Wie stellen Sie absolut sicher, dass Ihre WordPress-Website sicher ist?

Veröffentlicht: 2022-03-08

Vor zwei oder ein paar Jahrzehnten beschränkte sich Raub darauf, einzubrechen, um jemandes Einkommen oder Wertgegenstände zu stehlen. Die wären jetzt Unfugstifter und Räuber, die auf die Art von Hackern kommen. Jeder, der Schwachstellen in Softwareprogrammen aus persönlichen oder politischen Gründen findet und ausnutzt.

Kurz bevor ich anfange, müssen Sie wissen, dass dieser Beitrag nicht auf das Wesentliche der WP-Sicherheit eingeht, sondern vielmehr die Auslöser für WordPress-Schwachstellen diskutiert. Wenn das nicht das ist, wonach Sie suchen, empfehle ich Ihnen das Studium – „Verbessern der WordPress-Sicherheit – Eine vollständige Information zum Sichern von WordPress-Webseiten“. Ich muss jedoch sagen, dass das Verständnis der Mutter Natur der WP-Schwachstellen im Vorhergehenden eine gute Vorstellung davon gibt, wie Sie die Schutzprotokolle Ihrer Website überprüfen können.

Warum teilen sich Menschen in Standorte und Wissenszentren auf? Der Einbruch in Internetseiten, die Kundendaten, E-Mail-IDs, Kreditkartendaten usw. enthalten, ist finanziell viel lohnender, als einen Kreditgeber auszurauben. Wenn Sie eine halbwegs erfolgreiche Website betreiben, bin ich mir sicher, dass bereits Hunderte, wenn nicht unzählige Versuche unternommen wurden, auf die Daten Ihrer Website zuzugreifen.

Vor kurzem wurde AshleyMadison.com gehackt und die Daten von 37 Millionen Käufern wurden gestohlen. Die Hacker haben gefordert, dass die Website geschlossen wird, andernfalls werden sie die Details der gestohlenen Benutzerinformationen veröffentlichen, die sexuelle Fantasien enthalten. Dies präsentiert Ihnen einen Stil der Art von Zerstörung, die ein Hacker herbeiführen kann, indem er einfach Zugang zu Fakten erlangt.

Die Sicherheit im Internet ist ein äußerst wichtiges Thema, und die Anzahl der Websites, die auftauchen, um private Informationen und Daten ihrer Benutzer zu erhalten, wird immer zutreffender.

Bis zu 65 % des Internets läuft mit WordPress als Content-Management-Prozess, also werde ich heute über die Stabilität von WordPress sprechen und darüber, wie WP-Websites in der Vergangenheit qualifiziert oder gehackt wurden.

Warum sich auf exzellente Sicherheitstaktiken festlegen?

  • Sie sind es Ihren Käufern und Kunden schuldig, die sich darauf verlassen, dass Sie mit sensiblen individuellen Informationen und Fakten sicher sind.
  • Ihre Website wird gehackt – Sie verlieren Geld.
  • Ihre Website wird gehackt – Ihre Suchmaschinenrankings machen nur einen einzigen Ausflug in die Hölle.

WordPress-Websites werden von Tausenden, wenn nicht Hunderten von Hunderten gehackt. Nicht jede Webseite weiß, dass sie zuvor gehackt wurde. Es ist keine großartige Bestätigung für ihren Markennamen, wie Sie vielleicht vermuten.

Ich möchte die Anforderungen für diesen Beitrag zur WordPress-Sicherheit etwas beleuchten.

Laut einer Studie von Sandro Gucci (Gründer von Permit Protection).

  • 73,2 % der beliebtesten WordPress-Installationen sind anfällig für Sicherheitslücken, die durch kostenlose automatische Ressourcen entdeckt werden können.
  • Nur 7.814 Websites (18,55 %) haben auf WordPress 3.6.1 aktualisiert, dies war die neueste Version von WP, als der Test durchgeführt wurde.
  • 13.034 Websites (30,95 %) verwalteten weiterhin eine anfällige Version von WordPress, Version 3.6. WordPress 3.6 hatte zu diesem Zeitpunkt 5 erkannte Schwachstellen.

Und wenn Sie darüber nachgedacht haben, dass dies nur eine unfaire, verallgemeinerte Charakterisierung kompakter, unbekannter Websites irgendwo auf der dunklen Website ist, würden Sie sich irren. Die Daten wurden basierend auf einer Überprüfung von etwa 42.000 WordPress-Websites auf Alexas Best A Single Million-Websites erstellt. Das ist eine große Auswahl an anfälligen Seiten für die angeblich meistbesuchten Internetseiten im World Wide Web. Diese Seiten sammeln riesige Mengen an Informationen über ihre Besucher und Abonnenten.

