• Startseite
  • Artikel
  • Führen
  • Welche Sicherheitsfaktoren sollten Sie bei der Auswahl Ihres WodPress-Hosting-Anbieters berücksichtigen?

Welche Sicherheitsfaktoren sollten Sie bei der Auswahl Ihres WodPress-Hosting-Anbieters berücksichtigen?

Veröffentlicht: 2021-12-03

Aufgrund der wachsenden Popularität von WordPress auf breiter Front gibt es immer mehr Sicherheitsvorfälle, die verschiedene Hosting-Unternehmen für WordPress-Websites betreffen.

GoDaddy ist das jüngste Beispiel, da es kürzlich eine Sicherheitsverletzung in seiner WordPress-Hosting-Umgebung gab. Letzte Woche gab das Unternehmen bekannt, dass unbefugter Zugriff Dritter auf seine verwaltete WordPress-Hosting-Umgebung stattgefunden hatte, was sich auf Daten von bis zu 1,2 Millionen aktiven und inaktiven Kunden auswirkte .

WordPress-Sicherheitsverletzung auf GoDaddy

Der Chief Information Security Officer (CISO), Demetrius Comes, gab am 22. November in einer Einreichung bei der Securities and Exchange Commission (SEC) bekannt, dass sie am 17. November einen unbefugten Zugriff auf die verwalteten WordPress-Server von GoDaddy entdeckt hatten. Sie stellten fest, dass der Vorfall am 6. September 2021 begonnen und die Daten von 1,2 Millionen aktiven und inaktiven Managed WordPress-Kunden offengelegt hatte. Sie hatten verdächtige Aktivitäten in der Hosting-Umgebung von Managed WordPress festgestellt und sofort mit Hilfe einer IT-Forensikfirma eine Untersuchung eingeleitet und die Justizbehörden kontaktiert. Ein kompromittiertes Passwort verschaffte den Angreifern Zugriff auf ihre Systeme.

Die Ankündigung wies darauf hin, dass:

  • Die E-Mail-Adresse und Kundennummer von bis zu 1,2 Millionen aktiven und inaktiven Managed WordPress-Kunden wurden offengelegt. Die Offenlegung von E-Mail-Adressen birgt das Risiko von Phishing-Angriffen.
  • Das ursprüngliche WordPress-Admin-Passwort, das zum Zeitpunkt der Bereitstellung festgelegt wurde, wurde offengelegt. Wenn diese Anmeldeinformationen noch verwendet wurden, setzen sie diese Passwörter zurück.
  • Bei aktiven Kunden wurden sFTP- und Datenbank-Benutzernamen und -Passwörter offengelegt. Sie setzen beide Passwörter zurück.
  • Für eine Teilmenge aktiver Kunden wurde der private SSL-Schlüssel offengelegt. Sie sind dabei, neue Zertifikate für diese Kunden auszustellen und zu installieren.

Abschließend fügte Comes hinzu: „Wir entschuldigen uns aufrichtig für diesen Vorfall und die Besorgnis, die er bei unseren Kunden hervorruft. Wir, die Führung und die Mitarbeiter von GoDaddy, nehmen unsere Verantwortung für den Schutz der Daten unserer Kunden sehr ernst und möchten sie niemals im Stich lassen. Wir werden aus diesem Vorfall lernen und unternehmen bereits Schritte, um unser Bereitstellungssystem mit zusätzlichen Schutzebenen zu stärken.“

Wie Sie sich vorstellen können, gibt es viele Nachrichten im Internet, in denen GoDaddy kritisiert wird, nicht nur dafür, dass es 5 Tage gedauert hat, um den Verstoß zu melden, sondern auch, dass es mehr als 2 Monate gedauert hat, um den Angriff zu erkennen, da er vermutlich am 6. September stattfand. Dort finden Sie auch zusätzliche Informationen darüber, welche Maßnahmen Sie sowohl technisch als auch rechtlich ergreifen sollten, wenn Sie ein betroffener Kunde sind. Ich möchte gar nicht daran denken, was für ein Durcheinander das für GoDaddy und all die Kunden ist, die davon betroffen sein könnten!

