#subscribe10 Wordpress härten & SSL-Umstellung


#1

Tag 3: 24.3.2019, 14:15-15:15, Workshop B
Vortragender @David_Kirchner

Inhalt:

  • Eine Seite ist nur dann wirklich sicher wenn sie offline ist, Angriffe gibt es immer.
  • Backups sind superwichtig, z. B. Updraftplus, das viele Feautures bietet.
  • Schutz bietet auch das Firewall/Antiviren/Anti-Malware-Plugin “Wordfence Security” für 99 $/Jahr
  • Better Search Replace Suchen & Ersetzen in der Datenbank Datenbank, nur für https nötig
  • CryptX codiert Mailadressen und das bietet Schutz vor Bots und Crawlern, mit denen Spammer nach Adressen suchen
  • Wordfence optimiert htaccess
  • Vergleicht sein Repository auf wordpress.org regelmäßig mit der Installation auf Deinem Server und weist auf Abweichungen hin.
  • Bietet auch Geoblocking (nur die Länder auf die Seite lassen, die man da auch haben will)
  • Angreifer werden automatisch blockiert
  • Empfehlung: “Think like a hacker”-Podcast vom Hersteller des Plugins

Ebenfalls wichtig: Nur noch SSL zulassen

  • Zertifikate gibt’s beim Hoster oftmals kostenpflichtig, bei Lets Encrypt für kostenlos und die aktualisieren inzwischen auch regelmäßig (muss als drei Monate passieren)
  • Automatische Umleitung http->https einrichten

Umstellen auf SSL:

  1. BACKUP
  2. SSL-Zertifikat aktivieren
  3. Umstellung in WP aktivieren bei Einstellungen
  4. Interne Links aktualisieren mit Better Search Replace
  5. Externe Links ändern
  6. Umleitung aktivieren, damit alte Bookmarks weiter funktionieren

#2

Vielen Dank für das Logging.

Hier noch meine Folien:
Wordpress_haerten.pdf (698,5 KB)


#3

Diskussion/Erfahrungsaustausch

  • Jedes Plugin ist eine potentielle Sicherheitslücke

  • Shared-Hoster sorgen bei unerfahrenen Usern für Sicherheit

  • Wordpress Core immer updaten

  • Plugins updaten sollte Sicherheitslücken patchen, kann im schlimmsten Fall aber auch welche produzieren

  • Backups nicht auf dem Server belassen, sondern auf gesonderter Maschine transferieren

  • Welches Plugin für 2-Faktor-Authentifizierung ist zu empfehlen: Kurzvorstellung Ubikey

  • Wordpress-Hardening-Guides versus WordPress-Hosting

  • Schilderung eines konkreten Angriffs (ca. Minute 20)

  • Statische Seite statt Wordpress? Kann man trotzdem den Podlove-Player verwenden?

  • Webseitengenerator HUGO

  • Exkurs: Podcast-Versionierung bei statischen Seiten via GIT


#4

Ich war leider nicht bei dem Talk, weil irgendwas wichtiges parallel war. Was ich noch in die Diskussion eingebracht hätte, wäre, /wp-admin und /wp-login hinter einer http Authentication zu verstecken. Dann hat man die Inconvenience, dass man bei jedem Login ins Backend zusätzlich über diese Autentifizierung drüber muss. Aber zumindest sind dann mal die Exploits, die für ihr Unwesen Zugriff auf /wp-admin und /wp-login brauchen, hinter einer weiteren Hürde. Um die zu Überwinden bräuchten sie einen Exploit gegen den http-Server (nginx, apache, lighthttpd) und die sind schon seltener als welche gegen irgendein windiges wp-Plugin.


#5

Ich würde noch die wp-config.php um folgende Zeilen ergänzen:

header('X-Frame-Options: SAMEORIGIN');
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);

Warum genau erklärt der Beitrag Secure WordPress with X-Frame-Options & HTTPOnly Cookie.

Die Verwendung von Wordfence zieht gemäß DSGVO zwingend ein Data Processing Agreement nach sich. Man folge dem Ablauf unter Wordfence and GDPR – General Data Protection Regulation


#6

Hi,

TL;DR: Jemand Interesse daran, wie ich meinen Podcast mittels statischer Webseite veröffentliche und jetzt auch den Podlove Button und den Podlove Web Player eingebunden habe? Dann bitte melden und ich würde das demnächst mal aufschreiben.

Ich hatte es ja schon auf der Subscribe erwähnt. Für meinen Podcast 7gutegruende.de verwende ich nicht Wordpress, sondern eine statische Seite, die mit Hugo, einem statischen Webseitengenerator erstellt wird.

Bisher nutze ich das Template Castanet, das für Podcasts gedacht ist. Ich habe es ein bisschen angepasst und nun die beiden Podlove-Elemente eingebaut. Den Button habe ich als Pull Request eingereicht.