Dieser kurze Vortrag soll einen allgemeinverständlichen Überblick für Nicht-Techniker zu wichtigen Grundsätzen und Hilfsmitteln geben, um eine Web-Anwendung wie WordPress sicher betreiben zu können.
2. Zu diesem Vortrag
• Dieser kurze Vortrag soll einen allgemeinverständlichen
Überblick für Nicht-Techniker zu wichtigen Grundsätzen und
Hilfsmitteln geben, um eine Web-Anwendung wie WordPress
sicher betreiben zu können.
• Vieles lässt sich auch für andere Web-Anwendungen
übertragen.
• Nicht behandelt werden hier die Aspekte zur lokalen
Sicherheit, Server-Sicherheit, Verbindungssicherheit und zu
gezielten Angriffen.
• Die Vollständigkeit und Richtigkeit kann nicht gewährleistet
werden.
3. Passwortsicherheit
• Wähle ein einmaliges und sicheres Passwort. Dieser
allgemeine Aspekt wird hier nicht näher behandelt! Infos:
http://www.gute-passwoerter.de/ - Danke an Michael Kaiser
• Verwalte Deine Passworte mit Hilfe einer sicheren
Anwendung – nicht im Browser! Vorschläge:
– https://1password.com/
– http://keepass.info/
– Die Passwortverwaltung Deiner AntiVirus/-
Sicherheitssoftware
Zusätzliche Möglichkeiten: Zwei-Faktor-Authentifizierung; Zugriff auf eigene
feste IP beschränken; Login-Zeigen beschränken...
3
4. Installation
Beachte in der Eingabemaske zum Installationsvorgang:
1. Eingabezeile „Table Prefix“: Ersetze
wp_ durch einmaliges Kürzel, bspw.
wpxyz_ für Website „xyz“.
Wenn einmal Schadcode injiziert werden sollte, der die
Datenbank modifzieren will, ist sein Scheitern
wahrscheinlicher.
2. Eingabezeile „Username:“ Ersetze
admin durch einmaligen Benutzernamen, bspw.
xyz-wp-admin für Website „xyz“
Wenn automatisierte Angriffe massenweise Login-Daten zu
erraten versuchen, ist deren Scheitern wahrscheinlicher.
4
5. Profilverwaltung
(Profil=Benutzer)
• Erstelle eine weiteres Profil mit der Rolle „Redakteur“. Nutze
dieses Profil für die alltägliche inhaltliche Arbeit. Die Folgen
eines Missbrauchs durch Dritte nach z.B. Ausspähung können
dadurch begrenzt werden.
Erstelle Profile für Dritte nur mit der nötigen Rolle. Informiere
Dritte in Sachen Passwortsicherheit und Sorgfalt und lasse
Benutzerzugänge nur so lange im System, wie nötig.
• Werden „Spitznamen“ öffentlich verwendet, sollten sie sich
vom Benutzernamen unterscheiden. Dies soll das Ausspähen
von Profilnamen erschweren.
5
6. Massenangriffe
Ungezielte Angriffe finden automatisiert statt. Erschwere ihren
Erfolg und schütze den Server vor Last und Ausfall!
• Ändere die Login URL, um die Anmeldeseite vor
automatisierten Angriffen zu verstecken.
Hilfsmittel: plugin „Rename WP Login“
https://wordpress.org/plugins/rename-wp-login/
• Das Aussperren nach vielen Anmeldeversuchen reduziert den
Erfolg durch Erraten der Zugangsdaten, vor allem aber die
Gefahr der Nichterreichbarkeit durch Überlastung des Servers.
Hilfsmittel: plugin „Login Lockdown“
https://wordpress.org/plugins/login-lockdown/
(Weitere Schutzmechanismen wie Firewalls, Cloud-Lösungen, .htaccess-Regeln usw. sind nicht Teil dieses Vortrags.)
6
7. Auswahl der Komponenten
Die Auswahl von plugins und themes solltest Du stets auch unter
Sicherheitsaspekten vornehmen.
