SlideShare uma empresa Scribd logo

Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017

TRILOS new media
TRILOS new media

Dieser kurze Vortrag soll einen allgemeinverständlichen Überblick für Nicht-Techniker zu wichtigen Grundsätzen und Hilfsmitteln geben, um eine Web-Anwendung wie WordPress sicher betreiben zu können.

Internet
1 de 13
Baixar para ler offline
WordPress und Sicherheit: Grundlagen für den geschützten Betrieb eines Online-Redaktionssystems Vortrag beim Webmontag Hannover am 16.01.2017
Zu diesem Vortrag • Dieser kurze Vortrag soll einen allgemeinverständlichen Überblick für Nicht-Techniker zu wichtigen Grundsätzen und Hilfsmitteln geben, um eine Web-Anwendung wie WordPress sicher betreiben zu können. • Vieles lässt sich auch für andere Web-Anwendungen übertragen. • Nicht behandelt werden hier die Aspekte zur lokalen Sicherheit, Server-Sicherheit, Verbindungssicherheit und zu gezielten Angriffen. • Die Vollständigkeit und Richtigkeit kann nicht gewährleistet werden.
Passwortsicherheit • Wähle ein einmaliges und sicheres Passwort. Dieser allgemeine Aspekt wird hier nicht näher behandelt! Infos: http://www.gute-passwoerter.de/ - Danke an Michael Kaiser • Verwalte Deine Passworte mit Hilfe einer sicheren Anwendung – nicht im Browser! Vorschläge: – https://1password.com/ – http://keepass.info/ – Die Passwortverwaltung Deiner AntiVirus/- Sicherheitssoftware Zusätzliche Möglichkeiten: Zwei-Faktor-Authentifizierung; Zugriff auf eigene feste IP beschränken; Login-Zeigen beschränken... 3
Installation Beachte in der Eingabemaske zum Installationsvorgang: 1. Eingabezeile „Table Prefix“: Ersetze wp_ durch einmaliges Kürzel, bspw. wpxyz_ für Website „xyz“. Wenn einmal Schadcode injiziert werden sollte, der die Datenbank modifzieren will, ist sein Scheitern wahrscheinlicher. 2. Eingabezeile „Username:“ Ersetze admin durch einmaligen Benutzernamen, bspw. xyz-wp-admin für Website „xyz“ Wenn automatisierte Angriffe massenweise Login-Daten zu erraten versuchen, ist deren Scheitern wahrscheinlicher. 4
Profilverwaltung (Profil=Benutzer) • Erstelle eine weiteres Profil mit der Rolle „Redakteur“. Nutze dieses Profil für die alltägliche inhaltliche Arbeit. Die Folgen eines Missbrauchs durch Dritte nach z.B. Ausspähung können dadurch begrenzt werden. Erstelle Profile für Dritte nur mit der nötigen Rolle. Informiere Dritte in Sachen Passwortsicherheit und Sorgfalt und lasse Benutzerzugänge nur so lange im System, wie nötig. • Werden „Spitznamen“ öffentlich verwendet, sollten sie sich vom Benutzernamen unterscheiden. Dies soll das Ausspähen von Profilnamen erschweren. 5
Massenangriffe Ungezielte Angriffe finden automatisiert statt. Erschwere ihren Erfolg und schütze den Server vor Last und Ausfall! • Ändere die Login URL, um die Anmeldeseite vor automatisierten Angriffen zu verstecken. Hilfsmittel: plugin „Rename WP Login“ https://wordpress.org/plugins/rename-wp-login/ • Das Aussperren nach vielen Anmeldeversuchen reduziert den Erfolg durch Erraten der Zugangsdaten, vor allem aber die Gefahr der Nichterreichbarkeit durch Überlastung des Servers. Hilfsmittel: plugin „Login Lockdown“ https://wordpress.org/plugins/login-lockdown/ (Weitere Schutzmechanismen wie Firewalls, Cloud-Lösungen, .htaccess-Regeln usw. sind nicht Teil dieses Vortrags.) 6
