News
State of the Word 2023
Overflow Questions from State of the Word 2023 in Madrid, Spain
Januar 28th: official “Thank a Plugin Developer” day
WordCamp Wapuus
Wapuu-Vorschlag von Klaus
Wordcamps
vienna.wordcamp.org/2024/ 05.-06.04.2024
leipzig.wordcamp.org/2024/ 20.04.2024
europe.wordcamp.org/2024/ 13.-15.06.2024 Torino, Italy
karlsruhe.wordcamp.org/2024/ 12.10.2024
wordpress.tv
Pilot program to test GatherPress as a Meetup alternative
GatherPress documentation
Sicherheitsmythen
- „Warum sollte meine kleine, unbedeutende Seite gehackt werden?“
Jeder kann betroffen sein! - Sollte ich meine WordPress-Version verstecken?
Die wird gar nicht geprüft bzw. kann durch Fingerprinting ermittelt werden. - Sollte ich das DB-Präfix ändern?
Nur bei neuen Installationen sinnvoll, eine nachträgliche Änderung lohnt wegen minimalem Sicherheitsgewinn nicht. - Sollte ich die Usernamen verstecken?
Der Core hält den Usernamen nicht für relevant, er wird an vielen Orten preisgegeben. E-Mail geht auch. Lohnt den Aufwand nicht. Beispiel: Durch Anhängen von /wp-json/wp/v2/users an die Domain ist bei offener REST API (fast) immer jeder User einsehbar… - Sollte ich die XML-RPC-Schnittstelle deaktivieren?
Ja, denn sie stellt ein Sicherheitsrisiko dar und wird dank REST API nicht mehr benötigt. XML-RPC erlaubt 500 Login-Versuche via system.multicall (gefixt im Jahr 2015 (!) – siehe hier und hier
Empfehlungen
Die Basis aktuell halten (PHP, MySQL, Apache, …):
inpsyde.com – Deutsche Hoster und PHP Version wechseln? – So geht’s
Themes und Plugins aktuell halten, ungenutzte (bis auf 1 Fallback-Theme) deinstallieren
Konstante für die wp-config.php
Allows you to skip new bundles files like plugins and/or themes on upgrades.
Values: true|false
'CORE_UPGRADE_SKIP_NEW_BUNDLED'
Dokumentationen
Security für Entwickler:innen
Und alle Unterseiten dazu:
Sanitizing Data, Validating Data, Escaping Data, Nonces, User Roles and Capabilities, Common Vulnerabilities, Example
Für Administration
Unterseiten: Your password, Two Step Authentication, Backups, HTTPS, Brute Force Attacks, Hardening WordPress, Monitoring
Für Theme-Autor:innen
Für Plugin-Autor:innen
Checking User Capabilities, Data Validation, Nonces, Securing (escaping) Output, Securing (sanitizing) Input
Basics für alle: Updaten, Updaten, Updaten!
Auto-Updates aktivieren?
Wenn nicht anders machbar, ja. Besser Kleinigkeiten reparieren, als gehackt werden.
Empfehlung, um Plugin auf Aktualität zu checken:
„Plugin Report“ von Roy Tanck
Gute Plugins finden, eine Anleitung:
Torsten Landsiedel: Tipps zur richtigen Auswahl
Wenn es doch passiert ist:
FAQ My site was hacked
Video-Empfehlung:
Ransomware Gangs, ihre Vorgehensweisen und Hintermänner, sowie die Verhandlung von Lösegeldern
Unter Tools: Integrität von WP checken mit Site Health
Integrität von Plugins/Themes (aus den offiziellen Verzeichnissen checken): WP Cerber Security
Patchstack – WordPress & Plugins Security patchstack.com / wordpress.org
Bitwarden Passwort Manager
Lastpass Passwort Manager / Wikipedia
Security beim WP Meetup #99
Generator für leicht zu merkende Passwörter
xkcd: Password Strength
Bot- und Spam-Abwehr
Akismet nicht nutzen (DSGVO-Probleme), sondern Antispam Bee
Honeypot gibt es auch für Kontaktformulare, beispielsweise für Contact Form 7
Europäische Alternativen für digitale Produkte: Captcha-Dienste
Leere index.php-Dateien in manchen Ordnern. Wieso?
Schutz vor Directory listing: „Silence is golden“
Eine Suche nach „Index of“ und SQL oder ZIP oder .bak offenbart Schlimmes …
Web Application Firewall
Wordfence
Sucuri Security
NinjaFirewall (WP Edition)
Anleitung von Daniel Ruf: Standard-Setup für NinjaFirewall
Einfacher „brute force“ Schutz: Limit Login Attempts Reloaded
Anderer Ansatz: BBQ Firewall
Noch mehr Ideen von René Dasbeck: WordPress-Installation sicherer machen
Leider an manchen Stellen veraltet bzw. zu ungenau erklärt oder nur mit Serverzugang nutzbar …