• Kann das plugin nur das, was ich brauche, oder ist sie unnötig
mächtig? Negatives Beispiel: Benutzerrechte-Verwaltung, nur
um Menüpunkte auszublenden
• Freie Software lebt vom Engagement der Hersteller, dies
garantiert an sich noch keine dauerhafte Sicherheit.
Wird das theme/plugin vom Hersteller gepflegt? (Wird es
zumindest gelegentlich aktualisiert, ist die jüngste Version
nicht älter als ein Jahr, gibt es Reaktionen auf öffentliche
Support-Anfragen?)
7
8. Softwarepflege
Ist eine Anwendung grundlegend geschützt, müssen neue
Sicherheitslücken durch Updates geschlossen werden. Halte
WordPress und alle Komponenten (v.a. themes, plugins)
möglichst stets aktuell!
• WordPress prüft automatisch auf Sicherheitsupdates für die
Kern-Anwendung. Schalte dies nicht ab!
• Sicherheitslücken können sogar bei deaktivierten plugins und
themes ausgenutzt werden – lösche, was nicht benötigt wird!
• Prüfe themes und plugins auf Updates. Hilfsmittel:
https://wordpress.org/plugins/wp-updates-notifier/
• Halte Dich beim Hersteller des themes auf dem Laufenden
(Newsletter, RSS, Github, …)
8
9. Softwarepflege
Nicht jedes Update ist nötig, nicht jede Komponente wird
gepflegt. Informiere Dich bei Dritten über Sicherheitslücken:
• Verwendete plugins können mit bekannten Sicherheitslücken
laufend automatisch abgeglichen werden. Hilfsmittel:
https://wordpress.org/plugins/plugin-vulnerabilities/
• Verwendete plugins, die aus dem WordPress Repository
https://wordpress.org/plugins/ entfernt wurden, können Dir
gemeldet werden:
https://wordpress.org/plugins/no-longer-in-directory/
• Frage Deinen Webdesigner, Webhoster o.a. nach
Unterstützung durch Beratung, Sichtung und laufende
Softwarepflege
9
10. Sicherheitskopien (Backups)
Zum großen Thema Backups können hier nur kurz die für den
Vortrag relevanten Aspekte behandelt werden:
• Erstelle vor jedem manuellen Update eine vollständige
Sicherheitskopie. Benutze hierfür ein plugin mit unabhängiger
Wiederherstellungsfunktion oder eine unabhängige Lösung
wie z.B. die Verwaltungsoberfläche des Webhosters. So
kommst Du kommst einfacher zur Wiederherstellung, falls die
Installation nach einem Update nicht mehr funktioniert.
• Bewahre ältere Backups auf, da eine Infektion der Installation
evtl. erst spät entdeckt wird und dann meist auch in alten
Backups enthalten sein kann.
10
11. Sicherheits-plugins
Oft bestehen Sicherheitslücken aufgrund ähnlicher Ursachen und
werden daher mit automatisierten Methoden ausgenutzt. Um
diese Methoden zu verhindern und zu erschweren, können mit
Hilfe eines ausgefeilten Sicherheits-plugins viele Maßnahmen
einfach aktiviert werden. Dies bietet bspw. das kostenlose plugin
iThemes Security und vor allem iThemes Security Pro mit noch
mehr Funktionsumfang:
https://de.wordpress.org/plugins/better-wp-security/
Weitere Beispiele:
https://de.wordpress.org/plugins/ninjafirewall/
https://wordpress.org/plugins/wordfence/
https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
11
12. Link-Tipps
• Dieser Vortrag: http://de.slideshare.net/trilos-new-media
- siehe auch @trilos auf Twitter
• Videoaufzeichnungen von Vorträgen: http://wordpress.tv/
• Zurückliegende WordCamp-Konferenzen mit Vorträgen:
https://central.wordcamp.org/schedule/past-wordcamps/
• Blog, Newsletter: http://www.wp-sicherheit.info/
• ...
12
13. Danke für die Aufmerksamkeit.
Erik Petersen
petersen@trilos.de
TRILOS new media
Hanomaghof 2
30449 Hannover
tel 0511 214498-60
fax 0511 214498-65
Internet-Auftritte mit WordPress, Hosting uvm.
www.trilos.de