Auswahl der Komponenten Die Auswahl von plugins und themes solltest Du stets auch unter Sicherheitsaspekten vornehmen. • Kann das plugin nur das, was ich brauche, oder ist sie unnötig mächtig? Negatives Beispiel: Benutzerrechte-Verwaltung, nur um Menüpunkte auszublenden • Freie Software lebt vom Engagement der Hersteller, dies garantiert an sich noch keine dauerhafte Sicherheit. Wird das theme/plugin vom Hersteller gepflegt? (Wird es zumindest gelegentlich aktualisiert, ist die jüngste Version nicht älter als ein Jahr, gibt es Reaktionen auf öffentliche Support-Anfragen?) 7
Softwarepflege Ist eine Anwendung grundlegend geschützt, müssen neue Sicherheitslücken durch Updates geschlossen werden. Halte WordPress und alle Komponenten (v.a. themes, plugins) möglichst stets aktuell! • WordPress prüft automatisch auf Sicherheitsupdates für die Kern-Anwendung. Schalte dies nicht ab! • Sicherheitslücken können sogar bei deaktivierten plugins und themes ausgenutzt werden – lösche, was nicht benötigt wird! • Prüfe themes und plugins auf Updates. Hilfsmittel: https://wordpress.org/plugins/wp-updates-notifier/ • Halte Dich beim Hersteller des themes auf dem Laufenden (Newsletter, RSS, Github, …) 8
Softwarepflege Nicht jedes Update ist nötig, nicht jede Komponente wird gepflegt. Informiere Dich bei Dritten über Sicherheitslücken: • Verwendete plugins können mit bekannten Sicherheitslücken laufend automatisch abgeglichen werden. Hilfsmittel: https://wordpress.org/plugins/plugin-vulnerabilities/ • Verwendete plugins, die aus dem WordPress Repository https://wordpress.org/plugins/ entfernt wurden, können Dir gemeldet werden: https://wordpress.org/plugins/no-longer-in-directory/ • Frage Deinen Webdesigner, Webhoster o.a. nach Unterstützung durch Beratung, Sichtung und laufende Softwarepflege 9
Sicherheitskopien (Backups) Zum großen Thema Backups können hier nur kurz die für den Vortrag relevanten Aspekte behandelt werden: • Erstelle vor jedem manuellen Update eine vollständige Sicherheitskopie. Benutze hierfür ein plugin mit unabhängiger Wiederherstellungsfunktion oder eine unabhängige Lösung wie z.B. die Verwaltungsoberfläche des Webhosters. So kommst Du kommst einfacher zur Wiederherstellung, falls die Installation nach einem Update nicht mehr funktioniert. • Bewahre ältere Backups auf, da eine Infektion der Installation evtl. erst spät entdeckt wird und dann meist auch in alten Backups enthalten sein kann. 10
Sicherheits-plugins Oft bestehen Sicherheitslücken aufgrund ähnlicher Ursachen und werden daher mit automatisierten Methoden ausgenutzt. Um diese Methoden zu verhindern und zu erschweren, können mit Hilfe eines ausgefeilten Sicherheits-plugins viele Maßnahmen einfach aktiviert werden. Dies bietet bspw. das kostenlose plugin iThemes Security und vor allem iThemes Security Pro mit noch mehr Funktionsumfang: https://de.wordpress.org/plugins/better-wp-security/ Weitere Beispiele: https://de.wordpress.org/plugins/ninjafirewall/ https://wordpress.org/plugins/wordfence/ https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ 11
Link-Tipps • Dieser Vortrag: http://de.slideshare.net/trilos-new-media - siehe auch @trilos auf Twitter • Videoaufzeichnungen von Vorträgen: http://wordpress.tv/ • Zurückliegende WordCamp-Konferenzen mit Vorträgen: https://central.wordcamp.org/schedule/past-wordcamps/ • Blog, Newsletter: http://www.wp-sicherheit.info/ • ... 12
Danke für die Aufmerksamkeit. Erik Petersen petersen@trilos.de TRILOS new media Hanomaghof 2 30449 Hannover tel 0511 214498-60 fax 0511 214498-65 Internet-Auftritte mit WordPress, Hosting uvm. www.trilos.de

