Entlarvung von WordPress-Hosting-Sicherheitsmythen

WordPress-Hosting ist komplex. Jede WordPress-Site hängt von einem Stapel Software und Hardware ab, die von Unternehmen und Communities mit Standards und Werten erstellt wurden, die von außen schwer zu verstehen sind. Dies führt zu Missverständnissen und Mythen, insbesondere wenn es um Sicherheit geht.
In diesem Artikel betrachten wir einige der schädlichsten WordPress-Hosting-Mythen, mit besonderem Fokus auf Mythen, die zu Sicherheitsfehlern führen.

Kleine Websites werden nicht gehackt

Die Medien berichten oft über erhebliche Sicherheitsverletzungen, bei denen das Ziel des Angreifers offensichtlich erscheint. Die Opfer speichern Gigabyte an persönlichen Daten, die für Identitätsdiebstahl verwendet werden können. Viele speichern Kreditkartennummern, die aus offensichtlichen Gründen gestohlen werden. Einige Angreifer betreiben Industriespionage.
Nichts davon gilt für kleinere Websites mit einer Handvoll Benutzerkonten: Dort gibt es nicht viele nützliche persönliche Daten. Sie speichern selten Kreditkartennummern und entscheiden sich klugerweise für die Verwendung eines Zahlungsabwicklers. Warum also sollte ein Krimineller sich die Mühe machen, eine kleine Website zu hacken?
Erstens ist es kein großer Aufwand. Das meiste Hacking ist automatisiert: Bots durchsuchen das Internet nach anfälligen Websites und kompromittieren sie mit vorprogrammierten Angriffen. Der Angreifer setzt seine Bots los und wartet darauf, dass die IP-Adressen eintreffen.
Zweitens ist selbst eine kleine Website wertvoll. Es hat ein Publikum, das mit Malware infiziert werden kann. Es kann in das Botnet des Angreifers gezogen und dazu verwendet werden, andere Websites zu kompromittieren oder an DDoS-Angriffen teilzunehmen. Es kann für SEO-Spam verwendet werden. Jede Website stellt ein Paket aus Bandbreite, Speicherplatz und Rechenleistung dar – allesamt nützlich für Kriminelle.

Wenn es funktioniert, warum upgraden?

Menschen, die ihr Leben nicht damit verbringen, auf Code auf einem Bildschirm zu starren, sind ziemlich zufrieden, wenn die Technologie tut, was sie soll. Sie empfinden möglicherweise Updates, die Änderungen mit sich bringen, als unerwünschte Störung. WordPress ist nicht schwer zu lernen, aber es ist schwer genug, dass der Gedanke an Veränderungen einige seiner Millionen von Benutzern beunruhigt.
Menschen, die WordPress jeden Tag verwenden, gewöhnen sich daran. Sie ziehen es vor, Veränderungen um der Veränderung willen zu vermeiden, und zögern daher oft, sich zu aktualisieren. Warum sollte man schließlich ändern, was funktioniert?
Die Antwort des Entwicklers darauf ist zweigeteilt. Software steht niemals still und muss sich ändern, um mit den Veränderungen in der Welt Schritt zu halten. Und, was noch wichtiger ist, Updates beheben Fehler, die Sicherheitslücken verursachen. Eine Website, die einige Monate lang nicht aktualisiert wurde, ist mit ziemlicher Sicherheit anfällig. Im vorherigen Abschnitt haben wir über Botnets und automatisiertes Hacking gesprochen. Diese Bots suchen nach ungepatchten Content-Management-Systemen. Irgendwann finden sie eine ungepatchte Website, die gehackt wird.

