Die CISA-Liste der schlechten Praktiken, die der WordPress-Sicherheit schaden
Veröffentlicht: 2022-08-24CISA steht für Cybersecurity & Infrastructure Security Agency und ist eine US-Bundesbehörde, die dem Department of Homeland Security untersteht. Es wurde 2018 gegründet und löst die NPPD – National Protection and Programs Directorate – ab und hat die Aufgabe, die Cybersicherheit gegen Angriffe sowohl von privaten als auch von staatlich unterstützten Hackern zu verbessern.
CISA leistet viel Arbeit, um die Sicherheit kritischer Infrastrukturen und Systeme zu gewährleisten. Zu diesem Zweck veröffentlicht es mehrere Leitfäden und Listen, um Regierungsbehörden und Privatunternehmen dabei zu helfen, gute Sicherheitspraktiken aufrechtzuerhalten und online sicher zu bleiben. Sie können die CISA-Leitfäden genauso einfach auf Ihre persönliche oder geschäftliche WordPress-Website anwenden, um eine Sicherheit zu erhalten, die den CISA-Standards entspricht.
Eine solche Ressource, die der CISA der Öffentlichkeit zur Verfügung stellt, ist sein Katalog schlechter Praktiken. Während dieser Katalog noch in Arbeit ist – und aufgrund der dynamischen und sich entwickelnden Natur von Bedrohungen immer sein wird – gibt er uns einen unschätzbaren Einblick in das, was der CISA als wirklich schlechte Praktiken betrachtet.
CISA- und WordPress-Sicherheit
Die schlechten Praktiken von CISA sind in WordPress-Umgebungen oft weit verbreitet, was die Liste für WordPress-Administratoren und Website-Eigentümer noch relevanter macht. Glücklicherweise ist die Beseitigung dieser schlechten Praktiken einfach und kann im Handumdrehen erledigt werden.
Wenn Sie Ihre Sicherheit auf die nächste Stufe heben möchten, finden Sie im WordPress-Sicherheitsleitfaden eine vollständige und detaillierte Liste mit allem, was Sie tun können, um die Sicherheit Ihrer Website zu gewährleisten.
Die Agentur hat auch eine GitHub-Seite eröffnet, auf der Administratoren und andere IT-Experten ihre Meinung zu schlechten Praktiken für die Aufnahme in den Katalog abgeben können.
Risiko 1: Verwendung nicht unterstützter Software
Software enthält immer Fehler – das ist einer der Gründe, warum Entwickler Updates veröffentlichen. Updates beheben nicht nur Fehler und Sicherheitslücken, sondern fügen auch neue Funktionen und Verbesserungen hinzu. Die schnellstmögliche Installation dieser Updates ist sehr wichtig, um Ihre Infrastruktur sicher zu halten.
Nicht unterstützte Software, wie z. B. alte Versionen, Software, die das Ende ihrer Lebensdauer erreicht hat, und Plug-ins, die auf Null gesetzt wurden, erhalten keine Updates, was sie besonders gefährlich macht, da sie bekannte Schwachstellen in Ihre Umgebung einführen können.
Angreifer können diese Schwachstellen ausnutzen, um sich unbefugten Zugriff auf Ihr System zu verschaffen. Dies ermöglicht ihnen wiederum, Ihre Daten zu stehlen, Ihre Website herunterzufahren und eine Vielzahl anderer böswilliger Aktivitäten durchzuführen.
Lösung
Updates so schnell wie möglich zu installieren, kann das Risiko von Sicherheitslücken und Fehlern erheblich minimieren. Ebenso möchten Sie sicherstellen, dass die von Ihnen ausgewählten Lieferanten und Entwickler reaktionsschnell sind und regelmäßig (und nicht einmal im Jahr) Updates herausgeben.
Sehen Sie sich bei der Auswahl von Plugins den Versionsverlauf an, um zu sehen, wie oft Updates veröffentlicht werden. Tägliche Updates sind kein gutes Zeichen; Allerdings können jährliche Updates auch darauf hindeuten, dass etwas nicht stimmt. Möglicherweise möchten Sie auch Benutzerkommentare überprüfen, um zu sehen, wie schnell der Entwickler auf Benutzerfragen reagiert.
