WordPress Professional II

Click here to load reader

download WordPress Professional II

of 47

  • date post

    21-Apr-2017
  • Category

    Internet

  • view

    1.928
  • download

    0

Embed Size (px)

Transcript of WordPress Professional II

  • WORDPRESS PROFESSIONAL IISEBASTIAN BLUM

  • WORDPRESS PROFESSIONAL II

    AGENDA WORDPRESS PROFESSIONAL II

    Security Aktuelle Lage Best Practices

    Automatische Updates und Zugriffsbeschrnkung

    Environment Themes Custom Post Types (Micro-) Plug-Ins

  • WORDPRESS SECURITYTEIL 1

    !

  • IT macht Arbeit nicht billiger, sondern in der Regel nur schneller. Wenn man Geschwindigkeit nicht immer bentigt, sollte man auf IT auch mal verzichten knnen.

    Klemens Kowalski, kowabit.de

    WORDPRESS SECURITY

  • WORDPRESS SECURITY AKTUELLE LAGE

  • WORDPRESS SECURITY: AKTUELLE LAGE

    RANSOMWARE BEFLLT NUTZER BER EXPLOIT KITS

    TeslaCryptSchwachstellen in veralteten CMS / WordPress-Installation

    Befall des Besuchers ber Exploit Kitsnutzt Lcken in Adobe Flash Player, Internet Explorer und Adobe Acrobat (Reader)

    Verschlsselt alle Dateien (lokale und in Netzwerkfreigaben) Gefahr fr Nutzer mit veralteter Software Regelmig Updates und Security-Fixes installieren

  • WORDPRESS SECURITY: AKTUELLE LAGE

    WORDPRESS AUF 26% ALLER INTERNETSEITEN

    Oftmals kein HTTPS fr Backend (WP-Admin) Standardbenutzer und einfache Passwrter (zu viele) Plug-Ins aktiviert

  • WORDPRESS SECURITY: AKTUELLE LAGE

    RANSOMWARE BEFLLT AUCH WEBSERVER

  • WORDPRESS SECURITY: AKTUELLE LAGE

    RANSOMWARE BEFLLT AUCH WEBSERVER

    CTB-LockerYour personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site. Wiederherstellung (bisher) unmglich Externe Backups regelmig erstellen

  • WORDPRESS SECURITY AUTOMATISCHE UPDATES

  • WORDPRESS SECURITY: AUTOMATISIERTE UPDATES

    PROBLEM

    WordPress Core und Plug-Ins sollten regelmig aktualisiert werden

    Theoretisch kein Problem:WordPress kann automatisch aktualisieren

    Automatische Updates bentigen Schreibrechte fr PHPoder FTP-Zugang keine Absicherung bei Angriffen

  • WORDPRESS SECURITY: AUTOMATISIERTE UPDATES

    LSUNG

    Unix-Rechteverwaltung sinnvoll nutzenStandardwerte: Ordner = 755, Dateien = 644

    7 6 4 rwx rwx rwxBesitzer Gruppe Sonstige

    Live-Modus Rechte Ordner (chmod 555), Rechte Dateien (444) PHP kann keine Dateien / Ordner schreiben

  • WORDPRESS SECURITY: AUTOMATISIERTE UPDATES

    LSUNG

    Update-Modus Rechte Dateien / Ordner (777) PHP kann Dateien / Ordner schreiben und ausfhren

    Vorgehen Rechte werden nur fr die Zeit der Updates gesetzt

    Benutzer knnen zustzlich angepasst werden, jedoch Einschrnkungen beim Shared Hosting PHP-CGI-Prozesse laufen oftmals mit Standardbenutzer

  • WORDPRESS SECURITY: AUTOMATISIERTE UPDATES

    UMSETZUNG

    Shared-Hosting mit Cronjobs und SSH all-inkl: ab Premium-Paket domainfactory: ab Professional-Paket STRATO: ab PowerWeb Plus

    Eigener Server Cronjobs ber crontab Jobs mit Jenkins (continuous integration)

