SlideShare una empresa de Scribd logo

Sicherheit von Webanwendungen Juni 2013

T
thomasgemperle

Session gehalten am Wordpress Zürich Meetup

1 de 24
Descargar para leer sin conexión
Sicherheit von Webanwendungen am Beispiel von Wordpress 24. Juni 2013 / #wpzh Thomas Gemperle / @thomasgemperle
Security Themes Wordpress - Limiting Access - Containment - Preperation and knowledge http://codex.wordpress.org/Hardening_WordPress
Schwachstellen 1. Webanwendung / CMS 2. Technische Umgebung / Server 3. Mensch / User copyrightbydigitalgraphixx(CCBY-NC-ND2.0)
Schwachstelle Webanwendung - Sicherheitslücken im CMS, Plugins, Themes - Gefährliche Features - Brute Force Attacken - Distributed BF attacks
Webanwendung: Sicherheitslücken Updates, updates, updates - Updatefähigkeit erhalten - Updates durchführen - Achtung: Kompatibilität Plugins --> Staging Allgemein: Vorsicht mit Plugins
Webanwendung: Sicherheitslücken
Webanwendung: Features - Plugins (phpMyAdmin, ...) - define('DISALLOW_FILE_EDIT', true); - File Permissions (auto. Update) - Plugin policy: Downloads, Bewertung, Updates
Webanwendung: Brute Force Plugin: Limit Login Attemps
Webanwendung: Brute Force Plugin: Login Security Solution Plus: Password Policy
Webanwendung: Kein Username admin
Webanwendung: Two Factor Auth
Webanwendung: Two Factor Auth https://www.duosecurity.com/ http://wordpress.org/plugins/google-authenticator/
Webanwendung: Captcha http://wordpress.org/plugins/captcha
Webanwendung: Prävention - Backups (z.B. Backup-Plugin) - Spezielle Security-Plugins (Security Ninja, BulletProof Security etc.) - CDNs (CloudFlare etc.) http://www.wpjedi.com/find-security-vulnerabilities-in- wordpress/
Schwachstelle Server - Andere Applikationen auf dem selben Server - FTP-Zugänge - DDoS etc.
Server: Andere Applikationen - Nur eine WP Installation pro Server - Keine anderen Applikationen, (=Risiken) installiert (z.B. Joomla, T3, statische Seiten mit PHP-Code etc.)
Server: FTP - Kein externer FTP-Zugriff - Admin: SFTP oder VPN
Server: Monitoring - Vertrauenswürdiger Hoster - Eigene Monitoring Tools (Pingdom, Plugins?)
Schwachstelle Mensch Passwort-Management - Schwach - Aufgeschrieben - Weitergegeben Unsichere Umgebung - WLANs - Phishing (URLs) - Malware, Trojaner, Spyware, Keylogger, ... copyrightbypawelbak(CCBY-NC-ND2.0)
Mensch: Passwort Management - LastPass - Bewusstsein / Verhalten
Mensch: Benutzer-Accounts - Limitierter Zugriff - Passwort check - Security-Plugin?
Mensch: Unsichere Umgebung
Mensch: Unsichere Umgebung SSL define('FORCE_SSL_ADMIN', true); define('FORCE_SSL_LOGIN', true); VPN LastPass
Kontakt 3: http://www.flickr.com/photos/digitalgraphixx/6347678309/ 15: http://www.flickr.com/photos/pawelbak/3494459979/ Bilder (Creative Commons) thomas.gemperle@openbyte.ch @thomasgemperle https://www.slideshare.net/thomasgemperle

Recomendados

Sicherheit von Webanwendungen
Sicherheit von WebanwendungenSicherheit von Webanwendungen
Sicherheit von Webanwendungenthomasgemperle
 
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017TRILOS new media
 
Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPressJoachim Hummel
 
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013lemmingzshadow
 
6993027462328718949
69930274623287189496993027462328718949
6993027462328718949Jeremy Joo
 
Prüfungsordnung rsp
Prüfungsordnung rspPrüfungsordnung rsp
Prüfungsordnung rspkkreienbrink
 
eBook: Erfolgreich zur Green Meeting Location
eBook: Erfolgreich zur Green Meeting LocationeBook: Erfolgreich zur Green Meeting Location
eBook: Erfolgreich zur Green Meeting Locationeventsofa
 
Governance, Risk & Compliance
Governance, Risk & ComplianceGovernance, Risk & Compliance
Governance, Risk & ComplianceUwe Rydzek
 

