CMS Sicherheit

  • View
    1.005

  • Download
    0

Embed Size (px)

Text of CMS Sicherheit

  • WordPress Securitymy ~/ is my castle

    19.09.2015 Frank Staude

    mailto:frank@staude.net

  • Hallo!Frank Staude

    Email: frank@staude.net

    Twitter: @staude

    Webseite: www.staude.net

    GitHub: staude

    Co-Founder of WP Meetup Hannover

    Co-Founder of PHP UG Hannover

    Co-Founder of Arduino Meetup Hannover

    Organizer of WP Meetup Nuremberg

    Mod @ german WordPress.org Supportforum

    Translation Contributor & Editor for german

    Speaker and Volunteer @ WordCamp Hamburg 2014

    Speaker @ WordCamp Cologne 2015

    Co-Organizer @ WordCamp Nrnberg 2016

    Co-Founder of adminpress.de

    mailto:frank@staude.nethttps://twitter.com/staudehttp://www.staude.nethttp://www.apple.com/de/

  • Das hat doch nix mit mir zu tun!

    kleiner privater Blog

    unverfngliche Inhalte

    kaum ffentliche Wahrnehmung

    berschaubare Zielgruppe

    keine monetren Interessen

  • Content is King

    Rechenleistung (CPU)

    Speicherplatz

    Bandbreite

    sendmail fr Spamversand

    nothing

  • CMS? No prob!

    CVE-Hitliste

    (21) Joomla: 309

    (22) Drupal: 290

    (29) WordPress: 247

    (38) Typo3: 178

    ohne Eintrag sicher, sondern

    nur noch nicht dokumentiert

  • Angriffsvektoren

    Brute-Force Attacs

    Standard Benutzernamen

    schwache Passwrter

    XSS - Cross Site Scripting / SQL Injections

    schlechter Code

    veraltete Installationen

  • Benutzername

    admin bis 3.0 als Vorgabe

    Teile des Domainnamens

    hufige eMail-Adressen wie info@

    Ein Admin-, ein User-Account

    was spricht eigentlich gegen den Benutzernamen

    asylufdeworig23r?

  • Passwrter

  • Passwrter NoGos

    Vorkommen in Wrterbchern

    SocialHacking anflliges

    Tastaturlufe und Folgen

    Passwort-Recycling

    In Word/Excel speichern

  • Kopfschmerzen? Finger wund?

    Passwortmanager!

  • Verteidigungsstrategie

    willkrliche Benutzernamen

    starke Passwrter

    Sperre nach x Fehlversuchen

    fr Zeitintervall y

    Blacklisting der IP

  • Update, Update, Update

    regelmssig WP-Core aktualisieren

    AutoUpdater seit 3.7!

    ok fr Minor/Security-Releases

    regelmssig PlugIns aktualisieren

    regelmssig (Premium) Themes aktualisieren

  • Monitoring

    Server up?

    Dateien verndert?

    Benutzeranmeldungen?

    Eindringungsversuche?

    Wer hat wann was gemacht?

  • TTV

    zufllige Versionsnummer ausgeben

    .htaccess-Regeln zum Zugriffsschutz

    /wp-content/

    wp-config.php

    readme.html + liesmich.html

    hide and seek (/wp-content, wp_, )

  • die Mauer erhhenmin. Login per SSL-Zertifikat absichern

    Kostenlos bis < 50 /p.a.

    ggf. Kosten beim Hosting fr eigene IP

    Zwei-Faktor Authentifizierung

    einfaches eMail Konzept vom Pluginkollektiv

    ehemals Sergej Mller

    aufwndiger Duo, Clef, Rublon

    Hardware abhngige Lsungen (YubiKey, U2F)

  • Weitwinkel

    Lokaler Rechner sicher?

    Keylogger

    FTP Zugang geschtzt?

    besser SFTP oder FTPS (SSL/TLS)!

    PW per eMail bermittelt?

    eMail ohne Verschlsselung = Postkarte

  • ServerbasisHosting

    Shared Hosting

    Virtual Host

    Managed Server

    Rootserver

    Housing

    Basissystem?

    OS?

    PHP?

    MySQL?

    Webadmin Tool?

    Plesk

  • im Fall der (Un)Flle

    Backup!

    regelmssig, automatisiert, zeitgesteuert, offsite

    MySQL-Datenbank

    Dateien, insp. /wp-content/uploads/

    Wiederherstellung ben!

  • Fazit

    Sicherheit ist eine Daueraufgabe!

    Aufwand vs. Nutzen

    Make or Buy

  • Danke! Fragen?

    frank@adminpress.de

  • Linksammlunghttps://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php

    https://wpvulndb.com

    http://wpengine.com/unmasked/

    http://codex.wordpress.org/Configuring_Automatic_Background_Updates

    https://www.startssl.com

    https://buy.wosign.com/free/

    https://letsencrypt.org

    https://www.psw.net/ssl-zertifikate.cfm

    https://github.com/sergejmueller/2-Step-Verification

    https://wordpress.org/plugins/better-wp-security/

    http://www.cvedetails.com/top-50-vendor-cvssscore-distribution.phphttps://wpvulndb.comhttp://wpengine.com/unmasked/https://www.startssl.comhttps://buy.wosign.com/free/https://letsencrypt.orghttps://www.psw.net/ssl-zertifikate.cfmhttps://github.com/sergejmueller/2-Step-Verificationhttps://wordpress.org/plugins/better-wp-security/