Der Grumpy Designer nimmt es mit WordPress-Malware auf
Veröffentlicht: 2022-10-12Während einige Berufe mit der Zeit verblassen, wird es immer einen Bedarf an Webdesignern geben. Wieso den? Denn mit jedem Jahr wird der Job komplexer. Es kommen neue Verantwortlichkeiten hinzu, die über die Reichweite automatisierter und No-Code-Tools hinausgehen.
Website-Sicherheit ist ein Paradebeispiel. Das hat mich schon immer beschäftigt – auch als ich diesen Weg Mitte der 1990er-Jahre eingeschlagen habe. Damals ging es in erster Linie um ein gehacktes FTP-Passwort oder einen wütenden Ex-Kollegen, der Dateien unkenntlich machte/löschte. Heutzutage ist es so viel mehr. Ein bisschen wie ein lästiger Käfer, der sich in ein riesiges Seeungeheuer verwandelt hat.
Und dieses Monster hat seine Tentakel vollständig um diesen mürrischen Designer gewickelt. Die Arbeit ist zu einem Teufelskreis aus Malware-Infektion, -Säuberung und -Reinfektion geworden. Dann wiederholen.
Das Hauptziel der Bosheit des Monsters ist WordPress. Das sollte nicht überraschen, da das Content-Management-System (CMS) ständig angegriffen wird. Es kommt mit dem Gebiet, über 40 % des Internets mit Strom zu versorgen.
Leider weiß ich, dass ich nicht der einzige bin, der mit dieser Art von Debakel konfrontiert ist. Damit wollte ich ein paar Tiraden, Gedanken und Vorschläge teilen, um dieses Monster wieder an seinen Platz zu bringen.
Vorsicht ist nicht gut genug
Die kalte Realität der Website-Sicherheit ist, dass es keine Garantien gibt. Nahezu jede Website kann durch Malware kompromittiert werden. Das passiert selbst den Sorgfältigsten unter uns.
Wie es für WordPress gilt, bedeutet Vorsicht, einige Grundlagen zu beachten:
- Überprüfung des Themes und der Plugins, die wir installieren;
- Routinemäßiges Anwenden von Updates;
- Verwendung sicherer und komplexer Passwörter;
- Hosten der Website auf einem Dienst, der Sicherheit ernst nimmt;
- Sicherstellen, dass die Dateiberechtigungen den WordPress-Empfehlungen entsprechen;
- Hinzufügen zusätzlicher Verteidigungsebenen wie Sicherheits-Plugins und Firewalls;
Obwohl mehr dahinter steckt, bieten die oben genannten Maßnahmen eine solide Grundlage. Die Idee ist, sich vor den grundlegendsten Arten von Angriffen zu schützen. Hoffentlich schreckt es auch vor einigen komplexeren Versuchen ab.
Der frustrierende Aspekt dieses Ansatzes ist, dass Sie nur so stark sind wie das schwächste Glied Ihrer Sicherheit. Auch seriöse Plugins können Sicherheitslücken enthalten. Und es gibt eine Vielzahl von Vektoren, die ein Angreifer verwenden kann, um Probleme zu verursachen – einschließlich einiger, über die wir keine direkte Kontrolle haben.
Daher reicht Vorsicht nicht aus, um jeden Angriff abzuwehren.
Das Bereinigen eines Hacks ist eine Belastung für Ressourcen
Trotz Maßnahmen zur Vermeidung von Sicherheitsproblemen kommt es immer noch zu Hacks. Und wenn sie das tun, kann die Beseitigung der Nachwirkungen eine mühsame Aufgabe sein.
Der Prozess beinhaltet die Identifizierung aller schädlichen Dateien – einschließlich legitimer WordPress-Kerndateien, die geändert worden sein könnten. Sicherheitsscanner wie die im Wordfence-Plug-in können helfen, Dateien zu identifizieren, aber es gibt Einschränkungen.
Wenn das Administratorkonto einer Website kompromittiert wurde oder ein Angreifer eine Sicherheitslücke verwendet hat, um Zugriff auf das WordPress-Dashboard zu erhalten, ist alles möglich. Sie hätten die Möglichkeit, ein Sicherheits-Plugin zu deaktivieren. Von dort aus konnten sie alle möglichen Verwüstungen anrichten, ohne entdeckt zu werden.
Außerdem ist es selten einfach festzustellen, wie Malware auf Ihre Website gelangt ist. Ich kann nicht zählen, wie oft ich dachte, ich hätte den Schuldigen gefunden, nur um mich nach nachfolgenden Infektionen als falsch herauszustellen. Häufig müssen Dateien durchforstet und Sicherheitsblogs studiert werden, um eine Antwort zu erhalten. Einige Probleme können jedoch ein Rätsel bleiben.
Das ist nicht nur stressig für alle Beteiligten, sondern behindert auch Ihre Fähigkeit, an anderen Projekten zu arbeiten. Eine Sicherheitsverletzung ist eine Situation, in der alle Hände an Deck sind. Wenn Sie Freiberufler sind, dann sind Ihre Hände unweigerlich damit beschäftigt, eine gehackte Website zu reparieren.