Recomendados

Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPressJoachim Hummel
 
Sicherheit von Webanwendungen
Sicherheit von WebanwendungenSicherheit von Webanwendungen
Sicherheit von Webanwendungenthomasgemperle
 
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)libertello GmbH
 
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013lemmingzshadow
 
Mythen der WordPress-Sicherheit (FrOSCon 2015)
Mythen der WordPress-Sicherheit (FrOSCon 2015)Mythen der WordPress-Sicherheit (FrOSCon 2015)
Mythen der WordPress-Sicherheit (FrOSCon 2015)libertello GmbH
 
Sicherheit von Webanwendungen Juni 2013
Sicherheit von Webanwendungen Juni 2013Sicherheit von Webanwendungen Juni 2013
Sicherheit von Webanwendungen Juni 2013thomasgemperle
 
WordPress Sicherheit
WordPress SicherheitWordPress Sicherheit
WordPress SicherheitDietmar Leher
 
WordPress Professional III
WordPress Professional IIIWordPress Professional III
WordPress Professional IIISebastian Blum
 

Recomendados

Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPressJoachim Hummel
 
Sicherheit von Webanwendungen
Sicherheit von WebanwendungenSicherheit von Webanwendungen
Sicherheit von Webanwendungenthomasgemperle
 
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)libertello GmbH
 
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013lemmingzshadow
 
Mythen der WordPress-Sicherheit (FrOSCon 2015)
Mythen der WordPress-Sicherheit (FrOSCon 2015)Mythen der WordPress-Sicherheit (FrOSCon 2015)
Mythen der WordPress-Sicherheit (FrOSCon 2015)libertello GmbH
 
Sicherheit von Webanwendungen Juni 2013
Sicherheit von Webanwendungen Juni 2013Sicherheit von Webanwendungen Juni 2013
Sicherheit von Webanwendungen Juni 2013thomasgemperle
 
WordPress Sicherheit
WordPress SicherheitWordPress Sicherheit
WordPress SicherheitDietmar Leher
 
WordPress Professional III
WordPress Professional IIIWordPress Professional III
WordPress Professional IIISebastian Blum
 
Joomla
JoomlaJoomla
JoomlaThomas Siegers
 
Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...Carsten Muetzlitz
 
WordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxWordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxSebastian Blum
 
Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für ProfisAnika Erdmann
 
WordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMSWordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMSThomas Siegers
 
WordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinWordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinTorsten Landsiedel
 
Software Entwicklung im Team
Software Entwicklung im TeamSoftware Entwicklung im Team
Software Entwicklung im Teambrandts
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstalltayiera
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstalltayiera
 
WordPress sicherer machen - Basics
WordPress sicherer machen - BasicsWordPress sicherer machen - Basics
WordPress sicherer machen - BasicsAndreas Rudorfer
 
ApplicationPro Flyer deutsch
ApplicationPro Flyer deutschApplicationPro Flyer deutsch
ApplicationPro Flyer deutschcynapspro GmbH
 
MongoDB: Security-Tipps gegen Hacker
MongoDB: Security-Tipps gegen HackerMongoDB: Security-Tipps gegen Hacker
MongoDB: Security-Tipps gegen HackerGregor Biswanger
 
Ueberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web ApplicationsUeberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web ApplicationsGünther Haslbeck
 
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankÜber Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankGunther Pippèrr
 
Word Press PräSentation
Word Press PräSentationWord Press PräSentation
Word Press PräSentationpfw208br
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstalltayiera
 
Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020HansruediDbeli1
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsThorsten Kamann
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 

Mais conteúdo relacionado

Semelhante a Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017

Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...Carsten Muetzlitz
 
WordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxWordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxSebastian Blum
 
Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für ProfisAnika Erdmann
 
WordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMSWordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMSThomas Siegers
 
WordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinWordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinTorsten Landsiedel
 
Software Entwicklung im Team
Software Entwicklung im TeamSoftware Entwicklung im Team
Software Entwicklung im Teambrandts
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstalltayiera
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstalltayiera
 
WordPress sicherer machen - Basics
WordPress sicherer machen - BasicsWordPress sicherer machen - Basics
WordPress sicherer machen - BasicsAndreas Rudorfer
 
ApplicationPro Flyer deutsch
ApplicationPro Flyer deutschApplicationPro Flyer deutsch
ApplicationPro Flyer deutschcynapspro GmbH
 
MongoDB: Security-Tipps gegen Hacker
MongoDB: Security-Tipps gegen HackerMongoDB: Security-Tipps gegen Hacker
MongoDB: Security-Tipps gegen HackerGregor Biswanger
 
Ueberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web ApplicationsUeberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web ApplicationsGünther Haslbeck
 
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankÜber Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankGunther Pippèrr
 
Word Press PräSentation
Word Press PräSentationWord Press PräSentation
Word Press PräSentationpfw208br
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstalltayiera
 
Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020HansruediDbeli1
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsThorsten Kamann
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenA. Baggenstos & Co. AG
 

Semelhante a Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017 (20)

Joomla
JoomlaJoomla
Joomla
 
Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und Administration
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
 
WordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxWordPress Professional – SEO Campixx
WordPress Professional – SEO Campixx
 
Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für Profis
 
WordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMSWordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMS
 
WordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinWordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in Berlin
 
Software Entwicklung im Team
Software Entwicklung im TeamSoftware Entwicklung im Team
Software Entwicklung im Team
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstall
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstall
 
