Author: [ISLBA] backoffice

Categories
IT-Stuff

WordPress leaking

wp-json | json-api | leaking | quick fix

Wenn das C’t Magazin so frei im Büro herumliegt kann man ja auch mal als nicht Techniker, die Admins ärgern. Ja das geht ganz schnell, so schnell das der Weg zur Kaffeemaschine und zurück nicht ausreicht um vor der Erledigung des vermeintlichen Problems wieder zurück beim Admin zu sein.

Eine unzureichend geschützte #WordPress Installation gibt Daten preis. Den ganzen Artikel und die Hintergrundinfromationen kann man sich in Ruhe in der Ausgabe 23/20 v 24.10.2020 ab Seite 28 durchlesen.

Ja es geht schneller als man denkt, ja es kann ein Problem mit der #DSGVO geben wenn Bilder betroffen sind, ja es ist augenscheinlich schnell behoben, wenn ich mir das zufriedene Grinsen unseres Admins anschau.

Was war bzw. was ist zu tun um für Abhilfe zu sorgen, lt. C’t Magazin gibt es 2 Möglichkeiten
a) Absicherung mit HTTP-Basic-Auth
b) in der functions.php des verwendeten Themes die von C’t bereitgestellte Funktion add_filter()
hinzuzufügen

Man braucht nicht raten was der Admin gemacht hat.
Müsste ich jetzt bei einer #DSGVO relevanten Panne argumentieren das diese Maßnahme nicht Stand der Technik, oder nicht verhältnismäßig im Aufwand oder den Kosten sei, würde ich mir richtig schwer tun. Aber ich bring den Admins ja auch nur den Kaffee 😉

Categories
IT-Stuff

WordPress

eine weitere Absicherung

Im Grundsatz sollten doch alle Bereiche der WordPress Internetpräsenz für jedermann zugänglich sein?

JaNein denn es gibt Ausnahmen. Zum einen ist der LogIn Bereich zusätzlich zu schützen. Zum anderen sollten Daten die am WebServer abgelegt sind/werden, auf die nicht jeder zugreifen darf, zusätzlich geschützt sein.

Erreichen kann man dies auf einfachste Weise und auf einem technischen Basis Level mit einem Verzeichnisschutz.

Dieser Verzeichnisschutz ist verantwortlich, dass der Zugriff zu bestimmten Bereichen nur nach einer Passwortabfrage möglich ist.

Ein solcher Verzeichnisschutz zur Steigerung der Sicherheit für WordPress kann man jederzeit einrichten.

Man Sollte dies auch relativ schnell umsetzen.

Der hier beschriebene Verzeichnisschutz besteht aus 2 Teilen, der Konfigurationsdatei und der Passwortdatei in der die Anmeldeinformationen hinterlegt sind.

Zu beachten und bedenken gilt, man schützt immer das Verzeichnis, indem die Konfigurationsdatei liegt.

Das Passwort in der Passwortdatei sollte auf jeden Fall verschlüsselt gespeichert werden. Wichtig ein sog. “Passwort Generator” ist nicht zweckdienlich es wird ein sog. “Hash Generator” benötigt.

Den so erhaltenen verschlüsselten Wert fügt man dann in die Passwortdatei ein. Sobald der Upload auf den Webserver erfolgreich durchgeführt ist, sollte der Verzeichnisschutz aktiv sein.

Mit dieser Maßnahme schafft man eine weitere serverseitige Hürde die Angreifer überwinden müssen. Der Schutz von Verzeichnissen wird nicht mehr nur dem eingesetzten CMS überlassen.

Categories
IT-Stuff

Quick Tip

WordPress / #GDPR / #DSGVO

?? a pain in the ass if not self hosted??

What we need to check and resolve to get it done:

  • HTTPS as a default (DSGVO Art25)
  • HTTP Strict Transport Security (HSTS)
  • Content Security Policy (CSP) ((DSGVO Art32.2)
    • !! this may/will break some of your plugins or everything !!
  • Referrer Policy (DSGVO Art5.1.c & 25 & 32.2)
  • Subresource Integrity (SRI) (DSGVO Art5.1.f & 25 & 32.2)
  • HTTP-Header (DSGVO Art5.1.c & Art5.1.f 25 & 32.1-2)
    • X-Content-Type Options
    • X-Frame Options
    • X-XSS-Protection
  • Cookies yes/no (DSGVO Art5.1.a c e & Art21 & 22 & 23)
  • First Party Request
  • Third Party Request (DSGVO Art5.1.b-c Art25)

We’ll keep u posted what comes next! oh yes there is still some more …

Categories
IT-Stuff

Hardening WordPress

Part I “hide and seek”

Mit einer kleinen Anpassung können Sie Ihre WordPress Seite vor unerwünschten Zugriffen schützen. Ob es sinnvoll ist müssen Sie als Betreiber selbst entscheiden.

Brute Force Attacks zielen immer wieder auf die LoginPages von WordPress ab. Um es den “Angreifern” zu erschweren Sie die Standard-URL-Adresse des Loginändern, damit die Bots (die Angreifer) gar nicht erst zu dieser Seite gelangen. Bei dieser Vorsichtsmaßnahme (es ist nur eine von vielen) können Sie eine beliebige URL verwenden, selbstredend dass sich diese auch in Ihrer WordPress Installation wiederfinden sollte;)

Standard für das WordPress-Dashboard lautet /wp-login.php

Beim Öffnen der URL erscheint das Loginmit dem WordPress-Logo (sofern nicht bereits geändert) und Feldern für den Benutzernamen und das Passwort oder auch für die 2FA.

Damit Sie das Ganze fehlerfrei und bequem durchführen, empfehlen wir für die Änderung der Login-URL ein spezielles Plugins zu verwenden.

Obwohl das WordPress ständig aktualisiert wird, macht es trotzdem Sinn, sich um die Erhöhung der Sicherheit selbstständig zu sorgen.

Die Änderung der URL-Adresse des Logingehört zu den einfachsten Sicherheitsmaßnahmen, die die Sicherheit Ihrer Internetpräsenz spürbar erhöhen können.