WordPress Security - WP Meetup München 24.9.2015
- 1. WordPress Security my ~/ is my castle
- 2. ad personam • Stefan Kremer • freiberuflicher Systemberater Mac,Web, CTI • 10 Jahre WordPress • Contributor • Inhaber von AdminPress @WPAberSicher adminpress stefan@adminpress.de
- 3. Das hat doch nix mit mir zu tun! • kleiner privater Blog • unverfängliche Inhalte • kaum öffentliche Wahrnehmung • überschaubare Zielgruppe • keine monetären Interessen
- 4. Das hat doch nix mit mir zu tun! • kleiner privater Blog • unverfängliche Inhalte • kaum öffentliche Wahrnehmung • überschaubare Zielgruppe • keine monetären Interessen
- 5. Content is King • Rechenleistung (CPU) • Speicherplatz • Bandbreite • sendmail nothing
- 6. CMS? No prob! • CVE-Hitliste • (21) Joomla: 309 • (22) Drupal: 290 • (29) WordPress: 247 • (38) Typo3: 178 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
- 7. Angriffsvektoren • Brute-Force Attacs • „Standard“ Benutzernamen • schwache Passwörter • XSS - Cross Site Scripting / SQL Injections • schlechter Code • veraltete Installationen
- 8. Benutzername • »admin« bis 3.0 alsVorgabe • Teile des Domainnamens • häufige eMail-Adressen wie »info@…« • Ein Admin-, ein User-Account • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«?
- 9. Passwörter
- 10. Passwörter NoGos • Vorkommen in Wörterbüchern • SocialHacking anfälliges • Tastaturläufe und Folgen • Passwort-Recycling • In Word/Excel speichern
- 11. Kopfschmerzen? Finger wund? ➡ Passwortmanager!
- 13. Verteidigungsstrategie ➡ willkürliche Benutzernamen ➡ starke Passwörter ➡ Sperre nach x Fehlversuchen für Zeitintervall y ➡ Blacklisting der IP
- 14. Update, Update, Update • regelmässig WP-Core aktualisieren • AutoUpdater seit 3.7! • ok für Minor/Security-Releases • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren • ggf. Staging Environment!
- 15. Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Wer hat wann was gemacht?
- 16. TTV • zufälligeVersionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …)
- 17. die Mauer erhöhen • min. Login per SSL-Zertifikat absichern • Kostenlos bis < 50 €/p.a. • ggf. Kosten beim Hosting für eigene IP • Zwei-Faktor Authentifizierung • einfaches eMail Konzept von Sergej Müller • aufwändiger Duo, Clef, Rublon • Extra-HW: UbiKey, Fido U2F
- 18. Weitwinkel • Lokaler Rechner sicher? • Keylogger • FTP Zugang geschützt? • besser SFTP oder FTPS (SSL/TLS)! • PW per eMail übermittelt? • eMail ohne Verschlüsselung = Postkarte
- 19. Serverbasis • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool? • Plesk
- 20. im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert, offsite • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
- 21. Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy