iThemes Security Pro Feature-Spotlight: Site-Scan

Veröffentlicht: 2021-06-23

In den Feature-Spotlight-Beiträgen heben wir eine Funktion in iThemes Security Pro hervor und teilen ein bisschen mit, warum wir die Funktion entwickelt haben, für wen die Funktion gedacht ist und wie die Funktion verwendet wird. Heute rücken wir den iThemes Security Pro Site Scan ins Rampenlicht, eine großartige Funktion zum Sichern und Schützen Ihrer Website.

Warum wir den iThemes Security Pro Site Scan entwickelt haben

Ende 2018 nutzten Hacker aktiv einen Exploit im WP-DSGVO-Compliance-Plugin. Der Exploit ermöglichte es nicht autorisierten Benutzern – Personen, die nicht bei einer Website angemeldet waren – die WP-Benutzerregistrierungseinstellungen zu ändern und die standardmäßige neue Benutzerrolle von einem Abonnenten in einen Administrator zu ändern. Zum Glück haben die Entwickler des WP-DSGVO-Compliance-Plugins schnell gehandelt und einen Patch für den Tag nach der Veröffentlichung der Sicherheitslücke veröffentlicht.

In den Tagen nach der Offenlegung der WP-DSGVO-Compliance-Schwachstelle erhielten wir eine Flut von Berichten von unseren Kunden, dass sie auf ihrer Website neue und unerwartete Administratorbenutzer fanden. Oder schlimmer noch, dass ihr Admin-Benutzer entfernt wurde und sie infolgedessen die Kontrolle über ihre Website verloren haben . Glücklicherweise wussten wir, was der Täter der Angriffe war, und konnten die Leute anweisen, die neuen Benutzer zu entfernen und die WP-DSGVO-Compliance auf Version 1.4.3 oder höher zu aktualisieren, um den Einstiegspunkt zu patchen und weitere Angriffe auf die Ausbeuten. Leider hatten einige unserer Kunden, die den Zugriff auf ihre Website verloren hatten, kein WordPress-Backup zum Wiederherstellen und mussten einen Hack-Reparatur-Spezialisten beauftragen, um wieder auf ihre Website zugreifen zu können.

Wir haben nicht erwartet, dass wir Monate nach der Veröffentlichung eines Patches eine große Anzahl von Berichten über Kundenwebsites erhalten, die von der WP-DSGVO-Compliance-Schwachstelle ausgenutzt werden. Erst ein ganzes Jahr nach der Veröffentlichung des Patches erhielten wir endlich keine regelmäßigen Berichte mehr über das Hacken von Kundenseiten durch diesen Exploit. In diesem Jahr hatten unsere Kunden zusammen Hunderte von gehackten Websites, die einfach durch die Aktualisierung ihrer Plugins hätten verhindert werden können.

Das Frustrierendste aus meiner Zeit im Support war für mich, von Kunden zu hören, die Hacks zum Opfer fallen, die leicht hätten verhindert werden können. Es hat mich erschreckt, über all die unnötige Zeit nachzudenken, die damit verbracht wurde, gehackte Websites zu bereinigen, und all die schwierigen Gespräche, in denen Kunden und Kunden über vermeidbare Sicherheitsverletzungen informiert wurden.

Ein anfälliges Plugin oder Theme zu haben, für das ein Patch verfügbar ist, aber nicht angewendet wird, ist der Hauptschuldige für gehackte WordPress-Websites. Wie wir bereits erfahren haben, gab die WP-DSGVO-Compliance-Schwachstelle Hackern die Blaupause, die sie brauchten, um jede Site zu übernehmen, die nicht auf Version 1.4.3 aktualisiert wurde, um den Einstiegspunkt zu patchen. Sprechen Sie über das Ausrollen des roten Teppichs.

Das Frustrierendste aus meiner Zeit im Support war für mich, von Kunden zu hören, die Hacks zum Opfer fallen, die leicht hätten verhindert werden können. Es ließ mich erschaudern, an all die unnötige Zeit zu denken, die damit verbracht wurde, die gehackten Websites zu bereinigen, und all die schwierigen Gespräche, in denen Kunden und Kunden über die vermeidbaren Verstöße informiert wurden.

Wir wussten, dass unsere Kunden nicht die Zeit hatten, jede offengelegte WordPress-Sicherheitslücke zu verfolgen und diese Liste mit den Versionen von Plugins und Themes zu vergleichen, die Sie auf Ihrer Website installiert haben. Also haben wir eine Möglichkeit geschaffen, Kunden von Themes Security Pro automatisch vor dem Haupttäter gehackter WordPress-Websites zu schützen.

