WordPress-Profi: Ein Interview mit dem CEO von WP White Security, Robert Abela

Veröffentlicht: 2021-04-10
WP Weiße Sicherheit

Robert Abela, wer bist du?! Stell dich bitte vor!

Seit meiner Kindheit interessiere ich mich für Computer. Als ich etwa 8 oder 9 Jahre alt war, brachte mein Onkel einen Atari mit nach Hause, und wir spielten darauf.

Seitdem wuchs mein Interesse und ich bekam meinen ersten Computer (Amiga 500+), auf dem ich einige grundlegende Programme schrieb.

Dann kam der PC (ich hatte einen 486 DX4) und dann das Internet. Nachdem ich meinen Computer zu oft kaputt gemacht hatte, brach ich die Elektrotechnik-Schule ab und bekam meinen ersten IT-Job als Softwaretester bei einem internationalen Softwareunternehmen. 14 Jahre nachdem ich meinen ersten Job in einem Unternehmen bekommen hatte, gründete ich mein eigenes Unternehmen, WP White Security.

Robert Abel

Wie haben Sie begonnen, WordPress zu verwenden? Wann war das und was hast du damit gemacht?

Ich habe WordPress während meines letzten Vollzeitjobs als Produktmanager bei Acunetix kennengelernt. Wir brauchten einen Blog, um unsere Forschungsergebnisse zu dokumentieren und fingen an, WordPress zu verwenden.

Als wir WordPress nutzten, stellten wir fest, dass es in der WordPress-Sicherheitsbranche viele Möglichkeiten gab. Da wir ein Unternehmen für Sicherheitssoftware für Webanwendungen waren, haben wir sogar einen WordPress-Sicherheitsdienst namens Website Defender entwickelt. Leider hat sich das Produkt nie durchgesetzt, aber ich betrachtete es als eine gute Gelegenheit für mich, noch mehr über das WordPress-Ökosystem zu lernen.

All das war genug, um mich süchtig zu machen und so wurde die Idee für WP White Security geboren. Da meine vorherige Erfahrung im Bereich Sicherheit lag, habe ich WP White Security als Sicherheitsblog gestartet . Wir haben auch WordPress-Sicherheitsdienste angeboten, wie z. B. das Bereinigen gehackter Websites, das Auditieren von Quellcode, das Erhöhen der Sicherheit von WordPress-Websites und andere ähnliche Aufgaben.

Später lernte ich, wie man Code schreibt, und ich hatte den perfekten Anwendungsfall: ein WordPress-Plugin für Aktivitätsprotokolle. Ich habe mir immer gewünscht, dass Websitebesitzer ein solches Plugin installiert hätten, bevor ihre Website gehackt wurde. Das hätte das Leben damals viel einfacher gemacht!

Das war die Motivation, die ich brauchte, um mit der Entwicklung der ersten Version von WP Activity Log zu beginnen. Als das Plugin an Fahrt gewann, stellten wir die Bereitstellung von Sicherheitsdiensten ein und konzentrierten uns voll und ganz auf die Entwicklung von WordPress-Plugins. Der Rest ist Geschichte.

Sie haben mehrere Sicherheits-Plugins entwickelt. Warum haben Sie sich entschieden, sich auf WordPress zu konzentrieren?

Es geschah alles ganz natürlich.

Da mein Hintergrund in der Anwendungssicherheit lag, habe ich zuvor immer für Sicherheitssoftwareunternehmen gearbeitet. Als ich WordPress bei Acunetix entdeckte, sah ich eine gute Gelegenheit, mich zu engagieren und etwas auf WordPress zu tun.

Ich habe mir nie wirklich andere CMS-Projekte (wie Joomla, Drupal usw.) angesehen, hauptsächlich weil es sich einfach gut anfühlte, etwas mit WordPress zu machen, in der Community mitzuwirken und möglicherweise neue Freunde zu finden, und genau das ist passiert.

