1. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
🔒
WordPress
sicherer machen
Ein paar Basics
2. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
"
Warum sollte mein WordPress gehackt werden?
3. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
#
Warum sollte mein WordPress gehackt werden?
u.a.
Verbreitung von Malware, Adware, Viren
Nutzung der System Ressourcen
Versand von Spam
Backlinks
Werbung
z.B. PopUps, iFrames
4. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
$
Was kann ich machen?
5. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
🏭
Hoster
aktuelleste PHP Version
sFTP / FTP
https / http
SSH
Datenbank sollte nicht von Extern erreichbar sein
Für jede WP-Installation eine eigene Datenbank und ein eigener Benutzer
6. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
🔐
Starke Passwörter
Website User / MySQL User / WordPress User
keine Mehrfachverwendung
nutze Passwort-Manager wie 1Password, LastPass, Keepass…
7. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
🛠
Updates
WordPress, Plugins und Themes auf dem neuesten Stand halten
WordPress Auto-Update aktiviert lassen
Updates zeitnah nach Erscheinen durchführen
denn spätesten nach Veröffentlichung des Updates wird auch die Lücke bekannt
8. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
(
Finger weg vom Core
niemals die Core-Dateien von WordPress verändern
9. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
)
Plugins & Themes
nur aus vertrauenswürdigen Quellen laden
WordPress.org oder hinreichend bekannte Unternehmen
regelmäßige Updates
das kann ich nicht oft genug sagen
inaktive Plugins und Themes deinstallieren
10. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
*
Benutzer & Login
Starke Passwörter
Ich würde mich nicht wiederholen, wenn´s nicht wirklich wichtig wäre
individuelle Benutzernamen
plumpe Massenangriffe auf gängige Benutzernamen (Admin, Webmaster, Demo, Test…), laufen so ins Leere
Benutzer trennen
Admin > nur für administrative Aufgaben
Redakteur, Autor > für alle redaktionellen Aufgaben
2-Faktor Authentifizierung
https://de.wordpress.org/plugins/two-factor/
https://wordpress.org/plugins/miniorange-2-factor-authentication/
11. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
+
Dateirechte
Standard
Ordner - 755
Dateien - 644
Da ist nichts falsch dran
Niemals Ordner oder Dateien auf 777 setzen
Dateirechte lassen sich auch noch restriktiver einstellen
hierbei gibt es allerdings einige zu beachten
https://codex.wordpress.org/Changing_File_Permissions
12. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
⚙
wp-config.php
Zugriff sperren
Einen Ordner nach oben verschieben
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
/home/beispiel.de/wp/
WP-Installation im Ordner wp
wp-config.php im Ordner beispiel.de
13. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
⚙
wp-config.php
Salts & Keys
define('AUTH_KEY', 'Füge hier deine Zeichenkette ein');
define('SECURE_AUTH_KEY', 'Füge hier deine Zeichenkette ein');
define('LOGGED_IN_KEY', 'Füge hier deine Zeichenkette ein');
define('NONCE_KEY', 'Füge hier deine Zeichenkette ein');
define('AUTH_SALT', 'Füge hier deine Zeichenkette ein');
define('SECURE_AUTH_SALT', 'Füge hier deine Zeichenkette ein');
define('LOGGED_IN_SALT', 'Füge hier deine Zeichenkette ein');
define('NONCE_SALT', 'Füge hier deine Zeichenkette ein');
https://api.wordpress.org/secret-key/1.1/salt/
14. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
⚙
wp-config.php
Dateibearbeitung im Backend deaktivieren
define('DISALLOW_FILE_EDIT', true);
15. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
⚙
.htaccess
<Files install.php>
Order allow,deny
Deny from all
Satisfy All
</Files>
Zugriff auf die install.php verhindern
auskommentieren, um die Installation von Wordpress auszuführen
16. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
⚙
.htaccess
<Files ~ "^[._]ht">
Order Allow,Deny
Deny from all
Satisfy All
</Files>
Zugriff auf htaccess und htpasswd verhindern
17. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
⚙
.htaccess
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
XML-RPC-Schnittstelle sperren
Vor dem Sperren überprüfen, ob die Schnittstelle benötigt wird.
Wird für das Pingback-System innerhalb von WordPress benötigt und
für den Zugriff von externen Anwendungen wie z.B. Editoren.
18. Andy Rudorfer / andyrudorfer.com
MEETUP MANNHEIM
)
Kann ich noch mehr machen?
Ja klar
Zum Beispiel
WordPress-Sicherheit Newsletter abonnieren
https://www.wp-wartung24.de/newsletter/
In der WPScan Vulnerability Database schauen ob es Sicherheitslücken
in den von dir verwendeten Plugins und Themes gibt
https://wpvulndb.com/
Eine Web Application Firewall einsetzten
Erfordert etwas Einarbeitung
https://de.wordpress.org/plugins/ninjafirewall/
Die .htaccess um ein paar Regeln ergänzen
https://gist.github.com/zottto/608a18d109bd22e76aa4