Interview mit Ivica Delic über WordPress-Profis und Sicherheit
Veröffentlicht: 2019-09-05Bisher haben wir nur Personen befragt, die sich mit Anwendungs- und WordPress-Sicherheit auskennen und damit arbeiten. Wir haben immer die Stimme der Verkäufer gehört. In diesem Interview haben wir jedoch einen anderen Ansatz gewählt. Wir haben Ivica Delic, einen WordPress-Experten zum Thema Sicherheit, interviewt. Der Zweck dieses Interviews besteht darin, besser zu verstehen, wie WordPress-Experten, für die Sicherheit vielleicht nicht ihr Ding ist, Sicherheitsprodukte und -dienste sehen und verstehen. Dieses Interview hilft uns auch zu verstehen, wo wir uns verbessern können und was diese Fachleute tun, um die Websites ihrer Kunden sicher zu halten.
Das Interview
F1: Was sind die ersten 5 Best Practices für die Sicherheit, die Sie implementieren / befolgen, wenn Sie eine neue WordPress-Website einrichten?
Die erste ist, ein gutes und zuverlässiges WordPress-Hosting zu wählen. Ich habe mit vielen Webhostern zusammengearbeitet, und es gibt viele gute. Ich verwende SiteGround für die meisten meiner Arbeiten.
Die zweite Best Practice ist die Implementierung einer guten Backup-Strategie. Ich verwende nach Möglichkeit immer einen Online-Dienst wie BlogVault. Dadurch ist es möglich, die Backups extern und an einem sicheren Ort aufzubewahren.
Dann installiere ich eine Reihe von WordPress-Sicherheitstools und Plugins. Ich empfehle allen unseren Kunden immer MalCare und WP Activity Log als letzte Verteidigungslinie der Website.
Die verbleibenden zwei Best Practices sind Empfehlungen für unsere Benutzer; Verwenden Sie eindeutige und starke WordPress-Passwörter und halten Sie Ihren WordPress-Kern, Ihr Design, Ihre Plugins, PHP und die gesamte Software auf Ihrem Webserver und Computer immer auf dem neuesten Stand. Verwenden Sie nach Möglichkeit eine Antiviren-/Anti-Malware-Software.
Q2. Finden Sie WordPress-Sicherheits-Plugins und -Dienste einfach zu implementieren und zu verwenden oder nicht?
Wir haben in den letzten Jahren viele Sicherheits-Plugins und -Tools getestet. Es gibt einige, die sehr einfach zu implementieren und zu verwenden sind. Einige andere sind jedoch sehr schwierig zu verwenden und richten mehr Schaden als Nutzen an. Sie überlassen dem Benutzer viele Entscheidungen, aber die Mehrheit der Benutzer und Fachleute ist nicht sicherheitsbewusst. Sie finden diese Plugins also überwältigend und enden damit, dass sie ihre Websites entweder unter- oder überbeschützen.
Meistens konfigurieren Benutzer komplexe Sicherheits-Plugins falsch. Zum Beispiel werden sie durch das Sicherheits-Plugin von ihrer eigenen Website ausgeschlossen, oder alle ihre heiß verlinkten Bilder werden nicht mehr geladen. Oder einige Sicherheits-Plugins mit Überwachung der Dateiintegrität melden, dass eine Änderung in einer Protokolldatei möglicherweise schädlich ist. Benutzer geraten bei diesen Dingen in Panik, weil sie nicht verstehen, dass beispielsweise eine Änderung in einer Protokolldatei nicht böswillig ist oder warum Hotlink-Bilder nicht funktionieren.
Q3. Was war die größte Herausforderung/Schwierigkeit, auf die Sie bei der Implementierung oder Verwendung von Sicherheits-Plugins/-Produkten/-Diensten gestoßen sind?
Um auf die vorherige Frage Bezug zu nehmen – die größte Herausforderung, der ich persönlich begegnet bin, besteht darin, dass ich die Sicherheitstools testen und überprüfen muss, die auf der Website eines Kunden verwendet werden, mit denen ich möglicherweise nicht vertraut bin. Manchmal übernehmen wir die Verwaltung der Website eines Kunden und müssen prüfen, ob alle Sicherheitslösungen einwandfrei zusammenarbeiten, ohne dass sich Funktionen überschneiden. Wir müssen sicherstellen, dass es keine Kompatibilitätsprobleme zwischen ihnen gibt, um unerwünschtes Verhalten zu vermeiden, wie z. B. das Blockieren der Administratoren der Website.
