SlideShare une entreprise Scribd logo

Cms security

S
stk_jj

My Home is my Castle Wie sichere ich Content Management Systeme ab am Beispiel von WordPress. Präsentation zur 6. CMS Night im Rahmen der #nueww

Internet
1  sur  16
Télécharger pour lire hors ligne
CMS Security my ~/ is my castle
ad personam • Stefan Kremer • freiberuflicher Systemberater Mac, Web, CTI • WordPresser seit Duke Ellington • Contributor WordPress.tv Mitgründer WP-Meetup Franken • Vorrangiger Einsatz von WP als CMS für Kundenpräsenzen @stkjj stefanredaktiv stefan@redaktiv.de
CMS? No prob! Oder doch? • CVE-Hitliste • (19) Joomla: 305 • (22) Drupal: 268 • (27) WordPress: 232 • (35) Typo3: 174 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
Basisanalyse • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool?
Angriffsvektoren • „Standard“ Benutzernamen • schwache Passwörter • veraltete Installationen • schlechter Code • SQL Injections • XSS - Cross Site Scripting • …
Login Credentials • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«? • Name der Katze oder Geburtsdatum der Oma ist kein Passwort! • Ein Admin, ein User-Account • Kopfschmerzen? Finger wund? ➡ Passwortmanager!
Brute-Force Attacs • Durchprobieren von Credentials ➡ willkürliche Benutzernamen ➡ starke Passwörter • Sperre nach x Versuchen für Zeitintervall y • Blacklisting der IP ➡ iThemes Security (ex BetterWPSecurity)
Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Logouts? ➡ iThemes Security (ex BetterWPSecurity)
Update, Update, Update • regelmässig WP-Core aktualisieren • Achtung: AutoUpdater seit 3.7! • besser: Benachrichtigung bei Update • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren
TTV • zufällige Versionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …) ➡ iThemes Security (ex BetterWPSecurity)
die Mauer erhöhen • Login per SSL-Zertifikat absichern • Kosten < 50 €/p.a. • http://www.psw.net/ssl-zertifikate.cfm • Zwei-Faktor Authentifizierung • https://github.com/sergejmueller/2-Step-Verification
im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
Vielen Dank für die Aufmerksamkeit!

Recommandé

WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015stk_jj
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Securitystk_jj
 
Sicherheit für WordPress
Sicherheit für WordPressSicherheit für WordPress
Sicherheit für WordPressWalter Ebert
 
Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für ProfisAnika Erdmann
 
SEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwalten
SEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwaltenSEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwalten
SEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwaltenget on top gmbh
 
Sicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichernSicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichernSven Trautwein
 
2FA4WP - Two Factor Authentification for WordPress
2FA4WP - Two Factor Authentification for WordPress2FA4WP - Two Factor Authentification for WordPress
2FA4WP - Two Factor Authentification for WordPressstk_jj
 
Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPressJoachim Hummel
 

Recommandé

WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015stk_jj
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Securitystk_jj
 
Sicherheit für WordPress
Sicherheit für WordPressSicherheit für WordPress
Sicherheit für WordPressWalter Ebert
 
Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für ProfisAnika Erdmann
 
SEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwalten
SEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwaltenSEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwalten
SEODay 2011 - Seitennetzwerk mit WordPress effizient aufbauen und verwaltenget on top gmbh
 
Sicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichernSicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichernSven Trautwein
 
2FA4WP - Two Factor Authentification for WordPress
2FA4WP - Two Factor Authentification for WordPress2FA4WP - Two Factor Authentification for WordPress
2FA4WP - Two Factor Authentification for WordPressstk_jj
 
Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPressJoachim Hummel
 
Ist deine Webseite wirklich Sicher?
Ist deine Webseite wirklich Sicher?Ist deine Webseite wirklich Sicher?
Ist deine Webseite wirklich Sicher?Martin Wolfert
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen KursBenjamin Hartwich
 
Wordpress Crashkurs
Wordpress CrashkursWordpress Crashkurs
Wordpress CrashkursCoworking Akademie
 
node.js Einführung
node.js Einführungnode.js Einführung
node.js EinführungBenjamin-Timm Broich
 
node.js - Eine kurze Einführung
node.js - Eine kurze Einführungnode.js - Eine kurze Einführung
node.js - Eine kurze Einführungnodeio
 
WordPress Professional II
WordPress Professional IIWordPress Professional II
WordPress Professional IISebastian Blum
 
WordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxWordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxSebastian Blum
 
