Verwendung von OWASP Top 10 zur Verbesserung der WordPress-Sicherheit
Veröffentlicht: 2018-08-23WordPress-Sicherheit kann ein einschüchterndes Thema für diejenigen sein, die neu bei WordPress sind und eine Website haben. Mit Compliance und Standards wie der OWASP-Top-10-Liste kann das Geschäft jedoch problemlos mit WordPress-Sicherheit beginnen.
Dieser Artikel erklärt, was die OWASP Top 10 Liste ist. Es erklärt auch, wie WordPress-Site-Administratoren eine Owasp Top 10-konforme WordPress -Website haben können.
Was ist die OWASP Top 10 Liste?
Die OWASP Top 10 ist eine Liste der 10 kritischsten Sicherheitsrisiken für Webanwendungen. Als solches ist es kein Compliance-Standard per se, aber viele Organisationen verwenden es als Richtlinie. Die Organisation Open Web Application Security Project (OWASP) veröffentlichte die erste Liste im Jahr 2003. Jetzt veröffentlichen sie alle drei Jahre eine aktualisierte Liste.
Welches sind die OWASP Top 10 Schwachstellen und Sicherheitsrisiken?
OWASP veröffentlichte 2017 die neueste OWASP-Top-10-Liste. Es folgt die Liste der darin enthaltenen Sicherheitsrisiken:
A1: Injektion
A2: Defekte Authentifizierung
A3: Offenlegung sensibler Daten
A4: Externe XML-Entitäten
A5: Unterbrochene Zugriffskontrolle
A6: Fehlkonfiguration der Sicherheit
A7: Cross-Site-Scripting (XSS)
A8: Unsichere Deserialisierung
A9: Verwendung von Komponenten mit bekannten Schwachstellen
A10: Unzureichende Protokollierung und Überwachung
Anwendung von OWASP Top 10 Security auf Ihrem WordPress
Dieser Abschnitt erklärt, was Sie tun müssen, um sicherzustellen, dass Ihre WordPress-Website nicht anfällig für eine der OWASP Top 10 Schwachstellen und Sicherheitslücken ist.
Adressierung von A1: Injektion in WordPress
SQL Injection ist eine Sicherheitslücke in technischen Anwendungen, die normalerweise durch mangelnde Bereinigung von Benutzereingaben verursacht wird. Durch die Ausnutzung können sich böswillige Hacker Zugriff auf Daten in der WordPress-Datenbank verschaffen.
Das WordPress-Kernteam behebt Injection-Schwachstellen normalerweise innerhalb weniger Tage. Gleiches gilt für die meisten Entwickler von WordPress-Plugins. Daher ist es wichtig, immer gut gepflegte Plugins zu verwenden, die von reaktionsschnellen Entwicklern entwickelt wurden.
Die einzige Möglichkeit, sicherzustellen, dass Ihr WordPress-Kern, Ihre Plugins und Themes nicht anfällig für diese Art von Schwachstelle sind, besteht darin, Ihre gesamte Software auf dem neuesten Stand zu halten. Installieren Sie immer alle Sicherheitspatches, die die Entwickler veröffentlichen.
Adressierung von A2: Defekte Authentifizierung in WordPress
Auch diese Art von Sicherheitslücken sind technische Schwachstellen. Diese Schwachstellen sind das Ergebnis eines fehlerhaften Designs der Webanwendung und mangelnder Planung. Angreifer können fehlerhafte Authentifizierungsprobleme ausnutzen, um auf vertrauliche Daten zuzugreifen.
Nur Entwickler können diese Probleme beheben. Solange Sie die neueste Version des WordPress-Kerns und der Plugins verwenden, ist Ihre Website nicht anfällig für solche Schwachstellen. Vorausgesetzt natürlich, Sie verwenden stets gut gepflegte Plugins.