Was sind die Stärken und Schwächen dieses CMS? Ist WordPress sicher? Warum sollten Menschen in ein Sicherheits-Plugin investieren ?


Die Stärken von WordPress sind meiner Meinung nach:

  • Es ist sehr gut unterstützt und dokumentiert
  • Es wird von einer großen und erstaunlichen Community unterstützt
  • Der WordPress-Kern ist sehr stabil, wird häufig aktualisiert und gut gepflegt
  • Dank der unzähligen Plugins und Themes können Sie jede Art von Website mit WordPress erstellen

Der Kern von WordPress ist sehr sicher. Die häufigsten Sicherheitsprobleme mit WordPress-Websites werden von den Eigentümern / Administratoren der Website verursacht. Zum Beispiel;

  • Websites werden schlecht verwaltet und haben unnötige Plugins installiert, veraltete Software, falsch zugewiesene Benutzerrechte, schwache Passwörter usw.
  • Benutzer ohne Erfahrung wissen nicht, was notwendig ist, um eine WordPress-Site sicher zu halten.

Ehrlich gesagt ist die Sicherheit einer Website kein Hexenwerk. Meistens geht es darum, einige grundlegende Best Practices für die Sicherheit zu befolgen.

Können Sie 5 schnelle Tipps geben, um die Sicherheit einer WordPress-Website zu erhöhen?

  • Halten Sie alles auf dem neuesten Stand, einschließlich Plugins, Themes und natürlich der Version von WordPress. Dies gilt auch für Ihren Computer, Ihr Smartphone und jedes andere Gerät, das Sie besitzen.
  • Weisen Sie die richtigen Privilegien zu. WordPress-Benutzerrollen spielen eine wichtige Rolle bei der Gesamtsicherheit Ihrer Website. Der einfache Akt, der falschen Person zu viele Fähigkeiten zuzuweisen, kann potenziell katastrophale Folgen haben.
  • Recherchieren Sie Plugins, bevor Sie sie installieren. Installieren Sie außerdem nur die Plugins, die Sie benötigen. Einige Dinge, die Sie bei der Auswahl von Plugins für Ihre WordPress-Website beachten sollten, sind: Plugin-Bewertungen, Benutzerbewertungen, Anzahl der aktiven Installationen des Plugins, Support, Reaktionsfähigkeit der Entwickler und Dokumentation.
  • Härtung – Beim Thema WordPress-Härtung kann man viel tun. Sie können jedoch mit einigen einfachen Schritten beginnen, z. B. die Implementierung von 2FA, die Verbesserung der Passwortsicherheit und die Deaktivierung dessen, was Sie nicht benötigen.
  • Sicherheit sollte Teil Ihrer täglichen Aufgaben sein. WordPress-Sicherheit ist keine einmalige Lösung, sondern ein Prozess, bei dem Sie Ihre Abwehrmaßnahmen ständig testen und darauf iterieren, um die Sicherheitslage Ihrer Website zu verbessern.

Konzentrieren wir uns auf Ihre Plugins: Warum haben Sie das WP-Aktivitätsprotokoll erstellt?

Die Idee kam mir damals, als ich gehackte Websites bereinigte. Ich dachte, dass Protokolle für die Verwaltung einer Website unerlässlich sind, aber auch während der forensischen Arbeit nützlich sind, wo sie Ihnen helfen können, zu verstehen, was passiert ist und was ausgenutzt wurde.

Da WordPress keine Protokolle hat, habe ich mit der Entwicklung des WP-Aktivitätsprotokolls begonnen. Bis heute haben wir sechs Plugins, die sich alle auf WordPress-Sicherheit und Benutzerverwaltung konzentrieren.

WP-Aktivitätsprotokoll : Ein umfassendes Echtzeit-Benutzerüberwachungs- und Aktivitätsprotokoll-Plugin, das Tausenden von WordPress-Administratoren und Sicherheitsexperten hilft, ein Auge darauf zu haben, was auf ihren Websites passiert.

