Download pdf - CMS Sicherheit

Transcript
Page 1: CMS Sicherheit

WordPress Securitymy ~/ is my castle

19.09.2015 Frank Staude <[email protected]>

Page 2: CMS Sicherheit

Hallo!Frank Staude

Email: [email protected]: @staudeWebseite: www.staude.netGitHub: staude

Co-Founder of WP Meetup HannoverCo-Founder of PHP UG HannoverCo-Founder of Arduino Meetup HannoverOrganizer of WP Meetup NurembergMod @ german WordPress.org SupportforumTranslation Contributor & Editor for germanSpeaker and Volunteer @ WordCamp Hamburg 2014Speaker @ WordCamp Cologne 2015Co-Organizer @ WordCamp Nürnberg 2016Co-Founder of adminpress.de

Page 3: CMS Sicherheit

Das hat doch nix mit mir zu tun!

•kleiner privater Blog

•unverfängliche Inhalte

•kaum öffentliche Wahrnehmung

•überschaubare Zielgruppe

•keine monetären Interessen

Page 4: CMS Sicherheit

Content is King

•Rechenleistung (CPU)

•Speicherplatz

•Bandbreite

•sendmail für Spamversand

nothing

Page 5: CMS Sicherheit

CMS? No prob!

•CVE-Hitliste

•(21) Joomla: 309

•(22) Drupal: 290

•(29) WordPress: 247

•(38) Typo3: 178

•ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert

Page 6: CMS Sicherheit

Angriffsvektoren

•Brute-Force Attacs

• „Standard“ Benutzernamen

• schwache Passwörter

•XSS - Cross Site Scripting / SQL Injections

• schlechter Code

• veraltete Installationen

Page 7: CMS Sicherheit

Benutzername

• »admin« bis 3.0 als Vorgabe

•Teile des Domainnamens

•häufige eMail-Adressen wie »info@…«

•Ein Admin-, ein User-Account

•was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«?

Page 8: CMS Sicherheit

Passwörter

Page 9: CMS Sicherheit

Passwörter NoGos

•Vorkommen in Wörterbüchern

•SocialHacking anfälliges

•Tastaturläufe und Folgen

•Passwort-Recycling

• In Word/Excel speichern

Page 10: CMS Sicherheit

Kopfschmerzen? Finger wund?

➡ Passwortmanager!

Page 11: CMS Sicherheit

Verteidigungsstrategie

•willkürliche Benutzernamen

• starke Passwörter

•Sperre nach x Fehlversuchen für Zeitintervall y

• Blacklisting der IP

Page 12: CMS Sicherheit

Update, Update, Update

• regelmässig WP-Core aktualisieren

•AutoUpdater seit 3.7!

•ok für Minor/Security-Releases

• regelmässig PlugIns aktualisieren

• regelmässig (Premium) Themes aktualisieren

Page 13: CMS Sicherheit

Monitoring

•Server up?

•Dateien verändert?

•Benutzeranmeldungen?

•Eindringungsversuche?

•Wer hat wann was gemacht?

Page 14: CMS Sicherheit

TTV

• zufällige Versionsnummer ausgeben

• .htaccess-Regeln zum Zugriffsschutz

• /wp-content/

•wp-config.php

• readme.html + liesmich.html

• „hide and seek“ (/wp-content, wp_, …)

Page 15: CMS Sicherheit

die Mauer erhöhen•min. Login per SSL-Zertifikat absichern

•Kostenlos bis < 50 €/p.a.

•ggf. Kosten beim Hosting für eigene IP

•Zwei-Faktor Authentifizierung

• einfaches eMail Konzept vom Pluginkollektiv ehemals Sergej Müller

• aufwändiger Duo, Clef, Rublon

•Hardware abhängige Lösungen (YubiKey, U2F)

Page 16: CMS Sicherheit

Weitwinkel

•Lokaler Rechner sicher?

•Keylogger

•FTP Zugang geschützt?

•besser SFTP oder FTPS (SSL/TLS)!

•PW per eMail übermittelt?

• eMail ohne Verschlüsselung = Postkarte

Page 17: CMS Sicherheit

Serverbasis•Hosting

•Shared Hosting

•Virtual Host

•Managed Server

•Rootserver

•Housing

•Basissystem?

•OS?

•PHP?

•MySQL?

•Webadmin Tool?

•Plesk

Page 18: CMS Sicherheit

im Fall der (Un)Fälle

•Backup!

• regelmässig, automatisiert, zeitgesteuert, offsite

•MySQL-Datenbank

•Dateien, insp. /wp-content/uploads/

•Wiederherstellung üben!

Page 19: CMS Sicherheit

Fazit

•Sicherheit ist eine Daueraufgabe!

•Aufwand vs. Nutzen

•Make or Buy

Page 20: CMS Sicherheit

Danke! Fragen?

[email protected]

Page 21: CMS Sicherheit

Linksammlunghttps://www.cvedetails.com/top-50-vendor-cvssscore-distribution.phphttps://wpvulndb.comhttp://wpengine.com/unmasked/http://codex.wordpress.org/Configuring_Automatic_Background_Updateshttps://www.startssl.comhttps://buy.wosign.com/free/https://letsencrypt.orghttps://www.psw.net/ssl-zertifikate.cfmhttps://github.com/sergejmueller/2-Step-Verificationhttps://wordpress.org/plugins/better-wp-security/


Recommended