sicherheit von webanwendungen juni 2013

Sicherheit von Webanwendungen am Beispiel von Wordpress

24. Juni 2013 / #wpzhThomas Gemperle / @thomasgemperle

Security Themes Wordpress

- Limiting Access- Containment- Preperation and knowledge

http://codex.wordpress.org/Hardening_WordPress

Schwachstellen

1. Webanwendung / CMS2. Technische Umgebung / Server3. Mensch / User

Schwachstelle Webanwendung

- Sicherheitslücken im CMS, Plugins, Themes- Gefährliche Features- Brute Force Attacken- Distributed BF attacks

Webanwendung: Sicherheitslücken

Updates, updates, updates- Updatefähigkeit erhalten- Updates durchführen- Achtung: Kompatibilität Plugins --> Staging

Allgemein: Vorsicht mit Plugins

Webanwendung: Sicherheitslücken

Webanwendung: Features

- Plugins (phpMyAdmin, ...)- define('DISALLOW_FILE_EDIT', true);- File Permissions (auto. Update)- Plugin policy: Downloads,

Bewertung, Updates

Webanwendung: Brute Force

Plugin: Limit Login Attemps

Webanwendung: Brute Force

Plugin: Login Security Solution

Plus: Password Policy

Webanwendung: Kein Username admin

Webanwendung: Two Factor Auth

https://www.duosecurity.com/http://wordpress.org/plugins/google-authenticator/

Webanwendung: Captcha

http://wordpress.org/plugins/captcha

Webanwendung: Prävention

- Backups (z.B. Backup-Plugin)- Spezielle Security-Plugins (Security Ninja, BulletProof Security etc.) - CDNs (CloudFlare etc.)

http://www.wpjedi.com/find-security-vulnerabilities-in-wordpress/

Schwachstelle Server

- Andere Applikationen auf dem selben Server- FTP-Zugänge- DDoS etc.

Server: Andere Applikationen

- Nur eine WP Installation pro Server- Keine anderen Applikationen, (=Risiken) installiert (z.B. Joomla, T3, statische Seiten mit PHP-Code etc.)

Server: FTP

- Kein externer FTP-Zugriff - Admin: SFTP oder VPN

Server: Monitoring

- Vertrauenswürdiger Hoster- Eigene Monitoring Tools (Pingdom, Plugins?)

Schwachstelle MenschPasswort-Management- Schwach- Aufgeschrieben- Weitergegeben

Unsichere Umgebung- WLANs- Phishing (URLs)- Malware, Trojaner, Spyware, Keylogger, ...

Mensch: Passwort Management

- LastPass- Bewusstsein / Verhalten

Mensch: Benutzer-Accounts

- Limitierter Zugriff- Passwort check- Security-Plugin?

Mensch: Unsichere Umgebung

define('FORCE_SSL_ADMIN', true);define('FORCE_SSL_LOGIN', true);

LastPass

Kontakt

3: http://www.flickr.com/photos/digitalgraphixx/6347678309/15: http://www.flickr.com/photos/pawelbak/3494459979/

Bilder (Creative Commons)

thomas.gemperle@openbyte.ch@thomasgemperlehttps://www.slideshare.net/thomasgemperle

sicherheit von webanwendungen juni 2013

schwachstelle webanwendung

webanwendung cms2

schwachstelle server

plugins security ninja

security themes wordpress

bulletproof security

spezielle security

kompatibilitt plugins

Documents

wlan sicherheit stella patzlaff christoph eder

d r. r eimann projektmanagement gmbh 1 it-sicherheit dr....

cloud computing sicherheit - aisec. · pdf filecloud...

diterima 26 juni 2012, disetujui28 juni 2013

sicherheit (in) der openstack cloud · deutsche openstack...

soziale sicherheit im alter familie, staat, kultur

sicherheit und gesundheit im betriebspraktikum

kickstart für sichere webanwendungen · 2020-01-17 ·...

it-sicherheit€¦ · © wolfgang hommel, helmut reiser,...

informationen zur sicherheit und garantie informações de

deployment und sicherheit komplexer open-source · pdf...

it-sicherheit: digitale signaturen digitale signatur ... ·...

glossar it-sicherheit

eao automotive bewegend. mit sicherheit

it sicherheit wirtschaftsinformatiker richard roth september...

cross-plattform performance sicherheit stabilität

dienstgesichter - herbstcampus 2019 · • seit juni 2004...

it-sicherheit in der praxis

nr. 26 juni - juni bis september 2015

chemische sicherheit und...