Von SA3D gehacktes WordPress und wie man es verhindert

In den letzten Monaten haben Sie möglicherweise die Nachricht links im Web gesehen. Was ist passiert? Neuere Versionen von WordPress enthalten die REST-API, die viele leistungsstarke neue Funktionen und Integrationen bietet.

Leider wurden schwerwiegende Sicherheitsbedrohungen festgestellt und viele WordPress-Administratoren reagierten nur langsam auf die Sicherheitswarnungen. Google zeigt weltweit immer noch über 236.000 Ergebnisse und über 900 gehackte Ergebnisse mit einer .fi-Domain - der sichersten Domain der Welt, einschließlich vieler Tech-Unternehmen. Ein schnelles Update auf WordPress Core hätte diesen Angriff verhindert.

Die Popularität von WordPress (1/3 der Top-Millionen-Websites) macht einen Unterschied. Schlimmer noch, der minimalistische Ansatz von WordPress macht es stark abhängig von (oft kostenlosen) Plugins mit unterschiedlicher Qualität. Jedes der Plugins kann als Angriffsfläche verwendet werden, und einige Plugins hatten in der Vergangenheit schwerwiegende Probleme (z. B. erlaubte ein Banner-Schieberegler das Anmelden als Administrator).

Websicherheit erfordert Aufmerksamkeit. Zum Glück ist es nicht zu komplex.

Grundlegende Sicherheitspraktiken sind weit verbreitet. Habe ein sicheres Passwort. Haben Sie keine Benutzernamen mit "Admin", Website oder Firmennamen. Verwenden Sie das System mit den geringsten Berechtigungen. Aktualisieren Sie regelmäßig (oder automatisch) und sofort alle wichtigen Sicherheitswarnungen. Richten Sie eine andere Site zum Testen neuer Plugins und Designs ein. Verfügen Sie für jede Site über eine separate Datenbank und einen separaten Benutzer. Und so weiter…

Definieren Sie die Verantwortung für die Wartung. Wer ist für die Überprüfung von Sicherheitswarnungen verantwortlich? Wer ist für die Weitergabe von Sicherheitsinformationen in der Organisation verantwortlich? Wer benötigt die technischen Updates? Eine erste Hilfe kann darin bestehen, die erste Antwort an Cloud-basierte Firewall-Unternehmen zu delegieren, die über aktuelle Sicherheitsinformationen von Millionen von Standorten verfügen und viele Bedrohungen abwehren können.

Das Planen und Testen der Wiederherstellung ist wichtig, da jedes Plugin das Laden der Site zusätzlich zu den Sicherheitsbedrohungen verhindern kann (standardmäßig werden alle Plugins bei jedem Laden der Seite geladen). Es gibt viele gute kostenlose Backup-Plugins für WordPress, die automatisch auf Dropbox oder Google Drive sichern können. Cloud-Plattformen wie Microsoft Azure können die Wiederherstellung ebenfalls schnell und einfach gestalten. (Denken Sie daran, Backups zu aktivieren.)

Integrieren Sie die Bereinigungsplanung in die Wiederherstellung. Was passiert, wenn Sie den Verdacht haben, dass die Sicherheit Ihrer Site gefährdet ist? Ändern von Passwörtern, Überprüfen von Benutzernamen, Überprüfen von Dateien und Datenbanken usw. Denken Sie daran, die Wiederherstellung zu testen, damit Sie sie nicht zum ersten Mal durchführen müssen.

Befolgen Sie die Sicherheitswarnungen Ihres Hosting-Anbieters, der Anbieter von Serverbetriebssystemen und der von Ihnen verwendeten Webplattformen. WordPress-Benachrichtigungen sind in ihrem Blog. Hier in Finnland haben wir eine der besten nationalen Kommunikationsbehörden, die große Bedrohungen aufspüren kann: https://www.viestintavirasto.fi/en/

Führen Sie Sicherheitstests während der Erstellung und Aktualisierung durch. Sie können Tests auch außerhalb von Entwicklungs-Sprints durchführen, haben jedoch möglicherweise eingeschränkte Möglichkeiten, um Fehler zu beheben. Ein kostenloses allgemeines Test-Tool ist OWASP ZAP - Sie können auch unseren YouTube-Kanal für eine Kurzanleitung besuchen.

Verwenden Sie die automatische Überwachung. Melden Sie sich bei der Google-Suchkonsole an, um Google-Benachrichtigungen zu Problemen auf Ihrer Website zu erhalten. Erwägen Sie die Verwendung kommerzieller automatisierter Überwachungstools wie Pingdom.

Optional & empfohlen: Verwenden Sie einen Web-Partner mit zertifiziertem Sicherheitsprozess :) Eine solche Web-Entwicklungsfirma hat den Namen Kwork Innovations. Ein guter Partner stellt sicher, dass die Website ordnungsgemäß erstellt und geprüft wird, berät bei der weiteren Entwicklung, stellt sicher, dass die Hosting-Umgebung ordnungsgemäß eingerichtet ist und reagiert auf Sicherheitswarnungen.

Sicherheit ist eines der (vielen mit Digitalisierung verbundenen) Dinge, die mir am Herzen liegen. Chatten, twittern, mailen oder anrufen - antti@kwork.me +358 44 323 7002

Kwork Innovations hat am 29. September 2016 als erstes Unternehmen der finnischen Softwareindustrie die Zertifizierung für den sicheren Softwareentwicklungsprozess beim jährlichen Treffen von Technologie- und Softwareindustrie - Digi Date - erhalten.