Whack-a-Mole mit WordPress-Sicherheit spielen

Das Sichern einer Website in der heutigen Zeit (selbst einer kleinen) wird zunehmend schwieriger. Und wenn Sie WordPress verwenden, können Sie genauso gut ein großes altes Bullseye auf Ihrem Rücken haben. Zwischen schändlichen Menschen und unerbittlichen Bots ist jede Minute eines jeden Tages zu einem Schlachtfeld geworden.

Das wirklich Erstaunliche daran ist, dass Sie so ziemlich alles richtig machen und trotzdem mit einer gehackten Website enden können. Machen Sie weiter und halten Sie Ihre Plugins und Ihr Design auf dem neuesten Stand. Führen Sie ein Sicherheits-Plugin aus oder errichten Sie andere Eintrittsbarrieren. Wenn Sie all das tun, befinden Sie sich möglicherweise immer noch in einer kompromittierten Position.

Erst kürzlich habe ich diese harte Tatsache für mich selbst herausgefunden. Ich habe einem Kollegen mit einer Website geholfen, die mit zahlreichen Problemen konfrontiert war – obwohl wir der Meinung waren, dass wir die Dinge „richtig“ machen. Es inspirierte mich, mich hinzusetzen und über die Erfahrung nachzudenken. Damit sind hier einige Gedanken zu dem, was ich gelernt habe, und einige Theorien zu weiteren Schritten, die wir unternehmen können, um eine WordPress-Website besser zu sichern.

Die Vergangenheit kann dich verfolgen

WordPress Core, Plugins und Themes haben alle ihre eigenen Sicherheitslücken. Der Kern wird normalerweise schnell repariert, während Sie hoffen und beten, dass Plugins und Themen die gleiche Art von Behandlung erhalten. Aber wie wir gesehen haben, reicht es nicht immer aus, Löcher zu stopfen.

Wenn Ihre Website vor einigen Jahren erstellt wurde, waren Sie möglicherweise Schwachstellen ausgesetzt, von denen Sie nicht einmal wussten. Vielleicht wurden sie geflickt ... oder vielleicht auch nicht. Selbst wenn das Problem behoben wurde, war Ihre Website möglicherweise für eine gewisse Zeit ungeschützt, bis Sie einen Patch installiert oder ein Element vollständig entfernt haben. Was ist in der Zeit dazwischen passiert? Sie werden es vielleicht eine ganze Weile nicht herausfinden.

Beim Durchsuchen der zuvor erwähnten problematischen Website wurden beispielsweise bösartige Dateien im /wp-includes/-Verzeichnis gefunden. Bei allen handelte es sich um .php-Dateien, die den Namen und das Änderungsdatum anderer legitimer Dateien in diesem Verzeichnis nachahmten. Nun ist es möglich, dass die Dateien irgendwie rückdatiert wurden, damit es so aussieht, als wären sie schon immer da gewesen. Aber wenn man es für bare Münze nimmt, scheint es, als hätten wir einen Fall von ruhender Malware. Ähnlich wie ein Computervirus, der an einem bestimmten Datum und zu einer bestimmten Uhrzeit Nutzdaten liefert, hat dieser bösartige Code möglicherweise den „Aufruf“ erhalten, in Aktion zu treten.

Der Punkt ist, dass nur die potenzielle Installation des falschen Plugins zur falschen Zeit Ihnen bis weit in die Zukunft Kopfschmerzen bereiten kann. Auf dem Laufenden zu bleiben ist eine großartige Strategie, aber sie ist nicht narrensicher. Allein der Anblick der Handvoll Plugins, die in letzter Zeit absichtlich schädlichen Code verbreiten, zeigt, dass Sie sich in einer Falle befinden.

Eine sich ständig verändernde Landschaft

Ich denke, viele von uns würden auf Nachfrage sagen, dass wir heute besser in unserem Job sind als noch vor ein paar Jahren. Wir lernen, entwickeln uns weiter und wenden dieses neue Wissen auf unsere Arbeit an. Daher entwickeln sich auch unsere Entscheidungen beim Erstellen einer Website. Die Werkzeuge und Techniken, die wir verwenden, sind selten Jahr für Jahr gleich.

WordPress und sein Ökosystem durchlaufen denselben Prozess – aber in einem viel schnelleren Tempo. Das unverzichtbare Plugin von gestern kann morgen zu Staub zerfallen. Ein einziges klobiges Update kann Benutzer in Scharen wegschicken.

Eine Website, die Sie vor ein paar Jahren erstellt und an einen Kunden übergeben haben, könnte also Plugins ausführen, an die Sie heute nicht mehr denken würden. Wie das alte Sprichwort sagt: „Aus den Augen, aus dem Sinn.“

Es erfordert ein gewisses Maß an Wachsamkeit, um sicherzustellen, dass Sie nicht nur die neuesten Versionen verwenden, sondern auch Elemente ersetzen, die nicht mehr die beste Wahl sind. Leider ist diese Art der ständigen Aufmerksamkeit für viele Designer nicht immer praktikabel. Wir haben nicht immer die Zeit und die Kunden haben nicht immer das Budget dafür. Ganz zu schweigen davon, dass der Austausch eines Plugins in manchen Fällen ein ziemlich großes Unterfangen sein kann. Ein Thema kann sogar noch schwieriger sein.