  • WORDPRESS SECURITY: AUTOMATISIERTE UPDATES

    UMSETZUNG

    Update-Modus aktivieren

    Live-Modus aktivieren

    cd/var/wwwchmod-R0777./wordpress

    cd/var/wwwfind./wordpress-typed-execchmod0555{}\;find./wordpress-typef-execchmod0444{}\;find./wordpress/wp-content/cache-typed-execchmod0755{}\;find./wordpress/wp-content/cache-typef-execchmod0655{}\;find./wordpress/wp-content/uploads-typed-execchmod0755{}\;find./wordpress/wp-content/uploads-typef-execchmod0644{}\;

  • WORDPRESS SECURITY: AUTOMATISIERTE UPDATES

    UMSETZUNG

    WP-CLI herunterladen

    Updates installieren

    cd~curl-Ohttps://raw.githubusercontent.com/wp-cli/builds/gh-pages/phar/wp-cli.pharchmod+xwp-cli.phar

    ./wp-cli.pharcoreupdate--path=/var/www/wordpress(--debug)

    ./wp-cli.pharcoreupdate-db--path=/var/www/wordpress

    ./wp-cli.pharpluginupdate--all--path=/var/www/wordpress

    ./wp-cli.pharthemeupdate--all--path=/var/www/wordpress

  • WORDPRESS SECURITY: AUTOMATISIERTE UPDATES

    BER DEN TELLERRAND

    Zustzliche berprfungTools suchen nach SchwachstellenWPScan: http://wpscan.org/wprecon: http://wprecon.com/

    Jens Altmann Samstag Vortrag: Secure your company

    http://wpscan.org/http://wprecon.com/

  • WORDPRESS SECURITY ZUGRIFFSBESCHRNKUNG

  • WORDPRESS SECURITY: ZUGRIFFSBESCHRNKUNG

    .HTACCESS-DATEIEN BEI APACHE-WEBSERVER

    Ordner-Auflistung deaktivieren

    Direktzugriff nur fr bestimmte Dateitypen erlauben

    OptionsAll-Indexes

    Orderdeny,allowDenyfromallAllowfromall

  • WORDPRESS SECURITY: ZUGRIFFSBESCHRNKUNG

    .HTACCESS-DATEIEN BEI APACHE-WEBSERVER

    Login nur nach Passworteingabe

    Zugriff auf wp-includes Ordner blockieren

    AuthTypeBasicAuthName"RestrictedAdmin-Area"AuthUserFile/pfad/zur/.htpasswdRequirevalid-user

    RewriteEngineOnRewriteBase/RewriteRule^wp-admin/includes/-[F,L]RewriteRule!^wp-includes/-[S=3]RewriteRule^wp-includes/[^/]+\.php$-[F,L]

  • WORDPRESS SECURITY: ZUGRIFFSBESCHRNKUNG

    .HTACCESS-DATEIEN BEI APACHE-WEBSERVER

    Zugriff auf wp-config.php blockieren

    Zugriff auf .htaccess-Dateien blockierenOrderallow,denyDenyfromallSatisfyall

    Orderallow,denyDenyfromall

  • WORDPRESS SECURITY: LEARNINGS

    ZUSAMMENFASSUNG

    Mglichst wenig (Schreib-) Rechte fr Web-Server

    Updatebarkeit ist Schutz und Risiko gleichzeitig

    Externe Backups notwendig Dateien: ohne Schreibrechte fr Web-Server Datenbank: komplette Dumps

    Schwchstes Glied in Kette beachten!

  • WORDPRESS ENVIRONMENTTEIL 2

    "

  • WORDPRESS PROFESSIONAL II

    AGENDA WORDPRESS PROFESSIONAL II

    Security Aktuelle Lage Best Practices

    Automatische Updates und Zugriffsbeschrnkung

    Environment Themes Custom Post Types (Micro-) Plug-Ins

  • WORDPRESS ENVIRONMENTTHEMES

  • VORTRAG 2015: WORDPRESS PROFESSIONAL I

    RCKBLICK: LETZTES JAHR

    Unterscheidungen von Default-Themes Starter-Themes Child-Themes Vollwertige Themes

    Den jeweiligen Einsatzzweck

  • WORDPRESS ENVIRONMENT: THEMES - THEME OPTIONS

    THEME OPTIONS: DESIGN ANPASSEN

    Wechsel zwischen Themes, die alle Theme Options untersttzen, sollte mglich sein (Beispiel: Jedes Theme von wordpress.com)

