Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
-
Upload
wp-wartung24 -
Category
Internet
-
view
147 -
download
0
Transcript of Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
![Page 1: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/1.jpg)
Mythen der WP-SicherheitIch habe nichts zu befürchten! Oder doch?
Marc Nilius - @marcnilius - @WPSicherheitBarcamp Koblenz 2015
![Page 2: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/2.jpg)
Mythos 1
Warum sollte ich gehackt werden?
Bei mir auf der Website gibt es doch nichts Interessantes zu holen!?
![Page 3: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/3.jpg)
Unterschiedliche Arten von Angriffen
Die meisten Angriffe geschehen automatisch und nicht zielgerichtet
Bewusste Angriffe auf bestimmte Websites meistens bei größere Firmen oder Angebote
Automatisierte Angriffe von Bots auf kleine und mittlere Websites sindsehr viel häufiger
Angriffe aus Langeweile oder wegen politischen & gesellschaftlichen Statements Quelle: flickr.com - CC-BY MakeHackVoid / devdsp
![Page 4: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/4.jpg)
Ökonomische Gründe für Angriffe
Drive-by-Downloads: Infizierung der Website mit Malware, die sich beim Besuch der Seite auf den Computer des Besuchers herunterlädt / installiert
Blackhat SEO: Einbinden von (unsichtbaren) Links, damit die Websites in Google oder Bing gefunden werden. Häufig Affiliate-Links (Provision)
Systemressourcen: Nutzung des Servers für Aufgaben wie Botnetze, Spam, etc. Die Website muss dabei keine Auffälligkeiten zeigen
Quelle: flickr.com - Thomas Bauch / donbauches
![Page 5: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/5.jpg)
Mythos 2
So schlimm ist das auch nicht,wenn meine Seite gehackt wird!
Was soll da schon passieren?
![Page 6: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/6.jpg)
Folgen von Angriffen und Hacks
![Page 7: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/7.jpg)
Folgen von Angriffen und Hacks
Aussendung von Spam oder Malware hat direkte Folgen für die Website-Besucher - Fahrlässigkeit?
- Blocken der Website durch Google- Abschalten der Website durch den
Hoster- Blocken durch Anti-Virus-Programme
Folge: keine Besucher, keine Bestellungen, verlorene Reputation
Neues IT-Sicherheitsgesetz(seit 25.07.2015):Unter Umständen sogar relevant, Bußgelder drohen
![Page 8: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/8.jpg)
Folgen von Angriffen und Hacks
Neues IT-Sicherheitsgesetz (seit 25.07.2015)
Betreiber kritischer Betriebe (KRITIS) müssen Hacker-Vorfälle künftig melden (Ausnahmeregelung für kleine Unternehmen mit < 10 MA)
Telemediengesetz: geschäftsmäßige Diensteanbieter (inkl. Website-Betreiber) müssen Angebote absichern
- nur kommerzielle Angebote, jedoch keine Ausnahmeregelung für kleine Unternehmen
- Bußgelder bis zu 50.000 Euro
Betreiber von Web-Angeboten sind verpflichtet, ausreichende, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu ergreifen.
![Page 9: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/9.jpg)
Folgen von Angriffen und Hacks
“Stand der Technik” in Bezug auf WordPress:
- Regelmäßige Updates (Sicherheitslücken)
- Regelmäßige Backups
- Grund-Absicherung der Seite (Standard-Maßnahmen)
- Überwachung der Seite auf Auffälligkeiten
- Maßnahmen zur Abwehr von Angriffen
![Page 10: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/10.jpg)
Mythos 3
Ein Profi hat meine Seite erstellt -
ich muss mich um nichts mehr kümmern!
![Page 11: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/11.jpg)
Pflege und Wartung von Websites
Websites, die Drittsoftware einsetzen, benötigen dauerhaft Wartung und Pflege
Schon nach wenigen Wochen sind die technischen Grundlagen veraltet und deswegen angreifbar
Für WordPress und dessen Plugins und Themes erscheinen jede Woche dutzende Sicherheitsupdates
(Fast) Jede Website wird regelmäßig von Hackern attackiert. Überwachung und Kontrolle ist daher dringend notwendig (ggf. Gegenmaßnahmen)
Quelle: flickr.com - David McSpadden / familyclan
![Page 12: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/12.jpg)
Mythos 4
WordPress ist generell unsicher!
![Page 13: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/13.jpg)
WordPress ist nicht unsicher
![Page 14: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/14.jpg)
WordPress ist nicht unsicher
Etwa 25% aller Websites weltweit nutzen WordPress
Etwa 60% aller Websites, die auf einem Redaktionssystem basieren, nutzen dafür WordPress
Als Angriffsziel bietet sich WordPress deswegen automatisch an
Mit automatisierten Angriffen erreicht man eine größtmögliche Abdeckung
![Page 15: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/15.jpg)
WordPress ist nicht unsicher
![Page 16: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/16.jpg)
WordPress ist nicht unsicher
Jede (halbwegs komplexe) Software hat Fehler (Bugs) und Sicherheitslücken
WordPress (und jedes andere Redaktionssystem) ist Web-Software
Sicherheitslücken potenzieren sich beim Einsatz von Dritt-Software für WordPress (Plugins, Themes)
Die meisten erfolgreichen Hackerangriffe geschehen unabhängig von WordPress
Quelle: https://wpvulndb.com/statistics
![Page 17: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/17.jpg)
Praxistest
Soviel weiß ich über Deine Seite!(verlegt in Extra-Session an Tag 2)
Links und Tipps zum Praxisteil hier
![Page 18: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/18.jpg)
Grundregeln Website-Sicherheit
Beispiel: WordPress
![Page 19: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/19.jpg)
Grundregeln WP-Sicherheit
Updates, Updates, Updates!
Backups, Backups, Backups!
Plugins und Themes: nur aus sicheren Quellen, nur aktuelle und gewartete Plugins/Themes, nur gut bewertete, Anzahl der aktiven Installation beachten, so wenige Plugins wie möglich
Sichere und starke Passwörter für jeden Benutzer (Policies)
Benutzername nicht “admin”, Admin- und Redakteursbenutzer, ggf. Benutzernamen verstecken
Als Anfänger: Sicherheitsplugin installieren, Dateien überwachen lassen (Wordfence, iThemes Security)
PC regelmäßig mit Anti-Virus-Software prüfen, Passwörter nur geschützt speichern
![Page 20: Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)](https://reader033.fdocument.pub/reader033/viewer/2022051214/55d2a5f6bb61eb7b508b4625/html5/thumbnails/20.jpg)
Mehr zum Thema WordPress-Sicherheit
Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen:https://www.wp-sicherheit.info
Twitter: @WPSicherheit und @marcnilius
Facebook-Gruppe: “WordPress Sicherheit”