Weitere Informationen und den Download findest du auf der offiziellen Anlaufstelle de.wordpress.org
Seite 2 von 2 ErsteErste 12
Ergebnis 11 bis 16 von 16
Like Tree2Likes

Thema: SECDASH - Das schnellste Security Plugin - Kostenlos für 3 WordPress Seiten

  1. #11
    PostRank: 0
    Registriert seit
    23.07.2015
    Ort
    Frankfurt am Main
    Beiträge
    9
    Hi Brawler,

    vielen Dank für Deine Meinung zum Agenturmarkt, wir haben in Gesprächen durchaus andere Erfahrungen gemacht, nämlich, dass viele Agenturen manuell nicht mehr in der Lage sind 100te oder 1000de Websites zu überwachen. Bei Magento und TYPO3 ist es natürlich so, dass Du bei Core Sicherheitsupdates eine Mail bekommst sobald die Information über die Lücke im Core Team angekommen ist. Oft sind die jedoch auch nicht die ersten, die von der Lücke erfahren und weiter hilft Dir das bei Lücken in den zahlreichen Plugins (wie auch bei WP) leider nicht viel. SECDASH automatisiert diese Überwachung besser als ein Entwickler das kann, der eben zwischendurch noch entwickeln, essen und schlafen muss.

    Das hat wenig damit zu tun, dass diese Dienstleister weniger professionell sind, sondern dass sie sich eben auf ihren Kernbereich konzentrieren wollen, denn damit verdienen sie ihr Geld.

    Keys: Ließ den Source mal weiter, dann siehst Du das der Key nur zur Zuordnung Deiner Seite auf einen User genutzt wird. Heißt in der Konsequenz gewinnt der "Angreifer" nichts vom erraten des Schlüssels, außer dass er irgendeine Website in ein Fremdes Dashboard schmuggeln kann. Abgesehen davon denke ich, dass Du die Größenordnung 3*10^38 etwas falsch einschätzt (kannst ja mal mit 1000 Requests die Sekunde ausrechnen wie lange Du im Mittel nach einem gültigen Key suchst, selbst wenn es 100.000de (nur noch 3*10^33 gäbe).

    Noch einmal zu den Daten: Dein Zitat bringt es auf den Punkt, um welche Daten geht es hier? Es geht um Daten, die ich nutzen kann um Dir etwas zu verkaufen ODER Dich zu kontrollieren. Genau die Daten, die FB, Apple und Co von Dir sammeln und die sie danach benutzen um u.A. Werbung zu schalten. Metadaten darüber welche Versionen Du auf Deinen Websites einsetzt sind damit nur schlecht vergleichbar. Wenn das für Dich ein Grund ist SECDASH nicht zu nutzen, steht das Dir natürlich frei.

    Ich hoffe Du verzichtest dann aber auch konsequenter Weise auf den Einsatz von Google Analytics und Co, anonymisierst deine Serverlogs und setzt keine Cookies auf Deinen WP Seiten
    Security & Management Tool für WordPress: www.secdash.com - 14 Tage kostenlos testen

  2. #12
    PostRank: 0
    Registriert seit
    23.07.2015
    Ort
    Frankfurt am Main
    Beiträge
    9
    Hi Brawler,


    vielen Dank für Deine Meinung zum Agenturmarkt, wir haben in Gesprächen durchaus andere Erfahrungen gemacht. Nämlich, dass viele Agenturen manuell nicht mehr in der Lage sind 100te oder 1000de Websites zu überwachen. Bei Magento und TYPO3 ist es natürlich so, dass Du bei Core Sicherheitsupdates eine Mail bekommst sobald die Information über die Lücke im Core Team angekommen ist. Oft sind die jedoch auch nicht die ersten, die von der Lücke erfahren und weiter hilft Dir das bei Lücken in den zahlreichen Plugins (wie auch bei WP) leider nicht viel. SECDASH automatisiert diese Überwachung besser als ein Entwickler das kann, der eben zwischendurch noch entwickeln, essen und schlafen muss.

