Der WordPress-Sicherheitsprozess; Testen, Härten, Überwachen, Verbessern

Die WordPress-Sicherheit ist vielen anderen Bereichen der IT-Sicherheit nicht unähnlich. Es ist keine einmalige Lösung. Es ist etwas, das eigentlich nie fertig ist. Es gibt zwar mehrere Schritte, die Sie unternehmen können, um Ihre WordPress-Sicherheit zu verbessern, aber Ihre Website- und Geschäftsanforderungen werden sich ändern. Wenn Sie also eine Sicherheitsbewertung zu einem bestimmten Zeitpunkt durchführen, erhalten Sie nur ein falsches Sicherheitsgefühl. Stattdessen besteht die erfolgreiche Strategie darin, einem kontinuierlichen Prozess zu folgen. Ein Prozess, bei dem Sie Ihre Abwehrmaßnahmen ständig testen und darüber iterieren, um die Sicherheitslage Ihrer Website zu verbessern.

Dieser Artikel zielt darauf ab, einen einfach zu befolgenden langfristigen iterativen Prozess anzubieten, den Sie implementieren können, um sicherzustellen, dass Ihre WordPress-Sicherheitsbemühungen kontinuierlich und für die Bedrohungslandschaft, in der Sie und Ihr Unternehmen tätig sind, weiterhin relevant sind.

1. Testen Sie die WordPress-Sicherheit

Die meisten WordPress-Sicherheitsreisen beginnen hier; Sie haben bemerkt, dass Ihre WordPress-Installation falsch konfiguriert ist, oder Sie haben über die Verwendung von Tools wie WPScan oder nmap gelesen, um die Sicherheit Ihrer WordPress-Website zu bewerten. Vielleicht sind Sie Opfer eines Sicherheitsvorfalls geworden und möchten sich darüber informieren, wie Sie Ihre WordPress-Sicherheit testen können.

Sicherheitstests sind ein wichtiger Schritt in einer kontinuierlichen WordPress-Sicherheitsstrategie. Indem Sie Ihre Website durch die gleiche Linse wie die eines Angreifers betrachten, können Sie ihre Sicherheitslage besser verstehen. Das bedeutet, dass Sie erfahren, was getan werden kann, um Ihre Verteidigung gegen die von Ihnen identifizierten Schwachstellen zu stärken. Siehe Schritt 2 für weitere Einzelheiten dazu.

Wenn Sie sich nicht sicher sind, wo Sie mit dem Testen Ihrer WordPress-Sicherheit beginnen sollen, beauftragen Sie einen Drittanbieter. Natürlich hält dich nichts davon ab, dein Wissen nach und nach aufzubauen, um deine WordPress-Website selbst zu pentesten.

2. Härten von WordPress

Sobald Sie verstehen, was Ihre Sicherheitstests aufgedeckt haben, ist es an der Zeit, Ihre WordPress-Installation zu härten . Standardmäßig ist WordPress einigermaßen sicher. Es gibt jedoch viele Möglichkeiten, Optimierungen und Änderungen, die Sie an Ihrem WordPress-Setup und Ihrer Serverinfrastruktur vornehmen können, um einem Angreifer das Leben schwerer zu machen. Viele dieser Optimierungen – viele davon können von Ihrem Anwendungsfall abhängen. Dieser Prozess wird normalerweise als „Sicherheitshärtung“ oder einfach als „Härtung“ bezeichnet.

Das Härten Ihrer WordPress-Installation ist sicherlich keine einmalige Angelegenheit. Sie müssen neue Plugins installieren und die Funktionalität Ihrer WordPress-Site erweitern, um den sich ändernden Geschäftsanforderungen gerecht zu werden. Sicherlich gibt es keinen Mangel an Ressourcen, um Ihnen den Einstieg in die Unterstützung der WordPress-Sicherheit zu erleichtern. Im Folgenden sind zwei Grundprinzipien aufgeführt, an die Sie sich beim Härten Ihres WordPress-Setups halten sollten.