Startups in „Die Höhle der Löwen“ - SEODAY 2016
Startups in „Die Höhle der Löwen“ - SEODAY 2016Startups in „Die Höhle der Löwen“ - SEODAY 2016
Startups in „Die Höhle der Löwen“ - SEODAY 2016Dennis Oderwald
 
9 WordPress Plugins für SEO, die reich und mächtig machen
9 WordPress Plugins für SEO, die reich und mächtig machen9 WordPress Plugins für SEO, die reich und mächtig machen
9 WordPress Plugins für SEO, die reich und mächtig machenAlexander Rus
 
Wordpress - Einführung und Überblick über die Kernfunktionen
Wordpress - Einführung und Überblick über die KernfunktionenWordpress - Einführung und Überblick über die Kernfunktionen
Wordpress - Einführung und Überblick über die KernfunktionenMario Fink
 
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012get on top gmbh
 
WordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinWordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinTorsten Landsiedel
 
Warum Lernen glücklich macht
Warum Lernen glücklich macht Warum Lernen glücklich macht
Warum Lernen glücklich macht Andre_Schleiter
 
Actividad módulo 4: Scoop.it
Actividad módulo 4: Scoop.itActividad módulo 4: Scoop.it
Actividad módulo 4: Scoop.itMariam Feliciano-García
 
Goudenhanddruk
GoudenhanddrukGoudenhanddruk
Goudenhanddrukgoudenhanddrukshop
 
Meta 4.2
Meta 4.2Meta 4.2
Meta 4.2pakko desmadres
 
Las TICS en la Educación
Las TICS en la EducaciónLas TICS en la Educación
Las TICS en la EducaciónVasquez Elizabeth
 
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
Mario Rümmler: Einfache Werkzeuge zur Erstellung von LerninhaltenMario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhaltenlernet
 
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz RechtBernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz RechtBernd Fuhlert
 
Tutorial 2 - Einen Blog abonnieren
Tutorial 2 - Einen Blog abonnierenTutorial 2 - Einen Blog abonnieren
Tutorial 2 - Einen Blog abonnierenSchestak
 
Geschlecht Und Demokratie
Geschlecht Und DemokratieGeschlecht Und Demokratie
Geschlecht Und Demokratieguesta6eca45
 
a2n Awards
a2n Awardsa2n Awards
a2n Awardsguestff4711
 

Contenu connexe

Tendances

Ist deine Webseite wirklich Sicher?
Ist deine Webseite wirklich Sicher?Ist deine Webseite wirklich Sicher?
Ist deine Webseite wirklich Sicher?Martin Wolfert
 
node.js - Eine kurze Einführung
node.js - Eine kurze Einführungnode.js - Eine kurze Einführung
node.js - Eine kurze Einführungnodeio
 
WordPress Professional II
WordPress Professional IIWordPress Professional II
WordPress Professional IISebastian Blum
 
WordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxWordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxSebastian Blum
 
Startups in „Die Höhle der Löwen“ - SEODAY 2016
Startups in „Die Höhle der Löwen“ - SEODAY 2016Startups in „Die Höhle der Löwen“ - SEODAY 2016
Startups in „Die Höhle der Löwen“ - SEODAY 2016Dennis Oderwald
 
9 WordPress Plugins für SEO, die reich und mächtig machen
9 WordPress Plugins für SEO, die reich und mächtig machen9 WordPress Plugins für SEO, die reich und mächtig machen
9 WordPress Plugins für SEO, die reich und mächtig machenAlexander Rus
 
Wordpress - Einführung und Überblick über die Kernfunktionen
Wordpress - Einführung und Überblick über die KernfunktionenWordpress - Einführung und Überblick über die Kernfunktionen
Wordpress - Einführung und Überblick über die KernfunktionenMario Fink
 
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012get on top gmbh
 
WordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinWordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinTorsten Landsiedel
 

Tendances (12)

Ist deine Webseite wirklich Sicher?
Ist deine Webseite wirklich Sicher?Ist deine Webseite wirklich Sicher?
Ist deine Webseite wirklich Sicher?
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen Kurs
 
Wordpress Crashkurs
Wordpress CrashkursWordpress Crashkurs
Wordpress Crashkurs
 
node.js Einführung
node.js Einführungnode.js Einführung
node.js Einführung
 
node.js - Eine kurze Einführung
node.js - Eine kurze Einführungnode.js - Eine kurze Einführung
node.js - Eine kurze Einführung
 
WordPress Professional II
WordPress Professional IIWordPress Professional II
WordPress Professional II
 
