 Ja, erklärt schon, wann Sie über die Sicherheitsung auswählen. Genau. Ja, läuft. Läuft, gut. Ja, hallo zusammen. Ich bleib mal sitzen, weil ich bin etwas erkältet, angeschlagen von daher. Ansonsten würde ich gerne rumlaufen, aber das will mein Körper im Moment nicht so ganz. Von daher, falls irgendwas auch tonal von der Lautstärke nicht so verständlich sein sollte, wird Bescheid dahin, in der letzte Reihe, ich wiederhole das dann gerne auch nochmal, wenn meine Stimme zwischendurch irgendwie verschwindet. Fragen könnt ihr gerne jederzeit stellen, ich versuche sie dann auch zu wiederholen, damit wir das im Stream der Aufzeichnung drin haben. Genau. Ja, also es geht um WordPress Sicherheit, oder ich sage mal, grundsätzlich WordPress ist sicher, aber man sollte so ein paar Dinge beachten und es pflegen. Kurz zu mir, warum meine ich darüber, was sagen zu können? Ich mache es, beschäftige mich seit 24 Jahren mit IT-Sicherheit, in einem Versicherungskonzern als Information Security Officer seit mehreren Jahren und mit WordPress selber beschäftige ich mal seit 14 Jahren. Das ist so fast seit, es war damals Version 1.2, also ziemlich am Anfang. Und GroL nervt hier rum. Nehmen wir Ausschalten. So, brauchen jetzt kein Netz mehr. Okay, weg geht's. Also ein bisschen die Storyline, also wie geht eigentlich so ein Angreifer vor und wogegen kann ich mich eigentlich schützen, oder worum geht's eigentlich? Ganz wichtig, jeder, der euch 100%ige Sicherheit verkaufen will, die gibt's nicht. Also ihr könnt den Angreifer immer nur schwieriger machen. Das ist wie, wenn man euch zu Hause eingebrochen wird. Ihr könnt halt noch ein zweites Schloss in die Tür bauen. Ihr könnt die Rolladen runterlassen. Ihr verzögert halt den Einbruch, aber ihr kriegt ihn nie komplett weg. Also keinem Traum, der da sagt, bei uns ist Hosting 100% sicher. Das gibt's einfach nicht, das ist unseriös. Ja, aber bevor wir auf das Technische eingehen, die größte Angriffspunkt, den es eigentlich gibt, das ist Social Engineering, also das ist der Mensch an sich. Weil 60% aller Angriffe entstehen durch Unwissenheit und Bequemlichkeit. Was heißt, was würdest du tun, wenn dein Provider dich anruft und dir sagt, hm, komm mal, dein Block erzeugt grad so eine hohe Serverlast auf unserem Managed Server, wir würden ihn gerne mal eben umziehen, aber wenn wir das machen könnten, gib uns mal eben dein Wordpress-Passwort, damit du damit überhaupt nichts zu tun hast. Genau, also, genau, so einfach und solche Sachen gibt's halt im Social Engineering, die funktionieren. Also immer überlegen, normalen Provider so ruft dich nicht an und fragen nach deinem Passwort, weil er hat's eh. Und der kann dein Wordpress auch umziehen, auch um anderen Server ohne das zu haben. Und daher, da immer vorsichtig sein, genauso halt wie die ganzen Spam und Fishingmails und was da so alles kommt. Jetzt endlich sage ich aber auch, ich bin nicht davor gefeit, wenn da die richtige Mail kommt, mit der richtigen Ansprache, im richtigen Kontext und du bist grad irgendwie in Eile, dann klickst du halt auch mal auf den Link, den du eigentlich nicht hättest anklicken sollen. Ja, was sieht man denn so von außen, wenn man mal auf so ein Block guckt? Es gibt halt Tools, mit denen ich abfragen kann, was auf seinem Block passiert. Ähm, da mal hier, das ist, glaube ich, genau. Der HackerTage Wordpress Security Scan, das ist im Prinzip WP Scan auf einer Webseite. WP Scan ist ein Tool, mit dem ich auf bei Command Line Abfragen an Wordpress stellen kann. Das Ganze habe ich jetzt mal hier gegen meine Webseite gemacht. Und da gehe ich halt schon ziemlich viel raus. Ich weiß, welche PHP-Version da läuft, was für ein Web-Server da läuft. Die Wordpress-Version hat an dem Fall jetzt nicht rausfinden können. Aber er sieht halt auch von außen, was habe