Recomendados

Sicherheit von Webanwendungen
Sicherheit von WebanwendungenSicherheit von Webanwendungen
Sicherheit von Webanwendungenthomasgemperle
 
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017TRILOS new media
 
Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPressJoachim Hummel
 
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013lemmingzshadow
 
6993027462328718949
69930274623287189496993027462328718949
6993027462328718949Jeremy Joo
 
Prüfungsordnung rsp
Prüfungsordnung rspPrüfungsordnung rsp
Prüfungsordnung rspkkreienbrink
 
eBook: Erfolgreich zur Green Meeting Location
eBook: Erfolgreich zur Green Meeting LocationeBook: Erfolgreich zur Green Meeting Location
eBook: Erfolgreich zur Green Meeting Locationeventsofa
 
Governance, Risk & Compliance
Governance, Risk & ComplianceGovernance, Risk & Compliance
Governance, Risk & ComplianceUwe Rydzek
 
JVM Hardcore - Part 18 - Converting a logical expression into bytecode
JVM Hardcore - Part 18 - Converting a logical expression into bytecodeJVM Hardcore - Part 18 - Converting a logical expression into bytecode
JVM Hardcore - Part 18 - Converting a logical expression into bytecodeyohanbeschi
 
FONDO NACIONAL DE VIVIENDA APARTADÓ
FONDO NACIONAL DE VIVIENDA APARTADÓ FONDO NACIONAL DE VIVIENDA APARTADÓ
FONDO NACIONAL DE VIVIENDA APARTADÓVIDEOS DE URABÁ
 
Bilingualer Unterricht - Unterrichtsverlauf im Sachfach
Bilingualer Unterricht - Unterrichtsverlauf im SachfachBilingualer Unterricht - Unterrichtsverlauf im Sachfach
Bilingualer Unterricht - Unterrichtsverlauf im SachfachHarald Sporys
 
IBM Connectday_ULC-Vortrag_Formularmanagement
IBM Connectday_ULC-Vortrag_FormularmanagementIBM Connectday_ULC-Vortrag_Formularmanagement
IBM Connectday_ULC-Vortrag_FormularmanagementULC Business Solutions GmbH
 
energiehoch3 Wechselprozess
energiehoch3 Wechselprozessenergiehoch3 Wechselprozess
energiehoch3 Wechselprozessenergiehoch3
 
SRF Business Analyse und Agilität
SRF Business Analyse und AgilitätSRF Business Analyse und Agilität
SRF Business Analyse und Agilitätpragmatic solutions gmbh
 
State of syslog (2005)
State of syslog (2005)State of syslog (2005)
State of syslog (2005)Rainer Gerhards
 
Update zum IH Experten - Leistungsfähigkeit der Instandhaltung verbessern
Update zum IH Experten - Leistungsfähigkeit der Instandhaltung verbessernUpdate zum IH Experten - Leistungsfähigkeit der Instandhaltung verbessern
Update zum IH Experten - Leistungsfähigkeit der Instandhaltung verbesserndankl+partner consulting gmbh
 
Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS adesso AG
 
Antiquus 521 -_warum_sind_maenner_gluecklicher_als_frauen
Antiquus 521 -_warum_sind_maenner_gluecklicher_als_frauenAntiquus 521 -_warum_sind_maenner_gluecklicher_als_frauen
Antiquus 521 -_warum_sind_maenner_gluecklicher_als_frauenJimena Meneses
 
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr UnternehmenPc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmenpc_studio
 
Materialien und Medien im bilingualen Unterricht
Materialien und Medien im bilingualen UnterrichtMaterialien und Medien im bilingualen Unterricht
Materialien und Medien im bilingualen UnterrichtHarald Sporys
 
WordPress Sicherheit
WordPress SicherheitWordPress Sicherheit
WordPress SicherheitDietmar Leher
 
WordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMSWordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMSThomas Siegers
 
Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
 
Software-Entwicklung, Entwicklung von Handy-Apps, Technologietrends
Software-Entwicklung, Entwicklung von Handy-Apps, TechnologietrendsSoftware-Entwicklung, Entwicklung von Handy-Apps, Technologietrends
Software-Entwicklung, Entwicklung von Handy-Apps, TechnologietrendsAndreas Bruns
 
Joomla
JoomlaJoomla
JoomlaThomas Siegers
 
Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020HansruediDbeli1
 
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...Yagendoo Media GmbH
 
Entwickeln mit Wordpress
Entwickeln mit WordpressEntwickeln mit Wordpress
Entwickeln mit WordpressBlogwerk AG
 
