Ist WordPress eine zuverlässige Software?

von Blair Jersyer | Wordpress-Nachrichten, Blog & Tipps

Die Frage, ob WordPress sicher ist, ist kompliziert. Dies ist offensichtlich eine ausreichend sichere Plattform für etwa ein Viertel aller WordPress-Websites weltweit, aber nicht ohne Mängel.
Wer ist für die Sicherheit von WordPress verantwortlich? Natürlich fällt letztendlich ein Teil dieser Verantwortung auf vos Schultern. Deshalb ist es wichtig, sich dessen bewusst zu sein und ihn zu respektieren Best Practices für die WordPress-Sicherheit um alle von Ihnen erstellten Websites so sicher wie möglich zu machen.

Das Team hinter WordPress hat jedoch auch eine gewisse Verantwortung in all dem. Schließlich können Sie nichts tun, um den Kern von WordPress selbst zu schützen.

Wenn Sie die Frage der WordPress-Sicherheit genauso beschäftigt wie andere, die versuchen, online Geschäfte zu machen, lesen Sie die folgenden Informationen.

Ich werde über einen Teil der Geschichte über WordPress-Sicherheitsprobleme sprechen und darüber, was das WordPress-Projekt dagegen unternimmt.

Eine kurze Geschichte der WordPress-Sicherheitsprobleme

Das Problem ist nicht unbedingt, dass WordPress ein schwaches Content-Management-System ist, das anfällig für Hacking-Versuche und Sicherheitslücken ist. Es ist eher ein Sichtbarkeitsproblem. WordPress ist das beliebteste CMS auf der ganzen Welt, daher wird es natürlich ein leichtes Ziel für Hacker sein.

WordPress wird häufig online kritisiert (in Blogs, Foren, Podcasts usw..). Daher sind die Schwächen der Plattform bekannt. Dann wäre es sinnvoll, dass Hacker hauptsächlich auf WordPress-Websites abzielen, nicht wahr?

Sicherheit ist ein wichtiges Gesprächsthema für alle Wordpress-Blog oder Webentwicklung. Laut dem WordPress-Projekt (dem Team, das für die Verwaltung der Sicherheit der Plattform verantwortlich ist) veröffentlichen sie ständig Sicherheitspatches. Kennen Sie diese automatischen Update-Benachrichtigungen, die Sie erhalten, wenn Sie sich beim Dashboard anmelden? „WordPress wurde auf 4.7.2 aktualisiert“ oder so ähnlich? Nun, wenn Sie sehen, dass diese Nebenversionen herauskommen, liegt das normalerweise daran, dass das Team ein Sicherheitsproblem beheben musste.

Und das passiert oft:

La Verletzung von Panama Papers Daten zu von 2016 wurde teilweise auf eine Sicherheitslücke in einem Revolution Slider WordPress-Plugin zurückgeführt.

Trotzdem ist es beruhigend zu sehen, wie WordPress mit einer sehr aktuellen und hochkarätigen Sicherheitsverletzung umgegangen ist, die von der REST-API herrührt.

So lief es:

  • Im Januar 2017 veröffentlichte WordPress das Update 4.7.2. Nirgendwo in der Liste der Updates oder Fixes wurde der Sicherheitspatch erwähnt.
  • Ungefähr eine Woche später informierte WordPress die Benutzer darüber, dass in diesem Update tatsächlich eine Sicherheitslücke festgestellt und behoben wurde.
  • Der Grund für die Verzögerung bei der Benachrichtigung der Benutzer? Weil sie ihnen Zeit geben wollten, den Kernel zu aktualisieren, bevor die Hacker wussten, dass WordPress davon wusste, und das Problem behoben haben.

Das hat Hacker in der Zwischenzeit natürlich nicht davon abgehalten, 1,5 Millionen WordPress-Sites zu entstellen. Es gibt auch WordPress-Benutzer, die das CMS nie aktualisiert haben (oder dies zu spät getan haben), die für den Angriff anfällig geblieben sind.

Obwohl schließlich ein Patch von WordPress veröffentlicht wurde und die Anzeige mit dem dringend benötigten Fingerspitzengefühl bearbeitet wurde, wurden dabei über eine Million Websites verletzt. Schlimmer noch, viele Website-Besitzer ignorierten diese Verschlechterung auch nach ihrem Eintritt weiter.

Sicherheits-Patches scheinen häufiger herauszukommen, mit der höchsten Missbrauchsrate im Jahr 2015. Da immer mehr davon auftreten, ist es wichtig, dass Sie wissen, wer für die Sicherung von WordPress verantwortlich ist und was Sie auf Ihrer Seite tun können, um sicherzustellen, dass Sie geschützt sind.

Sicherheit wordpress.png

Was Sie über das WordPress-Projekt (und seine Sicherheit) wissen müssen

Hier ist, was Sie über das WordPress-Projekt wissen müssen und wofür sie tun Kernel-Sicherheit aufrechterhalten .

Das WordPress-Sicherheitsteam

Lassen Sie uns zunächst über das WordPress-Projekt sprechen. Dieses Sicherheitsteam besteht aus rund 25 Mitarbeitern, die alle Experten für die Entwicklung oder Sicherheit von WordPress sind. Derzeit arbeitet die Hälfte der Mitarbeiter des WordPress-Projekts für Automattic.

