Was Sie von GoDaddys Hack vom November 2021 mitnehmen können

Am 6. September 2021 brachen noch unbekannte Akteure ein und verschafften sich Zugang zu Daten von 1.200.000 GoDaddy-Kunden. GoDaddy bemerkte den Verstoß am 17. November, etwa 36 Tage später. Der Verstoß wurde der SEC etwa fünf Tage später und 41 Tage nach der Tat gemeldet.

Obwohl die Untersuchungen noch andauern, wissen wir, dass Kunden-E-Mails und Kundennummern offengelegt wurden. Active Managed WordPress-Kunden haben auch gesehen, dass ihre Anmeldeinformationen offengelegt wurden, einschließlich derer für sFTP- und WordPress-Datenbanken. Bei einigen Kunden wurde auch der private SSL-Schlüssel offengelegt.

Bevor wir fortfahren, stellen Sie sicher, dass Sie alle Ihre Passwörter sofort ändern, wenn Sie vermuten, dass eines Ihrer Konten offengelegt wurde.

Möglicherweise müssen Sie auch Ihre Kunden über die Verletzung informieren. Da dies eine regulatorische Anforderung ist, müssen Sie prüfen, welche Gesetze und Vorschriften in Ihrer Gerichtsbarkeit Sie dazu zwingen.

Ob GoDaddy schuld ist, wissen wir noch nicht – die Ermittlungen dauern noch an. Dies ist jedoch aus mehreren Gründen ein strittiger Punkt.

Bei der Sicherheit von WordPress geht es, wie bei allen anderen Formen der Sicherheit, in erster Linie um das Risikomanagement

Hacker und Sicherheitssoftware/Spezialisten sind in ein endloses Tauziehen verwickelt. Der Knoten bleibt größtenteils in der Mitte. Schwachstellen, neue Technologien und unzählige andere Dinge können dieses empfindliche Gleichgewicht jedoch jederzeit stören. Dieses Gleichgewicht wird normalerweise ziemlich schnell wiederhergestellt. Dies lässt jedoch immer noch ein Zeitfenster, wenn auch noch so winzig, für Schäden, die manchmal irreparabel sind, angerichtet werden können.

Aus diesem Grund ist kein System jemals vollständig immun gegen Angriffe. Sicher, Dienstanbieter sind dafür verantwortlich, dass alles aktualisiert und gesichert ist – und ein Großteil der Verantwortung liegt bei ihnen. Das bedeutet nicht, dass wir ihnen ausgeliefert sind. WordPress-Administratoren und -Eigentümer können dennoch Schritte unternehmen, um sich so weit wie möglich abzusichern, um Risiken zu minimieren.

Insbesondere WordPress hängt von mehreren Subsystemen ab, um zu funktionieren – von denen jedes anfällig für Schwachstellen und Angriffe sein kann. Eine gute WordPress-Sicherheitsrichtlinie verfolgt einen 360-Grad-Ansatz und gewährleistet gleichermaßen einen iterativen WordPress-Sicherheitsprozess, der Sicherheitsrisiken und -bedenken anspricht, sobald sie auftreten.

Es kann sehr lange dauern, bis Verstöße bemerkt werden

GoDaddy, eines der größten Hosting-Unternehmen weltweit, brauchte 36 Tage, um zu bemerken, dass es gehackt worden war. Sechsunddreißig Tage mögen viel erscheinen, aber ein IBM-Bericht hat gezeigt, dass Unternehmen im Durchschnitt fast 200 Tage brauchen, um einen Verstoß zu bemerken. Das lässt 36 Tage ziemlich vernünftig erscheinen, aber trotzdem kann in 36 Tagen viel passieren.

Die Wahrheit ist, dass Hacker den Prozess des Verwischens ihrer Spuren in eine Kunstform verwandelt haben, was es selbst den größten Unternehmen ziemlich schwer macht, zu erkennen, dass sie verletzt wurden. Erschwerend kommt hinzu, dass hinter vielen Hackern starke Budgets stehen, die teilweise von Staaten finanziert werden.

