Informiere Dich bei Dritten über Sicherheitslücken: • Verwendete plugins können mit bekannten Sicherheitslücken laufend automatisch abgeglichen werden. Hilfsmittel: https://wordpress.org/plugins/plugin-vulnerabilities/ • Verwendete plugins, die aus dem WordPress Repository https://wordpress.org/plugins/ entfernt wurden, können Dir gemeldet werden: https://wordpress.org/plugins/no-longer-in-directory/ • Frage Deinen Webdesigner, Webhoster o.a. nach Unterstützung durch Beratung, Sichtung und laufende Softwarepflege 9
  10. 10. Sicherheitskopien (Backups) Zum großen Thema Backups können hier nur kurz die für den Vortrag relevanten Aspekte behandelt werden: • Erstelle vor jedem manuellen Update eine vollständige Sicherheitskopie. Benutze hierfür ein plugin mit unabhängiger Wiederherstellungsfunktion oder eine unabhängige Lösung wie z.B. die Verwaltungsoberfläche des Webhosters. So kommst Du kommst einfacher zur Wiederherstellung, falls die Installation nach einem Update nicht mehr funktioniert. • Bewahre ältere Backups auf, da eine Infektion der Installation evtl. erst spät entdeckt wird und dann meist auch in alten Backups enthalten sein kann. 10
  11. 11. Sicherheits-plugins Oft bestehen Sicherheitslücken aufgrund ähnlicher Ursachen und werden daher mit automatisierten Methoden ausgenutzt. Um diese Methoden zu verhindern und zu erschweren, können mit Hilfe eines ausgefeilten Sicherheits-plugins viele Maßnahmen einfach aktiviert werden. Dies bietet bspw. das kostenlose plugin iThemes Security und vor allem iThemes Security Pro mit noch mehr Funktionsumfang: https://de.wordpress.org/plugins/better-wp-security/ Weitere Beispiele: https://de.wordpress.org/plugins/ninjafirewall/ https://wordpress.org/plugins/wordfence/ https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ 11
  12. 12. Link-Tipps • Dieser Vortrag: http://de.slideshare.net/trilos-new-media - siehe auch @trilos auf Twitter • Videoaufzeichnungen von Vorträgen: http://wordpress.tv/ • Zurückliegende WordCamp-Konferenzen mit Vorträgen: https://central.wordcamp.org/schedule/past-wordcamps/ • Blog, Newsletter: http://www.wp-sicherheit.info/ • ... 12
  13. 13. Danke für die Aufmerksamkeit. Erik Petersen petersen@trilos.de TRILOS new media Hanomaghof 2 30449 Hannover tel 0511 214498-60 fax 0511 214498-65 Internet-Auftritte mit WordPress, Hosting uvm. www.trilos.de

×