Nachlese zum WP Meetup #111 – Sicherheit

News

State of the Word 2023
Overflow Questions from State of the Word 2023 in Madrid, Spain
Januar 28th: official “Thank a Plugin Developer” day
WordCamp Wapuus

 

Wapuu-Vorschlag von Klaus

Wapuu-Vorschlag von Klaus

Wordcamps

vienna.wordcamp.org/2024/ 05.-06.04.2024
leipzig.wordcamp.org/2024/ 20.04.2024
europe.wordcamp.org/2024/ 13.-15.06.2024 Torino, Italy
karlsruhe.wordcamp.org/2024/ 12.10.2024
wordpress.tv

Pilot program to test GatherPress as a Meetup alternative
GatherPress documentation

Sicherheitsmythen

  • „Warum sollte meine kleine, unbedeutende Seite gehackt werden?“
    Jeder kann betroffen sein!
  • Sollte ich meine WordPress-Version verstecken?
    Die wird gar nicht geprüft bzw. kann durch Fingerprinting ermittelt werden.
  • Sollte ich das DB-Präfix ändern?
    Nur bei neuen Installationen sinnvoll, eine nachträgliche Änderung lohnt wegen minimalem Sicherheitsgewinn nicht.
  • Sollte ich die Usernamen verstecken?
    Der Core hält den Usernamen nicht für relevant, er wird an vielen Orten preisgegeben. E-Mail geht auch. Lohnt den Aufwand nicht. Beispiel: Durch Anhängen von /wp-json/wp/v2/users an die Domain ist bei offener REST API (fast) immer jeder User einsehbar
  • Sollte ich die XML-RPC-Schnittstelle deaktivieren?
    Ja, denn sie stellt ein Sicherheitsrisiko dar und wird dank REST API nicht mehr benötigt. XML-RPC erlaubt 500 Login-Versuche via system.multicall (gefixt im Jahr 2015 (!) – siehe hier und hier

Empfehlungen

Die Basis aktuell halten (PHP, MySQL, Apache, …):
inpsyde.com – Deutsche Hoster und PHP Version wechseln? – So geht’s

Themes und Plugins aktuell halten, ungenutzte (bis auf 1 Fallback-Theme) deinstallieren

Konstante für die wp-config.php
Allows you to skip new bundles files like plugins and/or themes on upgrades.
Values: true|false
'CORE_UPGRADE_SKIP_NEW_BUNDLED'

Dokumentationen

Security für Entwickler:innen
Und alle Unterseiten dazu:
Sanitizing Data, Validating Data, Escaping Data, Nonces, User Roles and Capabilities, Common Vulnerabilities, Example
Für Administration
Unterseiten: Your password, Two Step Authentication, Backups, HTTPS, Brute Force Attacks, Hardening WordPress, Monitoring
Für Theme-Autor:innen
Für Plugin-Autor:innen
Checking User Capabilities, Data Validation, Nonces, Securing (escaping) Output, Securing (sanitizing) Input

Basics für alle: Updaten, Updaten, Updaten!

Auto-Updates aktivieren?
Wenn nicht anders machbar, ja. Besser Kleinigkeiten reparieren, als gehackt werden.

Empfehlung, um Plugin auf Aktualität zu checken:
„Plugin Report“ von Roy Tanck

Gute Plugins finden, eine Anleitung:
Torsten Landsiedel: Tipps zur richtigen Auswahl

Wenn es doch passiert ist:
FAQ My site was hacked

Video-Empfehlung:
Ransomware Gangs, ihre Vorgehensweisen und Hintermänner, sowie die Verhandlung von Lösegeldern

Unter Tools: Integrität von WP checken mit Site Health
Integrität von Plugins/Themes (aus den offiziellen Verzeichnissen checken): WP Cerber Security

Patchstack – WordPress & Plugins Security patchstack.com / wordpress.org

Bitwarden Passwort Manager
Lastpass Passwort Manager / Wikipedia
Security beim WP Meetup #99
Generator für leicht zu merkende Passwörter

 

To anyone who understands information theory and security and is in an infuriating argument with someone who does not (possibly involving mixed case), I sincerely apologize.

xkcd: Password Strength

Bot- und Spam-Abwehr

Akismet nicht nutzen (DSGVO-Probleme), sondern Antispam Bee
Honeypot gibt es auch für Kontaktformulare, beispielsweise für Contact Form 7
Europäische Alternativen für digitale Produkte: Captcha-Dienste

Leere index.php-Dateien in manchen Ordnern. Wieso?
Schutz vor Directory listing: „Silence is golden
Eine Suche nach „Index of“ und SQL oder ZIP oder .bak offenbart Schlimmes …

Web Application Firewall

Wordfence
Sucuri Security
NinjaFirewall (WP Edition)
Anleitung von Daniel Ruf: Standard-Setup für NinjaFirewall
Einfacher „brute force“ Schutz: Limit Login Attempts Reloaded
Anderer Ansatz: BBQ Firewall

Noch mehr Ideen von René Dasbeck: WordPress-Installation sicherer machen
Leider an manchen Stellen veraltet bzw. zu ungenau erklärt oder nur mit Serverzugang nutzbar …

Teile diesen Beitrag in den Netzwerken

Schreibe einen Kommentar