Tag 3: 24.3.2019, 14:15-15:15, Workshop B
Vortragender @David_Kirchner

Inhalt:

• Eine Seite ist nur dann wirklich sicher wenn sie offline ist, Angriffe gibt es immer.
• Backups sind superwichtig, z. B. Updraftplus, das viele Feautures bietet.
• Schutz bietet auch das Firewall/Antiviren/Anti-Malware-Plugin “Wordfence Security” für 99 $/Jahr
• Better Search Replace Suchen & Ersetzen in der Datenbank Datenbank, nur für https nötig
• CryptX codiert Mailadressen und das bietet Schutz vor Bots und Crawlern, mit denen Spammer nach Adressen suchen
• Wordfence optimiert htaccess
• Vergleicht sein Repository auf wordpress.org regelmäßig mit der Installation auf Deinem Server und weist auf Abweichungen hin.
• Bietet auch Geoblocking (nur die Länder auf die Seite lassen, die man da auch haben will)
• Angreifer werden automatisch blockiert
• Empfehlung: “Think like a hacker”-Podcast vom Hersteller des Plugins

Ebenfalls wichtig: Nur noch SSL zulassen

• Zertifikate gibt’s beim Hoster oftmals kostenpflichtig, bei Lets Encrypt für kostenlos und die aktualisieren inzwischen auch regelmäßig (muss als drei Monate passieren)
• Automatische Umleitung http->https einrichten

Umstellen auf SSL:

1. BACKUP
2. SSL-Zertifikat aktivieren
3. Umstellung in WP aktivieren bei Einstellungen
4. Interne Links aktualisieren mit Better Search Replace
5. Externe Links ändern
6. Umleitung aktivieren, damit alte Bookmarks weiter funktionieren

Vielen Dank für das Logging.

Hier noch meine Folien:
Wordpress_haerten.pdf (698,5 KB)

Diskussion/Erfahrungsaustausch

• Jedes Plugin ist eine potentielle Sicherheitslücke

• Shared-Hoster sorgen bei unerfahrenen Usern für Sicherheit

• Wordpress Core immer updaten

• Plugins updaten sollte Sicherheitslücken patchen, kann im schlimmsten Fall aber auch welche produzieren

• Backups nicht auf dem Server belassen, sondern auf gesonderter Maschine transferieren

• Welches Plugin für 2-Faktor-Authentifizierung ist zu empfehlen: Kurzvorstellung Ubikey

• Wordpress-Hardening-Guides versus WordPress-Hosting

• Schilderung eines konkreten Angriffs (ca. Minute 20)

• Statische Seite statt Wordpress? Kann man trotzdem den Podlove-Player verwenden?

• Webseitengenerator HUGO

• Exkurs: Podcast-Versionierung bei statischen Seiten via GIT

Ich war leider nicht bei dem Talk, weil irgendwas wichtiges parallel war. Was ich noch in die Diskussion eingebracht hätte, wäre, /wp-admin und /wp-login hinter einer http Authentication zu verstecken. Dann hat man die Inconvenience, dass man bei jedem Login ins Backend zusätzlich über diese Autentifizierung drüber muss. Aber zumindest sind dann mal die Exploits, die für ihr Unwesen Zugriff auf /wp-admin und /wp-login brauchen, hinter einer weiteren Hürde. Um die zu Überwinden bräuchten sie einen Exploit gegen den http-Server (nginx, apache, lighthttpd) und die sind schon seltener als welche gegen irgendein windiges wp-Plugin.

Ich würde noch die wp-config.php um folgende Zeilen ergänzen:

header('X-Frame-Options: SAMEORIGIN');
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);

Warum genau erklärt der Beitrag Secure WordPress with X-Frame-Options & HTTPOnly Cookie.

Die Verwendung von Wordfence zieht gemäß DSGVO zwingend ein Data Processing Agreement nach sich. Man folge dem Ablauf unter Wordfence and GDPR – General Data Protection Regulation

Hi,

TL;DR: Jemand Interesse daran, wie ich meinen Podcast mittels statischer Webseite veröffentliche und jetzt auch den Podlove Button und den Podlove Web Player eingebunden habe? Dann bitte melden und ich würde das demnächst mal aufschreiben.

