SlideShare una empresa de Scribd logo

WordPress sicherer machen - Basics

A
Andreas Rudorfer

Folien zu meinem kurzen Vortrag auf dem WP Meetup Mannheim am 20. Februar 2018.

Internet
1 de 18
Descargar para leer sin conexión
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM 🔒 WordPress sicherer machen Ein paar Basics
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM " Warum sollte mein WordPress gehackt werden?
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM # Warum sollte mein WordPress gehackt werden? u.a. Verbreitung von Malware, Adware, Viren Nutzung der System Ressourcen Versand von Spam Backlinks Werbung
 z.B. PopUps, iFrames
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM $ Was kann ich machen?
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM 🏭 Hoster aktuelleste PHP Version sFTP / FTP https / http SSH Datenbank sollte nicht von Extern erreichbar sein 
 Für jede WP-Installation eine eigene Datenbank und ein eigener Benutzer
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM 🔐 Starke Passwörter Website User / MySQL User / WordPress User keine Mehrfachverwendung nutze Passwort-Manager wie 1Password, LastPass, Keepass…
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM 🛠 Updates WordPress, Plugins und Themes auf dem neuesten Stand halten WordPress Auto-Update aktiviert lassen Updates zeitnah nach Erscheinen durchführen denn spätesten nach Veröffentlichung des Updates wird auch die Lücke bekannt
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ( Finger weg vom Core niemals die Core-Dateien von WordPress verändern
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ) Plugins & Themes nur aus vertrauenswürdigen Quellen laden WordPress.org oder hinreichend bekannte Unternehmen regelmäßige Updates
 das kann ich nicht oft genug sagen inaktive Plugins und Themes deinstallieren
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM * Benutzer & Login Starke Passwörter Ich würde mich nicht wiederholen, wenn´s nicht wirklich wichtig wäre individuelle Benutzernamen
 plumpe Massenangriffe auf gängige Benutzernamen (Admin, Webmaster, Demo, Test…), laufen so ins Leere Benutzer trennen Admin > nur für administrative Aufgaben
 Redakteur, Autor > für alle redaktionellen Aufgaben 2-Faktor Authentifizierung https://de.wordpress.org/plugins/two-factor/ https://wordpress.org/plugins/miniorange-2-factor-authentication/
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM + Dateirechte Standard Ordner - 755 Dateien - 644 Da ist nichts falsch dran Niemals Ordner oder Dateien auf 777 setzen Dateirechte lassen sich auch noch restriktiver einstellen
 hierbei gibt es allerdings einige zu beachten https://codex.wordpress.org/Changing_File_Permissions
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ⚙ wp-config.php Zugriff sperren Einen Ordner nach oben verschieben <Files wp-config.php> Order Allow,Deny Deny from all </Files> /home/beispiel.de/wp/ WP-Installation im Ordner wp wp-config.php im Ordner beispiel.de
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ⚙ wp-config.php Salts & Keys define('AUTH_KEY', 'Füge hier deine Zeichenkette ein'); define('SECURE_AUTH_KEY', 'Füge hier deine Zeichenkette ein'); define('LOGGED_IN_KEY', 'Füge hier deine Zeichenkette ein'); define('NONCE_KEY', 'Füge hier deine Zeichenkette ein'); define('AUTH_SALT', 'Füge hier deine Zeichenkette ein'); define('SECURE_AUTH_SALT', 'Füge hier deine Zeichenkette ein'); define('LOGGED_IN_SALT', 'Füge hier deine Zeichenkette ein'); define('NONCE_SALT', 'Füge hier deine Zeichenkette ein'); https://api.wordpress.org/secret-key/1.1/salt/
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ⚙ wp-config.php Dateibearbeitung im Backend deaktivieren define('DISALLOW_FILE_EDIT', true);
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ⚙ .htaccess <Files install.php> Order allow,deny Deny from all Satisfy All </Files> Zugriff auf die install.php verhindern auskommentieren, um die Installation von Wordpress auszuführen
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ⚙ .htaccess <Files ~ "^[._]ht"> Order Allow,Deny Deny from all Satisfy All </Files> Zugriff auf htaccess und htpasswd verhindern
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ⚙ .htaccess <Files xmlrpc.php> Order Allow,Deny Deny from all </Files> XML-RPC-Schnittstelle sperren Vor dem Sperren überprüfen, ob die Schnittstelle benötigt wird.
 Wird für das Pingback-System innerhalb von WordPress benötigt und für den Zugriff von externen Anwendungen wie z.B. Editoren.
Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ) Kann ich noch mehr machen? Ja klar Zum Beispiel WordPress-Sicherheit Newsletter abonnieren https://www.wp-wartung24.de/newsletter/ In der WPScan Vulnerability Database schauen ob es Sicherheitslücken in den von dir verwendeten Plugins und Themes gibt https://wpvulndb.com/ Eine Web Application Firewall einsetzten Erfordert etwas Einarbeitung https://de.wordpress.org/plugins/ninjafirewall/ Die .htaccess um ein paar Regeln ergänzen https://gist.github.com/zottto/608a18d109bd22e76aa4