Führen Sie weniger Software aus

„Weniger Software ausführen“ klingt zunächst wenig hilfreich. Höchstwahrscheinlich führen Sie jedoch mehr Software aus, als notwendig ist. Dies bedeutet auch mehr Raum für Angreifer, um potenzielle Schwachstellen in dieser zusätzlichen Software auszunutzen.

Wenn Sie sich nicht sicher sind, wo Sie anfangen sollen, werfen Sie zunächst einen Blick auf Ihre WordPress-Plugins. Fragen Sie sich, worauf Sie verzichten und entfernen können. Wenden Sie das gleiche Prinzip auf PHP-Erweiterungen, die Konfiguration von Webservern sowie Betriebssystem-Tools und Netzwerkdienste an.

Das Entfernen von Software ist im Allgemeinen kein einfacher Prozess, um damit zu beginnen. Allerdings wird es jedes Mal, wenn Sie diese Übung durchlaufen, schwieriger. Obwohl das Ergebnis eines schlankeren Systems die Mühe wert ist.

Abgesehen davon, dass Sie immer sicherstellen, dass Sie alle Änderungen in einer Test- oder Staging-Umgebung testen, sollten Sie auch sicherstellen, dass Sie keine Software wie Ihre WordPress-Firewall, das WordPress-Aktivitätsprotokoll oder Ihre WordPress-Plugins zur Dateiintegritätsüberwachung entfernen, die dazu da sind Verbessern Sie Ihre WordPress-Sicherheit.

Dies gilt auch für deaktivierte Plugins und Themes. Deaktivierte Plugins sollten sofort gelöscht werden, da deren Code teilweise noch ausgenutzt werden kann, wenn er angreifbar ist. In Bezug auf Themen verwendet Ihre Website nur ein Thema. Vielleicht zwei, wenn Sie ein untergeordnetes Thema eingerichtet haben. Löschen Sie alle zusätzlichen Designs auf Ihrer Website, einschließlich der Standarddesigns, die mit WordPress geliefert werden.

Prinzip der geringsten Privilegien

WordPress benötigt nicht den Root-MySQL-Benutzer, um ausgeführt zu werden. Ebenso ist es eine schlechte Idee, die meiste Software auf Linux-Servern als Root auszuführen (entspricht Administrator unter Microsoft Windows). Verwenden Sie die Admin-/Root-Konten nur, wenn es einen berechtigten Grund dafür gibt.

Versuchen Sie daher in der Regel immer Ihr Bestes, um einer Anwendung oder einem Benutzer die geringstmöglichen Berechtigungen zu geben, um die Arbeit zu erledigen. Wenn Sie alles als Root oder Administrator ausführen, funktioniert natürlich alles, ohne sich um Berechtigungen zu kümmern. Es ist jedoch möglicherweise sehr gefährlich. Das Ausführen von Anwendungen (einschließlich Aufgaben wie Cron-Jobs) mit Administratorrechten kann es einem Angreifer oder einem böswilligen Plugin ermöglichen, im Falle einer Sicherheitsverletzung mehr Schaden anzurichten.

Wenn Sie sich nicht sicher sind, wo Sie anfangen sollen, schauen Sie sich zunächst an, wer ein Administrator in WordPress ist, und entscheiden Sie, ob Sie dies auf irgendeine Weise einschränken müssen – wenn Sie schon dabei sind, möchten Sie vielleicht sicherstellen, dass Sie es sind auf den WordPress-Admin über HTTPS (SSL) zugreifen und dass Sie die Zwei-Faktor-Authentifizierung (2FA) implementiert haben (oder dass Sie zumindest die HTTP-Authentifizierung für Ihren WordPress-Admin implementiert haben).

Natürlich gibt es noch einige andere WordPress-Sicherheitshärtungstipps, die Sie anwenden können, um die Sicherheitslage Ihrer WordPress-Website zu verbessern. Weitere Informationen finden Sie in unseren WordPress-Sicherheits-Tutorials und -Tipps.