ich für Plugins installiert, zumindest ein Teil, kann die Versionsnummer erkennen. Und daran kann ich natürlich auch dann wieder nachschauen, sind das aktuelle Versionen, gibt es für diese Versionen Sicherheitslücken nicht ausnutzen kann. Und das alles ist halt in dem ausgelieferten Quelltext von eurer Seite drin, weil sonst funktioniert das Ganze halt nicht. Von daher macht das halt, und ich sehe halt auch, was gibt es hier für User, die angelegt sind und welche Seiten sind verlinkt. Okay, das ist jetzt relativ easy. Aber da kennt man ziemlich viel erst mal raus. Und mit diesen Informationen kann ich halt von außen dann weitergehen und so eine Webseite angreifen oder mir halt die Schwachstellen raussuchen. Und im optimalen Fall habe ich hier halt auch direkt die Links zu den Schwachstellen und kann mich da durchklicken und dann kriege ich Beispiel-Code und komme da weiter. Ja, so, wo fängt das Ganze mit der Sicherheit jetzt an? Und war das eigentlich so Schlangenöl oder Sicherheitsquatsch? Und warum ist das eigentlich wichtig? Ja, also 31% der Alexa Top 10 Millionen Websites nutzen heute WordPress und das sind über 70 Millionen WordPress-Installationen insgesamt. Und damit ist WordPress die größte Software, die im Internet genutzt wird, und damit das interessanteste Ziel. Weil wenn ich in dem Ding eine Sicherheitslücke finde, kann ich halt diese Menge an Webseiten damit zu meinen machen und infizieren, um es brauchen. Und über welchen Weg finden diese Angriffe statt? 40% oder über 40% greifen das Hosting an. Hast du eigentlich so, hast du einen Provider oder betreibst deinen Server selber, hast du da unsichere Software drauf? 22% gehen über die Plugins. 29% über die Seams. Und 8% über Passwörter. Und das ist eigentlich das Bittere. Dass die Zahl so groß ist. Weil das wäre noch das Einfachste, was ihr beeinflussen könnt, das Thema Passwörter, ganz am Anfang. Die Statistiken hier sind aus einer Studiegläufe von Sucuri, die einmal, die sind ein Security-Dienstleister rund um WordPress und gehackte Seiten. Und die veröffentlichen das einmal im Jahr von deren geficksten Seiten, wo die Angriffe ursprünglich herkamen. Ja, Grundlage fängt auf eurem Rechner an. Verwendet aktuelle Updates. Diese Woche hatten wir in Köln im WordPress Meetup. Jemanden sitzen, der es mit dem Windows XP Rechner da aufgetaucht. Nein, das ist keine gute Idee. Und er war mit dem Windows XP Rechner darunter und ging dann per HTTP auf seine Webseite ein. Das ist dann schon zweimal nicht gut. Habt eine Anti-Mailware-Software installiert, die auch guckt, selbst wenn die Software auf einem Rechner aktuell ist, wie gesagt, das Thema Fishing, jeder klickt mal auf den falschen Link und fängt sich dann doch mal was ein. Aber die Anti-Mailware hilft dann zumindest, das dann wieder festzustellen und wieder rauszukriegen. Und in True Prevention, bzw. eine kleinzeitige Firewall, wenn ihr nicht zu Hause hinter eurer Fritzbock sitzt, sondern wie jetzt hier in einem offenen Uni-Wähladen, sollte eigentlich auch so das Minimum sein. Damit von außen jetzt nicht im Fall des Falles doch mal jemand auf euren Rechner kommt. Passwörter, ihr habt eben gesehen, 8% der Angriffe über die Passwörter. Also überlegt euch gute Passwörter, nimmt nichts, was im Dunen steht oder was Namen, Spitznamen, Geburtsdaten, Katzen, Hund, was weiß ich was. Sie sollten möglichst lang sein. heutige Anforderungen 16 Stellen Minimum, weil alles was kürzer ist, ist mit Großrechnern in kürzester Zeit herausfindbar. In dem Falle, wenn mal die Passwortdatenbank abhanden kommt, nutzt für jeden Log in ein eigenes Passwort. Ja, Phil. Nutzt für jedes Log in ein eigenes Passwort. Also nicht ein Passwort für Facebook, Twitter, WordPress, euren E-Mail-Account-Netz, sondern wirklich jeder Service sein, sondern wirklich jeder