Q4. Folgen Sie irgendwelchen Sicherheits-Websites, um mehr über WordPress-Sicherheit zu erfahren, oder überlassen Sie das den Profis? Oder ist es ein bisschen von beidem?
Ich bin Mitglied und Administrator einiger weniger WordPress-Sicherheits-Facebook-Gruppen, in denen viele WP-Sicherheitsexperten posten. Ich verfolge und lese alle relevanten Sicherheitsnachrichten sowie praktische Sicherheitshinweise / Best Practices. Die komplexe Aufgabe, infizierte Seiten zu säubern, habe ich jedoch (noch) nicht gemeistert. In solchen Situationen verlasse ich mich auf die Profis.
Q5. Ziehen Sie es vor, einen Online-WordPress-Firewall-Dienst zu verwenden oder ein WordPress-Firewall-Plugin auf Ihrer Website zu installieren? Erkläre warum.
Ich ziehe es vor, einen Online-WordPress-WAF-Dienst (Web Application Firewall) zu verwenden. Alle Experten sagen, dass WAF eine viel bessere Sicherheitsebene gegen Hacker und DDoS-Angriffe ist. Eine WAF ist in der Lage, alles Bösartige zu erkennen und zu blockieren, bevor es Ihre Website erreicht. Leider können WordPress-Plugins das nicht leisten, da sie versuchen, die Website von innen zu verteidigen.
Q6. Was sind Ihrer Meinung nach die drei wichtigsten Gründe, warum WordPress-Seiten gehackt werden?
Ich teile die gleiche Meinung wie viele andere Fachleute:
- unsicheres Website-Hosting,
- Verwendung schwacher und leicht zu erratender Passwörter,
- veralteter WordPress-Kern, Theme, Plugins, PHP und andere Software.
Wenn es Ihnen nichts ausmacht, einen zusätzlichen Tipp hinzuzufügen, wenn Sie sich um Ihre Website und Ihr Geschäft kümmern, installieren Sie keine nulled Plugins und Themes.
F7: Was können die WordPress-Sicherheitsbranche/-anbieter Ihrer Meinung nach tun, um mehr Fachleuten wie Ihnen, für die Sicherheit nicht ihr Ding ist, dabei zu helfen, die Websites ihrer Kunden besser zu verstehen und zu schützen?
Kurz gesagt, sie müssen es dem Benutzer viel einfacher machen. Sie können dies tun, indem sie:
- Erstellung weiterer Assistenten für eine einfachere und schnellere Implementierung des Sicherheitstools,
- Implementieren Sie automatisch „Best Practices“, sodass dem Benutzer nicht viel zu tun bleibt,
- Implementieren Sie ein Warnsystem, sodass der Benutzer über das Problem informiert wird, wenn einige Sicherheitstools auf derselben Site mit sich überschneidenden Funktionen installiert sind.
Q8. Wenn Sie eine Sicherheitsfunktion auswählen könnten, die standardmäßig im WordPress-Kern enthalten ist, welche wäre das und warum?
Ich würde gerne sehen, dass der Web Application Firewall (WAF)-Dienst in WordPress enthalten ist, um zumindest eine grundlegende Ebene des Sicherheitsschutzes zu haben, wie wir es unter Windows mit dem vorinstallierten Windows Defender haben.
Q9. Gibt es bestimmte Themen oder Inhalte, zu denen Sie mehr von Sicherheitsanbietern und -experten sehen möchten?
Ich würde mir mehr reale Anwendungsfälle für Anfänger wünschen, die erklären, was in bestimmten Alltagssituationen zu tun ist, wenn die Sicherheit verletzt wird. Es gibt einige davon, aber die meisten von ihnen richten sich an fortgeschrittene Sicherheitsexperten. Sie verwenden komplexe Fachsprache und Werkzeuge.
Q10. Glauben Sie, dass Sie mit WordPress-Sicherheitsnachrichten auf dem Laufenden bleiben können oder nicht? Wenn nicht, was ist Ihrer Meinung nach das Problem?
Ja, nach all den Jahren bin ich ziemlich zuversichtlich, dass ich den Dreh raus habe. Wir haben einige Zeit gebraucht, um unsere Security Tools Combo Box zu testen und sorgfältig zu erstellen und sicherzustellen, dass jeder in unserem Team die Best Practices für Sicherheit befolgt.