CMS Securitymy ~/ is my castle
ad personam• Stefan Kremer
• freiberuflicher SystemberaterMac, Web, CTI
• WordPresser seit Duke Ellington
• Contributor WordPress.tvMitgründer WP-Meetup Franken
• Vorrangiger Einsatz von WP als CMS für Kundenpräsenzen
@stkjj
stefanredaktiv
CMS? No prob! Oder doch?
• CVE-Hitliste
• (19) Joomla: 305
• (22) Drupal: 268
• (27) WordPress: 232
• (35) Typo3: 174
• ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
Basisanalyse
• Hosting
• Shared Hosting
• Virtual Host
• Managed Server
• Rootserver
• Housing
• Basissystem?
• OS?
• PHP?
• MySQL?
• Webadmin Tool?
Angriffsvektoren• „Standard“ Benutzernamen
• schwache Passwörter
• veraltete Installationen
• schlechter Code
• SQL Injections
• XSS - Cross Site Scripting
• …
Login Credentials
• was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«?
• Name der Katze oder Geburtsdatum der Oma ist kein Passwort!
• Ein Admin, ein User-Account
• Kopfschmerzen? Finger wund?
➡ Passwortmanager!
Brute-Force Attacs
• Durchprobieren von Credentials
➡ willkürliche Benutzernamen
➡ starke Passwörter
• Sperre nach x Versuchen für Zeitintervall y
• Blacklisting der IP
➡ iThemes Security (ex BetterWPSecurity)
Monitoring
• Server up?
• Dateien verändert?
• Benutzeranmeldungen?
• Eindringungsversuche?
• Logouts?
➡ iThemes Security (ex BetterWPSecurity)
Update, Update, Update
• regelmässig WP-Core aktualisieren
• Achtung: AutoUpdater seit 3.7!
• besser: Benachrichtigung bei Update
• regelmässig PlugIns aktualisieren
• regelmässig (Premium) Themes aktualisieren
TTV• zufällige Versionsnummer ausgeben
• .htaccess-Regeln zum Zugriffsschutz
• /wp-content/
• wp-config.php
• readme.html + liesmich.html
• „hide and seek“ (/wp-content, wp_, …)
➡ iThemes Security (ex BetterWPSecurity)
die Mauer erhöhen
• Login per SSL-Zertifikat absichern
• Kosten < 50 €/p.a.
• http://www.psw.net/ssl-zertifikate.cfm
• Zwei-Faktor Authentifizierung
• https://github.com/sergejmueller/2-Step-Verification
im Fall der (Un)Fälle
• Backup!
• regelmässig, automatisiert, zeitgesteuert
• MySQL-Datenbank
• Dateien, insp. /wp-content/uploads/
• Wiederherstellung üben!
Fazit
• Sicherheit ist eine Daueraufgabe!
• Aufwand vs. Nutzen
• Make or Buy
Vielen Dank für die Aufmerksamkeit!