WordPress sicherer machen - Basics
WordPress sicherer machen - BasicsWordPress sicherer machen - Basics
WordPress sicherer machen - Basics
 
ApplicationPro Flyer deutsch
ApplicationPro Flyer deutschApplicationPro Flyer deutsch
ApplicationPro Flyer deutsch
 
MongoDB: Security-Tipps gegen Hacker
MongoDB: Security-Tipps gegen HackerMongoDB: Security-Tipps gegen Hacker
MongoDB: Security-Tipps gegen Hacker
 
Ueberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web ApplicationsUeberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web Applications
 
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der DatenbankÜber Rechte/Rollen und den sicheren Betrieb der Datenbank
Über Rechte/Rollen und den sicheren Betrieb der Datenbank
 
Word Press PräSentation
Word Press PräSentationWord Press PräSentation
Word Press PräSentation
 
De i ni-s7-quickinstall
De i ni-s7-quickinstallDe i ni-s7-quickinstall
De i ni-s7-quickinstall
 
Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020
 
Vortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development EnvironmentsVortragsreihe Dortmund: Unified Development Environments
Vortragsreihe Dortmund: Unified Development Environments
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
 

Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017

  • 1. WordPress und Sicherheit: Grundlagen für den geschützten Betrieb eines Online-Redaktionssystems Vortrag beim Webmontag Hannover am 16.01.2017
  • 2. Zu diesem Vortrag • Dieser kurze Vortrag soll einen allgemeinverständlichen Überblick für Nicht-Techniker zu wichtigen Grundsätzen und Hilfsmitteln geben, um eine Web-Anwendung wie WordPress sicher betreiben zu können. • Vieles lässt sich auch für andere Web-Anwendungen übertragen. • Nicht behandelt werden hier die Aspekte zur lokalen Sicherheit, Server-Sicherheit, Verbindungssicherheit und zu gezielten Angriffen. • Die Vollständigkeit und Richtigkeit kann nicht gewährleistet werden.
  • 3. Passwortsicherheit • Wähle ein einmaliges und sicheres Passwort. Dieser allgemeine Aspekt wird hier nicht näher behandelt! Infos: http://www.gute-passwoerter.de/ - Danke an Michael Kaiser • Verwalte Deine Passworte mit Hilfe einer sicheren Anwendung – nicht im Browser! Vorschläge: – https://1password.com/ – http://keepass.info/ – Die Passwortverwaltung Deiner AntiVirus/- Sicherheitssoftware Zusätzliche Möglichkeiten: Zwei-Faktor-Authentifizierung; Zugriff auf eigene feste IP beschränken; Login-Zeigen beschränken... 3
  • 4. Installation Beachte in der Eingabemaske zum Installationsvorgang: 1. Eingabezeile „Table Prefix“: Ersetze wp_ durch einmaliges Kürzel, bspw. wpxyz_ für Website „xyz“. Wenn einmal Schadcode injiziert werden sollte, der die Datenbank modifzieren will, ist sein Scheitern wahrscheinlicher. 2. Eingabezeile „Username:“ Ersetze admin durch einmaligen Benutzernamen, bspw. xyz-wp-admin für Website „xyz“ Wenn automatisierte Angriffe massenweise Login-Daten zu erraten versuchen, ist deren Scheitern wahrscheinlicher. 4
  • 5. Profilverwaltung (Profil=Benutzer) • Erstelle eine weiteres Profil mit der Rolle „Redakteur“. Nutze dieses Profil für die alltägliche inhaltliche Arbeit. Die Folgen eines Missbrauchs durch Dritte nach z.B. Ausspähung können dadurch begrenzt werden. Erstelle Profile für Dritte nur mit der nötigen Rolle. Informiere Dritte in Sachen Passwortsicherheit und Sorgfalt und lasse Benutzerzugänge nur so lange im System, wie nötig. • Werden „Spitznamen“ öffentlich verwendet, sollten sie sich vom Benutzernamen unterscheiden. Dies soll das Ausspähen von Profilnamen erschweren. 5
  • 6. Massenangriffe Ungezielte Angriffe finden automatisiert statt. Erschwere ihren Erfolg und schütze den Server vor Last und Ausfall! • Ändere die Login URL, um die Anmeldeseite vor automatisierten Angriffen zu verstecken. Hilfsmittel: plugin „Rename WP Login“ https://wordpress.org/plugins/rename-wp-login/ • Das Aussperren nach vielen Anmeldeversuchen reduziert den Erfolg durch Erraten der Zugangsdaten, vor allem aber die Gefahr der Nichterreichbarkeit durch Überlastung des Servers. Hilfsmittel: plugin „Login Lockdown“ https://wordpress.org/plugins/login-lockdown/ (Weitere Schutzmechanismen wie Firewalls, Cloud-Lösungen, .htaccess-Regeln usw. sind nicht Teil dieses Vortrags.) 6