Da wir jedoch über Authentifizierung sprechen, lohnt es sich, Sie daran zu erinnern, die Zwei-Faktor-Authentifizierung auf Ihrer WordPress- Website zu implementieren. Wenn Sie sich nicht sicher sind, welches Plugin Sie verwenden sollen, finden Sie hier eine Liste mit einigen der besten Zwei-Faktor-Authentifizierungs-WordPress-Plugins .
Adressierung von A3: Offenlegung sensibler Daten in WordPress
Die Offenlegung sensibler Daten ist zu einem ziemlichen Problem geworden. Datenschutzverletzungen werden fast täglich in Nachrichten zur Internetsicherheit erwähnt. Tatsächlich legen die DSGVO und andere regulatorische Compliance-Anforderungen großen Wert auf die Notwendigkeit, sensible und personenbezogene Daten ordnungsgemäß zu handhaben und zu speichern.
Sensible und personenbezogene Daten sind laut DSGVO alle Daten, die sich auf einen identifizierbaren Benutzer beziehen. Im Falle einer E-Commerce-Website könnten dies der Name Ihrer Kunden, ihre Rechnungsdaten und Karteninhaberdaten sein. Bei Finanzdienstleistungen könnte es auch die Bankverbindung oder im Gesundheitswesen die Krankengeschichte sein. Beachten Sie, dass Sie, obwohl eine IP-Adresse als sensible Daten eingestuft werden kann, dennoch ein WordPress-Aktivitätsprotokoll führen können, mit dem Sie alles verfolgen können, was auf Ihren Websites passiert.
Um sicherzustellen, dass Ihre WordPress-Website konform ist, wenn Sie sensible Daten auf Ihrer WordPress-Website speichern, stellen Sie sicher, dass nur die Benutzer darauf zugreifen können, die die Daten verwenden müssen, und natürlich sollten die Daten verschlüsselt sein. Verwenden Sie immer die WordPress-Benutzer und -Rollen , um die Benutzerrechte und den Zugriff auf vertrauliche Daten besser zu verwalten.
Sollten Sie sensible Daten auf Ihrer WordPress-Website speichern?
Es gibt keine endgültige Antwort. Es hängt alles von der Einrichtung und den Ressourcen ab. Obwohl kleine Unternehmen in der Regel besser dran wären, Daten bei Drittanbietern zu speichern.
Im Falle eines E-Commerce-Shops ist es beispielsweise viel einfacher, Zahlungssysteme wie Stripe oder PayPal zu verwenden, um Karteninhaberdaten zu verarbeiten und zu speichern. Die Infrastruktur haben sie bereits. In unserem Leitfaden zur E-Commerce-Sicherheit für WordPress-Administratoren finden Sie weitere Informationen darüber, wie Sie eine sichere E-Commerce-Website verwalten und betreiben.
Gleiches gilt für E-Mail-Adressen und Newsletter-Listen von Kunden. Idealerweise sollten Sie solche Daten nicht auf Ihrer Website speichern. Verwenden Sie einen Drittanbieterdienst wie Mailchimp, um die Daten auf einer sichereren und zuverlässigeren Infrastruktur zu speichern, anstatt auf Ihrer WordPress-Website.
Adressierung von A4: XML External Entities (XXE) in WordPress
Dies ist eine technische Software-Schwachstelle. Dies geschieht, wenn die Anwendung XML-Dateien und -Daten falsch verarbeitet. Eine sofort einsatzbereite WordPress-Installation befasst sich nicht viel mit Remote-XML-Dateien, obwohl Sie möglicherweise Plugins verwenden, die dies tun.
Um sicherzustellen, dass Ihre WordPress-Website nicht anfällig für solche Schwachstellen ist, verwenden Sie die neueste Version des WordPress-Kerns, des Plugins und anderer Software. Verwenden Sie immer Plugins, die gewartet werden. Erwägen Sie, alle von Ihnen verwendeten Plugins zu ändern, die seit mehr als einem Jahr nicht aktualisiert wurden.