Service sein, sondern wirklich jeder Service sein, eigenes Passwort. Und damit man das Ganze irgendwie verwalten kann, benutzt ein Passwortsafe. Keypass, Endpass, OnePasswort, was auch immer. Also es gibt für jedes Betriebssystem, für jedes Mobile-System, gibt es da genug, um diesem Passwort wahnsinn herzuwerden. Ich sage mal, ich würde grundsätzlich, das ist dann die Frage, A Genau. Also, wenn der gehackt wird, letztendlich geht es darum, A vertraue ich dem Algorithmus der Passwortsafe und dem Hersteller, dass der da sauber ist mit dem, was er macht und B, wie sicher ist mein Masterpasswort. Und es gibt dann noch, also ich würde halt, also ich würde kein Cloud-Passwortdienst nutzen, der nicht unabhängig von dritten irgendwie zumindest mal seine Sicherheit nachgewiesen hat. Ja. Ja. Ja. Also wenn du die 16 Stellen hast, dann kann man auch dieses Multi-Wort-Spiel mit Zahlen oder Sonnerzeichen dazwischen ist auf jeden Fall auch schon ein guter Ansatz, also weil auch da die Algorithmen, um die zu knacken, dann entsprechend aufgeschmissen oder länger dauern. Ja, ja, ja, ja, ich mein was, ja, genau, ja, nein, ja, genau, genau. Also darfst du sagen, wir sind im Worldcamp, hier wirds alles geduzt und ansonsten, also wieder Keypass ist Open Source, der ist auch unabhängig geprüft worden, für fast alle Passplattformen. Wie du Keypass singst, ist dann auch wieder dir überlassen, du kannst halt auf deinen eigenen Webshare oder Webduff über den Weg singen oder direkt von Device zu Device oder halt auch sowas wie Dropbox nutzen, aber das musst du halt selber für dich entscheiden, wie hoch dein Sicherheitsbedürfnis da ist und ob du der Verschlüsselungsalgorithmen vertraust und Keypass kann man halt auch noch mit zwei Faktor-authentifizierungen nutzen, so dass du halt nicht nur ein Passwort hast, sondern zum Beispiel noch ein Hack Hardware-Token, der der Pass, der safe verschlüsselt ist und dann wirds halt schon, selbst wenn er dann in der Cloud abhanden kommt, ohne den Hardware-Token, dazu kann mal nix mit anfangen. Genau, ja, ja, ja, ja, ansonsten gibt's halt auch kommerzielle Anbieter, die ihren Sourcecode öffentlich überprüfen lassen haben oder ihre Algorithmen, zumindest die Verschlüsselungsalgorithmen, offenlegen, so dass man sie überprüfen kann. Ja, klar, ja, ja, ja, und es geht, finde ich, also auch noch, wie ist der Hersteller in der Vergangenheit mit Fehlern in seiner Software umgegangen? Kommuniziert er die offen, behebt er Fehler schnell oder kehrt er sowas lieber unter ein Tisch? Ich nutze auch OnePass wird und auch da sehe ich, dass die in der Vergangenheit mit Fehlern sehr offen umgegangen sind und die sauber kommuniziert haben. Das ist halt auch so ein Ding, was halt wieder Vertrauenschaft, ne? Aber wie gesagt, gut, ja, dann, ihr ladet WordPress auf euren Web-Server hoch und macht das erstmal per FDP, ja, blöde Idee. In dem Moment ging das Passwort schon mal unverschlüsselt über die Leitung und dann greift er per HTTPS auf die Login-Seite zu und macht das 5-Minuten-Set ab und schon wieder geht die Passwort da unverschlüsselt über die Leitung. Nee, also, ein Web-Hoster, wer heute kein FTPS oder HTTPS anbietet, wechselt da weg. Also macht bei dem nicht weiter, weil das hört sich einfach nicht, ja. Ja, wenn der VPN-Tunnel direkt von deinem Kleint bis auf den Web-Server geht, ja, aber warum so umständig, also, warum nicht direkt FTPS oder SFDP nutzen? Ja, also ist halt auch immer der Frage, wer hat die Hoheit über die jeweiligen Systeme. Ja, ich hab hier so ne ganze Dose da. Danke. Ich glaube, ich muss da auch noch mal einen nehmen. Ja, also wie gesagt, immer verschlüsselte Verbindungen zu eurem Web-Server, sowohl für HTTP, wie auch für FDP oder SSH und in Zeiten von Let's Encrypt sollt es auch kein Problem mehr sein, ein Hoster zu haben, bei