Betrifft mich die Diskussion um Angriffe auf WordPress überhaupt? Welche Angriffsvektoren gibt es überhaupt und wie kann ich meine Installation dagegen verteidigen?

1. WordPress
Security
my ~/ is my castle

2. ad personam
• Stefan Kremer
• freiberuflicher Systemberater
Mac,Web, CTI
• 10 Jahre WordPress
• Contributor
• Inhaber von AdminPress
@WPAberSicher
adminpress
stefan@adminpress.de

3. Das hat doch nix mit
mir zu tun!
• kleiner privater Blog
• unverfängliche Inhalte
• kaum öffentliche Wahrnehmung
• überschaubare Zielgruppe
• keine monetären Interessen

4. Das hat doch nix mit
mir zu tun!
• kleiner privater Blog
• unverfängliche Inhalte
• kaum öffentliche Wahrnehmung
• überschaubare Zielgruppe
• keine monetären Interessen

5. Content is King
• Rechenleistung (CPU)
• Speicherplatz
• Bandbreite
• sendmail
nothing

6. CMS? No prob!
• CVE-Hitliste
• (21) Joomla: 309
• (22) Drupal: 290
• (29) WordPress: 247
• (38) Typo3: 178
• ohne Eintrag ≠ sicher, sondern nur noch
nicht dokumentiert

7. Angriffsvektoren
• Brute-Force Attacs
• „Standard“ Benutzernamen
• schwache Passwörter
• XSS - Cross Site Scripting / SQL Injections
• schlechter Code
• veraltete Installationen

8. Benutzername
• »admin« bis 3.0 alsVorgabe
• Teile des Domainnamens
• häufige eMail-Adressen wie »info@…«
• Ein Admin-, ein User-Account
• was spricht eigentlich gegen den
Benutzernamen »asylufdeworig23r«?

9. Passwörter

10. Passwörter NoGos
• Vorkommen in Wörterbüchern
• SocialHacking anfälliges
• Tastaturläufe und Folgen
• Passwort-Recycling
• In Word/Excel speichern

11. Kopfschmerzen? Finger wund?
➡ Passwortmanager!

13. Verteidigungsstrategie
➡ willkürliche Benutzernamen
➡ starke Passwörter
➡ Sperre nach x Fehlversuchen
für Zeitintervall y
➡ Blacklisting der IP

14. Update, Update, Update
• regelmässig WP-Core aktualisieren
• AutoUpdater seit 3.7!
• ok für Minor/Security-Releases
• regelmässig PlugIns aktualisieren
• regelmässig (Premium) Themes aktualisieren
• ggf. Staging Environment!

15. Monitoring
• Server up?
• Dateien verändert?
• Benutzeranmeldungen?
• Eindringungsversuche?
• Wer hat wann was gemacht?

16. TTV
• zufälligeVersionsnummer ausgeben
• .htaccess-Regeln zum Zugriffsschutz
• /wp-content/
• wp-config.php
• readme.html + liesmich.html
• „hide and seek“ (/wp-content, wp_, …)

17. die Mauer erhöhen
• min. Login per SSL-Zertifikat absichern
• Kostenlos bis < 50 €/p.a.
• ggf. Kosten beim Hosting für eigene IP
• Zwei-Faktor Authentifizierung
• einfaches eMail Konzept von Sergej Müller
• aufwändiger Duo, Clef, Rublon
• Extra-HW: UbiKey, Fido U2F

18. Weitwinkel
• Lokaler Rechner sicher?
• Keylogger
• FTP Zugang geschützt?
• besser SFTP oder FTPS (SSL/TLS)!
• PW per eMail übermittelt?
• eMail ohne Verschlüsselung = Postkarte

19. Serverbasis
• Hosting
• Shared Hosting
• Virtual Host
• Managed Server
• Rootserver
• Housing
• Basissystem?
• OS?
• PHP?
• MySQL?
• Webadmin Tool?
• Plesk

20. im Fall der (Un)Fälle
• Backup!
• regelmässig, automatisiert, zeitgesteuert, offsite
• MySQL-Datenbank
• Dateien, insp. /wp-content/uploads/
• Wiederherstellung üben!

21. Fazit
• Sicherheit ist eine Daueraufgabe!
• Aufwand vs. Nutzen
• Make or Buy

22. Stefan Kremer
https://adminpress.de
FRAGEN?

23. Linksammlung
https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php
http://codex.wordpress.org/WordPress_Versions
https://wpvulndb.com
http://wpengine.com/unmasked/
https://en.wikipedia.org/wiki/Password_cracking
http://codex.wordpress.org/Configuring_Automatic_Background_Updates
https://www.startssl.com
https://buy.wosign.com/free/
https://letsencrypt.org
https://www.psw.net/ssl-zertifikate.cfm
https://github.com/sergejmueller/2-Step-Verification
https://wordpress.org/plugins/better-wp-security/