Betrifft mich die Diskussion um Angriffe auf WordPress überhaupt? Welche Angriffsvektoren gibt es überhaupt und wie kann ich meine Installation dagegen verteidigen?
2. ad personam
• Stefan Kremer
• freiberuflicher Systemberater
Mac,Web, CTI
• 10 Jahre WordPress
• Contributor
• Inhaber von AdminPress
@WPAberSicher
adminpress
stefan@adminpress.de
3. Das hat doch nix mit
mir zu tun!
• kleiner privater Blog
• unverfängliche Inhalte
• kaum öffentliche Wahrnehmung
• überschaubare Zielgruppe
• keine monetären Interessen
4. Das hat doch nix mit
mir zu tun!
• kleiner privater Blog
• unverfängliche Inhalte
• kaum öffentliche Wahrnehmung
• überschaubare Zielgruppe
• keine monetären Interessen
5. Content is King
• Rechenleistung (CPU)
• Speicherplatz
• Bandbreite
• sendmail
nothing
6. CMS? No prob!
• CVE-Hitliste
• (21) Joomla: 309
• (22) Drupal: 290
• (29) WordPress: 247
• (38) Typo3: 178
• ohne Eintrag ≠ sicher, sondern nur noch
nicht dokumentiert
8. Benutzername
• »admin« bis 3.0 alsVorgabe
• Teile des Domainnamens
• häufige eMail-Adressen wie »info@…«
• Ein Admin-, ein User-Account
• was spricht eigentlich gegen den
Benutzernamen »asylufdeworig23r«?
17. die Mauer erhöhen
• min. Login per SSL-Zertifikat absichern
• Kostenlos bis < 50 €/p.a.
• ggf. Kosten beim Hosting für eigene IP
• Zwei-Faktor Authentifizierung
• einfaches eMail Konzept von Sergej Müller
• aufwändiger Duo, Clef, Rublon
• Extra-HW: UbiKey, Fido U2F
18. Weitwinkel
• Lokaler Rechner sicher?
• Keylogger
• FTP Zugang geschützt?
• besser SFTP oder FTPS (SSL/TLS)!
• PW per eMail übermittelt?
• eMail ohne Verschlüsselung = Postkarte