Abstraktes Bild einer Frau, die auf Büchern sitzt und an einem Laptop studiert

Cms security

S
stk_jj

Das Dokument behandelt Sicherheitsaspekte von Content-Management-Systemen (CMS) wie WordPress, Joomla und Drupal, einschließlich gängiger Angriffsvektoren und Best Practices zur Verbesserung der Sicherheit. Es betont die Wichtigkeit von regelmäßigen Updates, starken Passwörtern, Monitoring und Sicherheitsmaßnahmen wie SSL-Zertifikaten und Zwei-Faktor-Authentifizierung. Zudem wird auf die Notwendigkeit von Backups und die kontinuierliche Auseinandersetzung mit Sicherheitsfragen hingewiesen.

Internet
1 von 16
Downloaden Sie, um offline zu lesen
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
CMS Security my ~/ is my castle
ad personam • Stefan Kremer • freiberuflicher Systemberater Mac, Web, CTI • WordPresser seit Duke Ellington • Contributor WordPress.tv Mitgründer WP-Meetup Franken • Vorrangiger Einsatz von WP als CMS für Kundenpräsenzen @stkjj stefanredaktiv stefan@redaktiv.de
CMS? No prob! Oder doch? • CVE-Hitliste • (19) Joomla: 305 • (22) Drupal: 268 • (27) WordPress: 232 • (35) Typo3: 174 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
Basisanalyse • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool?
Angriffsvektoren • „Standard“ Benutzernamen • schwache Passwörter • veraltete Installationen • schlechter Code • SQL Injections • XSS - Cross Site Scripting • …
Login Credentials • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«? • Name der Katze oder Geburtsdatum der Oma ist kein Passwort! • Ein Admin, ein User-Account • Kopfschmerzen? Finger wund? ➡ Passwortmanager!
Cms security
Cms security
Brute-Force Attacs • Durchprobieren von Credentials ➡ willkürliche Benutzernamen ➡ starke Passwörter • Sperre nach x Versuchen für Zeitintervall y • Blacklisting der IP ➡ iThemes Security (ex BetterWPSecurity)
Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Logouts? ➡ iThemes Security (ex BetterWPSecurity)
Update, Update, Update • regelmässig WP-Core aktualisieren • Achtung: AutoUpdater seit 3.7! • besser: Benachrichtigung bei Update • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren
TTV • zufällige Versionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …) ➡ iThemes Security (ex BetterWPSecurity)
die Mauer erhöhen • Login per SSL-Zertifikat absichern • Kosten < 50 €/p.a. • http://www.psw.net/ssl-zertifikate.cfm • Zwei-Faktor Authentifizierung • https://github.com/sergejmueller/2-Step-Verification
im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
Vielen Dank für die Aufmerksamkeit!

Weitere ähnliche Inhalte

PDF
WordPress Security - WP Meetup München 24.9.2015
stk_jj
 
PDF
WordPress Security
stk_jj
 
PDF
Sicherheit für WordPress
Walter Ebert
 
PDF
Wordpress für Profis
Anika Erdmann
 
PPTX
SEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwalten
get on top gmbh
 
PPTX
Sicher bloggen mit WordPresse - CMS absichern
Sven Trautwein
 
PDF
2FA4WP - Two Factor Authentification for WordPress
stk_jj
 
PPT
Datensicherung WordPress
Joachim Hummel
 
WordPress Security - WP Meetup München 24.9.2015
stk_jj
 
WordPress Security
stk_jj
 
Sicherheit für WordPress
Walter Ebert
 
Wordpress für Profis
Anika Erdmann
 
SEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwalten
get on top gmbh
 
Sicher bloggen mit WordPresse - CMS absichern
Sven Trautwein
 
2FA4WP - Two Factor Authentification for WordPress
stk_jj
 
Datensicherung WordPress
Joachim Hummel
 

Was ist angesagt? (12)

PDF
Ist deine Webseite wirklich Sicher?
Martin Wolfert
 
PDF
WordPress Grundlagen Kurs
Benjamin Hartwich
 
PDF
Wordpress Crashkurs
Coworking Akademie
 
PDF
node.js Einführung
Benjamin-Timm Broich
 
PDF
node.js - Eine kurze Einführung
nodeio
 
PDF
WordPress Professional II
Sebastian Blum
 
PDF
WordPress Professional – SEO Campixx
Sebastian Blum
 
PDF
Startups in „Die Höhle der Löwen“ - SEODAY 2016
Dennis Oderwald
 
PDF
9 WordPress Plugins für SEO, die reich und mächtig machen
Alexander Rus
 
PDF
Wordpress - Einführung und Überblick über die Kernfunktionen
Mario Fink
 
PPTX
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
get on top gmbh
 
ODP
WordPress absichern - WP Camp 2012 in Berlin
Torsten Landsiedel
 
Ist deine Webseite wirklich Sicher?
Martin Wolfert
 
WordPress Grundlagen Kurs
Benjamin Hartwich
 
Wordpress Crashkurs
Coworking Akademie
 
node.js Einführung
Benjamin-Timm Broich
 
node.js - Eine kurze Einführung
nodeio
 
WordPress Professional II
Sebastian Blum
 
WordPress Professional – SEO Campixx
Sebastian Blum
 
Startups in „Die Höhle der Löwen“ - SEODAY 2016
Dennis Oderwald
 
9 WordPress Plugins für SEO, die reich und mächtig machen
Alexander Rus
 
Wordpress - Einführung und Überblick über die Kernfunktionen
Mario Fink
 
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
get on top gmbh
 
WordPress absichern - WP Camp 2012 in Berlin
Torsten Landsiedel
 
Anzeige

Andere mochten auch (20)