Dieses Expertenteam ist verantwortlich für die Identifizierung von Sicherheitsrisiken im Kernel. Sie sind auch dafür verantwortlich, potenzielle Probleme mit Themen oder Plugins zu untersuchen, die von Dritten eingereicht wurden, und Empfehlungen abzugeben, wie sie ihre Tools härten oder bekannte Verstöße korrigieren können.

Obwohl sie diese Probleme normalerweise alleine identifizieren und lösen, konsultieren sie gelegentlich andere Experten auf diesem Gebiet, insbesondere solche von Sicherheits- und Softwareunternehmen.Unterkunft.

Wie WordPress Sicherheitsrisiken erkennt

Wie zu erwarten, läuft das WordPress-Projektteam wie eine gut geölte Maschine. So funktioniert das Erkennen und Lösen von Sicherheitsrisiken:

  • Ein Problem wird von jemandem aus dem Sicherheitsteam oder von außerhalb des Teams identifiziert. Mitglieder, die nicht Mitglieder des Projekts sind, können diese erkannten Probleme durch Senden einer E-Mail an mitteilen [E-Mail geschützt] .
  • Ein Bericht wird aufgezeichnet und das Sicherheitsteam bestätigt den Empfang.
  • Die Teammitglieder arbeiten dann privat auf einem privaten Server zusammen, um zu überprüfen, ob die Bedrohung gültig ist.
  • Hier verfolgen, testen und reparieren sie erkannte Sicherheitslücken.
  • Der Sicherheitspatch wird dann zur nächsten Version von WordPress Minor hinzugefügt.
  • Bei weniger schwerwiegenden Reparaturen benachrichtigt WordPress Benutzer einfach über das WordPress-Dashboard, wenn ein automatischer Beitrag erfolgt.
  • Für dringendere Angelegenheiten wird der Beitrag sofort veröffentlicht und WordPress.org wird ihn auf der News-Seite der Website bekannt geben.

Wie wir in 4.7.2 gesehen haben, kündigt WordPress diese Sicherheitsupdates natürlich nicht immer an (aus triftigen Gründen), obwohl sie immer sofort Maßnahmen ergreifen, um sie zu beheben.

Hinweis zu automatischen Updates

Seit Version 3.7 kann WordPress kleinere Updates automatisch an alle Websites senden. Dies stellt sicher, dass das WordPress-Sicherheitsteam dringende Korrekturen rechtzeitig erhalten kann und nicht darauf warten muss, dass Benutzer auf jeder ihrer Websites zustimmen und aktualisieren.

Es ist jedoch für WordPress-Benutzer möglich, diese automatischen Updates zu deaktivieren. Wenn dies bei Ihnen der Fall ist, beachten Sie, dass dies Ihre Website gefährden kann, insbesondere wenn Sie nicht die Zeit haben, alle Ihre Websites sorgfältig auf das neueste und beste Update zu überwachen.

Sicherheit von Plugins und Themes

So wie es in Ihrer Verantwortung liegt, Besuchern ein besseres Weberlebnis zu bieten, können Entwickler von Plugins und WordPress-Themes sind für die Sicherheit ihrer Benutzer (d. h. Sie) verantwortlich. Während WordPress mit den Zehntausenden von Plugins und Themes nicht umgehen kann, können sie sie zumindest genau im Auge behalten, um sicherzustellen, dass nichts Ernstes durch die Ritzen rutscht.

Das WordPress-Projekt ist das Team, das für die Zusammenarbeit mit Entwicklern verantwortlich ist, wenn ein Sicherheitsproblem festgestellt wird. Zuvor gibt es jedoch ein Team von Freiwilligen, die jedes bei WordPress eingereichte Thema oder Plugin überprüfen. Dieses Team wird mit Entwicklern zusammenarbeiten, um sicherzustellen, dass die Best Practices eingehalten werden.

Es können jedoch immer noch Sicherheitslücken auftreten. In diesem Fall sollte das WordPress-Sicherheitsteam eingreifen:

  • Bereitstellung von Dokumentation für WordPress-Entwickler zur Entwicklung von Plugins und Themes sowie zu Best Practices für die Sicherheit.
  • Überwachen Sie Plugins und Themes auf mögliche Sicherheitslücken. Jedes erkannte Problem wird dann dem Entwickler zur Kenntnis gebracht.
  • Entfernen Sie schädliche Plugins oder Themes aus dem Verzeichnis, wenn Entwickler nicht reagieren oder nicht zusammenarbeiten.

WordPress benachrichtigt seine Benutzer dann über den WordPress-Administrator, wenn diese Sicherheitsupdates (oder das Entfernen fehlerhafter Plugins und Themes) verfügbar sind.

Die Sicherheit von WordPress erfordert Ihre Wachsamkeit

Nachdem ich das alles durchgearbeitet habe, fühle ich mich ein wenig wohler, wenn ich weiß, dass ein engagiertes Team arbeitet, um den WordPress-Kern jederzeit sicher zu halten. Dies bedeutet jedoch nicht, dass ich (oder Sie) in dieses Gefühl der Selbstzufriedenheit eingelullt werden sollte.

Wie wir gesehen haben, werden Hacker auch im vergangenen Januar mit den 1,5 Millionen beschädigten Websites, unabhängig davon, wie gut das WordPress-Projekt die Plattform überwacht und sichert, eine Lösung finden.

Deshalb ist es wichtig, dass Sie Ihre Rolle bei all dem spielen und Ihre Websites aus allen Blickwinkeln schützen.

Veröffentlichen Sie den Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Akismet, um unerwünschte Inhalte zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verwendet werden.