1. Sicherung von Datenbank und Systemdateien
2. Schützen der Konfigurationsdateien
3. Richtige Konfiguration der Benutzerverwaltung
4. Schützen des Administratoren-Kontos
5. Verschlüsselung der Datenübertragung
6. Härtungsmaßnahmen an der Datenbank

Mit diesen 6 Schritten tragen Sie entscheidend zur Sicherheit Ihrer WordPress-Installation bei. Betrachten wir die Punkte etwas genauer:

1. Sicherung von Datenbank und Systemdateien

Zunächst muss sichergestellt werden, dass das WordPress-Verzeichnis und die Datenbank regelmäßig gesichert werden. Ein Datensicherungskonzept muss sicherstellen, dass Sie nach einem Angriff den Zustand vor dem Angriff wiederherstellen können. Das ist nötig, weil nicht jeder Angriff sofort bemerkt wird und es möglich ist, dass die Veränderungen des Angreifers bereits in der letzten Sicherung enthalten sind.

2. Schützen der Konfigurationsdateien

Um Konfigurationsdateien mit sensitiven Daten vor unerlaubtem Zugriff zu schützen, müssen zusätzliche Maßnahmen getroffen werden, die eine Standard-Installation nicht vorsieht.

3. Richtige Konfiguration der Benutzerverwaltung

WordPress nutzt eine ganze Reihe von Möglichkeiten, die es Ihnen erlauben die Benutzerverwaltung so gestalten, dass weder der Komfort noch die Sicherheit darunter leiden müssen. Meistens werden diese nicht voll ausgeschöpft.

4. Schützen des Administratoren-Kontos

Für einen Angreifer sind Administratoren-Konten am interessantesten; daher müssen sie auch am stärksten geschützt werden. Um das Konto des Administrators vor den Augen der Öffentlichkeit zu verbergen, müssen einige Änderungen an der Datenbank vorgenommen werden, die die Sicherheit erhöhen.

5. Verschlüsselung der Datenübertragung

Durch die Nutzung eines ssl-Zertifikats sichern Sie nicht nur die Datenübertragung zwischen Ihnen und Ihrer WordPress ab. Sie bieten Ihren Besuchern auf diese Art und Weise ein professionelles Webangebot, dass sich am Stand der Technik ausrichtet.

6. Härtungsmaßnahmen an der Datenbank

Im letzten Schritt sollten die Standardnamen der Datenbanktabellen geändert werden, um sie vor einem Angreifer zu verschleiern. Diese Maßnahme sollte am besten während der Installation durchgeführt werden. Es ist aber auch möglich, sie nachträglich zu ändern.

Unterstützung durch die Scala Group

Wenn Sie bei den ersten 6 Schritten Unterstützung benötigen, können Sie unser Kontaktformular verwenden oder sich persönlich an unseren Sicherheitsexperten Sebastian Klipper wenden: klipper⟨at⟩scala-group.de

Wir helfen Ihnen auch gerne bei der Absicherung jedes anderen Content Management Systems oder bei der Schulung Ihrer Mitarbeiter zur Härtung Ihrer individuellen Webanwendungen.

Technik allein ist angesichts der modernen Lebens- und Arbeitswelt mit ihrem immer freieren und unvorhersagbaren Kommunikationsverhalten zunehmend machtlos. Der Anwender muss einen Teil der Verantwortung selber tragen, aber dazu fehlt ihm heute meist noch das Wissen und Können.

In der zweiten Hälfte des Jahres stehen die wichtigen Security-Konferenzen im Kalender und es zeigt sich in welche Richtung die Trendbarometer für das kommende Geschäftsjahr ausschlagen.

Unser Berater Sebastian Klipper ist dieses Jahr auf vier Konferenzen als Referent vertreten. In seinen Vorträgen und einem Workshop zeigt er auf, wie IT-Sicherheitsbeauftragte es schaffen, Mitarbeiter und Führungskräfte dabei zu unterstützen, richtig mit den Gefahren komplexer Informationssysteme umzugehen.

• Vortrag: Fackongress zur security-zone vom 22. bis 23.09.2010 in Zürich
• Vortrag: 2. International Workference of Security Awareness secAware vom 29. bis 30.09.2010 in Frankfurt a.M.
• Keynote: AppSec-Konferenz des Open Web Application Security Project (OWASP) als begleitende Fachveranstaltung zur IT-Security Messe it-sa vom 19. bis 21.10.2010 in Nürnberg
• Workshop und Vortrag: T.I.S.P. Community Meeting des IT-Sicherheitsverbands TeleTrusT e. V. vom 03. bis 04.11.2010 in Köln

Die Pizza-Kette Vapiano hat sehr leckere Pizza und ein interessantes Konzept: Am Eingang erhält man eine Chipkarte, auf die alles gebucht wird. Man geht dann Kantinen-ähnlich an den Speisen vorbei oder bestellt seine Pizza. Anschließend sucht man sich seinen Platz und wird von einer Art Handy (das man bei der Pizza-Bestellung erhalten hat) informiert, wenn die Pizza abholbereit ist. Am Ausgang bezahlt man seine Karte.

<kes> Zeitschrift für Informations-Sicherheit, Ausgabe 2010#1, Seite 6, ISSN 1611-440X

Aus dem Inhalt

Menschliches Handeln oder Unterlassen ist Ursache oder zumindest Wegbereiter der meisten Sicherheitsvorfälle – der Mensch ist und bleibt Risikofaktor Nummer eins. Neben einer ganzen Menge an technischem Know-how bestimmen folgerichtig nicht zuletzt die „Soft-Skills“ über Erfolg oder Misserfolg von IT-Sicherheitsbeauftragten, Datenschützern & Co.

Fähigkeiten im und zum Umgang mit Menschen – auf gut Neudeutsch: „Soft-Skills“ – haben einen entscheidenden Einfluss auf die Wahrnehmung der Sicherheits- und Datenschutz-Abteilung und deren Positionen. Neben der richtigen Balance zwischen Freiheiten und Restriktionen sowie einer etablierten Sicherheitskultur im Hause entscheidet nicht zuletzt die Kommunikation darüber, ob Mitarbeiter sich der Security gegenüber kooperativ und wohlwollend verhalten oder im Extremfall sogar sportlichen Ehrgeiz entwickeln, um Sicherheitsmaßnahmen zu umgehen.

Autor

Sebastian Klipper ist Information Security Consultant der Scala Management Consultung GmbH. Er war als Offizier bei der Bundeswehr u. a. IT-Sicherheitsbeauftragter des Luftwaffenführungskommandos und des ISAF-Einsatzes in Afghanistan. Er ist zertifiziert als TISP (Teletrust Information Security Professional) und Certified IT-Security Manager.