Categories
IT-Stuff

WordPress & CSP #GDPR #DSGVO

and yess if you read the ticket top down and have a look on the timestamps … yes its a pain in the ass

not to mention that there is something called #GDPR and something called state of the art

so as far as I’m concerned we can live with a B whatever rating because
there is no other way round without breaking the whole thing.

Link: https://core.trac.wordpress.org/ticket/39941

Categories
IT-Stuff

CSP / DSGVO / WordPress

a true pain in the ass Part II

Getting WP installation in line with #GDPR / #DSGVO is a real pain if you are not willing to accept a B or even a B+ on your ratings.

Why are we doing this?
somehow forced by #GDPR / #DSGVO Art5.1.f Art25 Art32.2

Setting up Content-Security-Policy as we should do to get along with #GDPR / #DSGVO will break your WP-Installation as far as what we seen here so far. The List of not working stuff, ist long, and yes I can tell you really long, from non workin PlugIns over corrupted Themes to a not working default Editor. Sumed Up … a pain in the ass

So what will it gonna be?
After not feeling the vibe for trial and error on this topic we call it a day with an unsafe impelmented CSP but a full working WP installation.




Categories
IT-Stuff

Quick Tip

WordPress / #GDPR / #DSGVO

?? a pain in the ass if not self hosted??

What we need to check and resolve to get it done:

  • HTTPS as a default (DSGVO Art25)
  • HTTP Strict Transport Security (HSTS)
  • Content Security Policy (CSP) ((DSGVO Art32.2)
    • !! this may/will break some of your plugins or everything !!
  • Referrer Policy (DSGVO Art5.1.c & 25 & 32.2)
  • Subresource Integrity (SRI) (DSGVO Art5.1.f & 25 & 32.2)
  • HTTP-Header (DSGVO Art5.1.c & Art5.1.f 25 & 32.1-2)
    • X-Content-Type Options
    • X-Frame Options
    • X-XSS-Protection
  • Cookies yes/no (DSGVO Art5.1.a c e & Art21 & 22 & 23)
  • First Party Request
  • Third Party Request (DSGVO Art5.1.b-c Art25)

We’ll keep u posted what comes next! oh yes there is still some more …

Categories
IT-Stuff

Hardening WordPress

Part I “hide and seek”

Mit einer kleinen Anpassung können Sie Ihre WordPress Seite vor unerwünschten Zugriffen schützen. Ob es sinnvoll ist müssen Sie als Betreiber selbst entscheiden.

Brute Force Attacks zielen immer wieder auf die LoginPages von WordPress ab. Um es den “Angreifern” zu erschweren Sie die Standard-URL-Adresse des Loginändern, damit die Bots (die Angreifer) gar nicht erst zu dieser Seite gelangen. Bei dieser Vorsichtsmaßnahme (es ist nur eine von vielen) können Sie eine beliebige URL verwenden, selbstredend dass sich diese auch in Ihrer WordPress Installation wiederfinden sollte;)

Standard für das WordPress-Dashboard lautet /wp-login.php

Beim Öffnen der URL erscheint das Loginmit dem WordPress-Logo (sofern nicht bereits geändert) und Feldern für den Benutzernamen und das Passwort oder auch für die 2FA.

Damit Sie das Ganze fehlerfrei und bequem durchführen, empfehlen wir für die Änderung der Login-URL ein spezielles Plugins zu verwenden.

Obwohl das WordPress ständig aktualisiert wird, macht es trotzdem Sinn, sich um die Erhöhung der Sicherheit selbstständig zu sorgen.

Die Änderung der URL-Adresse des Logingehört zu den einfachsten Sicherheitsmaßnahmen, die die Sicherheit Ihrer Internetpräsenz spürbar erhöhen können.