hannoEs gibt eine Webseite "Digitalführerschein". Keine Ahnung was das genau ist, aber es soll irgendwas mit "Deutschland sicher im Netz" zu tun haben, und ist vom BMI gesponsort. https://difue.de/ Aber hier ist Hanno's Digitalführerschein für die Basics sicherer Webseiten:
1. Wenn Du Wordpress nutzt - oder IRGENDEINE ANDERE SOFTWARE - dann installier updates, und erst Recht Sicherheitsupdates. Mach's nicht wie difue.de, wo die Hälfte der Plugins und auch Wordpress selbst nicht aktuell ist.
2. mysql und postgresql port offen haben ist zumindest ungewöhnlich. Es ist keine direkte Sicherheitslücke, aber normalerweise lässt man da verbindungen nur local oder im eigenen Netz zu.
3. Cookies haben ein Secure-Flag. Seit 1997 https://www.ietf.org/rfc/rfc2109.txt - das sorgt dafür dass ein Angreifer im WLAN nicht einfach deine Session hijacken kann, weil das Cookie über unverschlüsseltes HTTP übertragen wird. Benutzt es. Machs nicht wie difue.de.
4. Das mit den Cookies ist aber garnicht so schlimm wenn man HSTS nutzt. Das unterbindet unverschlüsselte Verbindungen nämlich komplett. Also: Machs nicht wie difue.de, nutz HSTS.
5. nichts davon ist ne katastrophe. aber doesn't look good, und ich hab nur 5 minuten damit zugebracht zu gucken.
Jan WalzerHoffen, dass nicht die @zerforschung darüber stolpert ...