Risiko 2: Schlechte Passwörter
Schlechte Passwörter umfassen Standardpasswörter, wiederverwendete Passwörter, Passwörter, die zuvor geleakt wurden, und schwache Passwörter. Schlechte Passwörter können sehr leicht zu knacken sein und bieten Angreifern einen einfachen Weg zu Ihren Systemen. Das Teilen von Passwörtern ist eine weitere schlechte Praxis, die häufig in WordPress-Umgebungen und darüber hinaus auftritt. Gemeinsam genutzte Passwörter erhöhen das Risiko, dass Passwörter preisgegeben werden, erheblich und erschweren es, Probleme aufzuspüren und das Team zur Rechenschaft zu ziehen.
Lösung
Eine starke WordPress-Passwortrichtlinie trägt wesentlich dazu bei, dass Sie schlechte Passwörter aus der Tür werfen. WPassword ist ein WordPress-Plugin, das Administratoren eine detaillierte Kontrolle darüber bietet, wie Benutzer ihre Passwortrichtlinien einrichten, um sicherzustellen, dass sichere und effektive Passwörter verwendet werden.
Risiko 3: Ein-Faktor-Authentifizierung
Die Ein-Faktor-Authentifizierung ist das dritte und letzte Risiko, das es in den CISA-Katalog der schlechten Praktiken schafft. Bei Ein-Faktor-Authentifizierungs-Setups können sich Benutzer nur mit ihrem Benutzernamen und Passwort anmelden. In Umgebungen mit Zwei-Faktor-Authentifizierung (2FA) oder MFA müssen sich Benutzer über eine zweite (oder mehrere) Methode authentifizieren.
Die Ein-Faktor-Authentifizierung kann besonders problematisch sein, wenn Passwörter durchgesickert sind, und während eine gute Passwortrichtlinie das Risiko minimiert, erhöht ein sekundärer Authentifizierungsfaktor die Gesamtsicherheit Ihrer WordPress-Website erheblich.
2FA entwickelt sich schnell zum goldenen Standard für die Authentifizierung. Obwohl seine Prämisse recht einfach ist, kann es die meisten der häufigsten Angriffe sofort stoppen. Dies macht es zu einem Favoriten unter Branchenriesen, Bastlern und allen dazwischen.
Lösung
WordPress bietet 2FA nicht direkt aus der Box. Die Implementierung von 2FA auf Ihrer WordPress-Website ist jedoch dank WP 2FA einfach. Dieses WordPress 2FA-Plugin bietet mehr Optionen, als Sie sich vorstellen können, und stellt sicher, dass alle Ihre Benutzer 2FA für ein sichereres WordPress nutzen können.
Ein WordPress-Sicherheitsaktionsplan, um schlechte Praktiken zu beseitigen
Schlechte Praktiken sind wie schlechte Gewohnheiten. Sie müssen im Laufe der Zeit in Schach gehalten werden, um sicherzustellen, dass nichts durch das Raster fällt. Aus diesem Grund ist die WordPress-Sicherheit ein iterativer Prozess. eine, die wir von Zeit zu Zeit beachten müssen, um sicherzustellen, dass wir jederzeit den Best Practices folgen.
Obwohl es zweifellos andere schlechte Praktiken gibt, die es nicht auf die CISA-Liste geschafft haben, ist das, was sie bieten, ein guter Ausgangspunkt. Zur Erinnerung,
- Installieren Sie Updates, sobald sie verfügbar sind. Wenn Sie befürchten, dass Updates Ihre Website beschädigen könnten, installieren Sie eine Staging-Umgebung, um die Updates zu testen, bevor Sie sie in der Live-Umgebung bereitstellen.
- Implementieren Sie eine starke WordPress-Passwortrichtlinie mit WPassword, um schwache Passwörter aus Ihrer Umgebung auszusortieren. Ermutigen Sie die Benutzer, einen Passwort-Manager zu verwenden, um Supportanrufe wegen vergessener Passwörter zu vermeiden, die zu komplex sind.
- Aktivieren und verwenden Sie Richtlinien, um die WordPress-Zwei-Faktor-Authentifizierung für alle Benutzer zu verlangen. Verwenden Sie WP 2FA, um seine vielen Funktionen zu nutzen, zu denen unter anderem die Authy-Integration, Nachfristen und White-Labeling gehören.
Während die Liste von CISA einen guten Ausgangspunkt darstellt, erfordert die Sicherung Ihrer WordPress-Website einen umfassenderen Ansatz. Von der Sicherstellung starker Passwörter bis hin zum Härten von WordPress gibt es eine Menge, was Sie selbst tun können, indem Sie den Leitfäden von WP White Security für hervorragende WordPress-Sicherheit folgen.
PS Wir empfehlen die Einrichtung einer WordPress-Testumgebung, wenn Sie nur begrenzte Erfahrung mit dem Sichern von WordPress-Websites haben.