Was ist der Site-Scan von iThemes Security Pro?

Der iThemes Security Pro Site Scanner ist unser Weg, Ihre WordPress-Website vor der Hauptursache aller Software-Hacks zu schützen und zu schützen. Der Site Scanner überprüft Ihre Site auf bekannte Schwachstellen und wendet automatisch einen Patch an, falls einer verfügbar ist.

Die 3 Arten von geprüften Schwachstellen

WordPress-Sicherheitslücken
Plugin-Sicherheitslücken
Thema Schwachstellen

Mithilfe der Google Safe Browsing API überprüft der Site Scan auch den Sperrlistenstatus von Google und benachrichtigt Sie, wenn Google Malware auf Ihrer Website gefunden hat. Ich bin so aufgeregt, wenn ich darüber nachdenke, wie der iThemes Security Pro Site Scan die Leute davor bewahrt, unnötig Zeit und Geld damit zu verbringen, gehackte Websites zu bereinigen.

Ich bin erleichtert, weil ich weiß, dass der Site Scan unsere Kunden davor bewahrt, ihre Kunden oder Kunden zu verlieren, nachdem sie sie über einen erfolgreichen Hack informiert haben.

So verwenden Sie den Site-Scan von iThemes Security Pro

Um mit Site Scan zu beginnen, navigieren Sie zum Menü Funktionen der Sicherheitseinstellungen und aktivieren Sie Site Scan .

So führen Sie einen manuellen Site-Scan durch

Um einen manuellen Site-Scan auszulösen, navigieren Sie zu Ihrem Sicherheits-Dashboard und klicken Sie auf die Schaltfläche Jetzt scannen auf der Site-Scan- Sicherheitskarte.

Die Site-Scan-Ergebnisse werden in einem Popup angezeigt.

Wenn der Site Scan eine Schwachstelle erkennt, klicken Sie auf den Link zur Schwachstelle, um die Detailseite anzuzeigen.

Auf der Seite Site Scan-Schwachstelle sehen Sie, ob ein Fix für die Schwachstelle verfügbar ist. Wenn ein Patch verfügbar ist, können Sie auf die Schaltfläche Update Plugin klicken, um den Fix auf Ihrer Website anzuwenden.

Es kann eine Verzögerung zwischen der Verfügbarkeit eines Patches und der Aktualisierung der iThemes-Sicherheitslückendatenbank geben, um den Fix widerzuspiegeln. In diesem Fall können Sie die Benachrichtigung stummschalten, um keine weiteren Warnungen im Zusammenhang mit der Sicherheitsanfälligkeit zu erhalten.

Wichtig: Sie sollten eine Sicherheitslückenbenachrichtigung nicht stummschalten, bis Sie bestätigt haben, dass Ihre aktuelle Version einen Sicherheitsfix enthält oder die Sicherheitsanfälligkeit keine Auswirkungen auf Ihre Site hat.

So aktivieren Sie das automatische Patchen von Schwachstellen

Der Site Scanner ist in die Versionsverwaltungsfunktion von iThemes Security Pro integriert, um anfällige Software automatisch zu aktualisieren, wenn ein Patch verfügbar ist.

Um das automatische Patchen von Schwachstellen zu aktivieren, navigieren Sie zum Menü Funktionen der Sicherheitseinstellungen und aktivieren Sie die Versionsverwaltung . Nachdem die Versionsverwaltung aktiviert wurde, klicken Sie auf das Zahnrad für die Einstellungen.

Klicken Sie anschließend in den Einstellungen für die Versionsverwaltung auf das Kontrollkästchen neben der Option Automatisches Update, wenn Schwachstelle behoben wird.

Nach der Aktivierung aktualisiert iThemes Security Pro automatisch ein Plugin oder Theme, wenn es eine Schwachstelle behebt, die vom Site Scanner gefunden wurde.

Einpacken

Der iThemes Security Pro Site Scan ist ein leistungsstarkes Tool, um Ihre WordPress-Website vor dem Haupttäter gehackter WordPress-Websites zu schützen. In den kommenden Monaten planen wir, Malware-Scans auf Dateiebene und automatische Malware-Korrektur zum Site-Scan hinzuzufügen, um Ihrer Website weitere Schutzebenen hinzuzufügen.

Michael Moore

Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.