Upload
thomasgemperle
View
324
Download
4
Tags:
Embed Size (px)
DESCRIPTION
Session gehalten am Wordpress Zürich Meetup
Citation preview
Sicherheit von Webanwendungen am Beispiel von Wordpress
24. Juni 2013 / #wpzhThomas Gemperle / @thomasgemperle
Security Themes Wordpress
- Limiting Access- Containment- Preperation and knowledge
http://codex.wordpress.org/Hardening_WordPress
Schwachstellen
1. Webanwendung / CMS2. Technische Umgebung / Server3. Mensch / User
copy
right
by
digi
talg
raph
ixx
(CC
BY
-NC
-ND
2.0
)
Schwachstelle Webanwendung
- Sicherheitslücken im CMS, Plugins, Themes- Gefährliche Features- Brute Force Attacken- Distributed BF attacks
Webanwendung: Sicherheitslücken
Updates, updates, updates- Updatefähigkeit erhalten- Updates durchführen- Achtung: Kompatibilität Plugins --> Staging
Allgemein: Vorsicht mit Plugins
Webanwendung: Sicherheitslücken
Webanwendung: Features
- Plugins (phpMyAdmin, ...)- define('DISALLOW_FILE_EDIT', true);- File Permissions (auto. Update)- Plugin policy: Downloads,
Bewertung, Updates
Webanwendung: Brute Force
Plugin: Limit Login Attemps
Webanwendung: Brute Force
Plugin: Login Security Solution
Plus: Password Policy
Webanwendung: Kein Username admin
Webanwendung: Two Factor Auth
Webanwendung: Two Factor Auth
https://www.duosecurity.com/http://wordpress.org/plugins/google-authenticator/
Webanwendung: Captcha
http://wordpress.org/plugins/captcha
Webanwendung: Prävention
- Backups (z.B. Backup-Plugin)- Spezielle Security-Plugins (Security Ninja, BulletProof Security etc.) - CDNs (CloudFlare etc.)
http://www.wpjedi.com/find-security-vulnerabilities-in-wordpress/
Schwachstelle Server
- Andere Applikationen auf dem selben Server- FTP-Zugänge- DDoS etc.
Server: Andere Applikationen
- Nur eine WP Installation pro Server- Keine anderen Applikationen, (=Risiken) installiert (z.B. Joomla, T3, statische Seiten mit PHP-Code etc.)
Server: FTP
- Kein externer FTP-Zugriff - Admin: SFTP oder VPN
Server: Monitoring
- Vertrauenswürdiger Hoster- Eigene Monitoring Tools (Pingdom, Plugins?)
Schwachstelle MenschPasswort-Management- Schwach- Aufgeschrieben- Weitergegeben
Unsichere Umgebung- WLANs- Phishing (URLs)- Malware, Trojaner, Spyware, Keylogger, ...
copy
right
by
paw
elba
k (C
C B
Y-N
C-N
D 2
.0)
Mensch: Passwort Management
- LastPass- Bewusstsein / Verhalten
Mensch: Benutzer-Accounts
- Limitierter Zugriff- Passwort check- Security-Plugin?
Mensch: Unsichere Umgebung
Mensch: Unsichere Umgebung
SSL
define('FORCE_SSL_ADMIN', true);define('FORCE_SSL_LOGIN', true);
VPN
LastPass
Kontakt
3: http://www.flickr.com/photos/digitalgraphixx/6347678309/15: http://www.flickr.com/photos/pawelbak/3494459979/
Bilder (Creative Commons)
[email protected]@thomasgemperlehttps://www.slideshare.net/thomasgemperle