dem man für dieses ganze SSL-Satvikarzthema nix zahlt oder nicht extra zahlt. Also auch das würde ich heute an ein Hoster als Minimal-Anforderung stellen und gerade auch im Thema DSGVO. Das macht man heute nicht mehr anders. Ja, dann so die Frage was hab ich denn da? Ich hab so einen Rootserver oder nehm ich lieber ein Managed-Server oder bist du hauptberuflich Servatmin, bist du 24-7 verfügbar für deinen Server und kümmerst dich um deine Updates. Ist das was, was dein tägliches Leben ist oder willst du auch mal Urlaub machen und oder wirst du auch mal krank und kannst dich nicht drum kümmern. Also meine, ich beschäftige mich mit Sicherheit, aber ich selber hab Managed Hosting, weil ich sage nee, ich bin halt mal nicht da. Das Ding soll auch in meinem Urlaub funktionieren und sollen wir da nicht um die Ohren fliegen. Also nämlich Managed Hosting einfach mal drüber nachdenken was man da so tut. Und wenn man halt so ein Minuxerver zum umspielen hat dann macht das bitte nicht mit eurer Business-Webseite. Dann holt euch noch so ein nebenbei zum umspielen oder stellt euch so ein Raspberry Pi in den Keller oder was auch immer worauf er dieses Spielerei macht aber macht das nicht mit der Webseite, mit der ihr euer Geld verdient. Kommen wir mal zu WordPress. Also wichtigste Updates aktuell halten und ja, überwachen. WordPress Core aktualisiert sich, wenn ihr es nicht verstellt habt wenn ihr einige One-Click-Installationen von eurem Provider habt werden die sicherheitsrelevanten Updates von WordPress eigentlich automatisch eingespielt wenn das bei euch nicht so ist mal dringend nachgucken. Aktuell solltet ihr 4.9.8 haben als WordPress-Version nachgang mal gucken, wenn das nicht so ist dringend was tun. Auch die älteren WordPress-Versionen werden immer noch mit Absicherheitsupdates versorgt aber gibt es wenige Gründe da nicht auf 4.9.8 zu sein und wenn ihr Sachen habt die euch davon abhalten seht zu, dass ihr die los werdet also wenn ihr sagt ja, ich muss aber noch 3.7.8 irgendwas verwenden, weil folgendes Plug-in nur damit läuft ja, wann ist das Plug-in zuletzt abgedatet worden pflegt der Autor das überhaupt noch also nebt er noch ja, das ist auch durchaus eine berechtigte Frage dasselbe gilt natürlich für Plug-ins und Seams, also alles was ihr in WordPress installiert, reinspielt, dazu auf den Webster aber hochladet muss gepflegt werden weil alles kann ausführbaren PHP-Code oder ja, was kript oder was auch immer enthalten was potenzielle Sicherheitslücken enthält ja, Updates unverzüglich einspielen ist jetzt so ein bisschen davon abhängig wie kritisch eure Webseite für euch, euer Geschäft oder für was auch immer ist und wie kritisch die Sicherheitslücken sind ja, also WordPress Core selber, aktualisiert sich ja selber wenn ich es nicht ausgeschaltet habe, von daher habe ich da erstmal wenig Einfluss drauf, der macht es halt direkt für Plug-ins und Seams, kann man das übrigens auch aktivieren, dass die das selber direkt machen habe ich auch auf 2 Installationen mittlerweile so laufen funktioniert und ansonsten habe ich ein Backup und grundsätzlich empfiehlt es sich eher ein Test-Staging, was auch immer System zu haben auf denen man halt seine Standard-Sachen vorher mal testet und seine Plug-ins, die einem wichtig sind vorher dort ausprobiert und sie dann ins Live-System anspielt ja dann nicht, dann hilft der halt letztendlich das Backup dann wieder raus ja ich ja, eben also du musst die eine Frage ist also okay, wenn der Shop jetzt eine halbe Stunde nicht läuft gehen mir so viele Millionen Einnahmen verloren weil die Kunden keine Umsätze machen können auf der anderen Seite, wenn der Shop gehackt wird die meine Kundendaten abhanden kommen ist meine Reputation am Arsch ja, also an der Stelle müsst ihr selber die Sicherheitsabwägung treffen was euch