5 Dinge, die Sie Ihren Kunden über WordPress-Sicherheit sagen sollten
Veröffentlicht: 2021-02-05Das Erstellen und Sichern einer WordPress-Website ist immer eine Herausforderung. Entwickler legen großen Wert darauf, soliden Code zu schreiben und Funktionen wie Sicherheits-Plugins zu implementieren, um die unvermeidlichen Angriffe abzuschwächen.
Trotzdem sind wir noch nicht über dem Berg. Frei nach dem alten Sprichwort: Eine Website ist nur so sicher wie ihr schwächstes Glied. Abgesehen von potenziellen Exploits aufgrund von Code ist das schwächste Glied in der Regel ein uninformierter Benutzer. Jemand, der ohne eigenes Verschulden eine schlechte Wahl trifft, die seine Website angreifbar macht.
Um ein anderes Klischee zu verwenden: Die beste Verteidigung ist eine gute Offensive. In diesem Fall bedeutet es, proaktiv zu sein, wenn es darum geht, Kunden über Best Practices im Bereich Sicherheit aufzuklären. Einige Dinge (wie starke Passwörter) sind universell, während andere eher spezifisch für WordPress selbst sind. Und das ist unser Fokus für heute.
Lassen Sie uns damit fünf Dinge überprüfen, die Ihre Kunden über die WordPress-Sicherheit wissen müssen.
Installieren Sie kein WordPress-Plugin, ohne einen Fachmann zu konsultieren
Wir verstehen: Die Versuchung, Plugins zu installieren, ist echt. Sie sind schließlich nur ein paar Klicks entfernt.
Aber das Risiko ist auch real. WordPress-Plugins unterscheiden sich stark in Bezug auf Qualität und damit Sicherheit. Es ist nicht ungewöhnlich, ein Plugin im offiziellen Repository zu finden, das seit einem Jahr oder länger nicht aktualisiert wurde. Vielleicht ist es harmlos; vielleicht ist es nicht.
Aus diesem Grund sollten Webdesigner Kunden ermutigen, vor der Installation eines Plugins eine kurze Beratung durchzuführen. Bieten Sie an, einen Blick darauf zu werfen und die Einzelheiten zu überprüfen. Dieser einzelne Schritt könnte ein Alptraumszenario in Bezug auf Sicherheit und Stabilität der Website verhindern.
Es gibt mehrere Vorteile. Erstens hält Sie dies auf dem Laufenden darüber, was mit der Website vor sich geht. Darüber hinaus können Sie Kunden auf gute, seriöse Plugins hinweisen. Ganz zu schweigen davon, dass dies die Kunden dazu schult, nachzudenken, bevor sie klicken. Das kommt allen zugute.
Erstellen Sie neue Benutzerkonten, anstatt ein einziges zu teilen
Viele Organisationen haben mehr als eine Person, die Zugriff auf das WordPress-Dashboard benötigt. Zu oft teilen sich diese Benutzer ein einziges Konto.
Oberflächlich betrachtet mag dies wie eine einfache Vertrauenssache erscheinen. Und davon gibt es sicherlich ein Element. Wenn ein Teammitglied die Organisation verlässt, besteht die Möglichkeit, dass es weiterhin Zugriff hat, wenn das Passwort nicht geändert wurde. Und eine böswillige Person könnte Schaden anrichten.
Die andere wirkliche Sorge betrifft hier die Gerätesicherheit. Wenn Sie beispielsweise fünf Personen haben, die sich ein WordPress-Administratorkonto teilen, reicht es aus, eines ihrer Geräte auszunutzen. Beispielsweise könnte ein Keylogger auf dem PC eines Benutzers das Konto kompromittieren.
Daher wird empfohlen, dass jeder Benutzer ein eigenes Konto hat. Dies ist in WordPress einfach zu bewerkstelligen, und wir können sogar benutzerdefinierte Benutzerrollen erstellen, die einschränken, was jemand tun kann und was nicht.
Halten Sie WordPress Core, Plugins und Themes auf dem neuesten Stand
Im Idealfall beauftragen Ihre Kunden Sie mit der Abwicklung von Software-Updates. Aber wenn sie die Verantwortung übernehmen, ist es wichtig, dass sie das Thema sehr ernst nehmen.