Adressierung von A5: Unterbrochene Zugriffskontrolle in WordPress
Dies ist eine technische Anwendungsschwachstelle. Dieses Problem tritt auf, wenn die Anwendung die erforderlichen Einschränkungen für authentifizierte Benutzer nicht erzwingt. Wenn Angreifer solche Schwachstellen ausnutzen, können sie daher auf sensible Daten zugreifen.
Nur Entwickler können diese Art von Problem beheben. Um sicherzustellen, dass Ihre Website nicht angreifbar ist, halten Sie Ihren WordPress-Kern, Plugins und andere Software, die Sie auf Ihrer Website verwenden, auf dem neuesten Stand.
Adressierung von A6: Fehlkonfiguration der Sicherheit in WordPress-Websites
Sicherheitsfehlkonfigurationen sind auf WordPress-Websites sehr häufig. Ungepatchte Software und die Ausnutzung von Standardeinstellungen sind zwei der häufigsten erfolgreichen Angriffe auf WordPress-Websites. In den letzten Jahren hat das WordPress-Kernteam viel getan, um Benutzern bei der Lösung solcher Probleme zu helfen. Zum Beispiel hat WordPress keinen Standard -Admin- Benutzernamen mehr, was der Grund für viele WordPress-Hacks war.
Um sicherzustellen, dass Ihre WordPress-Website keine Sicherheitsfehlkonfigurationen aufweist, ändern Sie alle Standardeinstellungen. Dies gilt für WordPress, Plugins und jede andere Software und jedes Gerät, das Sie verwenden. Wenn ein Plug-in beispielsweise einen Standardsatz von Anmeldeinformationen hat, vertrauliche Daten nicht mit einem Kennwort schützt oder sie an einem Standardspeicherort speichert, konfigurieren Sie eine starke Authentifizierung und ändern Sie die Standardpfade. Dies gilt für jede andere Software und jedes Gerät, das Sie verwenden, einschließlich Ihres Internet-Heimrouters, der normalerweise über Standardanmeldeinformationen verfügt.
Adressierung von A7: Cross-Site Scripting (XSS) in WordPress
Cross-Site Scripting, auch bekannt als XSS , ist eine technische Schwachstelle in Anwendungen. Es ist höchstwahrscheinlich eine der häufigsten technischen Sicherheitslücken. Eine XSS-Schwachstelle tritt auf, wenn nicht vertrauenswürdige Daten nicht validiert und maskiert werden. Wenn ein böswilliger Angreifer eine Cross-Site-Scripting-Schwachstelle ausnutzt, kann er das Cookie eines angemeldeten Benutzers stehlen und sich als dieser ausgeben. Sie können auch ihre Sitzung entführen.
Das WordPress-Kernteam behebt gemeldete XSS-Probleme in der Regel innerhalb weniger Tage im Kern. Um also sicherzustellen, dass der Kern, die Plugins und Themes Ihrer WordPress-Website nicht anfällig für diese Art von Schwachstelle sind, verwenden Sie immer die neueste Version der Software. Verwenden Sie außerdem immer gepflegte Plugins.
Adressierung von A8: Unsichere Deserialisierung in WordPress
Unsichere Deserialisierung ist eine Sicherheitslücke in technischen Anwendungen. Diese Schwachstelle kann auftreten, wenn die Anwendung serialisierte Objekte aus nicht vertrauenswürdigen Quellen verwendet, ohne Integritätsprüfungen durchzuführen.
Das WordPress-Kernteam behebt diese Art von Problem normalerweise innerhalb weniger Tage. Um also sicherzustellen, dass der Kern, die Plugins und Themes Ihrer WordPress-Website nicht anfällig für diese Art von Schwachstelle sind, verwenden Sie immer die neueste Version der Software.
Adressierung von A9: Verwenden von Komponenten mit bekannten Schwachstellen auf einer WordPress-Website
Software und Webanwendungen, die bekannte Schwachstellen aufweisen, nicht zu verwenden, mag wie etwas Offensichtliches klingen. Obwohl es das leider nicht ist. Die WordPress Foundation hat in dieser Hinsicht viel getan. Sie haben automatische Updates für den WordPress-Kern. Das Überprüfungsteam für WordPress-Plugins markiert die Plugins im Repository, die seit einiger Zeit nicht mehr aktualisiert wurden, als unsicher.