jetzt wichtiger ist also an der Stelle wichtig ist, dir Wernes oder das Bewusstsein einfach zu haben ne beides kann nicht treffen und du musst halt entscheiden ja ja ja ja also deshalb WordPress ist halt nicht damit erledigt dass die Seite läuft sondern du musst dich halt um kümmern und es pflegen und im Zweifelsfall halt auch mal innerhalb von einer Stunde reagieren wenn es für dein Geschäft wichtig ist sag mal, ob mein Block jetzt wegfällt und mal hinten runter kippt ja, so what, da hängt nichts dran das mache ich für meinen eigenen Spaß aber davon ist nicht abhängig ob ich nächstes nächsten Monat meine Miete zahlen kann ja und nee, jetzt ein Wartungsvertrag dafür abschließen, ja warum denn läuft doch ja ja, dann natürlich das Thema vertrauenswürdige Quellen für den Code also WordPress selber von WordPress org beziehen die Plugins und Sieben rückdurchst auch von da beziehungsweise dann halt wenn man sie irgendwo von Dritten einkauft auch von Welchen die man ja irgendwo erkennt oder von Dritten genannt bekommen hat oder die irgendwie zumindest mal vorher einen Trust aufgebaut haben und nicht auf irgendeiner Seite mit komischer Wärmung und bitte klicken Sie hier unten rechts und kaufen Sie im Abo 35 Plugins und wir pflegen die auch bestimmt nicht mehr weiter ja, nutzt die Erfahrung der Community nutzt eure Meetups, fragt darum wenn ihr zu irgendeinem Thema was sucht nutzt guckt in die auf WordPress org in die Foren fragt da die Leute was andere nutzen dass da einfach so die Erfahrungswerte mitnutzen ja ja ja, deshalb auch da vorsichtig sein ja, ansonsten könnt ihr natürlich jetzt wenn wir hier so auf so einem Plugin sind es ist halt immer ganz spannend zu sehen wie viele Installationen gibt's dafür schon ist das mit der letzten Version getestet ab wann läuft's wie lange existiert das Ganze schon und wie ist so das Rating und auch einfach mal hier in der Support Form gucken kümmern sich die Autoren um ihr Plugin sind da Userfragen beantwortet also das ist so der Weg im WordPress org Repository selber zu gucken wie geht's da mein Plugins und ist hier oben nicht ein großer roter Banner das Plugin ist schon seit 2 Jahren nicht mehr gepflegt oder läuft mit den letzten 3 WordPress Versionen nicht mehr dann sollte man sich auch überlegen ob man das verwendet ja genau Admin und Password, das ist jetzt so ein bisschen es spielt für die Sicherheit relativ wenig Rolle hilft aber das Thema ähm ähm ja nicht die das Attacken Blutforst Attacken auf den Admin Account zu minimieren wenn ich den Admin Account den Standard-Admin Account der Admin heißt einfach nicht so heißen lasse sondern den neuen Standard Account anlege den zum Admin machen und den Admin Account hinterher löschen dann hat der A nicht den User 1 und B heißt dann nicht Admin so dass ein Blutforst Angriff auf den die Rolle schon mal etwas schwieriger wird und wie gesagt nutzt ein sicheres komplexes Password für den Admin ja und der Name der Rolle sollte vielleicht auch nicht der Name des Accounts sollte auch nicht um den Rückschlüssel auf die Rolle lassen zu lassen wenn ihr allerdings eh nur einen User angelegt habt ist es auch wurscht weil das wird dann der Admin sein und dann krieg ich es halt mit dem WP Scan von außen auch raus wie der heißt also ja das ist die Reste API über die du das letztendlich abfragen kannst ja ja ja da kann man jetzt auch drüber diskutieren ich finde es auch nicht gut dass es das tut wann ist da moment anderer Meinung letztendlich wenn die Passworder sicher ist es spielt es keine Rolle ja ja dann wenn es halt passiert ist es ganz wichtig, dass ihr ein Backup habt und das Ganze sollte vorallem automatisiert und regelmäßig stattfinden also wenn ich mir einen Terminmerker in den Kalender setze einmal die Woche Backup von meinem Server machen und das dann per FTP