    Das hat wenig damit zu tun, dass diese Dienstleister weniger professionell sind, sondern dass sie sich eben auf ihren Kernbereich konzentrieren wollen, denn damit verdienen sie ihr Geld.

    Wenn wir Entwicklern mehrere Stunden die Woche ersparen, sind wir der Meinung dass wir einen großen Mehrwert in Agenturen schaffen. Die Agenturchefs der mehreren Hundert Agenturen die unsere Software in ihren Firmen implementiert haben sind da der gleichen Meinung.



    Keys: Lies bitte den Source weiter, dann siehst Du das der Key nur zur Zuordnung Deiner Seite auf einen User genutzt wird. Heißt in der Konsequenz gewinnt der "Angreifer" nichts vom erraten des Schlüssels, außer dass er irgendeine Website in ein Fremdes Dashboard schmuggeln kann. Abgesehen davon denke ich, dass Du die Größenordnung 3*10^38 etwas falsch einschätzt (kannst ja mal mit 1000 Requests die Sekunde ausrechnen wie lange Du im Mittel nach einem gültigen Key suchst, selbst wenn es 100.000de (nur noch 3*10^33 gäbe).


    Noch einmal zu den Daten: Dein Zitat bringt es auf den Punkt, aber um welche Daten geht es hier?
    Es geht um Daten, die ich nutzen kann um Dir etwas zu verkaufen ODER Dich zu kontrollieren. Genau die Daten, die FB, Apple und Co von Dir sammeln und die sie danach benutzen um u.A. Werbung zu schalten. Metadaten darüber welche Versionen Du auf Deinen Websites einsetzt sind damit nur schlecht vergleichbar. Wenn das für Dich ein Grund ist SECDASH nicht zu nutzen, steht das Dir natürlich frei.



    Ich hoffe Du verzichtest dann aber auch konsequenter Weise auf den Einsatz von Google Analytics und Co, anonymisierst deine Serverlogs und setzt keine Cookies auf Deinen WP Seiten.

    Viele Grüße
    -- Khanh
    Security & Management Tool für WordPress: www.secdash.com - 14 Tage kostenlos testen

  3. #13
    Brawler
    Gast
    Gegenfrage: Was machen die Agenturen mit hunderten von Instanzen im Alert? Ihr offeriert lediglich ein Monitoring - die Lücke bleibt erstmal bestehen. Ich habe es noch nicht testen können, deswegen lasse ich mal den Prozess außen vor.

    Wir virtualisieren aufgrund des hohen Kundenaufkommens in nahezu allen Bereichen. Der Vorteil ist klar - man schenkt dem Wirt ein und ist fertig. Dafür gibt es dann auch einen eigens beschäftigten, nerdlastingen und mit einer Softgun ausgestatteten Head of Security. Der ist zwar teurer als Eure Lösung, dafür allerdings auch schneller. Bis ihr die Benachrichtung raus habt, hat er mich schon 2 mal am Kopf getroffen und in die DMZ gescheucht.

    Spaß beiseite - akuter Zeitmangel verhindert es mir grade, das im Detail zu betrachten. Evtl. macht ihr mal ein kleines Video... Metro-sexy...

    Daten:
    Ihr sammelt Informationen über Webseiten, auf denen fehlerhafte/veraltete Plugins/Module zum Einsatz kommen. Wehe, die Daten kommen in falsche Hände... Davon abgesehen sollte bei der WordPress-Variante vielleicht ein Standardhinweis erfolgen: "Achtung! Du verwendest WordPress! Du lebst von Haus aus gefährlich!"

    Eine Idee (die ich selber mal geneigt war umzusetzen):
    Prüft WP doch zusätzlich auf das Hardening. Datei-/Verzeichnisse, Rechte uswusf. Wenn dann noch ein Button auftaucht, der mit "Probleme beheben" gelabelt ist, tut ihr der WP-Szene einen riesen Gefallen.

    Ja, ich nutze persönlich keine Google-Services. Ich lebe insgesamt in einer sehr analogen Welt - was in krassem Gegensatz zu meinem Beruf steht. In dem erfüllt man trotzdem die Anforderungen seiner Kunden. Einkaufen gehe ich in der Stadt, Klamotten kaufe ich im Laden, Freunde besuche ich zu Hause. Auch wenn ich in der U-Bahn zu einer Minderheit zähle...