Recomendados

Sicherheit von Webanwendungen
Sicherheit von WebanwendungenSicherheit von Webanwendungen
Sicherheit von Webanwendungen
thomasgemperle
 
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
TRILOS new media
 
Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPress
Joachim Hummel
 
Bestehende WordPress-Seiten auf Multisite migrieren
Bestehende WordPress-Seiten auf Multisite migrierenBestehende WordPress-Seiten auf Multisite migrieren
Bestehende WordPress-Seiten auf Multisite migrieren
Walter Ebert
 
WordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinWordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in Berlin
Torsten Landsiedel
 
WordPress Sicherheit
WordPress SicherheitWordPress Sicherheit
WordPress Sicherheit
Dietmar Leher
 
Wordpress Security
Wordpress SecurityWordpress Security
Wordpress Security
Daniel Potthast
 
WP-CLI - Das Kommandozeilen Interface für Wordpress
WP-CLI - Das Kommandozeilen Interface für WordpressWP-CLI - Das Kommandozeilen Interface für Wordpress
WP-CLI - Das Kommandozeilen Interface für Wordpress
frankstaude
 

Recomendados

Sicherheit von Webanwendungen
Sicherheit von WebanwendungenSicherheit von Webanwendungen
Sicherheit von Webanwendungen
thomasgemperle
 
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
Vortrag WordPress absichern beim Webmontag Hannover am 16.01.2017
TRILOS new media
 
Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPress
Joachim Hummel
 
Bestehende WordPress-Seiten auf Multisite migrieren
Bestehende WordPress-Seiten auf Multisite migrierenBestehende WordPress-Seiten auf Multisite migrieren
Bestehende WordPress-Seiten auf Multisite migrieren
Walter Ebert
 
WordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in BerlinWordPress absichern - WP Camp 2012 in Berlin
WordPress absichern - WP Camp 2012 in Berlin
Torsten Landsiedel
 
WordPress Sicherheit
WordPress SicherheitWordPress Sicherheit
WordPress Sicherheit
Dietmar Leher
 
Wordpress Security
Wordpress SecurityWordpress Security
Wordpress Security
Daniel Potthast
 
WP-CLI - Das Kommandozeilen Interface für Wordpress
WP-CLI - Das Kommandozeilen Interface für WordpressWP-CLI - Das Kommandozeilen Interface für Wordpress
WP-CLI - Das Kommandozeilen Interface für Wordpress
frankstaude
 
Why websecurity sucks
Why websecurity sucksWhy websecurity sucks
Why websecurity sucks
ThaDafinser
 
Cloud Provisioning mit Juju
Cloud Provisioning mit JujuCloud Provisioning mit Juju
Cloud Provisioning mit Juju
Frank Müller
 
Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und Administration
Thomas Siegers
 
Sicherheit für WordPress
Sicherheit für WordPressSicherheit für WordPress
Sicherheit für WordPress
Walter Ebert
 
WordPress für Einsteiger - Für wen eignet sich das CMS
WordPress für Einsteiger - Für wen eignet sich das CMSWordPress für Einsteiger - Für wen eignet sich das CMS
WordPress für Einsteiger - Für wen eignet sich das CMS
EduPress / Inpsyde GmbH
 
Web-Automatisierung mit WWW::Mechanize
Web-Automatisierung mit WWW::MechanizeWeb-Automatisierung mit WWW::Mechanize
Web-Automatisierung mit WWW::Mechanize
Thomas Fahle
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applications
guest0e6d5e
 
DDEV - Eine lokale Entwicklungsumgebung
DDEV - Eine lokale EntwicklungsumgebungDDEV - Eine lokale Entwicklungsumgebung
DDEV - Eine lokale Entwicklungsumgebung
Frank Schmittlein
 
WordPress Professional II
WordPress Professional IIWordPress Professional II
WordPress Professional II
Sebastian Blum
 
WordPress-Webseiten umziehen / online stellen
WordPress-Webseiten umziehen / online stellenWordPress-Webseiten umziehen / online stellen
WordPress-Webseiten umziehen / online stellen
Walter Ebert
 
Word Press Als Blog Und Cms O
Word Press Als Blog Und Cms OWord Press Als Blog Und Cms O
Word Press Als Blog Und Cms O
sol777
 
Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerter
Gunther Pippèrr
 
Blogwerk WordPress für die Corporate Website
Blogwerk WordPress für die Corporate WebsiteBlogwerk WordPress für die Corporate Website
Blogwerk WordPress für die Corporate Website
Blogwerk AG
 