Password Policy Manager : Mit diesem Plugin können Sie starke Passwortrichtlinien für Ihre WordPress-Website und Ihr Multisite-Netzwerk konfigurieren.

WP 2FA : Ein kinderleicht zu bedienendes Zwei-Faktor-Authentifizierungs-Plugin, mit dem Sie die Sicherheit Ihres WordPress-Benutzerlogins innerhalb von Sekunden erhöhen können.

Monitor für Website -Dateiänderungen: Ein Plugin zur Überwachung der Dateiintegrität mit einer exklusiven intelligenten Technologie, die Änderungen an WordPress-Kern, Plugins und Themen erkennt, sodass keine Fehlalarme bei legitimen Dateiänderungen ausgelöst werden.

Aktivitätsprotokolle für MainWP : Dies ist eine MainWP-Erweiterung, mit der Administratoren und Agenturen von einem zentralen Portal aus im Auge behalten, was auf den untergeordneten Websites passiert – dem MainWP-Dashboard.

Admin Notices Manager : Dieses Plugin verwaltet die Admin-Benachrichtigungen in Ihrem WordPress-Dashboard. Die Idee ist einfach, ein ablenkungsfreies Dashboard zu haben und die Admin-Mitteilungen nach Belieben zu lesen und nie einen wichtigen WordPress-Kern oder eine Entwicklernachricht zu verpassen.

Von Zeit zu Zeit fragen uns Leute, warum wir Plugins für einen bestimmten Zweck entwickeln, anstatt ein „generisches“ Sicherheits-Plugin. Einer der Gründe ist die Benutzerfreundlichkeit. Generische Sicherheits-Plugins können für Benutzer etwas überwältigend sein.

Wenn Sie ein Plugin für einen einzigen Zweck entwickeln, können Sie sich auf diesen Bereich spezialisieren und sich auf die Entwicklung robusterer Funktionen konzentrieren, was natürlich für Benutzer mit spezifischen Anforderungen gut ist. Das ist bei allem anderen genauso. Nehmen wir als Beispiel die Smartphone-Kamera vs. DSLR-Analogie; Auch wenn heutzutage die meisten Handys gute Kameras haben, kann man eine solche Kamera nicht mit einer DSLR vergleichen, denn egal wie gut Ihr Kamerahandy ist, es wird niemals die Vielseitigkeit, Funktionen und Optionen einer Digitalkamera haben.

Wie sehen Sie die Entwicklung von WordPress in der Zukunft?

WordPress begann als bescheidene Blogging-Plattform und wird heute für Blogs, Websites, E-Commerce-Lösungen und auch als Backend-Lösung für viele Webprojekte verwendet.

Auch der Marktanteil wächst schnell, sodass die Zukunft definitiv interessant ist.

Je verbreiteter es wird, desto größer ist das Interesse daran. Das bedeutet, dass mehr Unternehmen in das WordPress-Ökosystem investieren werden, was in der Regel zu mehr Innovation , neuen Produkten und neuen Nutzungsmöglichkeiten, mehr Integrationen und vor allem einem sichereren WordPress führt.

Was ist mit dem WP-Aktivitätsprotokoll?

In diesem Jahr konzentrieren wir uns auf die Überarbeitung des Kerns des Plugins und seiner Funktionen. Darüber hinaus konzentrieren wir uns als Aktivitätsprotokolllösung auch auf Integrationen, etwas, das größere Unternehmen benötigen.

Zum Beispiel Schreiben von Protokollen in Lösungen von Drittanbietern, Integrationen mit Lösungen wie Splunk und zentrale Protokollierungssysteme.

Darüber hinaus haben wir auch eine interessante Roadmap für alle anderen Plugins, insbesondere WP 2FA. Dieses Jahr werden wir viele neue Funktionen hinzufügen, also bleiben Sie dran!