  4. #14
    PostRank: 0
    Registriert seit
    23.07.2015
    Ort
    Frankfurt am Main
    Beiträge
    9
    Je nach Deploymentstrategie hast Du die betroffenen Plugins schnell deaktiviert oder entsprechend aktualisiert. Entscheidend ist ja - das können viele heute einfach noch nicht - dass Du eine Bedrohung erkennen und bewerten kannst, um dann zu entscheiden wie Du reagierst. Für viele sind zum Beispiel Lücken, die voraussetzen, dass der Angreifer vorher authentifiziert ist, weniger relevant, weil es eh nur 1-2 Admin Accounts für die Seite gibt.

    Das Virtualisieren hilft natürlich in vielen Bereichen, aber auch da kannst Du höchstens schneller reagieren / deployen als dass die Virtualisierung an sich Sicherheitsprobleme löst. Würde mich mal interessieren woher dein Head of Security die Infos über neue Sicherheitslücken bekommt, denn auch der wird wieder irgendwann schlafen müssen und im Zweifel kennt der auch nicht jedes Stückchen Software, dass ihr irgendwo einsetzt auswendig. Software wird ihn nicht ersetzen können, da er über das Erkennen von Sicherheitsproblemen hinaus natürlich sehr viele wichtige strategische Dinge beeinflusst (Netzwerkstruktur, Datei- und Nutzerrechte, IDS, Firewall, etc.). Witzig dass Du das ansprichst, Patrick, mein Co-Founder kommt aus der Security Beratung und sein Ansatz ist: Die Security Leute sind eh schon überarbeitet, also sollten Rechner das automatisieren, was nur Zeit kostet und keine grauen Zellen benötigt

    Zu den Daten: Ja klar, sind das sensible Daten und natürlich gelten für uns höchste Sicherheitsstandards um diese zu schützen. Aber wie vorher beschrieben liegt es auch in unserem besten Interesse die Daten unserer Kunden zu schützen und vertraulich zu behandeln.

    Zu der Idee:
    So etwas in die Richtung haben wir auf unserer TODO Liste, genauer genommen wollen wir einige Feature einbauen, die auch ohne unseren Service funktionieren werden. Unsere meisten Kunden sind aber Agenturen und denen ist Magento und co gerade wichtiger, weil die eben (wie Du ja auch), wissen dass man am besten nicht alle Dateirechte auf 777 setzt Für viele Blogger wäre das natürlich ein essentielles Feature um die WP Instanz gleich sicherer zu machen.

    Ist cool wenn man das so durchziehen kann. Je nach dem in welchem Bereich man arbeitet, kommt man doch nur schwer um den Einen oder Anderen Kommunikationskanal herum.

    Erstmal einen schönen Start ins Wochenende
    Security & Management Tool für WordPress: www.secdash.com - 14 Tage kostenlos testen

  5. #15
    PostRank: 4
    Registriert seit
    01.03.2015
    Ort
    Frankfurt am Main
    Beiträge
    262
    In der Agentur in der ich arbeite (nicht in meiner eigenen) werden die Wordpress-Instanzen alle ferngewartet. Die Updates können dann für alle Installationen (mehrere hundert) von einem zentralen Punkt ausgelöst werden. Viren-Scan, Inhalte einfügen usw geht auch alles.

    http:// infinitewp .com/

  6. #16
    PostRank: 0
    Registriert seit
    23.07.2015
    Ort
    Frankfurt am Main
    Beiträge
    9
    Hi NDDT!
    Danke für die Antwort!
    InfiniteWP ist in der Tat ein mächtiges Tool. Unser Produkt grenzt sich insofern ab, dass wir dir sagen welche kritischen Sicherheitslücken deine Installationen haben und das schneller als die anderen. Nicht erst wenn es ein Update dazu gibt.

    Viele Grüße
    -- Khanh
    Security & Management Tool für WordPress: www.secdash.com - 14 Tage kostenlos testen

Seite 2 von 2 ErsteErste 12

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •