Springe zum Hauptinhalt

Sicherheitsleitfaden für WordPress-Entwickler: Updates

Divi: das am einfachsten zu verwendende WordPress-Theme

Divi: Das beste WordPress-Theme aller Zeiten!

Mehr 901.000 Downloads, Divi ist das beliebteste WordPress-Theme der Welt. Es ist vollständig, einfach zu bedienen und enthält mehr als 62-freie Vorlagen. [Empfohlen]

Willkommen zum zweiten Teil unserer WordPress-Sicherheitsentwicklerserie.

Beim letzten Mal haben wir über alles gesprochen, was mit der Installation zu tun hat – wie man es macht, wie man es sicher macht und wie man einige allgemeine Fallstricke vermeidet.

Diese Woche besprechen wir die Bedeutung von Updates und warum es das Wichtigste ist, Ihre WordPress-Installation auf dem neuesten Stand zu halten, um Ihre Website zu schützen.

Falls Sie einen anderen Teil dieser Serie lesen möchten, finden Sie hier eine Liste mit praktischen Links, die Sie in die richtige Richtung weisen:

  • Teil 1: Installation
  • Teil 2: Aktualisierungen
  • Teil 3: Management und Verbindungen
  • Teil 4: Sicherheits- und Backup-Plugins
  • Teil 5: Sammeln

Jetzt vorwärts!

Warum aktualisieren?

Die Frage sollte eigentlich lauten "Warum nicht?" Schließlich rollt WordPress aus einem bestimmten Grund Updates aus. Diese Updates umfassen wichtige Fixes, Fixes und Sicherheitsfixes. Wenn die Leitungen undicht sind, stellen Patches sicher, dass alles wie ein Gefäß geformt ist.

Ken Westin, Sicherheitsanalyst bei Tripwire, Inc. erklärt. „WordPress Core-Updates und -Patches sind aus den gleichen Gründen wichtig wie Betriebssystem- und andere Software-Patches“, sagt er. „Neue Schwachstellen werden immer vom Entwicklungsteam, Benutzern oder Dritten entdeckt, die aktiv nach Fehlern in der Anwendung suchen. Wenn Probleme gefunden werden, werden Patches erstellt, um diese Probleme zu beheben und "die Anwendung sicherer zu machen", erklärt Westin.

Arten von Updates

Bevor wir fortfahren, denke ich, dass es wichtig ist, sich einen Moment Zeit zu nehmen, um die verschiedenen Arten von Updates zu definieren, die WordPress bietet und was sie bedeuten.

Erstellen Sie ganz einfach Ihre Website mit Elementor

Mit Elementor können Sie auf einfache Weise jedes Website-Design mit einem professionellen Look erstellen. Zahlen Sie nicht mehr teuer für das, was Sie selbst tun können. [Kostenlos]

In einem kürzlich erschienenen Blogbeitrag stellt Tony Perez, Gründer von Sucuri, fest, dass es drei verschiedene Arten von Updates gibt: Sicherheit, Fixes und Hauptversionen.

Sicherheitsupdates sind genau das, wonach sie klingen. Sie werden schnell bereitgestellt und bieten nur wenige Fixes, um neu entdeckte Schwachstellen zu beheben. Diese Updates stammen normalerweise von Version 3.1.2 Vielfalt und stellen ein geringes Risiko dar, Ihre Website zu beschädigen. Ich meine es ernst könnte passieren, aber das ist sehr unwahrscheinlich, zumal hier keine neuen Features enthalten sind.

Patch-Updates sind etwas größer. Sie enthalten auch keine neuen Funktionen, aber sie aktualisieren das System und enthalten normalerweise auch Sicherheitsupdates. Diese sind laut Perez in der Regel vorhersehbarer und werden oft nach einem festgelegten Zeitplan veröffentlicht. Wir unterhalten uns Version 3.2.

Zu guter Letzt die Major-Releases. Es ist der Durchgang von Version 3.9 à 4.0. Dies ist in jeder Hinsicht wichtig und viele Funktionen, die im Make WordPress Core-Blog besprochen wurden, finden Sie in diesen Updates. Sie bekommen die meiste Presse, weil sie das WordPress-Spiel verändern und neue Funktionen einführen, für die wir alle leidenschaftlich sind. Major Releases sind jedoch auch die Art von Updates, die Seitenbesitzern Sorgen machen, stellt Perez in einem Blogbeitrag fest. Dies sind revolutionäre Updates, daher zögern viele Websitebesitzer, sie zu aktualisieren, sobald sie veröffentlicht werden.

Natürlich sollte das kein Problem sein, wenn Sie die richtigen Sicherheitsvorkehrungen getroffen haben, aber ich schweife ab.

Fehler beim Update bedeuten größere Anfälligkeit

WordPress-Backdoor-SchwachstellenWie ich bereits erwähnt habe, besteht ein größeres Sicherheitsrisiko, wenn Sie Ihre WordPress-Installation und die von Ihnen installierten Plugins oder Themes nicht aktualisieren. Was Sie vielleicht nicht verstehen, ist warum.

„Sobald ein Patch verfügbar ist, steigt das Risiko für Benutzer, die nicht patchen, tatsächlich, da böswillige Angreifer den gepatchten Code untersuchen, Schwachstellen identifizieren und Wege finden, diese Schwachstellen auszunutzen“, erklärt Westin. „Sie verwenden diese Informationen speziell, um auf Installationen abzuzielen, die nicht gepatcht wurden. "

Suchst du nach den besten WordPress Themes und Plugins?

Laden Sie die besten Plugins und WordPress-Themes auf Envato herunter und erstellen Sie ganz einfach Ihre Website. Schon mehr als 49.720.000 Downloads. [EXCLUSIVE]

Er weist auch darauf hin, dass es nur ein "kleines Zeitfenster" zwischen der Veröffentlichung des Patches und seiner Notizen und dem Beginn der Nutzung dieser neu entdeckten Schwachstellen durch Hacker gibt. „Das ist die Zeit, die Benutzer benötigen, um den Fix zu nutzen“, sagt er. Das Warten lässt Sie einfach dem sehr realen Risiko ausgesetzt, gehackt zu werden.

Das gleiche gilt für Plugins und Themes. Obwohl diese Add-Ons nicht Teil von Core sind, können sie zusätzliche Schwachstellen schaffen. Schlecht codierte Plugins sind im Allgemeinen riskant, aber selbst qualitativ hochwertige Plugins können Sie für Hacker gefährden, wenn sie nicht aktualisiert werden. „Plugins und Themes erhöhen die Angriffsfläche einer WordPress-Installation, auch wenn das Plugin nicht verwendet wird“, erklärt Westin. „Wenn der Code vorhanden ist, kann dieser als „Hintertür“ im System verwendet werden“, sagt er.

Aus diesem Grund ist es so wichtig, nur die Plugins und Themes zu installieren, die Sie auch tatsächlich verwenden möchten. Alles andere löschen. Installieren Sie dann Plugin- und Theme-Updates, sobald sie verfügbar sind. „WordPress hat das Risiko von Themes und Plugins von Drittanbietern besser reduziert, aber die Gefahr besteht immer noch“, warnt Westin.

Verwalten von WordPress-Updates

Eine der besten Möglichkeiten, um sicherzustellen, dass Sie Ihre WordPress-Site immer auf dem neuesten Stand halten, besteht darin, sie zu einem weiteren Teil Ihrer Routine zu machen. „Wenn Sie nicht technisch versiert sind, sollten Sie Ihre Instanz bei einem Anbieter hosten, der WordPress automatisch aktualisiert, wenn Patches verfügbar sind“, sagt Westin und fügt hinzu: „Sie sollten auch regelmäßig nach Plugin-Updates suchen sie in Ihren Publikationskalender. Sie können Ihrem Kalender sogar Erinnerungen hinzufügen, um regelmäßig nach Updates zu suchen.

Behalten Sie neben der Erstellung eines Zeitplans im Auge, was Sie aktualisieren müssen, wenn es wie eine ständige Eile aussieht. Tony Perez bietet mehrere Lösungen, um all diese Updates zu verfolgen, die nicht Ihren täglichen Beitrag erfordern. Dies muss für die Entwickler eine Erleichterung sein; Alles, was von Ihrer täglichen To-Do-Liste entfernt werden kann, ist ein Muss!

Seit WordPress 3.7 bietet die Plattform automatische Updates an. Wenn aktiviert, bedeutet dies, dass sich Ihre Core-Installation nach einem festgelegten Zeitraum ohne Ihr Zutun selbst aktualisiert. Das gilt natürlich nicht für Plugins und Themes. Du musst dich immer noch selbst darum kümmern, verdammt.

Ein Wartungsservice ist eigentlich eine der besten Möglichkeiten, um bei jedem Sicherheitsupdate den Überblick zu behalten. Unser eigenes ManageWP ist natürlich eine gute Wahl. Damit können Sie automatisch Backups und Updates planen und die Site-Überwachung aktivieren, mit der Sie nach Malware suchen, den Zugriff nach IP-Adresse einschränken und sogar die Zwei-Faktor-Authentifizierung konfigurieren können (auf die wir in einer späteren Folge mehr eingehen werden). .

Grundsätzlich können Sie feststellen, dass die Verwendung eines solchen Dienstprogramms eine lohnende Investition ist, da es einen Großteil des Prozesses automatisiert. Und wenn Sie Ihren Lebensunterhalt als Entwickler verdienen, bedeutet das, dass Sie mehrere Websites erstellen und verwalten. Automatisierung ist hier Ihr Freund.

Fazit

WordPress-Updates sind wichtig. Wie, wirklich wichtig. Und es liegt in Ihrem eigenen Interesse, alles zu tun, um Ihre Website auf dem neuesten Stand zu halten. Andernfalls setzen Sie die von Ihnen verwalteten Websites Hackern aus und laufen Gefahr, sich einen Ruf als rücksichtsloser Programmierer aufzubauen. Sorgfalt ist hier der Schlüssel. Ohne sie befinden Sie sich am Rande eines Baches.

Nun, das deckt so ziemlich alles für den zweiten Teil unserer WordPress-Sicherheitsserie ab. Ich hoffe, Sie fanden es nützlich. Und kommen Sie nächste Woche wieder für den dritten Artikel, der sich mit Site-Management und Verbindungen befasst.

Erstellen Sie einfach Ihren Online-Shop

Laden Sie kostenlos WooCommerce herunter, die besten E-Commerce-Plugins, um Ihre physischen und digitalen Produkte auf WordPress zu verkaufen. [Empfohlen]

In der Zwischenzeit würde ich mich wie immer über Ihre Meinung freuen. Wie verwalten Sie die Aktualisierungen? Habe ich ein Werkzeug oder eine Technik verpasst, ohne die Sie nicht leben können? Bitte teile diese Informationen gerne mit unserer Community in den Kommentaren!

Bildquelle: Eric (HASH) Hersman, Marco Bellucci

Quelle Link

Dieser Artikel enthält Kommentare 0

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Akismet, um unerwünschte Inhalte zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verwendet werden.

Zurück nach oben
0 Aktien
Aktie
tweet
Registrieren