Sicherheit von Webanwendungen

Sicherheit von Webanwendungen am Beispiel von Wordpress

10. März 2013 / #bcruhr6Thomas Gemperle / @thomasgemperle

Security Themes Wordpress

- Limiting Access- Containment- Preperation and knowledge

http://codex.wordpress.org/Hardening_WordPress

Schwachstellen

1. Webanwendung / CMS2. Technische Umgebung / Server3. Mensch / User

copy

right

by

digi

talg

raph

ixx

(CC

BY

-NC

-ND

2.0

)

Schwachstelle Webanwendung

- Sicherheitslücken im CMS, Plugins, Themes- Gefährliche Features- Brute Force Attacken

Webanwendung: Sicherheitslücken

Updates, updates, updates- Updatefähigkeit erhalten- Updates durchführen- Achtung: Kompatibilität Plugins --> Staging

Allgemein: Vorsicht mit Plugins

Webanwendung: Sicherheitslücken

Webanwendung: Features

- Plugins (phpMyAdmin, ...)- define('DISALLOW_FILE_EDIT', true);- File Permissions (auto. Update)

http://codex.wordpress.org/Hardening_WordPress

Webanwendung: Brute Force

Plugin: Limit Login Attemps

Webanwendung: Kein Username admin

Webanwendung: Prävention

- Backups (z.B. Backup-Plugin)- Spezielle Security-Plugins (Security Ninja, BulletProof Security etc.)

http://www.wpjedi.com/find-security-vulnerabilities-in-wordpress/

Schwachstelle Server

- Andere Applikationen auf dem selben Server- FTP-Zugänge- DDoS etc.

Server: Andere Applikationen

- Nur eine WP Installation pro Server- Keine anderen Applikationen, (=Risiken) installiert (z.B. Joomla, T3, statische Seiten mit PHP-Code etc.)

Server: FTP

- Kein externer FTP-Zugriff - Admin: SFTP oder VPN

Server: Monitoring

- Vertrauenswürdiger Hoster- Eigene Monitoring Tools (Pingdom, Plugins?)

Schwachstelle MenschPasswort-Management- Schwach- Aufgeschrieben- Weitergegeben

Unsichere Umgebung- WLANs- Phishing (URLs)- Malware, Trojaner, Spyware, Keylogger, ...

copy

right

by

paw

elba

k (C

C B

Y-N

C-N

D 2

.0)

Mensch: Passwort Management

- LastPass- Bewusstsein / Verhalten

Mensch: Benutzer-Accounts

- Limitierter Zugriff- Passworte- Security-Plugin?

Mensch: Unsichere Umgebung

SSL

define('FORCE_SSL_ADMIN', true);define('FORCE_SSL_LOGIN', true);

VPN

LastPass

Kontakt

3: http://www.flickr.com/photos/digitalgraphixx/6347678309/15: http://www.flickr.com/photos/pawelbak/3494459979/

Bilder (Creative Commons)

[email protected]@thomasgemperlehttps://www.slideshare.net/thomasgemperle