In Wirklichkeit ist das Ganze wie ein riesiges Whack-a-Mole-Spiel. Manchmal scheint es, als ob Ihre einzige Verteidigung darin besteht, mit dem Hammer in der Hand bereit zu stehen und bereit zu sein, das nächste Tier zu schlagen, das auftaucht. Es muss einen besseren Weg geben.

Was können wir noch tun?

Daher wenden wir regelmäßig Updates an und setzen zusätzliche Sicherheitsmaßnahmen ein. Wir verwenden starke Passwörter und versuchen, unbefugten Zugriff auf unsere Seite so schwer wie möglich zu machen. Dennoch sind wir immer noch ständigen Angriffen ausgesetzt – von denen einige durchkommen.

Ich gebe zu, dass ich nicht der führende Sicherheitsexperte bin. Aber ich habe einige Gedanken zu weiteren Schritten, die wir unternehmen können, um unsere Websites frei von Malware und dergleichen zu halten. Vielleicht sind einige ein bisschen hirnrissig, aber meine Hoffnung ist es, eine Diskussion anzuregen, anstatt die ganze Menschheit zu retten.

Plugin-Audits
Dies können wir routinemäßig selbst tun und den Kunden tatsächlich in Rechnung stellen. Die Idee ist, routinemäßig (vielleicht 2-3 Mal pro Jahr) zu prüfen, welche Plugins installiert sind, und die potenziell problematischen auszusortieren. Suchen Sie nach Plugins, die als aufgegeben gelten (ohne Updates seit mindestens zwei Jahren) oder ganz aus dem WordPress-Plugin-Repository entfernt wurden. Nehmen Sie dann bei Bedarf Ersatz vor.

Zugang zu besseren Informationen
Noch besser wäre ein groß angelegter Dienst, der uns darüber informiert, welche Plugins alt/bösartig/entfernt sind. Entwickler und Websitebesitzer könnten sehr davon profitieren, diese Art von Ressourcen zur Hand zu haben. Nur zu wissen, was im WordPress-Ökosystem passiert, kann uns helfen, weitere Probleme zu vermeiden.

Treffen Sie klügere Entscheidungen
Wir treffen oft die unserer Meinung nach besten Entscheidungen zu diesem bestimmten Zeitpunkt. Aber wir können es besser machen. Beispielsweise geht es bei der Auswahl eines Plugins oft darum, die schnellste Lösung für ein Problem zu finden. Aber die schnellste Lösung ist nicht immer die beste. Die Überprüfung von Plugins auf ihre Qualität sollte genauso wichtig sein wie ihre Funktionalität. Wir werden es nicht immer richtig machen, aber der Blick auf Änderungsprotokolle und Support-Foren kann eine große Hilfe bei der Entscheidungsfindung sein.

Verstehe das Spiel
Wenn wir eine frisch erstellte Website starten, bedeutet das nicht, dass unsere Arbeit beendet ist. Um die Dinge sicher zu halten, müssen wir weiterhin darauf achten, was vor sich geht. Ein Teil davon kann die Verwendung automatisierter Sicherheits-Plugins sein, die uns eine E-Mail senden, wenn etwas nicht stimmt. Es geht aber auch darum, sich ab und zu manuell umzusehen. Überprüfen Sie das WordPress-Dashboard und sehen Sie sich auch die Dateistruktur der Website an, um nach verdächtigen Dingen zu suchen.

Proaktives Hosting
Ich würde gerne glauben, dass die meisten Webhoster der Sicherheit höchste Priorität einräumen. Aber das bedeutet nicht, dass es keinen Raum für Verbesserungen gibt. Aus meiner eigenen Erfahrung scheint es, als würden Hosts oft auf Probleme reagieren, nachdem sie aufgetreten sind. Ich glaube, wir könnten von Gastgebern profitieren, die in ihrem Sicherheitsansatz proaktiver sind. Beispielsweise die Benachrichtigung von Kunden über Informationen zu den neuesten Sicherheitsbedrohungen und dazu, wie Sie Ihre Website dagegen schützen können.

Kunden schulen
Schließlich ist es wichtig, Kunden in den Do’s and Don’ts von WordPress zu schulen. Wenn sie auf das Backend der Website zugreifen, sollten sie die potenziellen Risiken der Installation von Plugins oder der Weitergabe ihrer Kontoinformationen an andere kennen. Sie spielen eine große Rolle, wenn es darum geht, ihre eigene Website sicher und gesund zu halten.

Immer ein Ziel

WordPress ist so weit verbreitet, dass es kein Wunder ist, warum es ein Ziel für Hacker geworden ist. Leider ist dies etwas, das mit all dem großen Erfolg einhergeht.

Aus diesem Grund müssen wir alle unsere Sicherheitspraktiken verbessern. Im Idealfall bedeutet dies regelmäßige Überprüfungen der Website und vor allem Zugriff auf wichtige Informationen. Wissen ist der Schlüssel zu jeder Herausforderung. Ohne sie werden wir für immer dieses Karnevalsspiel spielen müssen.