FTPS runterziehe und auf meine Platte ablege dann funktioniert das vielleicht 2 Monate und danach vergesse ich es weil dann war ich halt doch mal im Urlaub oder irgendwas von daher nutzt die bekannten Backup Plugins wie BackWP Up oder UpDraft oder ähnliche sucht euch ein neues Ziel für das Backup das sollte nicht auf dem selben Server liegen nutzt irgendeinen Cloud-Speicherdienst oder bei einem anderen Hoster noch ein kleines Webpaket wo genug Speicherplatz drauf ist wo ihr das per SFTP rüberschieben könnt so dass die Daten einfach an 2 verschiedenen Orten sind aber wenn die Daten auf dem selben Server liegen und der gehackt wird, dann hilft das Backup halt auch nichts mehr dann ist es genauso mit weg oder lasst es euch automatisch per Mail an euren Mail Account schicken oder ähnliches da gibt es in den Plugins ganz viele verschiedene Wege um da Ziele für das Backup anzugeben ja, kommen wir mal zum Installation Recht und Benutzer also wie gesagt Upload und Installation über verschlüsselte Wege das 5-Minuten-Setup auch über HTTPS durchführen in dem Setup werdet ihr nach dem SQL-Tabellen-Prefix gefragt auch das hilft nur um solche Blutforce-Angriffe oder automatisierte Angriffe schwerer zu machen dass man da halt ein anderes Prefix verwendet weil die Standard-Angriffe halt erstmal auf WP-Unterstrich zugreifen und sagen alle Tabellen liegen dahinter wenn ich die halt etwas unbenenne oder ein Prefix davor her setze dann grenzt sich da auch schon ein bisschen was ab bitte ne, der ist aber dann hinterher, wenn du einmal hier drinnen bist dann wäre er erreichbar genau indiveller Nutzanahme, sichere Passwörter und die Sicherheitsschlüsse für die gesalzenen Passwörter die werden im 5-Minuten-Setup mittlerweile automatisch angelegt das war noch nicht immer so also wenn ihr noch eine etwas ältere Installation habt die immer abgedatet wurde kann man mal überlegen ob man die Sicherheitsschlüssel damals neu generiert neu hinterlegt ja, Plugins und die Standard mitgelieferten Akkäs mit einem Hello Dolly, die man hier in Deutschland eigentlich nicht verwendet löscht sie, tut sie nicht nur deaktivieren weil dann ist der Code halt immer auf dem Server und kann genutzt werden ansonsten habe ich so 3 Security Relevante neben dem Backup Plugin 3 Security Relevante Plugins die ich eigentlich immer nutze das eine ist Lock-in Lockdown was genau auf dieses Thema Blutforce-Angriffe auf die User anspielt der einfach nach 5-maliger Falscheingabe des Passwords einfach sagt so von der Quell-IP-Adresse lasse ich erstmal keine Lock-ins mehr zu für die nächste Stunde oder für den Einstellbaren Zeitraum damit kann man das schon mal verhindern richtig gute professionelle Blutforce-Angriffe wird man damit nicht abschrecken können, weil die kommen per DDoS über da kommt halt von jeder Quell-IP oder 2 Anfragen und dann nutzen Sie halt 3 anderes den nächsten Server aber es hilft für sehr viele schon mal das nächste ist wenn ihr einfach mal sehen wollt was auf eurem Block oder auch was eure Benutzer und Co. machen wann WordPress sich updated ist WP Security Audit Lock ganz hilfreich was einfach ein Lock-File mitschreibt über sämtliche Änderungen die im WordPress stattfinden was ihr euch macht hilft hinterher zum Nachvollziehbarkeit falls doch mal was passiert ist und ja zu Akismet so das gegen das DSGVO konforme Gegenstück Anti-Spambi wenn man da das Thema Kommentarspam und Kommentarlücken abdichten will nämlich das und dazu verwende ich Back-UP Back-WP-UP jedes mal dasselbe genau Back-WP-UP als Back-UP-Luck und mit den 4 plus den gesamten Regeln sichere Installation Mensch des Hosting drumherum damit WordPress eigentlich erstmal so getan so laufen die Installationen und es ist eine Funktion die ihr auch als Team Security mitbringt aber kommt noch auf zwei andere Sachen jetzt