Mythen der WP-SicherheitIch habe nichts zu befürchten! Oder doch?

Marc Nilius - @marcnilius - @WPSicherheitBarcamp Koblenz 2015

Mythos 1

Warum sollte ich gehackt werden?

Bei mir auf der Website gibt es doch nichts Interessantes zu holen!?

Unterschiedliche Arten von Angriffen

Die meisten Angriffe geschehen automatisch und nicht zielgerichtet

Bewusste Angriffe auf bestimmte Websites meistens bei größere Firmen oder Angebote

Automatisierte Angriffe von Bots auf kleine und mittlere Websites sindsehr viel häufiger

Angriffe aus Langeweile oder wegen politischen & gesellschaftlichen Statements Quelle: flickr.com - CC-BY MakeHackVoid / devdsp

Ökonomische Gründe für Angriffe

Drive-by-Downloads: Infizierung der Website mit Malware, die sich beim Besuch der Seite auf den Computer des Besuchers herunterlädt / installiert

Blackhat SEO: Einbinden von (unsichtbaren) Links, damit die Websites in Google oder Bing gefunden werden. Häufig Affiliate-Links (Provision)

Systemressourcen: Nutzung des Servers für Aufgaben wie Botnetze, Spam, etc. Die Website muss dabei keine Auffälligkeiten zeigen

Quelle: flickr.com - Thomas Bauch / donbauches

Mythos 2

So schlimm ist das auch nicht,wenn meine Seite gehackt wird!

Was soll da schon passieren?

Folgen von Angriffen und Hacks

Folgen von Angriffen und Hacks

Aussendung von Spam oder Malware hat direkte Folgen für die Website-Besucher - Fahrlässigkeit?

- Blocken der Website durch Google- Abschalten der Website durch den

Hoster- Blocken durch Anti-Virus-Programme

Folge: keine Besucher, keine Bestellungen, verlorene Reputation

Neues IT-Sicherheitsgesetz(seit 25.07.2015):Unter Umständen sogar relevant, Bußgelder drohen

Folgen von Angriffen und Hacks

Neues IT-Sicherheitsgesetz (seit 25.07.2015)

Betreiber kritischer Betriebe (KRITIS) müssen Hacker-Vorfälle künftig melden (Ausnahmeregelung für kleine Unternehmen mit < 10 MA)

Telemediengesetz: geschäftsmäßige Diensteanbieter (inkl. Website-Betreiber) müssen Angebote absichern

- nur kommerzielle Angebote, jedoch keine Ausnahmeregelung für kleine Unternehmen

- Bußgelder bis zu 50.000 Euro

Betreiber von Web-Angeboten sind verpflichtet, ausreichende, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu ergreifen.

Folgen von Angriffen und Hacks

“Stand der Technik” in Bezug auf WordPress:

- Regelmäßige Updates (Sicherheitslücken)

- Regelmäßige Backups

- Grund-Absicherung der Seite (Standard-Maßnahmen)

- Überwachung der Seite auf Auffälligkeiten

- Maßnahmen zur Abwehr von Angriffen

Mythos 3

Ein Profi hat meine Seite erstellt -

ich muss mich um nichts mehr kümmern!

Pflege und Wartung von Websites

Websites, die Drittsoftware einsetzen, benötigen dauerhaft Wartung und Pflege

Schon nach wenigen Wochen sind die technischen Grundlagen veraltet und deswegen angreifbar

Für WordPress und dessen Plugins und Themes erscheinen jede Woche dutzende Sicherheitsupdates

(Fast) Jede Website wird regelmäßig von Hackern attackiert. Überwachung und Kontrolle ist daher dringend notwendig (ggf. Gegenmaßnahmen)

Quelle: flickr.com - David McSpadden / familyclan

Mythos 4

WordPress ist generell unsicher!

WordPress ist nicht unsicher

WordPress ist nicht unsicher

Etwa 25% aller Websites weltweit nutzen WordPress

Etwa 60% aller Websites, die auf einem Redaktionssystem basieren, nutzen dafür WordPress

Als Angriffsziel bietet sich WordPress deswegen automatisch an

Mit automatisierten Angriffen erreicht man eine größtmögliche Abdeckung

WordPress ist nicht unsicher

WordPress ist nicht unsicher

Jede (halbwegs komplexe) Software hat Fehler (Bugs) und Sicherheitslücken

WordPress (und jedes andere Redaktionssystem) ist Web-Software

Sicherheitslücken potenzieren sich beim Einsatz von Dritt-Software für WordPress (Plugins, Themes)

Die meisten erfolgreichen Hackerangriffe geschehen unabhängig von WordPress

Quelle: https://wpvulndb.com/statistics

Praxistest

Soviel weiß ich über Deine Seite!(verlegt in Extra-Session an Tag 2)

Links und Tipps zum Praxisteil hier

Grundregeln Website-Sicherheit

Beispiel: WordPress

Grundregeln WP-Sicherheit

Updates, Updates, Updates!

Backups, Backups, Backups!

Plugins und Themes: nur aus sicheren Quellen, nur aktuelle und gewartete Plugins/Themes, nur gut bewertete, Anzahl der aktiven Installation beachten, so wenige Plugins wie möglich

Sichere und starke Passwörter für jeden Benutzer (Policies)

Benutzername nicht “admin”, Admin- und Redakteursbenutzer, ggf. Benutzernamen verstecken

Als Anfänger: Sicherheitsplugin installieren, Dateien überwachen lassen (Wordfence, iThemes Security)

PC regelmäßig mit Anti-Virus-Software prüfen, Passwörter nur geschützt speichern

Mehr zum Thema WordPress-Sicherheit

Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen:https://www.wp-sicherheit.info

Twitter: @WPSicherheit und @marcnilius

Facebook-Gruppe: “WordPress Sicherheit”