wordpress sicherheit ab werk
TRANSCRIPT
![Page 1: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/1.jpg)
Sicherheit ab Werkdie Bordmittel von WordPress
für sichere Plugins und Themes
![Page 2: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/2.jpg)
ad personam
• Stefan Kremer
• freiberuflicher Systemberater Mac, Web, CTI
• 10 Jahre WordPress
• Contributor
• Inhaber von AdminPress
@WPAberSicher
adminpress
![Page 3: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/3.jpg)
Angriffsvektoren
![Page 4: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/4.jpg)
Cross-Site-Scripting (XSS)bezeichnet das Ausnutzen einer
Computersicherheitslücke in Webanwendungen, indem Informationen
aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft werden. Aus diesem vertrauenswürdigen Kontext kann
dann ein Angriff gestartet werden.
![Page 5: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/5.jpg)
SQL Injectionsbezeichnet das Ausnutzen einer
Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die durch mangelnde
Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht.
Der Angreifer versucht dabei, über die Anwendung, die den Zugriff auf die
Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen.
![Page 6: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/6.jpg)
All data is guilty until proved innocent
![Page 7: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/7.jpg)
Trefft keine AnnahmenVertraut keinen Daten
Lehnt Euch nicht zurück
![Page 8: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/8.jpg)
Datenüberprüfung(Validation)
• Positivliste (Whitelisting)
• nur definierte Werte werden akzeptiert
• Tauglichkeit (Qualifying)
• PHP Funktionen
• WordPress Funktionen
![Page 9: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/9.jpg)
PHP • is_bool()
• is_float()
• filter_input()
• filter_var()
• …
• is_email()
• wp_validate_boolean()
• wp_kses_allowed_html()
• …
WP
![Page 10: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/10.jpg)
"In diesem Augenblick ist alles perfekt. Die Weichheit des Lichts, dieser feine Duft, die ruhige Atmosphäre der Stadt. Sie atmet tief ein, und das Leben erscheint ihr so einfach, so klar, dass sie eine Anwandlung von Liebe überkommt und das Verlangen der gesamten Menschheit zu helfen."
/wp-includes/kses.php
![Page 11: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/11.jpg)
/wp-includes/formatting.php
IST SICHERHEITSLYRIK
![Page 12: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/12.jpg)
WordPress Funktionenabsint() sanitize_post() esc_attr()
sanitize_email() sanitize_text_field() esc_attr__()
sanitize_file_name() sanitize_title() esc_attr_e()
sanitize_html_class() sanitize_title_for_query() esc_js()
sanitize_key() sanitize_title_with_dashes() esc_sql()
sanitize_meta() sanitize_user() esc_textarea()
sanitize_mime_type() esc_html() esc_url()
sanitize_option() esc_html__() esc_url_raw()
sanitize_sql_orderby() esc_html_e() urlencode()
![Page 13: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/13.jpg)
Datenaufbereitung(Sanitization)
• to sanitize = desinfizieren, reinigen, …
• Validation: Daten sollen bestimmte Merkmale aufweisen
• Sanitization: Daten werden von unerwünschten Inhalten befreit
![Page 14: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/14.jpg)
Validate InputSanitize Output
![Page 15: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/15.jpg)
CRSFist ein Angriff auf ein Computersystem, bei
dem der Angreifer eine Transaktion in einer Webanwendung durchführt. Einem
Opfers, das bei einer Webanwendung bereits angemeldet sein muss, wird ohne
dessen Wissen im Webbrowser ein arglistiger HTTP-Request (‚Anforderung‘), der die vom Angreifer gewünschte Aktion
ausführt, untergeschoben.
![Page 16: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/16.jpg)
Nonces• Numbers used once = Einmalpasswort
• keine dogmatische, reine Lehre
• alphanumerisch ≠ numerisch
• 12 h Lebensdauer ≠ einmalig
• Prüfung der Intention
• Erzeugung des nonces bei Aufruf Formular
• Überprüfung des nonces bei Übermittlung
![Page 17: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/17.jpg)
QualitätssicherungTheme Review
required
recommended
"ottomatisch"
![Page 18: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/18.jpg)
QualitätssicherungPlugIn Review
😱https://vip.wordpress.com/documentation/code-review-what-we-look-for/
![Page 19: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/19.jpg)
… Security Team• http://www.joomla-security.de/das-team.html
• https://security.drupal.org/team-members
• http://typo3.org/teams/security/members/
• https://c-c-a.org/aktuelles/news/details/security-mailingliste
• https://docs.djangoproject.com/en/1.8/internals/roles/#security-team-list
• https://plone.org/team/SecurityTeam
![Page 20: WordPress Sicherheit ab Werk](https://reader034.vdokument.com/reader034/viewer/2022042618/58a0df521a28abeb378b677b/html5/thumbnails/20.jpg)
–Andrew Nacin, WordPress Lead Developer
in a presentation‘WordPress.org & Optimizing Security for your WordPress sites’
June 2013
„The WordPress security team is made up of 25 experts including lead developers and security
researchers — about half are employees of Automattic, and a number work in the web security
field. We consult with well-known and trusted security researchers and hosting companies.“
WordPress Security Team