genau wenn euer Web-Posting so wie es heute ist ausschließlich per HTTPS erreichbar ist hat sich das hier erledigt ansonsten wenn auch HTTPS geht sollte man zumindest die zwei Settings in der WP-Config setzen damit zumindest das WP-Admin-Lock in immer auf SSL umgeleitet wird damit man da nicht ausversehen sich doch mal per HTTPS einlockt und die WP-Config selber sollte man noch vor Zugriffen von Außenschützen weil da stehen halt die Datenbank Parameter über den Weg dann auch an die Passwort-Datei in der Datenbank käme die mit den Souls auch wieder auflösen könnte also die Rechte auf die WP-Config setzen, dass sie nur vom Web-Server zugegriffen werden kann und über die HTTPS den Zube von Außen einfach verbieten ja ich würde es nicht verändern weil du damit in der Regel das Auto-Updates kaputt machst also normalerweise ist es vom Hoster vernünftig gesetzt wie dein Hoster die Standards Regeln da drin hat wenn du das so verwendest funktioniert's eigentlich auch es gibt ein paar Hoster die da ein bisschen komische Einstellungen haben wo dann auch wieder kein Auto-Update geht aber in der Regel wird ich da nicht weiter auf Fallsystemebene dran rumschrauben nicht ohne dringenden Bedarfen ja so, dann gibt's auch so ein paar Tools wo ihr mit eurer Seite mal von außen angucken könnt das ist den Hacker Target den haben wir uns gerade schon als erstes angeguckt gehabt das ist letztendlich das WP-Scan als Webseitenversion dann wenn ihr mal schauen wollt wie gut euer SSL-Zertifikat ist ob das alles sauber konfiguriert ist empfiehlt sich der Qualys SSL-Labs Scanner hier sollte nach Möglichkeit A oder A plus rauskommen, wenn da was anderes rauskommt könnt ihr mal bei eurem Provider nachfragen und vor allen Dingen sagt er euch dann auch schon was hier unten dann mal verbessert werden sollte der Side-Check von Tsukuri selber ist in dem Fall ja ganz hilfreich wenn ihr dann den Fall habt, dass ihr irgendwie komische Sachen in eurer Webseite habt wir hatten das auch diese Woche im Meetup in Köln, der hatte auf einmal im Menü irgendwelche Viagra-Einträge stehen wir haben dann hier mit dem Tsukuri einfach mal gescannt und direkt gesehen dass es über die Seams Dateien kam der hat wirklich gesagt in den Seams Dateien sind da die Einträge und haben das dann auch per SSH dann hinterher rausgefunden also hat gestimmt, da waren Einträge drin ja und das Team war natürlich irgendwie vier Jahre alt, nie abgedatet dann natürlich auch ganz hilfreich da man ja manchmal nicht da ist und immer auf seine Webseite guckt wie überwach ich das ganze es gibt einmal das die W-Kos-Projekt auch vom CMS-Garn und dem Bundesministerium von Wirtschaft und Energie ihr könnt ja einfach einmal auf der Webseite selber einen Schnellcheck machen wo ihr einige Sachen eingezeigt bekommt aber was halt viel interessanter ist ihr könnt das Ding eure Seite regelmäßig überprüfen lassen und ihr werdet dann informiert falls er was findet oder falls da irgendwas auf eurer Seite nicht in Ordnung sein sollte so dass man dann halt reagieren kann und sich dann um seine Seite kümmern kann und dann gibt es halt noch so verschiedene die einfach so ein Monitoring der Webseite machen ob die Seite erreichbar ist ich nutze dann im Fall im Moment Abtime-Robot weil es für die Anzahlern Seiten die ich im Moment hab halt kostenlos nutzbar ist und der pingt einfach jede Minute guckt der einmal ist die Seite erreichbar und ja sehe ich zumindest kann man auch so ein bisschen seinen Hoster da mal überwachen ob der seine versprochenen 99,9 100% Abteilen auch wirklich erfüllt ja also wenn ihr jetzt gleich Zeit habt oder wenn ihr wieder zu Hause angekommen macht mal so ein Side-Health-Check mit eurer Seite bzw. macht den einfach regelmäßig ich würde mal so ein Minimum einmal im Monat sagen schaut mal ob die PHP Version die