wordpress security - wp meetup münchen 24.9.2015
TRANSCRIPT
![Page 1: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/1.jpg)
WordPress Securitymy ~/ is my castle
![Page 2: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/2.jpg)
ad personam
• Stefan Kremer
• freiberuflicher Systemberater Mac, Web, CTI
• 10 Jahre WordPress
• Contributor
• Inhaber von AdminPress
@WPAberSicher
adminpress
![Page 3: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/3.jpg)
Das hat doch nix mit mir zu tun!
• kleiner privater Blog
• unverfängliche Inhalte
• kaum öffentliche Wahrnehmung
• überschaubare Zielgruppe
• keine monetären Interessen
![Page 4: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/4.jpg)
Das hat doch nix mit mir zu tun!
• kleiner privater Blog
• unverfängliche Inhalte
• kaum öffentliche Wahrnehmung
• überschaubare Zielgruppe
• keine monetären Interessen
![Page 5: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/5.jpg)
Content is King
• Rechenleistung (CPU)
• Speicherplatz
• Bandbreite
• sendmail
nothing
![Page 6: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/6.jpg)
CMS? No prob!• CVE-Hitliste
• (21) Joomla: 309
• (22) Drupal: 290
• (29) WordPress: 247
• (38) Typo3: 178
• ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
![Page 7: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/7.jpg)
Angriffsvektoren
• Brute-Force Attacs
• „Standard“ Benutzernamen
• schwache Passwörter
• XSS - Cross Site Scripting / SQL Injections
• schlechter Code
• veraltete Installationen
![Page 8: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/8.jpg)
Benutzername
• »admin« bis 3.0 als Vorgabe
• Teile des Domainnamens
• häufige eMail-Adressen wie »info@…«
• Ein Admin-, ein User-Account
• was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«?
![Page 9: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/9.jpg)
Passwörter
![Page 10: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/10.jpg)
Passwörter NoGos
• Vorkommen in Wörterbüchern
• SocialHacking anfälliges
• Tastaturläufe und Folgen
• Passwort-Recycling
• In Word/Excel speichern
![Page 11: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/11.jpg)
Kopfschmerzen? Finger wund?
➡ Passwortmanager!
![Page 12: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/12.jpg)
![Page 13: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/13.jpg)
Verteidigungsstrategie
➡ willkürliche Benutzernamen
➡ starke Passwörter
➡ Sperre nach x Fehlversuchen für Zeitintervall y
➡ Blacklisting der IP
![Page 14: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/14.jpg)
Update, Update, Update
• regelmässig WP-Core aktualisieren
• AutoUpdater seit 3.7!
• ok für Minor/Security-Releases
• regelmässig PlugIns aktualisieren
• regelmässig (Premium) Themes aktualisieren
• ggf. Staging Environment!
![Page 15: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/15.jpg)
Monitoring
• Server up?
• Dateien verändert?
• Benutzeranmeldungen?
• Eindringungsversuche?
• Wer hat wann was gemacht?
![Page 16: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/16.jpg)
TTV• zufällige Versionsnummer ausgeben
• .htaccess-Regeln zum Zugriffsschutz
• /wp-content/
• wp-config.php
• readme.html + liesmich.html
• „hide and seek“ (/wp-content, wp_, …)
![Page 17: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/17.jpg)
die Mauer erhöhen
• min. Login per SSL-Zertifikat absichern
• Kostenlos bis < 50 €/p.a.
• ggf. Kosten beim Hosting für eigene IP
• Zwei-Faktor Authentifizierung
• einfaches eMail Konzept von Sergej Müller
• aufwändiger Duo, Clef, Rublon
• Extra-HW: UbiKey, Fido U2F
![Page 18: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/18.jpg)
Weitwinkel
• Lokaler Rechner sicher?
• Keylogger
• FTP Zugang geschützt?
• besser SFTP oder FTPS (SSL/TLS)!
• PW per eMail übermittelt?
• eMail ohne Verschlüsselung = Postkarte
![Page 19: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/19.jpg)
Serverbasis
• Hosting
• Shared Hosting
• Virtual Host
• Managed Server
• Rootserver
• Housing
• Basissystem?
• OS?
• PHP?
• MySQL?
• Webadmin Tool?
• Plesk
![Page 20: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/20.jpg)
im Fall der (Un)Fälle
• Backup!
• regelmässig, automatisiert, zeitgesteuert, offsite
• MySQL-Datenbank
• Dateien, insp. /wp-content/uploads/
• Wiederherstellung üben!
![Page 21: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/21.jpg)
Fazit
• Sicherheit ist eine Daueraufgabe!
• Aufwand vs. Nutzen
• Make or Buy
![Page 22: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/22.jpg)
Stefan Kremerhttps://adminpress.de
FRAGEN?
![Page 23: WordPress Security - WP Meetup München 24.9.2015](https://reader033.vdocument.in/reader033/viewer/2022050613/58a0df411a28abeb378b6727/html5/thumbnails/23.jpg)
Linksammlunghttps://www.cvedetails.com/top-50-vendor-cvssscore-distribution.phphttp://codex.wordpress.org/WordPress_Versionshttps://wpvulndb.comhttp://wpengine.com/unmasked/https://en.wikipedia.org/wiki/Password_crackinghttp://codex.wordpress.org/Configuring_Automatic_Background_Updateshttps://www.startssl.comhttps://buy.wosign.com/free/https://letsencrypt.orghttps://www.psw.net/ssl-zertifikate.cfmhttps://github.com/sergejmueller/2-Step-Verificationhttps://wordpress.org/plugins/better-wp-security/