IPC2017SE - Zend\Expressive Workshop
IPC2017SE - Zend\Expressive WorkshopIPC2017SE - Zend\Expressive Workshop
IPC2017SE - Zend\Expressive Workshop
Ralf Eggert
 
Einführung in Docker
Einführung in DockerEinführung in Docker
Einführung in Docker
Christian Colbach
 
WordPress CMS - WebMontag Chemnitz Oktober 2011
WordPress CMS - WebMontag Chemnitz Oktober 2011WordPress CMS - WebMontag Chemnitz Oktober 2011
WordPress CMS - WebMontag Chemnitz Oktober 2011
David Decker
 
Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020
HansruediDbeli1
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEARCH ONE
 
Sicherheit von Webanwendungen Juni 2013
Sicherheit von Webanwendungen Juni 2013Sicherheit von Webanwendungen Juni 2013
Sicherheit von Webanwendungen Juni 2013
thomasgemperle
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen Kurs
Benjamin Hartwich
 

Más contenido relacionado

Similar a WordPress sicherer machen - Basics

WordPress für Einsteiger - Für wen eignet sich das CMS
WordPress für Einsteiger - Für wen eignet sich das CMSWordPress für Einsteiger - Für wen eignet sich das CMS
WordPress für Einsteiger - Für wen eignet sich das CMS
EduPress / Inpsyde GmbH
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applications
guest0e6d5e
 
DDEV - Eine lokale Entwicklungsumgebung
DDEV - Eine lokale EntwicklungsumgebungDDEV - Eine lokale Entwicklungsumgebung
DDEV - Eine lokale Entwicklungsumgebung
Frank Schmittlein
 

Similar a WordPress sicherer machen - Basics (20)

Why websecurity sucks
Why websecurity sucksWhy websecurity sucks
Why websecurity sucks
 
Cloud Provisioning mit Juju
Cloud Provisioning mit JujuCloud Provisioning mit Juju
Cloud Provisioning mit Juju
 
Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und Administration
 
Sicherheit für WordPress
Sicherheit für WordPressSicherheit für WordPress
Sicherheit für WordPress
 
WordPress für Einsteiger - Für wen eignet sich das CMS
WordPress für Einsteiger - Für wen eignet sich das CMSWordPress für Einsteiger - Für wen eignet sich das CMS
WordPress für Einsteiger - Für wen eignet sich das CMS
 
Web-Automatisierung mit WWW::Mechanize
Web-Automatisierung mit WWW::MechanizeWeb-Automatisierung mit WWW::Mechanize
Web-Automatisierung mit WWW::Mechanize
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applications
 
DDEV - Eine lokale Entwicklungsumgebung
DDEV - Eine lokale EntwicklungsumgebungDDEV - Eine lokale Entwicklungsumgebung
DDEV - Eine lokale Entwicklungsumgebung
 
WordPress Professional II
WordPress Professional IIWordPress Professional II
WordPress Professional II
 
WordPress-Webseiten umziehen / online stellen
WordPress-Webseiten umziehen / online stellenWordPress-Webseiten umziehen / online stellen
WordPress-Webseiten umziehen / online stellen
 
Word Press Als Blog Und Cms O
Word Press Als Blog Und Cms OWord Press Als Blog Und Cms O
Word Press Als Blog Und Cms O
 
Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerter
 
Blogwerk WordPress für die Corporate Website
Blogwerk WordPress für die Corporate WebsiteBlogwerk WordPress für die Corporate Website
Blogwerk WordPress für die Corporate Website
 
IPC2017SE - Zend\Expressive Workshop
IPC2017SE - Zend\Expressive WorkshopIPC2017SE - Zend\Expressive Workshop
IPC2017SE - Zend\Expressive Workshop
 
Einführung in Docker
Einführung in DockerEinführung in Docker
Einführung in Docker
 
WordPress CMS - WebMontag Chemnitz Oktober 2011
WordPress CMS - WebMontag Chemnitz Oktober 2011WordPress CMS - WebMontag Chemnitz Oktober 2011
WordPress CMS - WebMontag Chemnitz Oktober 2011
 
Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020Web460 ppt-de-jul-wi-web-all-2020
Web460 ppt-de-jul-wi-web-all-2020
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
 
Sicherheit von Webanwendungen Juni 2013
Sicherheit von Webanwendungen Juni 2013Sicherheit von Webanwendungen Juni 2013
Sicherheit von Webanwendungen Juni 2013
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen Kurs
 