Was können Webdesigner sonst noch tun?
Wie ich bereits erwähnt habe, gibt es nur so viel innerhalb unserer Kontrolle. Webdesigner können fundierte Entscheidungen treffen, aber unsere Projekte können trotzdem Malware zum Opfer fallen. In gewisser Weise scheint es eine aussichtslose Situation zu sein.
Sicherheitsbedrohungen verschwinden jedoch nicht. Wenn überhaupt, werden sie weiterhin exponentiell wachsen. Das heißt, wir müssen es weiter versuchen.
Hier sind ein paar Strategien, die helfen könnten:
Werde ein Plugin-Minimalist
Es ist zwar nie eine gute Idee, unnötige WordPress-Plugins installiert zu lassen, aber es kann auch gefährlich sein. Deshalb lohnt es sich, alles zu entfernen, was Sie nicht brauchen.
In einigen Fällen kann es sich lohnen, nach Möglichkeit ein benutzerdefiniertes Barebone-Plug-in zu erstellen. Bösartige Bots versuchen, bekannte Schwachstellen im WordPress-Kern und bestimmten Plugins auszuspähen. Dies kann eine Möglichkeit sein, das Risiko zu reduzieren und gleichzeitig die Funktionalität aufrechtzuerhalten.
Unabhängig davon ist es auch eine gute Idee, auf dem Laufenden zu bleiben, was mit den von Ihnen installierten Plugins passiert. Stellen Sie sicher, dass sie regelmäßig aktualisiert werden, und versuchen Sie, solche zu vermeiden, die nicht mehr gepflegt werden.
Fordern Sie Kunden auf, in Sicherheit zu investieren
Sicherheit kann ein wesentlicher Bestandteil der Arbeit eines Webdesigners werden. Es wird viel Arbeit darauf verwendet, eine Website zu stärken und auftretende Probleme zu mindern. Aber unsere Preise spiegeln diese Realität nicht immer wider.
Daher ist es sinnvoll, Kunden zu bitten, in diesen Bereich zu investieren. Indem Sie sicherheitsbezogene Tools und Dienste empfehlen, fügen Sie proaktiv zusätzliche Schutzebenen hinzu. Und indem Sie regelmäßige Sicherheitsüberprüfungen in Ihre Wartungspakete aufnehmen, behalten Sie das Geschehen im Auge.
Ein weiterer Vorteil dieser Strategie besteht darin, dass Sie das Bewusstsein für Sicherheit schärfen. Wenn die Kunden das Thema besser verstehen, werden sie eher vorbeugende Maßnahmen ergreifen.
Machen Sie einen Plan für die Bereinigung
Man kann mit Sicherheit sagen, dass keiner von uns mit einer gehackten Website zu tun haben möchte. Wir tun alles, um zu versuchen, dies zu verhindern. Und … es passiert trotzdem.
Daher ist es besser, sich auf dieses Szenario vorzubereiten, als den Kopf in den Sand zu stecken. Entwickeln Sie einen Prozess, der Ihnen hilft, eine kompromittierte Website effizient zu bereinigen.
Es funktioniert möglicherweise nicht immer beim ersten (oder zweiten) Mal. Aber jeder Fehler ist eine gute Lernerfahrung. Schließlich werden Sie den Prozess verfeinern und Ihre Erfolgschancen erhöhen.
Holen Sie sich professionelle Hilfe
Die Verwaltung der Website-Sicherheit ist chaotisch und frustrierend – genug, um jeden von uns in eine Therapie zu versetzen. Diese Art von professioneller Hilfe ist immer willkommen. Aber es ist nicht die Art, von der ich hier spreche.
Vielmehr spreche ich von der Zusammenarbeit mit Sicherheitsexperten. Zum Beispiel Dienste, die helfen, die Websites Ihrer Kunden zu sperren und sie von Infektionen zu befreien.
Es entstehen Kosten, die Sie an Ihre Kunden weitergeben können. Und es kann auf lange Sicht nur Ihre geistige Gesundheit retten.
Malware-Chaos ist die neue Normalität
In gewisser Weise ist die Sicherung einer Website wie ein Katz-und-Maus-Spiel. Für jede geschlossene Lücke erscheint eine neue. Böswillige Akteure entwickeln ständig ihre Methoden zum Eindringen in WordPress und andere Plattformen weiter. Und keiner von uns ist immun.
Das macht unsere Arbeit schwieriger und zeitraubender. Und es macht auch die Wartung der Website für unsere Kunden teurer.
Das war sicherlich nicht das, was ich mir vorgestellt hatte, als ich als Webdesigner anfing. Es ist unwahrscheinlich, dass viele von uns in diese Branche eingestiegen sind, weil wir Spaß daran haben, Malware zu bereinigen. Aber ob es Ihnen gefällt oder nicht, das ist die neue Normalität. Und wir sind die letzte Verteidigungslinie gegen dieses sprichwörtliche Seeungeheuer. Wir können es uns nicht leisten, kampflos unterzugehen.