WordPress Professional – SEO Campixx
WordPress Professional – SEO CampixxWordPress Professional – SEO Campixx
WordPress Professional – SEO Campixx
 
Startups in „Die Höhle der Löwen“ - SEODAY 2016
Startups in „Die Höhle der Löwen“ - SEODAY 2016Startups in „Die Höhle der Löwen“ - SEODAY 2016
Startups in „Die Höhle der Löwen“ - SEODAY 2016
 
9 WordPress Plugins für SEO, die reich und mächtig machen
9 WordPress Plugins für SEO, die reich und mächtig machen9 WordPress Plugins für SEO, die reich und mächtig machen
9 WordPress Plugins für SEO, die reich und mächtig machen
 
Wordpress - Einführung und Überblick über die Kernfunktionen
Wordpress - Einführung und Überblick über die KernfunktionenWordpress - Einführung und Überblick über die Kernfunktionen
Wordpress - Einführung und Überblick über die Kernfunktionen
 
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
Wie projektiere ich eine expired Domain mit Wordpress - SEO Campixx 2012
 
WordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinWordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in Berlin
 

En vedette

Warum Lernen glücklich macht
Warum Lernen glücklich macht Warum Lernen glücklich macht
Warum Lernen glücklich macht Andre_Schleiter
 
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
Mario Rümmler: Einfache Werkzeuge zur Erstellung von LerninhaltenMario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhaltenlernet
 
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz RechtBernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz RechtBernd Fuhlert
 
Tutorial 2 - Einen Blog abonnieren
Tutorial 2 - Einen Blog abonnierenTutorial 2 - Einen Blog abonnieren
Tutorial 2 - Einen Blog abonnierenSchestak
 
Geschlecht Und Demokratie
Geschlecht Und DemokratieGeschlecht Und Demokratie
Geschlecht Und Demokratieguesta6eca45
 
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorikjoness6
 
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzenUlrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzenlernet
 
4 Grunde Sich Nicht Zu Beklagen
4 Grunde Sich Nicht Zu Beklagen4 Grunde Sich Nicht Zu Beklagen
4 Grunde Sich Nicht Zu Beklagenguest381e96c8
 
Aim global Business Plan
Aim global Business PlanAim global Business Plan
Aim global Business Planaltasaim
 
Einführung
EinführungEinführung
EinführungSchestak
 
Adobe Interaktive Formulare in SAP ERP
Adobe Interaktive Formulare in SAP ERPAdobe Interaktive Formulare in SAP ERP
Adobe Interaktive Formulare in SAP ERPanthesis GmbH
 
Familie Der Seligpreisungen
Familie Der SeligpreisungenFamilie Der Seligpreisungen
Familie Der Seligpreisungenunterlechner
 

En vedette (20)

Warum Lernen glücklich macht
Warum Lernen glücklich macht Warum Lernen glücklich macht
Warum Lernen glücklich macht
 
Actividad módulo 4: Scoop.it
Actividad módulo 4: Scoop.itActividad módulo 4: Scoop.it
Actividad módulo 4: Scoop.it
 
Goudenhanddruk
GoudenhanddrukGoudenhanddruk
Goudenhanddruk
 
Meta 4.2
Meta 4.2Meta 4.2
Meta 4.2
 
Las TICS en la Educación
Las TICS en la EducaciónLas TICS en la Educación
Las TICS en la Educación
 
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
Mario Rümmler: Einfache Werkzeuge zur Erstellung von LerninhaltenMario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
Mario Rümmler: Einfache Werkzeuge zur Erstellung von Lerninhalten
 
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz RechtBernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
Bernd Fuhlert: AMC Arbeitskreis - Dialogmarketing trotz Recht
 
Tutorial 2 - Einen Blog abonnieren
Tutorial 2 - Einen Blog abonnierenTutorial 2 - Einen Blog abonnieren
Tutorial 2 - Einen Blog abonnieren
 
Geschlecht Und Demokratie
Geschlecht Und DemokratieGeschlecht Und Demokratie
Geschlecht Und Demokratie
 
a2n Awards
a2n Awardsa2n Awards
a2n Awards
 
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
04 Aspekte des Schriftspracherwerbs, Schreiben, Schrift, Motorik
 
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzenUlrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
Ulrich Winchenbach: Virtuelle Seminare für betriebliche Weiterbildung nutzen
 
4 Grunde Sich Nicht Zu Beklagen
4 Grunde Sich Nicht Zu Beklagen4 Grunde Sich Nicht Zu Beklagen
4 Grunde Sich Nicht Zu Beklagen
 