Du denkst vielleicht, dass ein von einer Diktatur geführter Staat kein Interesse an deiner WordPress-Website hat, aber das muss nicht unbedingt wahr sein. Auch wenn sie möglicherweise nicht an Ihrer Website interessiert sind, kann sie dennoch ins Kreuzfeuer geraten. Das Endergebnis ist genauso schädlich.

Während es immer schwieriger wird, Hacks aufzudecken, läuft alles darauf hinaus, Risiken zu managen – einschließlich der Sicherstellung, dass Sie über die erforderlichen Systeme verfügen, um den Zugriff auf Ressourcen zu protokollieren.

Auf WordPress kann ein Aktivitätsprotokoll-Plugin den Unterschied ausmachen. Je breiter der Umfang des Aktivitätsprotokolls ist, desto größer ist das Sichtfeld, das Sie auf Ihr System haben – und hilft Ihnen sicherzustellen, dass nichts der Überprüfung entgeht.

Unser Plugin WP Activity Log deckt eine breite Palette von Benutzer- und Systemaktivitäten ab und enthält viele Aktivitätsprotokollerweiterungen für die Unterstützung von WordPress-Plugins von Drittanbietern wie WooCommerce. Dies kann Administratoren beruhigen, dass jede Facette ihrer Website überwacht wird, wodurch das Risiko, dass illegale Aktivitäten unter dem Radar fliegen, drastisch reduziert wird.

Ein weiteres wichtiges Plugin, das erwähnenswert ist, ist das Website File Changes Monitor-Plugin für WordPress. Dieses Plugin nimmt im Wesentlichen bei jedem Scannen einen Fingerabdruck der Dateien Ihrer WordPress-Website und vergleicht das Ergebnis mit früheren Scans, um über die kleinsten Änderungen zu berichten.

Passwörter sind buchstäblich der Schlüssel zu Ihrer gesamten Infrastruktur

Erste Untersuchungen haben ergeben, dass der gesamte GoDaddy-Hack durch ein kompromittiertes Passwort ermöglicht wurde. Zu sehen, wie ein Passwort das ganze Haus zum Erliegen bringen kann, lässt uns erkennen, wie wichtig jedes Passwort ist.

Natürlich spekulieren wir nicht über den GoDaddy-Fall, da noch nicht alle Details bekannt gegeben wurden. Trotzdem wissen wir ein oder zwei Dinge über WordPress-Passwörter und wie man sie von einer potenziellen Haftung zu Ihrer Stärke macht.

Eine starke WordPress-Passwortsicherheitsrichtlinie, die obligatorische Komplexität und automatischen Ablauf beinhaltet, ist ein guter Ausgangspunkt. Sie sollten auch inaktive Benutzer blockieren und Benutzerkonten nach mehreren fehlgeschlagenen Anmeldeversuchen sperren. All dies lässt sich einfach über WPassword konfigurieren, ein Plugin, das Ihren Passwörtern einiges an Schlagkraft verleiht.

Natürlich ist die Zwei-Faktor-Authentifizierung auf WordPress, die schnell so allgegenwärtig wird wie Passwörter selbst, von entscheidender Bedeutung, um die Kontosicherheit zu gewährleisten. WP 2FA bietet einen vollständig anpassbaren Ansatz für die WordPress-Zwei-Faktor-Authentifizierung – und hilft Ihnen, Ihre Benutzer und Ihr WordPress zu schützen, ohne das Rad neu erfinden zu müssen.

Vorwärts gehen

Es ist nicht zu leugnen, dass Hosting-Provider ihrerseits für die Sicherheit verantwortlich sind – und sie sollten für alle Fehler zur Rechenschaft gezogen werden, wenn diese festgestellt werden. Es gibt jedoch keine Garantie dafür, dass es nicht zu Verstößen kommt. Aus diesem Grund müssen wir Sicherheit als gemeinsame Verantwortung betrachten.

Heutzutage stehen WordPress-Besitzern großartige Ressourcen zur Verfügung – von Informationen bis hin zu Produkten und Dienstleistungen, die ihnen helfen sollen, sicher und geschützt zu bleiben. Letztendlich sind wir es unseren Benutzern und Kunden schuldig, sie zu schützen, und müssen alles tun, um sicherzustellen, dass ihre Daten bei uns sicher sind.