  • 7. Auswahl der Komponenten Die Auswahl von plugins und themes solltest Du stets auch unter Sicherheitsaspekten vornehmen. • Kann das plugin nur das, was ich brauche, oder ist sie unnötig mächtig? Negatives Beispiel: Benutzerrechte-Verwaltung, nur um Menüpunkte auszublenden • Freie Software lebt vom Engagement der Hersteller, dies garantiert an sich noch keine dauerhafte Sicherheit. Wird das theme/plugin vom Hersteller gepflegt? (Wird es zumindest gelegentlich aktualisiert, ist die jüngste Version nicht älter als ein Jahr, gibt es Reaktionen auf öffentliche Support-Anfragen?) 7
  • 8. Softwarepflege Ist eine Anwendung grundlegend geschützt, müssen neue Sicherheitslücken durch Updates geschlossen werden. Halte WordPress und alle Komponenten (v.a. themes, plugins) möglichst stets aktuell! • WordPress prüft automatisch auf Sicherheitsupdates für die Kern-Anwendung. Schalte dies nicht ab! • Sicherheitslücken können sogar bei deaktivierten plugins und themes ausgenutzt werden – lösche, was nicht benötigt wird! • Prüfe themes und plugins auf Updates. Hilfsmittel: https://wordpress.org/plugins/wp-updates-notifier/ • Halte Dich beim Hersteller des themes auf dem Laufenden (Newsletter, RSS, Github, …) 8
  • 9. Softwarepflege Nicht jedes Update ist nötig, nicht jede Komponente wird gepflegt. Informiere Dich bei Dritten über Sicherheitslücken: • Verwendete plugins können mit bekannten Sicherheitslücken laufend automatisch abgeglichen werden. Hilfsmittel: https://wordpress.org/plugins/plugin-vulnerabilities/ • Verwendete plugins, die aus dem WordPress Repository https://wordpress.org/plugins/ entfernt wurden, können Dir gemeldet werden: https://wordpress.org/plugins/no-longer-in-directory/ • Frage Deinen Webdesigner, Webhoster o.a. nach Unterstützung durch Beratung, Sichtung und laufende Softwarepflege 9
  • 10. Sicherheitskopien (Backups) Zum großen Thema Backups können hier nur kurz die für den Vortrag relevanten Aspekte behandelt werden: • Erstelle vor jedem manuellen Update eine vollständige Sicherheitskopie. Benutze hierfür ein plugin mit unabhängiger Wiederherstellungsfunktion oder eine unabhängige Lösung wie z.B. die Verwaltungsoberfläche des Webhosters. So kommst Du kommst einfacher zur Wiederherstellung, falls die Installation nach einem Update nicht mehr funktioniert. • Bewahre ältere Backups auf, da eine Infektion der Installation evtl. erst spät entdeckt wird und dann meist auch in alten Backups enthalten sein kann. 10
  • 11. Sicherheits-plugins Oft bestehen Sicherheitslücken aufgrund ähnlicher Ursachen und werden daher mit automatisierten Methoden ausgenutzt. Um diese Methoden zu verhindern und zu erschweren, können mit Hilfe eines ausgefeilten Sicherheits-plugins viele Maßnahmen einfach aktiviert werden. Dies bietet bspw. das kostenlose plugin iThemes Security und vor allem iThemes Security Pro mit noch mehr Funktionsumfang: https://de.wordpress.org/plugins/better-wp-security/ Weitere Beispiele: https://de.wordpress.org/plugins/ninjafirewall/ https://wordpress.org/plugins/wordfence/ https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ 11
  • 12. Link-Tipps • Dieser Vortrag: http://de.slideshare.net/trilos-new-media - siehe auch @trilos auf Twitter • Videoaufzeichnungen von Vorträgen: http://wordpress.tv/ • Zurückliegende WordCamp-Konferenzen mit Vorträgen: https://central.wordcamp.org/schedule/past-wordcamps/ • Blog, Newsletter: http://www.wp-sicherheit.info/ • ... 12
  • 13. Danke für die Aufmerksamkeit. Erik Petersen petersen@trilos.de TRILOS new media Hanomaghof 2 30449 Hannover tel 0511 214498-60 fax 0511 214498-65 Internet-Auftritte mit WordPress, Hosting uvm. www.trilos.de