Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
-
Upload
wp-wartung24 -
Category
Internet
-
view
144 -
download
0
Transcript of Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
Mythen der WP-SicherheitIch habe nichts zu befürchten! Oder doch?
Marc Nilius - @marcnilius - @WPSicherheitBarcamp Koblenz 2015
Mythos 1
Warum sollte ich gehackt werden?
Bei mir auf der Website gibt es doch nichts Interessantes zu holen!?
Unterschiedliche Arten von Angriffen
Die meisten Angriffe geschehen automatisch und nicht zielgerichtet
Bewusste Angriffe auf bestimmte Websites meistens bei größere Firmen oder Angebote
Automatisierte Angriffe von Bots auf kleine und mittlere Websites sindsehr viel häufiger
Angriffe aus Langeweile oder wegen politischen & gesellschaftlichen Statements Quelle: flickr.com - CC-BY MakeHackVoid / devdsp
Ökonomische Gründe für Angriffe
Drive-by-Downloads: Infizierung der Website mit Malware, die sich beim Besuch der Seite auf den Computer des Besuchers herunterlädt / installiert
Blackhat SEO: Einbinden von (unsichtbaren) Links, damit die Websites in Google oder Bing gefunden werden. Häufig Affiliate-Links (Provision)
Systemressourcen: Nutzung des Servers für Aufgaben wie Botnetze, Spam, etc. Die Website muss dabei keine Auffälligkeiten zeigen
Quelle: flickr.com - Thomas Bauch / donbauches
Mythos 2
So schlimm ist das auch nicht,wenn meine Seite gehackt wird!
Was soll da schon passieren?
Folgen von Angriffen und Hacks
Folgen von Angriffen und Hacks
Aussendung von Spam oder Malware hat direkte Folgen für die Website-Besucher - Fahrlässigkeit?
- Blocken der Website durch Google- Abschalten der Website durch den
Hoster- Blocken durch Anti-Virus-Programme
Folge: keine Besucher, keine Bestellungen, verlorene Reputation
Neues IT-Sicherheitsgesetz(seit 25.07.2015):Unter Umständen sogar relevant, Bußgelder drohen
Folgen von Angriffen und Hacks
Neues IT-Sicherheitsgesetz (seit 25.07.2015)
Betreiber kritischer Betriebe (KRITIS) müssen Hacker-Vorfälle künftig melden (Ausnahmeregelung für kleine Unternehmen mit < 10 MA)
Telemediengesetz: geschäftsmäßige Diensteanbieter (inkl. Website-Betreiber) müssen Angebote absichern
- nur kommerzielle Angebote, jedoch keine Ausnahmeregelung für kleine Unternehmen
- Bußgelder bis zu 50.000 Euro
Betreiber von Web-Angeboten sind verpflichtet, ausreichende, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu ergreifen.
Folgen von Angriffen und Hacks
“Stand der Technik” in Bezug auf WordPress:
- Regelmäßige Updates (Sicherheitslücken)
- Regelmäßige Backups
- Grund-Absicherung der Seite (Standard-Maßnahmen)
- Überwachung der Seite auf Auffälligkeiten
- Maßnahmen zur Abwehr von Angriffen
Mythos 3
Ein Profi hat meine Seite erstellt -
ich muss mich um nichts mehr kümmern!
Pflege und Wartung von Websites
Websites, die Drittsoftware einsetzen, benötigen dauerhaft Wartung und Pflege
Schon nach wenigen Wochen sind die technischen Grundlagen veraltet und deswegen angreifbar
Für WordPress und dessen Plugins und Themes erscheinen jede Woche dutzende Sicherheitsupdates
(Fast) Jede Website wird regelmäßig von Hackern attackiert. Überwachung und Kontrolle ist daher dringend notwendig (ggf. Gegenmaßnahmen)
Quelle: flickr.com - David McSpadden / familyclan
Mythos 4
WordPress ist generell unsicher!
WordPress ist nicht unsicher
WordPress ist nicht unsicher
Etwa 25% aller Websites weltweit nutzen WordPress
Etwa 60% aller Websites, die auf einem Redaktionssystem basieren, nutzen dafür WordPress
Als Angriffsziel bietet sich WordPress deswegen automatisch an
Mit automatisierten Angriffen erreicht man eine größtmögliche Abdeckung
WordPress ist nicht unsicher
WordPress ist nicht unsicher
Jede (halbwegs komplexe) Software hat Fehler (Bugs) und Sicherheitslücken
WordPress (und jedes andere Redaktionssystem) ist Web-Software
Sicherheitslücken potenzieren sich beim Einsatz von Dritt-Software für WordPress (Plugins, Themes)
Die meisten erfolgreichen Hackerangriffe geschehen unabhängig von WordPress
Quelle: https://wpvulndb.com/statistics
Praxistest
Soviel weiß ich über Deine Seite!(verlegt in Extra-Session an Tag 2)
Links und Tipps zum Praxisteil hier
Grundregeln Website-Sicherheit
Beispiel: WordPress
Grundregeln WP-Sicherheit
Updates, Updates, Updates!
Backups, Backups, Backups!
Plugins und Themes: nur aus sicheren Quellen, nur aktuelle und gewartete Plugins/Themes, nur gut bewertete, Anzahl der aktiven Installation beachten, so wenige Plugins wie möglich
Sichere und starke Passwörter für jeden Benutzer (Policies)
Benutzername nicht “admin”, Admin- und Redakteursbenutzer, ggf. Benutzernamen verstecken
Als Anfänger: Sicherheitsplugin installieren, Dateien überwachen lassen (Wordfence, iThemes Security)
PC regelmäßig mit Anti-Virus-Software prüfen, Passwörter nur geschützt speichern
Mehr zum Thema WordPress-Sicherheit
Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen:https://www.wp-sicherheit.info
Twitter: @WPSicherheit und @marcnilius
Facebook-Gruppe: “WordPress Sicherheit”