Als Entwickler gibt es nur wenige Dinge, die irritierender sind, als eine kompromittierte Website zu beheben, nur um sich bei WordPress anzumelden und zu sehen, dass die Dinge mehrere Versionen veraltet sind. Es ist, als würde man die Haustür rund um die Uhr weit offen lassen. Sie sollten nicht allzu überrascht sein, wenn jemand hereinkommt und Ihren schicken neuen Fernseher mitnimmt.
Die Wichtigkeit, den WordPress-Kern, die Plugins und die Themen auf dem neuesten Stand zu halten, kann nicht genug betont werden. Zu wissen, dass es für einige Kunden immer noch über das Komfortniveau hinausgehen kann. Das ist okay. Entweder können sie Sie einstellen, um sich darum zu kümmern, oder zumindest, wo möglich, automatische Updates aktivieren.
Unabhängig davon, wie Updates implementiert werden, müssen sie gepflegt werden. Es garantiert zwar keine Sicherheit, ist aber viel besser als die Alternative.
Die Zwei-Faktor-Authentifizierung kann einen großen Unterschied machen
Das Hinzufügen der Zwei-Faktor-Authentifizierung zu WordPress ist ziemlich einfach. Aber es lohnt sich nur, wenn Stakeholder es auch nutzen.
Es stimmt, es ist nicht sehr bequem. Eine E-Mail, eine Textnachricht oder eine mobile App überprüfen zu müssen, um sich anzumelden, kann sehr mühsam sein. Aber dieser zusätzliche Schritt ist lebenswichtig. Es stellt eine riesige Barriere zwischen einem böswilligen Akteur und dem Zugriff auf das Backend Ihrer Website dar.
Und die Benutzererfahrung wird tatsächlich besser. Einige Implementierungen kombinieren jetzt die Geräteerkennung mit 2FA. Das bedeutet, dass, solange das Gerät eines Benutzers erkannt wird, eine Anmeldung für einen bestimmten Zeitraum nicht überprüft werden muss.
Außerdem ist 2FA an so vielen Orten zum Standard geworden. Bei einigen Online-Banking-Apps können Sie sich ohne sie nicht anmelden. Es gibt keinen Grund, warum Ihre Website diese Technologie nicht ebenfalls nutzen sollte.
Was heute sicher ist, ist es vielleicht nicht morgen
Unabhängig von der Plattform, auf der sie läuft, ist eine Website keine einmalige Sache. Es erfordert häufige (wenn nicht ständige) Aufmerksamkeit – wobei Sicherheit eine große Rolle spielt.
Das Web entwickelt sich ständig weiter. Neue Technologien veralten sehr schnell. Und was einst als Best Practice für Sicherheit galt, kann manchmal das Gegenteil beweisen.
Aus diesem Grund ist die Sicherheit von Websites eine Herausforderung, die wirklich kein Ende hat. Es ist ein täglicher Kampf für kleine und große Organisationen gleichermaßen.
Das Ergebnis ist, dass Webseiten mit der Zeit gehen müssen. Wenn es um WordPress geht, kann das bedeuten, ältere Sicherheits-Plugins durch etwas Besseres zu ersetzen. Oder aufgegebene Themes und Plugins abzuschaffen, um die Dinge zu straffen. Es könnte auch eine Änderung der Hosts oder Serverumgebungen erforderlich machen.
Es ist wichtig zu verstehen, dass die Tatsache, dass Sie heute in Sicherheit investiert haben, nicht bedeutet, dass Sie dies morgen nicht erneut tun müssen.
Bilden Sie Kunden heute für eine sicherere WordPress-Website aus
Unsere Kunden verlassen sich oft darauf, dass wir neben einer Killer-Website auch etwas Wissen zur Verfügung stellen. Und Sicherheit ist vielleicht das wichtigste Thema, über das wir sie aufklären können.
Sich von Anfang an darum zu bemühen, kann sich langfristig auszahlen. Ein Kunde, der versteht, wie er seine WordPress-Website sicher hält, macht weniger wahrscheinlich einen dieser entscheidenden Fehler. Das allein kann der Unterschied zwischen der Bereinigung einer gehackten Website und einem reibungslosen Segeln sein.