PPTX
Warum Lernen glücklich macht
Andre_Schleiter
 
PPTX
Actividad módulo 4: Scoop.it
Mariam Feliciano-García
 
PPT
Goudenhanddruk
goudenhanddrukshop
 
PPTX
Meta 4.2
pakko desmadres
 
PPTX
Las TICS en la Educación
Vasquez Elizabeth
 
PDF
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
lernet
 
PDF
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert
 
PPT
Tutorial 2 - Einen Blog abonnieren
Schestak
 
PPTX
Geschlecht Und Demokratie
guesta6eca45
 
KEY
a2n Awards
guestff4711
 
PDF
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
joness6
 
PPT
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
lernet
 
PPS
4 Grunde Sich Nicht Zu Beklagen
guest381e96c8
 
PPTX
Aim global Business Plan
altasaim
 
PPT
Einführung
Schestak
 
PDF
Buchlandschaft 2015
Neopubli GmbH
 
PPTX
Fee
Fee070488
 
PPTX
Adobe Interaktive Formulare in SAP ERP
anthesis GmbH
 
PDF
schau.gmuend Nr.3
Andreas Krapohl
 
PPTX
Familie Der Seligpreisungen
unterlechner
 
Warum Lernen glücklich macht
Andre_Schleiter
 
Actividad módulo 4: Scoop.it
Mariam Feliciano-García
 
Goudenhanddruk
goudenhanddrukshop
 
Meta 4.2
pakko desmadres
 
Las TICS en la Educación
Vasquez Elizabeth
 
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
lernet
 
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert
 
Tutorial 2 - Einen Blog abonnieren
Schestak
 
Geschlecht Und Demokratie
guesta6eca45
 
a2n Awards
guestff4711
 
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
joness6
 
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
lernet
 
4 Grunde Sich Nicht Zu Beklagen
guest381e96c8
 
Aim global Business Plan
altasaim
 
Einführung
Schestak
 
Buchlandschaft 2015
Neopubli GmbH
 
Fee
Fee070488
 
Adobe Interaktive Formulare in SAP ERP
anthesis GmbH
 
schau.gmuend Nr.3
Andreas Krapohl
 
Familie Der Seligpreisungen
unterlechner
 
Anzeige

Mehr von stk_jj (9)

PDF
UX in the WordPress backend
stk_jj
 
PDF
Page Performance
stk_jj
 
PDF
The Business of WordPress
stk_jj
 
PDF
WordPress Security 101 - Meetup Nairobi March 2020
stk_jj
 
PDF
WordPress Security 101 - WordCamp Nairobi 2019
stk_jj
 
PDF
Security? hey, it's only word press!
stk_jj
 
PDF
Scaling WordPress - WP on AWS
stk_jj
 
PDF
WordPress Sicherheit ab Werk
stk_jj
 
PDF
We are WP, we are legion - WP Camp 2013 Berlin
stk_jj
 
UX in the WordPress backend
stk_jj
 
Page Performance
stk_jj
 
The Business of WordPress
stk_jj
 
WordPress Security 101 - Meetup Nairobi March 2020
stk_jj
 
WordPress Security 101 - WordCamp Nairobi 2019
stk_jj
 
Security? hey, it's only word press!
stk_jj
 
Scaling WordPress - WP on AWS
stk_jj
 
WordPress Sicherheit ab Werk
stk_jj
 
We are WP, we are legion - WP Camp 2013 Berlin
stk_jj
 

Cms security

  • 1. CMS Security my ~/ is my castle
  • 2. ad personam • Stefan Kremer • freiberuflicher Systemberater Mac, Web, CTI • WordPresser seit Duke Ellington • Contributor WordPress.tv Mitgründer WP-Meetup Franken • Vorrangiger Einsatz von WP als CMS für Kundenpräsenzen @stkjj stefanredaktiv stefan@redaktiv.de
  • 3. CMS? No prob! Oder doch? • CVE-Hitliste • (19) Joomla: 305 • (22) Drupal: 268 • (27) WordPress: 232 • (35) Typo3: 174 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
  • 4. Basisanalyse • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool?
  • 5. Angriffsvektoren • „Standard“ Benutzernamen • schwache Passwörter • veraltete Installationen • schlechter Code • SQL Injections • XSS - Cross Site Scripting • …
  • 6. Login Credentials • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«? • Name der Katze oder Geburtsdatum der Oma ist kein Passwort! • Ein Admin, ein User-Account • Kopfschmerzen? Finger wund? ➡ Passwortmanager!
  • 9. Brute-Force Attacs • Durchprobieren von Credentials ➡ willkürliche Benutzernamen ➡ starke Passwörter • Sperre nach x Versuchen für Zeitintervall y • Blacklisting der IP ➡ iThemes Security (ex BetterWPSecurity)
  • 10. Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Logouts? ➡ iThemes Security (ex BetterWPSecurity)
  • 11. Update, Update, Update • regelmässig WP-Core aktualisieren • Achtung: AutoUpdater seit 3.7! • besser: Benachrichtigung bei Update • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren
  • 12. TTV • zufällige Versionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …) ➡ iThemes Security (ex BetterWPSecurity)
  • 13. die Mauer erhöhen • Login per SSL-Zertifikat absichern • Kosten < 50 €/p.a. • http://www.psw.net/ssl-zertifikate.cfm • Zwei-Faktor Authentifizierung • https://github.com/sergejmueller/2-Step-Verification
  • 14. im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
  • 15. Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
  • 16. Vielen Dank für die Aufmerksamkeit!