WordPress sicherer machen - Basics
WordPress sicherer machen - BasicsWordPress sicherer machen - Basics
WordPress sicherer machen - BasicsAndreas Rudorfer
 
WordPress Professional II
WordPress Professional IIWordPress Professional II
WordPress Professional IISebastian Blum
 

Más contenido relacionado

Destacado

JVM Hardcore - Part 18 - Converting a logical expression into bytecode
JVM Hardcore - Part 18 - Converting a logical expression into bytecodeJVM Hardcore - Part 18 - Converting a logical expression into bytecode
JVM Hardcore - Part 18 - Converting a logical expression into bytecodeyohanbeschi
 
FONDO NACIONAL DE VIVIENDA APARTADÓ
FONDO NACIONAL DE VIVIENDA APARTADÓ FONDO NACIONAL DE VIVIENDA APARTADÓ
FONDO NACIONAL DE VIVIENDA APARTADÓVIDEOS DE URABÁ
 
Bilingualer Unterricht - Unterrichtsverlauf im Sachfach
Bilingualer Unterricht - Unterrichtsverlauf im SachfachBilingualer Unterricht - Unterrichtsverlauf im Sachfach
Bilingualer Unterricht - Unterrichtsverlauf im SachfachHarald Sporys
 
energiehoch3 Wechselprozess
energiehoch3 Wechselprozessenergiehoch3 Wechselprozess
energiehoch3 Wechselprozessenergiehoch3
 
Update zum IH Experten - Leistungsfähigkeit der Instandhaltung verbessern
Update zum IH Experten - Leistungsfähigkeit der Instandhaltung verbessernUpdate zum IH Experten - Leistungsfähigkeit der Instandhaltung verbessern
Update zum IH Experten - Leistungsfähigkeit der Instandhaltung verbesserndankl+partner consulting gmbh
 
Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS adesso AG
 
Antiquus 521 -_warum_sind_maenner_gluecklicher_als_frauen
Antiquus 521 -_warum_sind_maenner_gluecklicher_als_frauenAntiquus 521 -_warum_sind_maenner_gluecklicher_als_frauen
Antiquus 521 -_warum_sind_maenner_gluecklicher_als_frauenJimena Meneses
 
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr UnternehmenPc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmenpc_studio
 
Materialien und Medien im bilingualen Unterricht
Materialien und Medien im bilingualen UnterrichtMaterialien und Medien im bilingualen Unterricht
Materialien und Medien im bilingualen UnterrichtHarald Sporys
 

Destacado (12)

JVM Hardcore - Part 18 - Converting a logical expression into bytecode
JVM Hardcore - Part 18 - Converting a logical expression into bytecodeJVM Hardcore - Part 18 - Converting a logical expression into bytecode
JVM Hardcore - Part 18 - Converting a logical expression into bytecode
 
FONDO NACIONAL DE VIVIENDA APARTADÓ
FONDO NACIONAL DE VIVIENDA APARTADÓ FONDO NACIONAL DE VIVIENDA APARTADÓ
FONDO NACIONAL DE VIVIENDA APARTADÓ
 
Bilingualer Unterricht - Unterrichtsverlauf im Sachfach
Bilingualer Unterricht - Unterrichtsverlauf im SachfachBilingualer Unterricht - Unterrichtsverlauf im Sachfach
Bilingualer Unterricht - Unterrichtsverlauf im Sachfach
 
IBM Connectday_ULC-Vortrag_Formularmanagement
IBM Connectday_ULC-Vortrag_FormularmanagementIBM Connectday_ULC-Vortrag_Formularmanagement
IBM Connectday_ULC-Vortrag_Formularmanagement
 
energiehoch3 Wechselprozess
energiehoch3 Wechselprozessenergiehoch3 Wechselprozess
energiehoch3 Wechselprozess
 
SRF Business Analyse und Agilität
SRF Business Analyse und AgilitätSRF Business Analyse und Agilität
SRF Business Analyse und Agilität
 
State of syslog (2005)
State of syslog (2005)State of syslog (2005)
State of syslog (2005)
 
Update zum IH Experten - Leistungsfähigkeit der Instandhaltung verbessern
Update zum IH Experten - Leistungsfähigkeit der Instandhaltung verbessernUpdate zum IH Experten - Leistungsfähigkeit der Instandhaltung verbessern
Update zum IH Experten - Leistungsfähigkeit der Instandhaltung verbessern
 
Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS
 
Antiquus 521 -_warum_sind_maenner_gluecklicher_als_frauen
Antiquus 521 -_warum_sind_maenner_gluecklicher_als_frauenAntiquus 521 -_warum_sind_maenner_gluecklicher_als_frauen
Antiquus 521 -_warum_sind_maenner_gluecklicher_als_frauen
 