Die Daten waren bis September 2013 korrekt, ich glaube nicht, dass sie angesichts dessen damals stark abgewichen wären, und selbst wenn dies der Fall ist, zeigen die in diesem Artikel gezeigten Statistiken das Ausmaß der Sicherheitsprobleme, die WordPress plagen.

Wenn Sie zusätzliche Beweise wünschen, die beweisen, dass WordPress kompromittiert werden kann. Ich verweise Sie auf eine Untersuchung von Netcraft,

  • Im Februar 2014 gab es 12.000 WordPress-Weblogs, die als Plattformen für Phishing-Webseiten dienten.
  • Weit mehr als 8 % aller Malware-URLs, die von Netcraft für die Verbreitung von im World Wide Web gehosteter Malware blockiert wurden, endeten in WordPress-Blogs.

Ich muss darauf hinweisen, dass nicht nur einer der Blogs auf Automattic wordpress.com betrieben wurde. Dies sollte wirklich sehr deutlich zeigen, dass sogar WordPress anfällig sein kann, wenn es nicht mit Vorsicht und einem gewissen Verständnis des WP-Schutzes verwendet wird. Ein zusätzliches Motiv dafür dürfte die schlichte Tatsache sein, dass alle auf wordpress.com gehosteten Blogs ziemlich aktuell sind, sobald die WordPress-Updates auf den Markt kommen. In Anbetracht dessen muss erwähnt werden, dass automatische WordPress-Updates in WP-Version 3.7 gestartet wurden, um Websites vor Zero-Day-Exploits zu schützen.

Und selbst danach gab es eine Vielzahl von Sicherheitsbedenken, die WordPress geplagt haben. Sehen Sie sich diese Aufzeichnung von WordPress-Schwachstellen in bestimmten Versionen der Plattform an.

Jetzt gibt es absolut nichts, was Sie tun können, um dies zu verhindern, neue Schwachstellen werden so ziemlich im Allgemeinen entdeckt. Die WP-Kerngruppe hat die Stabilität sehr, sehr ernst genommen und WordPress viel sicherer gemacht.

Aber wie bei jeder anderen populären Software ist das Ausnutzen von Schwachstellen besonders lohnend, wenn heute mehr Menschen anfangen, sie zu verwenden.

Glaubst du nicht an mich? Wenn Sie das Gefühl haben, dass sich WordPress plötzlich absolut frei von allen Schwachstellen entwickeln wird, sehen Sie sich diese Grafik an!

wordpress-schwachstellen-über-jahre

Auch wenn die Anzahl der Schwachstellen von ihren Höchstständen in den Jahren 2007 und 2014 im Laufe der Zeit zurückgegangen ist, ist der Anreiz, neue Schwachstellen zu entdecken und auszunutzen, durch die steigende Rentabilität aufgrund des eskalierenden Rufs von WordPress ohne Ende.

WordPress ist vielleicht sofort einsatzbereit, aber unmittelbar nach dem Einbinden so vieler Plugins/Themes und angepassten Codes beginnen viele Schwachstellen mit großer Eile zuzunehmen.

Davon abgesehen können wir kleine Verbesserungen an Ihrem WordPress vornehmen, um es noch besser zu schützen. Zunächst müssen wir uns vollständig mit der WordPress-Sicherheit auskennen, was sehr hilfreich ist, um die Ursachen für Sicherheitsausfälle herauszufinden.

Sie könnten fassungslos sein, wenn Sie feststellen, dass es selten der Fall ist, dass das WP-Kernsystem in Fällen eines Stabilitätsbruchs schuld ist. Es ist viel wahrscheinlicher, dass etwas, das Sie zusätzlich zu Ihrem WP haben, eine Schwachstelle erzeugt, die Hacker ausnutzen könnten.

Wie werden WordPress-Sites kompromittiert?

Das Problem bei der Gewährleistung umfassender Sicherheit ist, dass es diese Dinge nicht gibt.

Angenommen, Ihr WordPress ist vollständig geschützt, müssen Sie sich weiterhin um Ihren Apache, FTP-Client, MySQL und jede Anwendung kümmern, die auf Ihrem Server läuft. Ihre Website ist nur so risikofrei wie ihre schwächste URL. Und das beinhaltet die Qualität des Softwarepakets Ihres Hosts, der Themen und Plugins, auf denen Ihre Internetseiten laufen.