Für Unternehmen ist es jedoch nicht immer einfach, die neueste und sicherste Version einer Software zu verwenden. Viele verwenden veraltete Software und Webanwendungen, die nicht mit der neuesten Version von WordPress oder anderen Plugins kompatibel sind. Sie müssen also alte und anfällige Versionen von WordPress und Plugins verwenden. Wenden Sie sich in solchen Fällen nach Möglichkeit an die Entwickler, um den Code zu aktualisieren.
Damit Ihre Website konform ist, versteht es sich von selbst: Verwenden Sie immer die neueste Version des WordPress-Kerns und der Plugins. Außerdem ist es wichtig, alle nicht verwendeten Plugins, Skripte und Designs von Ihrer Website zu deaktivieren und zu deinstallieren. Beispielsweise löschen viele Site-Administratoren die Standard-WordPress-Designs und -Plugins nicht. Wenn Sie sie nicht verwenden, löschen Sie sie.
Dies gilt auch für neue Software: Wenn Sie nach einem neuen Plugin suchen, recherchieren Sie immer danach. Lesen Sie unseren Leitfaden zur Auswahl eines WordPress-Plugins , um weitere Informationen darüber zu erhalten, was Sie tun sollten, wenn Sie nach einem neuen WordPress-Plugin suchen.
Adressierung von A10: Unzureichende Protokollierung und Überwachung in WordPress
Protokollierung und Überwachung sind für die Sicherheit Ihrer WordPress-Website und Ihres Multisite-Netzwerks von entscheidender Bedeutung. WordPress-Aktivitätsprotokolle helfen Ihnen auch dabei, Ihre Website besser zu verwalten, verdächtiges Verhalten zu erkennen, bevor es zu einem Problem wird, die Benutzerproduktivität sicherzustellen und vieles mehr. Erfahren Sie mehr über die Vorteile des Führens eines WordPress-Aktivitätsprotokolls (Audit-Protokoll) .
Um sicherzustellen, dass Ihre WordPress-Website konform ist, installieren Sie das WP Security Audit Log, das umfassendste WordPress-Plugin für Aktivitätsprotokolle . Es zeichnet alles auf, was auf Ihrer WordPress-Website und Ihrem Multisite-Netzwerk in einem Aktivitätsprotokoll passiert. Ausführlichere Informationen zum Umgang mit diesem Teil der OWASP-Top-10-Liste finden Sie unter Beheben unzureichender Protokollierung mit einem WordPress-Aktivitätsprotokoll-Plugin .
Erstellen einer OWASP- konformen WordPress-Website mit OWASP Top 10
WordPress-Sicherheit kann komplex sein, besonders wenn es um große Setups geht. Obwohl der Einstieg und die Grundlagen nicht so schwierig sind, wie dieser Artikel hervorhebt. Sie können eine OWASP Top 10- konforme WordPress-Website haben, indem Sie sich um diese Grundlagen kümmern:
- Verwenden Sie die neueste Version des WordPress-Kerns, der Plugins und Themes,
- Stellen Sie sicher, dass Sie alle Standardeinstellungen in Ihrem WordPress-Kern und den Plugins ändern,
- Erzwingen Sie starke Passwortrichtlinien,
- Aktivieren Sie 2FA mit einem Zwei-Faktor-Authentifizierungs-WordPress-Plugin,
- Verwenden Sie WordPress-Benutzer und -Rollen angemessen,
- Dokumentieren Sie alles, was auf Ihrer Website passiert, in einem WordPress-Aktivitätsprotokoll .
Erhöhen Sie die Sicherheit Ihrer WordPress-Website, indem Sie diese OWASP-Top-10-Liste als Leitfaden verwenden. Weitere Informationen finden Sie auf der offiziellen OWASP Top 10-Seite.