    Ziel: Optionen Theme-bergreifend zu standardisieren

    Viele Themes verwenden eigenes Theme Panel Theme-Wechsel nur schwer mglich

    http://wordpress.com

  • VERWENDUNG DER THEME OPTIONS

  • VERWENDUNG EINES THEME PANELS

  • THEME UNIT TESTSWORDPRESS ENVIRONMENT THEMES

  • WORDPRESS ENVIRONMENT: THEMES - UNIT TESTS

    THEME UNIT TESTS

    Theme Unit Tests sind mglich

    Verbessern deutlich die Qualitt von Themes

    Mehr Infos unter:https://codex.wordpress.org/Theme_Unit_Test

    https://codex.wordpress.org/Theme_Unit_Test

  • Theme Plug-In

    Vorteile Stabiler, dank getesten Versionen

    Schnellere Updates Theme-Wechsel

    Nachteile Abhngigkeit vom Theme

    Theme-Lock-In

    Updates Versionskonflikte Namenkonflikte

    WORDPRESS ENVIRONMENT: THEMES

    FUNKTIONALITT IN THEME ODER PLUG-IN

  • WORDPRESS ENVIRONMENT: FAZIT THEMES

    FAZIT: FUNKTIONALITT IN THEMES

    Elegant Themes bringen die Funktionalitt im Theme mit Eigener Page-Builder: Divi Builder Verwendung der Theme Options guter Lsungsansatz

    Prferieren selbst die Funktionalitt in Plug-Ins Probleme mit Visual Composer Versionskonflikten Lock-In bei Custom-Post-Types im Theme Trennung ermglicht grere Flexibilitt

  • WORDPRESS ENVIRONMENTCUSTOM POST TYPE

  • WORDPRESS ENVIRONMENT: CUSTOM POST TYPE

    CUSTOM POST TYPE

    Einfach selbst definieren mit Hilfe eines kleinen Plug-Ins

    Bringt zustzliche Dokumentarten mit

    Im Child-Theme knnen Template-Dateien speziell fr den Custom-Post-Type erstellt werden

  • BEISPIELBILDUNG FR FLCHTLINGE

  • WORDPRESS ENVIRONMENT: CUSTOM POST TYPE

    BILDUNG-FUER-FLUECHTLINGE.DE

    Organisationen mit zustzlichen Informationen speichern Kontaktdaten (Auswahl und Textfelder) Ansprechpartner (Foto) Standort (Google Maps Karte) Bereich (Kategorie)

    Ausgabe der (gefilterten) Inhalte im Frontend

  • WORDPRESS ENVIRONMENT: CUSTOM POST TYPE

    BILDUNG-FUER-FLUECHTLINGE.DE: BACKEND

    Auswahl

    Textfeld

    Bild-Upload

    Standort (Google Maps)

  • WORDPRESS ENVIRONMENT: CUSTOM POST TYPE

    BILDUNG-FUER-FLUECHTLINGE.DE: FRONTEND

    Kontaktdaten

    Standort (Google Maps)

  • WORDPRESS ENVIRONMENT: FAZIT CUSTOM POST TYPES

    FAZIT: CUSTOM POST TYPES

    Eigene Dokument-Arten mit zustzlichen Feldern Bessere semantische Datenspeicherung Updatebarkeit ohne Inhaltsanpassung Mit Shortcodes in Widgets platzierbar guter Lsungsansatz

    Am besten Custom Post Types Definition & Custom Taxonomy selbst mit einem Plugin erstellen

    AdvancedCustomFields-Plugin fr Verwaltung zustzlicher Felder im Backend nutzen

  • WORDPRESS ENVIRONMENT(MICRO-) PLUG-INS

  • WORDPRESS ENVIRONMENT: (MICRO-) PLUG-INS

    EINFACHE MICRO-PLUG-INS

    Beispiel: sblum-force-httpsAlle verlinkten / verknpften Inhalte ber HTTPS abrufen

    Single Responsibility Pattern Bietet exakt eine Funktionalitt

    Einfache Unit-Tests

    Keine Konfiguration, keine eierlegende Wollmilchsau

    Quelle: Pixelrausch - Wikimedia Commons

  • WORDPRESS ENVIRONMENT: (MICRO-) PLUG-INS

    SBLUM-FORCE-HTTPS PLUG-IN

    Einsatz-Zweck: Umstellung auf HTTPS

    Problemstellung Im Th