WordPress sicherer machen - Basics

  • 1. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM 🔒 WordPress sicherer machen Ein paar Basics
  • 2. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM " Warum sollte mein WordPress gehackt werden?
  • 3. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM # Warum sollte mein WordPress gehackt werden? u.a. Verbreitung von Malware, Adware, Viren Nutzung der System Ressourcen Versand von Spam Backlinks Werbung
 z.B. PopUps, iFrames
  • 4. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM $ Was kann ich machen?
  • 5. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM 🏭 Hoster aktuelleste PHP Version sFTP / FTP https / http SSH Datenbank sollte nicht von Extern erreichbar sein 
 Für jede WP-Installation eine eigene Datenbank und ein eigener Benutzer
  • 6. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM 🔐 Starke Passwörter Website User / MySQL User / WordPress User keine Mehrfachverwendung nutze Passwort-Manager wie 1Password, LastPass, Keepass…
  • 7. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM 🛠 Updates WordPress, Plugins und Themes auf dem neuesten Stand halten WordPress Auto-Update aktiviert lassen Updates zeitnah nach Erscheinen durchführen denn spätesten nach Veröffentlichung des Updates wird auch die Lücke bekannt
  • 8. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ( Finger weg vom Core niemals die Core-Dateien von WordPress verändern
  • 9. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ) Plugins & Themes nur aus vertrauenswürdigen Quellen laden WordPress.org oder hinreichend bekannte Unternehmen regelmäßige Updates
 das kann ich nicht oft genug sagen inaktive Plugins und Themes deinstallieren
  • 10. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM * Benutzer & Login Starke Passwörter Ich würde mich nicht wiederholen, wenn´s nicht wirklich wichtig wäre individuelle Benutzernamen
 plumpe Massenangriffe auf gängige Benutzernamen (Admin, Webmaster, Demo, Test…), laufen so ins Leere Benutzer trennen Admin > nur für administrative Aufgaben
 Redakteur, Autor > für alle redaktionellen Aufgaben 2-Faktor Authentifizierung https://de.wordpress.org/plugins/two-factor/ https://wordpress.org/plugins/miniorange-2-factor-authentication/
  • 11. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM + Dateirechte Standard Ordner - 755 Dateien - 644 Da ist nichts falsch dran Niemals Ordner oder Dateien auf 777 setzen Dateirechte lassen sich auch noch restriktiver einstellen
 hierbei gibt es allerdings einige zu beachten https://codex.wordpress.org/Changing_File_Permissions
  • 12. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ⚙ wp-config.php Zugriff sperren Einen Ordner nach oben verschieben <Files wp-config.php> Order Allow,Deny Deny from all </Files> /home/beispiel.de/wp/ WP-Installation im Ordner wp wp-config.php im Ordner beispiel.de
  • 13. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ⚙ wp-config.php Salts & Keys define('AUTH_KEY', 'Füge hier deine Zeichenkette ein'); define('SECURE_AUTH_KEY', 'Füge hier deine Zeichenkette ein'); define('LOGGED_IN_KEY', 'Füge hier deine Zeichenkette ein'); define('NONCE_KEY', 'Füge hier deine Zeichenkette ein'); define('AUTH_SALT', 'Füge hier deine Zeichenkette ein'); define('SECURE_AUTH_SALT', 'Füge hier deine Zeichenkette ein'); define('LOGGED_IN_SALT', 'Füge hier deine Zeichenkette ein'); define('NONCE_SALT', 'Füge hier deine Zeichenkette ein'); https://api.wordpress.org/secret-key/1.1/salt/
  • 14. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ⚙ wp-config.php Dateibearbeitung im Backend deaktivieren define('DISALLOW_FILE_EDIT', true);
  • 15. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ⚙ .htaccess <Files install.php> Order allow,deny Deny from all Satisfy All </Files> Zugriff auf die install.php verhindern auskommentieren, um die Installation von Wordpress auszuführen
  • 16. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ⚙ .htaccess <Files ~ "^[._]ht"> Order Allow,Deny Deny from all Satisfy All </Files> Zugriff auf htaccess und htpasswd verhindern
  • 17. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ⚙ .htaccess <Files xmlrpc.php> Order Allow,Deny Deny from all </Files> XML-RPC-Schnittstelle sperren Vor dem Sperren überprüfen, ob die Schnittstelle benötigt wird.
 Wird für das Pingback-System innerhalb von WordPress benötigt und für den Zugriff von externen Anwendungen wie z.B. Editoren.
  • 18. Andy Rudorfer / andyrudorfer.com MEETUP MANNHEIM ) Kann ich noch mehr machen? Ja klar Zum Beispiel WordPress-Sicherheit Newsletter abonnieren https://www.wp-wartung24.de/newsletter/ In der WPScan Vulnerability Database schauen ob es Sicherheitslücken in den von dir verwendeten Plugins und Themes gibt https://wpvulndb.com/ Eine Web Application Firewall einsetzten Erfordert etwas Einarbeitung https://de.wordpress.org/plugins/ninjafirewall/ Die .htaccess um ein paar Regeln ergänzen https://gist.github.com/zottto/608a18d109bd22e76aa4