Ich würde es wissen, wenn es ein Problem gäbe

Wie sieht eine gehackte Website aus? Zum größten Teil sieht es aus wie eine Website, die nicht gehackt wurde – insbesondere für ihren Besitzer. Wie wir bereits besprochen haben, verletzen Angreifer eine Website, weil sie ihre Daten, Ressourcen, Besucher oder ihr SEO-Potenzial wollen. Wenn der Websitebesitzer herausfindet, dass er gehackt wurde, verliert der Angreifer den Zugriff auf diese Ressourcen. Sie sind also hinterhältig. Sie versuchen sich zu verstecken.
Wenn Sie genau hinsehen, bemerken Sie möglicherweise Spitzen bei der Bandbreiten- oder Speichernutzung. Wenn Sie regelmäßig nach Malware suchen, finden Sie möglicherweise deren schädlichen Code. Aber wenn Sie die Seite normal benutzen, werden Sie wahrscheinlich nichts falsch sehen.
Nehmen wir als Beispiel SEO-Spam. Wenn eine Website kompromittiert wird, werden Links zu Websites, für die der Angreifer werben möchte, in ihren Inhalt eingefügt. Diese Links sind für Google sichtbar und möglicherweise für normale Besucher sichtbar, aber sie sind für Personen verborgen, die auf der Website angemeldet sind.
Deshalb ist es eine gute Idee, Ihre Website regelmäßig mit einem Tool wie Sucuri oder Wordfence zu scannen . Sie erkennen bösartigen Code und informieren Sie darüber. Wenn Sie nicht scannen, erfahren Sie höchstwahrscheinlich von einem Angriff, wenn Google damit beginnt, Ihr Publikum zu warnen, dass Ihre Website unsicher ist.

SSL hält Ihre Website sicher

SSL-Zertifikate haben zwei Aufgaben. Sie verschlüsseln Daten, die über das Netzwerk von einem Server zu einem Browser und wieder zurück übertragen werden. Und sie werden von Browsern verwendet, um zu überprüfen, ob sie mit dem erwarteten Host verbunden sind. Das ist alles, was SSL-Zertifikate tun. Sie sind ein wesentliches Sicherheits- und Datenschutztool, aber sie schützen keine Daten, die auf dem Server der Website gespeichert sind. Sie schützen eine Website auch nicht vor Angreifern, die versuchen, Schwachstellen auszunutzen.

Jedes WordPress-Plugin ist kostenlos

Dies ist ein bösartiger Mythos, der Menschen dazu bringt, mit Malware infizierte Plugins herunterzuladen. Die meisten WordPress-Plugins sind Open Source unter der GPL-Lizenz. Wenn der Entwickler das Plugin verteilt, verteilt er auch den Quellcode. Dazu sind sie von der Lizenz verpflichtet.
Häufig ist Open-Source-Software kostenlos. Die Nutzung kostet kein Geld. WordPress selbst ist Open Source und kostenlos. Einige Open-Source-Software kann jedoch nicht kostenlos verwendet werden . Premium-WordPress-Plugins fallen in diese Kategorie: Sie sind Open Source, aber der Entwickler erwartet, dass Benutzer eine Lizenzgebühr für die Verwendung des Plugins zahlen.
Wenn Benutzer die Gebühr bezahlen, erhalten sie bei Bedarf den Quellcode. Aber Open Source bedeutet nicht, dass der Entwickler jedem den Quellcode geben muss – nur den Leuten, an die das Plugin verteilt wird, den Leuten, die bezahlt haben. Dies wird allgemein missverstanden. Es ist völlig legal, den Code eines Premium-Themes zu nehmen und ihn kostenlos zu verschenken, sobald Sie dafür bezahlt haben, aber davon wird in der WordPress-Community aus offensichtlichen Gründen abgeraten.
Sie fragen sich vielleicht, was das mit Sicherheit zu tun hat. Schlechte Schauspieler wissen, dass Leute Premium-Plugins verwenden wollen, ohne dafür zu bezahlen. Also nehmen sie das Plugin, fügen eine Prise Malware hinzu und geben es kostenlos weiter. Diese „genullten“ oder „Piraten“-Plug-ins enthalten Backdoors und anderen bösartigen Code. Wenn ein ahnungsloser WordPress-Benutzer das auf Null gesetzte Plugin installiert, gibt er einem Angreifer die Kontrolle über seine Website. Die Installation von Piraten-Plugins auf Ihrer Website ist eine schlechte Idee.
Wir haben in diesem Beitrag fünf gängige WordPress-Hosting-Mythen behandelt, und es gibt noch viele weitere, die wir möglicherweise aufgenommen haben. Wenn Sie einen Folgebeitrag sehen möchten, der sich mit weiteren WordPress-Hosting-Mythen befasst, teilen Sie uns dies in den Kommentaren mit.