Ich hatte es ja schon auf der Subscribe erwähnt. Für meinen Podcast 7gutegruende.de verwende ich nicht Wordpress, sondern eine statische Seite, die mit Hugo, einem statischen Webseitengenerator erstellt wird.

Bisher nutze ich das Template Castanet, das für Podcasts gedacht ist. Ich habe es ein bisschen angepasst und nun die beiden Podlove-Elemente eingebaut. Den Button habe ich als Pull Request eingereicht.

hi 7gg,

ich plane auch bereits laengere zeit, von firtz auf hugo umzusteigen und das castanet theme entsprechend umzubauen.

bestuende die moeglichkeit, dass ich mir arbeit spare und teils auf deinen bereits getaetigten anpassungen aufbauen kann?

Hi holm,

klar, gerne. Welche Änderungen meinst du? Podlove subscribe button und spotify subscribe button sind mittlerweile auch im Hauptprojekt enthalten.

Ich habe in der Detailansicht zusätzlich noch den Podlove Webplayer eingebaut

grafik.png1908×2589 442 KB

Meine Anpassungen des Castanet-Themes sind in der layouts.zip (12,7 KB) zu finden. Wenn du den layouts-Ordner im Hauptordner deines Hugo-Projekts entpackst, werden die darin enthaltenen Dateien anstelle der Dateien aus dem Theme verwendet. Hilft dir das weiter?

Der Abschnitt zur Konfiguration des Podlove Webplayers in der config.toml sieht bei mir dann so aus:

# config.toml

web_player_enabled = true
#web_player_script_url = "js/embed.js"                        # fallback: https://cdn.podlove.org/web-player/embed.js
web_player_theme_main = "#27539b"                             # docs and color tool: https://docs.podlove.org/podlove-web-player/theme.html
web_player_theme_highlight = "#ffffff"                        # see line above
#web_player_show_subtitle = ""                                # subtitle
web_player_show_poster_url = "/images/podcastlogo_300.jpg"    # small or medium logo

Funktioniert soweit, ist aber noch nicht besonders schön für Nutzer:innen und mit etwas basteln und Unannehmlichkeiten wie doppelten Angaben verbunden. Bei den Episoden musst du z.B. die Metadaten wie Dateigröße z.B. doppelt angeben.

Aber vielleicht bringt es dir ja trotzdem was? Würde mich auf jeden Fall freuen!

Viel Spaß und viele Grüße
Martin

P.S. Ich habe noch die Episoden-Vorlage vergessen, die unter archetypes/episode.md liegt: episode.zip (609 Bytes)

ach, verdammt, jetzt hab ich dir grad ne private nachricht geschrieben waehrend du schon fleissig am antworten warst. danke erstmal, ich schaue mir das alles heute abend genauer an oder morgen abend in der LUG.

da ich mir castanet seit nem halben jahr nimmer angeschaut habe weiss ichs ohne es jetzt auszuprobieren nicht (was ich erst nachher kann): die ressourcen die zum nachladen des podlove players benoetigt werden sind auch schon im castanet default layout drin? oder hast du noch zusaetzliche js files die ich dort nicht finden werde?

Nö, nur die Buttons. Der Player ist in der ZIP von oben drin.

ach, verdammt, jetzt hab ich dir grad ne private nachricht geschrieben waehrend du schon fleissig am antworten warst.

Hast du etwa Geheimnisse vor der Community ? Du und die anderen hier könnt meine Erweiterungen gerne verwenden. Wenn ihr irgendwas cooles dazu baut oder so fände ich es gut, wenn ihr das hier oder am besten gleich hier mittels Pull Request zur Verfügung stellt.

noe, hab ich nicht. aber fuer persoenliches geplaenkel wollte ich nicht nen monatealten thread betrollen und dachte privat ist passender

ein ganz klein wenig off-topic ists ja schon…

Ich habe für die Detailfragen zu Hugo/Castanet/Podloveplayer einen separaten Thread geöffnet, wir waren hier schon ausreichend intensiv Off-Topic.

Weiter gehts hier: Hugo Theme auf Basis von Castanet und den Mods von @7gg