Aim global Business Plan
Aim global Business PlanAim global Business Plan
Aim global Business Plan
 
Einführung
EinführungEinführung
Einführung
 
Buchlandschaft 2015
Buchlandschaft 2015Buchlandschaft 2015
Buchlandschaft 2015
 
Fee
FeeFee
Fee
 
Adobe Interaktive Formulare in SAP ERP
Adobe Interaktive Formulare in SAP ERPAdobe Interaktive Formulare in SAP ERP
Adobe Interaktive Formulare in SAP ERP
 
schau.gmuend Nr.3
schau.gmuend Nr.3schau.gmuend Nr.3
schau.gmuend Nr.3
 
Familie Der Seligpreisungen
Familie Der SeligpreisungenFamilie Der Seligpreisungen
Familie Der Seligpreisungen
 

Similaire à Cms security

Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)tschikarski
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEARCH ONE
 
Javascript done right
Javascript done rightJavascript done right
Javascript done rightDirk Ginader
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Securitykuehlhaus AG
 
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutschAnbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutschAskozia
 
"git.net" gibt's nicht?
"git.net" gibt's nicht?"git.net" gibt's nicht?
"git.net" gibt's nicht?inovex GmbH
 
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017TRILOS new media
 
Wieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheiternWieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheiternDigicomp Academy AG
 
Internet Information Services (deutsch)
Internet Information Services (deutsch)Internet Information Services (deutsch)
Internet Information Services (deutsch)Joerg Krause
 
Sichere Passwörter
Sichere PasswörterSichere Passwörter
Sichere PasswörterBjörn Wibben
 
Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?libertello GmbH
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitArian Kriesch
 
D3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultD3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultAndreas Schulte
 
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis GehrtFMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis GehrtVerein FM Konferenz
 
Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterGunther Pippèrr
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Agenda Europe 2035
 

Similaire à Cms security (20)

Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
 
ASP.NET Core Security
ASP.NET Core SecurityASP.NET Core Security
ASP.NET Core Security
 
Passwörter lang oder kurz?
Passwörter lang oder kurz?Passwörter lang oder kurz?
Passwörter lang oder kurz?
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
 
Javascript done right
Javascript done rightJavascript done right
Javascript done right
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutschAnbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
 
"git.net" gibt's nicht?
"git.net" gibt's nicht?"git.net" gibt's nicht?
"git.net" gibt's nicht?
 
Sichere Webanwendungen
Sichere WebanwendungenSichere Webanwendungen
Sichere Webanwendungen
 
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
 
Wieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheiternWieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheitern
 
Internet Information Services (deutsch)
Internet Information Services (deutsch)Internet Information Services (deutsch)
Internet Information Services (deutsch)
 
Sichere Passwörter
Sichere PasswörterSichere Passwörter
Sichere Passwörter
 
Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
 
D3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultD3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id Vault
 
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis GehrtFMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
 
Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerter
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
 
CMS Sicherheit
CMS SicherheitCMS Sicherheit
CMS Sicherheit
 

Plus de stk_jj

UX in the WordPress backend
UX in the WordPress backendUX in the WordPress backend
UX in the WordPress backendstk_jj
 
Page Performance
Page PerformancePage Performance
Page Performancestk_jj
 
The Business of WordPress
The Business of WordPressThe Business of WordPress
The Business of WordPressstk_jj
 
WordPress Security 101 - Meetup Nairobi March 2020
WordPress Security 101 - Meetup Nairobi March 2020 WordPress Security 101 - Meetup Nairobi March 2020
WordPress Security 101 - Meetup Nairobi March 2020 stk_jj
 
WordPress Security 101 - WordCamp Nairobi 2019
WordPress Security 101 - WordCamp Nairobi 2019WordPress Security 101 - WordCamp Nairobi 2019
WordPress Security 101 - WordCamp Nairobi 2019stk_jj
 
Security? hey, it's only word press!
Security? hey, it's only word press!Security? hey, it's only word press!
Security? hey, it's only word press!stk_jj
 
Scaling WordPress - WP on AWS
Scaling WordPress - WP on AWSScaling WordPress - WP on AWS
Scaling WordPress - WP on AWSstk_jj
 
WordPress Sicherheit ab Werk
WordPress Sicherheit ab WerkWordPress Sicherheit ab Werk
WordPress Sicherheit ab Werkstk_jj
 
We are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 BerlinWe are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 Berlinstk_jj
 