Ich möchte, dass ich viel mehr aktuelle Statistiken habe, die ich Ihnen auch inszenieren kann. Nichtsdestotrotz gibt dieser als Infografik auf dem Blog von WpWhiteSecurity angebotene Testbericht einen hervorragenden Einblick, wie WordPress-Internetseiten gehackt werden und was sie anfällig machen kann.

Die Studie wurde basierend auf Informationen von 170.000 Websites durchgeführt, die im Jahr 2012 gehackt wurden. Die Zahl der Hacks stieg um 18 % gegenüber dem letzten Kalenderjahr (2012), das lustige Detail ist, dass die Zahl der Schwachstellen nicht auftauchte im exakt gleichen Verhältnis. Aber selbst ein kleiner Anstieg der Sicherheitslücken betrifft aufgrund der zunehmenden Nutzung von WordPress und WordPress-basierten Produkten viel mehr Websites.

  • 41 % der gehackten WordPress wurden durch eine Sicherheitslücke in ihrem Hosting-System gehackt.
  • 29 % wurden aufgrund eines Stabilitätsproblems im WordPress-Theme gehackt, das sie schließlich verwendeten.
  • 22 % wurden aufgrund eines Schutzproblems in den von ihnen verwendeten WordPress-Plugins gehackt.
  • 8 % wurden hauptsächlich deshalb gehackt, weil sie ein schwaches Passwort hatten.
  • Aus dem zuvor Erwähnten können wir schließen, dass weit mehr als 51 % der gehackten WordPress-Internetseiten über eine Schwachstelle in den WordPress-Themen oder Plugins, mit denen sie gearbeitet haben, gehackt wurden.

Ein frustrierender Großteil der Hacks entstand durch das Einfügen von Software in Form von Plugins, Themes und einfach, weil Internet-Hosting-Anbieter die Sicherheit am Serverende nicht ausreichend verbessert hatten.

Es macht keinen Sinn, Schritte zum Schutz Ihrer Website zu diskutieren, bevor Sie sich mit den großartigen Möglichkeiten befassen, die Sie in Bezug auf Schutzbedingungen haben, wenn es um Webhosting, Themen und Plugins geht. Und ich werde darüber sprechen, wie Sie hervorragende Drittanbieter-Software und sicheres Hosting für Ihre Website erhalten, bevor ich anfange, bestimmte Stabilitätsschritte zu empfehlen, um die WP-Sicherheit zu erhöhen.

Fazit

WordPress-Websites sind selten anfällig für Fehler im Kerncode der Informationsverwaltungstechnik. Aber eine Website funktioniert nicht ausschließlich basierend auf der schriftlichen Content-Management-Technik, sie erfordert einen Internet-Host, um das CMS im World Wide Web zu hosten, Themen, um es schick zu machen, und Plugins, um die erforderlichen Funktionen einzufügen. Das Einbeziehen zahlreicher Schichten von Drittanbieter-Software in Ihr WordPress-Setup kann Ihre Stabilität ein wenig schwächen, wenn es nicht angemessen ausgeführt wird.

Ihr WordPress-Server, die Plugins & Themes und der Netzhost müssen eine Verbindung herstellen, um den Betrieb Ihrer WordPress-Webseite aufrechtzuerhalten. Diese Konversation hat manchmal Fehler und macht Websites anfällig.

Positive 8 % der Websites könnten aufgrund schwacher Passwörter kompromittiert werden. Weiterhin deutet eine überwältigende Menge an Beweisen darauf hin, dass die Einführung schlecht geschriebener Plugins/Themes oder eines Internethosts, der auf veralteter Software läuft, das Hauptergebnis für einen großen Teil aller gehackten oder heruntergefahrenen WordPress-Websites ist.

Nachdem wir nun einige Klarheit über die Ursachen von WordPress-Schwachstellen gewonnen haben, konzentriere ich mich im Rahmen der nächsten Veröffentlichung in der WP-Stabilitätsserie auf die Maßnahmen, die Sie ergreifen müssen, um Ihre WordPress-Sicherheit zu verbessern.

Bitte teilen Sie die Details mit, wenn Sie jemals erlebt haben, dass Ihre WordPress-Site durch einen Hack kompromittiert wurde oder Opfer eines DDOS-Angriffs geworden ist. Möglicherweise werden Aigars oder ich versuchen, das Problem zu beheben, wenn es nur in unserer Macht steht. Prost