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr UnternehmenPc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
 
Materialien und Medien im bilingualen Unterricht
Materialien und Medien im bilingualen UnterrichtMaterialien und Medien im bilingualen Unterricht
Materialien und Medien im bilingualen Unterricht
 

Similar a Sicherheit von Webanwendungen Juni 2013

WordPress Sicherheit
WordPress SicherheitWordPress Sicherheit
WordPress SicherheitDietmar Leher
 
WordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMSWordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMSThomas Siegers
 
Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
 
Software-Entwicklung, Entwicklung von Handy-Apps, Technologietrends
Software-Entwicklung, Entwicklung von Handy-Apps, TechnologietrendsSoftware-Entwicklung, Entwicklung von Handy-Apps, Technologietrends
Software-Entwicklung, Entwicklung von Handy-Apps, TechnologietrendsAndreas Bruns
 
Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020HansruediDbeli1
 
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...Yagendoo Media GmbH
 
Entwickeln mit Wordpress
Entwickeln mit WordpressEntwickeln mit Wordpress
Entwickeln mit WordpressBlogwerk AG
 
WordPress sicherer machen - Basics
WordPress sicherer machen - BasicsWordPress sicherer machen - Basics
WordPress sicherer machen - BasicsAndreas Rudorfer
 
WordPress Professional II
WordPress Professional IIWordPress Professional II
WordPress Professional IISebastian Blum
 
WordPress für Einsteiger - Für wen eignet sich das CMS
WordPress für Einsteiger - Für wen eignet sich das CMSWordPress für Einsteiger - Für wen eignet sich das CMS
WordPress für Einsteiger - Für wen eignet sich das CMSEduPress / Inpsyde GmbH
 
Why websecurity sucks
Why websecurity sucksWhy websecurity sucks
Why websecurity sucksThaDafinser
 
PHP-Module in statischen Seiten - Architektur-Ansätze
PHP-Module in statischen Seiten - Architektur-AnsätzePHP-Module in statischen Seiten - Architektur-Ansätze
PHP-Module in statischen Seiten - Architektur-AnsätzeRalf Lütke
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applicationsguest0e6d5e
 

Similar a Sicherheit von Webanwendungen Juni 2013 (19)

WordPress Sicherheit
WordPress SicherheitWordPress Sicherheit
WordPress Sicherheit
 
WordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMSWordPress - Webseiten erstellen mit CMS
WordPress - Webseiten erstellen mit CMS
 
Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und Administration
 
Software-Entwicklung, Entwicklung von Handy-Apps, Technologietrends
Software-Entwicklung, Entwicklung von Handy-Apps, TechnologietrendsSoftware-Entwicklung, Entwicklung von Handy-Apps, Technologietrends
Software-Entwicklung, Entwicklung von Handy-Apps, Technologietrends
 
Joomla
JoomlaJoomla
Joomla
 
Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020
 
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag b...
 
Entwickeln mit Wordpress
Entwickeln mit WordpressEntwickeln mit Wordpress
Entwickeln mit Wordpress
 
WordPress sicherer machen - Basics
WordPress sicherer machen - BasicsWordPress sicherer machen - Basics
WordPress sicherer machen - Basics
 
WordPress Professional II
WordPress Professional IIWordPress Professional II
WordPress Professional II
 
Web Applikations Security
Web Applikations SecurityWeb Applikations Security
Web Applikations Security
 
WordPress für Einsteiger - Für wen eignet sich das CMS
WordPress für Einsteiger - Für wen eignet sich das CMSWordPress für Einsteiger - Für wen eignet sich das CMS
WordPress für Einsteiger - Für wen eignet sich das CMS
 
Why websecurity sucks
Why websecurity sucksWhy websecurity sucks
Why websecurity sucks
 
Typo3 security
Typo3 securityTypo3 security
Typo3 security
 
PHP-Module in statischen Seiten - Architektur-Ansätze
PHP-Module in statischen Seiten - Architektur-AnsätzePHP-Module in statischen Seiten - Architektur-Ansätze
PHP-Module in statischen Seiten - Architektur-Ansätze
 
Wordpress Security
Wordpress SecurityWordpress Security
Wordpress Security
 
"WordPress Blog Aufsetzen und Pimpen"
"WordPress Blog Aufsetzen und Pimpen""WordPress Blog Aufsetzen und Pimpen"
"WordPress Blog Aufsetzen und Pimpen"
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applications
 

Sicherheit von Webanwendungen Juni 2013