Plus de stk_jj (9)

UX in the WordPress backend
UX in the WordPress backendUX in the WordPress backend
UX in the WordPress backend
 
Page Performance
Page PerformancePage Performance
Page Performance
 
The Business of WordPress
The Business of WordPressThe Business of WordPress
The Business of WordPress
 
WordPress Security 101 - Meetup Nairobi March 2020
WordPress Security 101 - Meetup Nairobi March 2020 WordPress Security 101 - Meetup Nairobi March 2020
WordPress Security 101 - Meetup Nairobi March 2020
 
WordPress Security 101 - WordCamp Nairobi 2019
WordPress Security 101 - WordCamp Nairobi 2019WordPress Security 101 - WordCamp Nairobi 2019
WordPress Security 101 - WordCamp Nairobi 2019
 
Security? hey, it's only word press!
Security? hey, it's only word press!Security? hey, it's only word press!
Security? hey, it's only word press!
 
Scaling WordPress - WP on AWS
Scaling WordPress - WP on AWSScaling WordPress - WP on AWS
Scaling WordPress - WP on AWS
 
WordPress Sicherheit ab Werk
WordPress Sicherheit ab WerkWordPress Sicherheit ab Werk
WordPress Sicherheit ab Werk
 
We are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 BerlinWe are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 Berlin
 

Cms security

  • 1. CMS Security my ~/ is my castle
  • 2. ad personam • Stefan Kremer • freiberuflicher Systemberater Mac, Web, CTI • WordPresser seit Duke Ellington • Contributor WordPress.tv Mitgründer WP-Meetup Franken • Vorrangiger Einsatz von WP als CMS für Kundenpräsenzen @stkjj stefanredaktiv stefan@redaktiv.de
  • 3. CMS? No prob! Oder doch? • CVE-Hitliste • (19) Joomla: 305 • (22) Drupal: 268 • (27) WordPress: 232 • (35) Typo3: 174 • ohne Eintrag ≠ sicher, sondern nur noch nicht dokumentiert
  • 4. Basisanalyse • Hosting • Shared Hosting • Virtual Host • Managed Server • Rootserver • Housing • Basissystem? • OS? • PHP? • MySQL? • Webadmin Tool?
  • 5. Angriffsvektoren • „Standard“ Benutzernamen • schwache Passwörter • veraltete Installationen • schlechter Code • SQL Injections • XSS - Cross Site Scripting • …
  • 6. Login Credentials • was spricht eigentlich gegen den Benutzernamen »asylufdeworig23r«? • Name der Katze oder Geburtsdatum der Oma ist kein Passwort! • Ein Admin, ein User-Account • Kopfschmerzen? Finger wund? ➡ Passwortmanager!
  • 7.
  • 8.
  • 9. Brute-Force Attacs • Durchprobieren von Credentials ➡ willkürliche Benutzernamen ➡ starke Passwörter • Sperre nach x Versuchen für Zeitintervall y • Blacklisting der IP ➡ iThemes Security (ex BetterWPSecurity)
  • 10. Monitoring • Server up? • Dateien verändert? • Benutzeranmeldungen? • Eindringungsversuche? • Logouts? ➡ iThemes Security (ex BetterWPSecurity)
  • 11. Update, Update, Update • regelmässig WP-Core aktualisieren • Achtung: AutoUpdater seit 3.7! • besser: Benachrichtigung bei Update • regelmässig PlugIns aktualisieren • regelmässig (Premium) Themes aktualisieren
  • 12. TTV • zufällige Versionsnummer ausgeben • .htaccess-Regeln zum Zugriffsschutz • /wp-content/ • wp-config.php • readme.html + liesmich.html • „hide and seek“ (/wp-content, wp_, …) ➡ iThemes Security (ex BetterWPSecurity)
  • 13. die Mauer erhöhen • Login per SSL-Zertifikat absichern • Kosten < 50 €/p.a. • http://www.psw.net/ssl-zertifikate.cfm • Zwei-Faktor Authentifizierung • https://github.com/sergejmueller/2-Step-Verification
  • 14. im Fall der (Un)Fälle • Backup! • regelmässig, automatisiert, zeitgesteuert • MySQL-Datenbank • Dateien, insp. /wp-content/uploads/ • Wiederherstellung üben!
  • 15. Fazit • Sicherheit ist eine Daueraufgabe! • Aufwand vs. Nutzen • Make or Buy
  • 16. Vielen Dank für die Aufmerksamkeit!