3. WordPress überwachen

Protokolle sind absolut entscheidend für die Sicherheit eines Systems. Sie kommen einer Zeitmaschine am nächsten. In der Lage zu sein, zu beantworten , was wann passiert ist, ist ein unverzichtbares Werkzeug bei der Untersuchung eines Sicherheitsvorfalls. Der Zugriff auf die richtigen Protokolle kann den Unterschied ausmachen, ob Sie bemerken, dass ein Angreifer auf Ihrer Website Fuß gefasst hat, oder ob Sie einen Überfall unbemerkt lassen, bis es zu spät ist.

Ergänzend zur Protokollierung erfolgt die Überwachung. In seiner einfachsten Form wartet die Überwachung auf das Eintreten eines Ereignisses (normalerweise durch regelmäßiges Durchsehen eines Protokolls), zeichnet es auf und ist normalerweise mit einer Art Warnsystem konfiguriert, um einen Systemadministrator zu warnen, dass etwas aufgetreten ist (z. B. ein WordPress-Intrusion-Detection-System). ). Während viele Systemadministratoren normalerweise die CPU- und Speicherauslastung überwachen würden, fehlt ihnen möglicherweise die Überwachung des Zugriffs auf WordPress.

WordPress-Aktivitätsprotokolle

In der Lage zu sein, auf ein WordPress-Aktivitätsprotokoll zurückzublicken, um genau herauszufinden, was ein Benutzer innerhalb eines bestimmten Zeitraums getan hat, ist ein entscheidendes Analysewerkzeug bei einer Untersuchung. Darüber hinaus möchten Sie in der Lage sein, diese Informationen mit Webserver-, PHP-Fehler- und Datenbankprotokollen zu korrelieren. Hier sind ein paar Tipps, um sicherzustellen, dass Sie zumindest die grundlegende Behandlung von Protokollen korrekt abdecken.

• Stellen Sie sicher, dass Sie Ihre Protokolle richtig rotieren, um sicherzustellen, dass Ihnen der Speicherplatz nicht ausgeht
• Sichern Sie Ihre Protokolle regelmäßig auf einem externen Backup (z. B. Amazon S3 oder Digital Ocean Spaces).
• Finden Sie heraus, wie lange Sie die Protokolle aufbewahren möchten, und konfigurieren Sie die Aufbewahrungsrichtlinien für Aktivitätsprotokolle. Eine Aufbewahrung von mindestens 1 Jahr wird empfohlen
• Stellen Sie sicher, dass Sie während eines Vorfalls schnell auf wichtige Informationen in Ihren Protokollen zugreifen können

Andere Protokolle

Abgesehen von den WordPress-Aktivitätsprotokollen haben Sie als Site-Administrator Zugriff auf viele andere Protokolle, wie z. B. die Webserver-Protokolle, PHP-Protokolle und viele andere. Sehen Sie sich die Liste der Protokolldateien für WordPress-Administratoren an, um mehr über die verschiedenen Protokolldateien zu erfahren, auf die Sie Zugriff haben. Die Beiträge heben auch hervor, wie Sie die Informationen aus allen Protokollen verwenden können, um einen Vorfall oder Angriff zu verfolgen.

4. Verbessern Sie Ihre WordPress-Sicherheit

Wenn Sie mit dem oben beschriebenen Zyklus fertig sind, besteht der nächste Schritt darin, zu versuchen und zu analysieren, was Sie beim nächsten Mal besser machen können. Denken Sie, wie am Anfang des Artikels besprochen, daran, dass Sicherheit ein kontinuierlicher Prozess ist – versuchen Sie, sich über WordPress-Sicherheitsneuigkeiten auf dem Laufenden zu halten, und stellen Sie vor allem sicher, dass Sie immer auf dem neuesten Stand der WordPress-Sicherheitsupdates sind.

Nachdem Sie diesen Prozess ein paar Mal durchlaufen haben, versuchen Sie, Einzelheiten zu Ihrem eigenen Prozess zu dokumentieren. Machen Sie es zur Routine, der Sie von Zeit zu Zeit folgen. Denken Sie außerdem immer an die Sicherheit, wenn Sie Änderungen an Ihrer WordPress-Website vornehmen. Befolgen Sie den iterativen WordPress-Sicherheitsprozess zum Testen , Härten , Überwachen und Verbessern der Sicherheit Ihrer Website, wenn Sie eine Änderung an Ihrer Website vornehmen.