ihr einsetzt oder euer Provider euch da anbietet aktuell die sollte mindestens 7x sein weil sie sollte nicht älter als 5x sein alles was älter 5x ist wird nämlich nicht mehr supportet und auch 5x solltet ihr schleunigst mal mal updaten weil auch die wird bald aus dem Support fallen ja WordPress wie gesagt 498 ist aktueller Stand sollte es sein wenn das nicht so ist tut was dran guckt bei euren Teams und Plugins sind die noch aktuell gepflegt gibt es da aktuelle Updates im Repository wo kommen sie her hat der Hersteller der Updates rausgegeben oder wenn es halt Kauf Teams und Plugins sind in der Regel kauft man die meistens mit so einem Jahr Support wenn die älter als ein Jahr sind und ihr habt kauft bezahlt da kein Support Gebühr mehr auch mal drüber nachdenken ob man da vielleicht mal was tun sollte und wie gesagt die SQL verschlüsselt sollte auf der Seite sowieso grundsätzlich sein ja und dann gibt es noch das schöne Support Plugin selber das Health Check Plugin womit man die Themen dann auch sich im Backend anzeigen lassen kann der dann halt auch so was wie PHP Version auch die SQL Version anzeigt auch da kann man ja dann mal gucken wie man das auf der Webseite auf die Server Version die der her anzeigt überhaupt aktuell ist und supportet wird ja also regelmäßig kümmert euch um eure Seiten ja so und wer dann noch etwas weitere Genes tun will und wer SSH Zugriff auf seinen Server hat der kann die WPCL einnutzen und zum Beispiel da auf CommandEbene auch die Installation mal die Checksum überprüfen ob der Code den man auf seinem Server aktuell hat überhaupt dem entspricht den wie aktuell WPCL ausliefern oder ob sich da vielleicht auch schon was eingeschlichen hat gibt es aber auch verschiedene Plugins die das auch tun ob man das jetzt bis WPCL einmacht oder über die Plugins ist euch überlassen ja ansonsten Fragen oder weitere Fragen wer sagt seine Webseite ist sicher wer wer nennt seine Uherhil ja ja nein nein ist alles gut ja eben genau ja was bitte also ob jetzt Wordfans i7 Security oder sukuri hat ja auch ein Plugin die haben alle ihre Daseinsberechtigung aber man muss wissen was die tun und ich würde erstmal nem Einsteiger davon abraten das Ding einfach einzusetzen weil Sicherheit ist halt nix wo einfach installiers Knöpfchen rück und sicher von daher man muss sich halt mit der Thematik beschäftigen und sich die einzelnen Optionen in diesen Plugins anschauen was die genau tun verändern die extrem die HTXS Dateien schreiben da Parameter rein die dann wieder nicht bei allen Horstern funktionieren von daher Einsteiger nein wer fortgeschritten ist oder sich damit tiefer beschäftigen will soll sich die gerne angucken aber soll nicht erwarten dass er auf Knopfgedruck sicher ist weil das ist er nicht ja ist auf jeden Fall sinnvoll aber sollte man sich halt auch tiefer gehen mit Beschäftigen und wem das jetzt gar nichts sagt also Web Application Firewall ist eine Funktion die vor dem Web Server steht und die sämtliche HTTP Request vorfiltert und guckt ist zum Beispiel in den Requesten eine SQL Query mit drin die da nicht hingehört oder irgendwelcher Code der Analyse Server geschickt wird der eigentlich in dem Request gar nicht drin sein soll und würde die rausfiltern ich nutze auf Analyse Situation seit einem Jahr die WP Ninja Firewall also die macht konfiguriert im Prinzip eine WAP WAP über die HD XS Dateien das funktioniert recht zuverlässig ja das Mod Security im Apache ist da schon ziemlich gut aber klar ansonsten kann man natürlich auch auf so Cloud Services wie Cloudflare oder ähnliche zurückgreifen die das für einen dann machen aber auch da muss man wieder ist die Frage mit welcher Kanone schieße ich auf welchen Spatz und welche Webseite will ich damit schützen oder was habe ich da eigentlich weitere Fragen nein ja dann herzlichen Dank