Die Bedeutung der Sicherheit bei der Auswahl eines Hosting-Unternehmens

Wenn wir über die wichtigsten Anforderungen für die Auswahl Ihres WordPress-Hostings sprechen, betrachten wir eine ganze Reihe von Faktoren: Kompatibilität mit verschiedenen Versionen von PHP, welche Funktionen und Tools es bietet, um die WordPress-Installation einfach zu verwalten, schnelle Ladegeschwindigkeit unserer Seiten, effizienter Support Service und natürlich angemessene Kosten.

Aber machen wir uns nichts vor: Den Sicherheitsaspekt schieben wir oft ganz nach unten in unsere Prioritätenliste. Warum? Erstens, weil die Sicherheit unseres Hosting-Providers für uns selbstverständlich ist. Aber das ist absurd, denn wenn wir eines sicher wissen, dann ist es, dass kein Computersystem 100% sicher ist. Zweitens ist die Sicherheit schwer schnell und einfach zu bewerten. Nur wenn eine Sicherheitsverletzung auftritt, werden wir auf mögliche Schwachstellen aufmerksam.

Die Sicherheit Ihrer Website ist ein bisschen wie Ihre Gesundheit. Wenn es dir gut geht, denkst du nicht viel darüber nach. Aber an dem Tag, an dem es dir schlecht geht, bricht die Welt über dir zusammen. Eine Erkrankung ist oft unvermeidlich, aber Prävention und Früherkennung können Ihnen viel Kummer ersparen. Genauso ist es mit der Sicherheit. Wenn Ihre Website gehackt wird, kann nicht nur Ihr Unternehmen untergehen, sondern Sie können auch in rechtliche Schwierigkeiten geraten, weil Sie nicht die entsprechenden Sicherheitsmaßnahmen ergriffen haben.

Was können wir von unserem Hosting-Provider erwarten, wenn wir versuchen möchten, eine Sicherheitsverletzung zu verhindern?

Softwaresicherheit

Etwas, das uns alle langweilt, ist die Software, die wir auf unseren Computern verwenden, zu aktualisieren. Aber es ist sehr wichtig, dass wir das tun, da die meisten Updates genau dazu dienen, es vor bekannten Schwachstellen zu schützen!

Wenn Sie eine WordPress-Website bei einem Hosting-Unternehmen hosten, stellen Sie aus diesem Grund sicher, dass sie die Kompatibilitätsanforderungen und die neuesten von WordPress empfohlenen Software-Updates erfüllt. Werfen Sie einen Blick auf die offizielle WordPress-Website, um sie kennenzulernen. Zum Zeitpunkt der Erstellung dieses Beitrags waren die empfohlenen Anforderungen:

  • PHP 7.4 oder neuer.
  • MySQL 5.6 oder neuer oder MariaDB 10.1 oder neuer.
  • HTTPS

Meine Empfehlung: Ziehen Sie kein Hosting-Unternehmen in Betracht, das diese Anforderungen nicht erfüllt.

SSL-Verfügbarkeit und -Unterstützung

Das Hypertext Transfer Protocol ( H yper Text T ransfer Protocol oder HTTP ) ist ein Protokoll, das in Netzwerksystemen verwendet wird und mit dem Zweck entwickelt wurde, die Syntax und Semantik von Transaktionen zu definieren und zu standardisieren, die zwischen den verschiedenen Computern stattfinden, aus denen ein Netzwerk besteht . Mit anderen Worten, es beschreibt die Art und Weise, wie ein Webserver mit Webbrowsern wie Google Chrome oder Mozilla Firefox kommuniziert.

HTTPS bezieht sich auf die Verwendung von HTTP über Secure Sockets Layer (SSL) oder eine Verbindung mit Transport Layer Security (TLS) und ist für die Verschlüsselung aller HTTP-Nachrichten verantwortlich, damit ihre Übertragung sicher ist. Wenn ein Benutzer Informationen an einen Webserver übermittelt, bietet SSL im Wesentlichen eine ganze Reihe von Schutzebenen:

  • Verschlüsselung : Wenn es einem Angreifer gelingt, diese Informationen abzufangen, ist es nutzlos, da er nicht weiß, wie er sie entschlüsseln soll (aber Sie werden es tun).
  • Datenintegrität : Angreifer können den Inhalt der gesendeten Nachricht nicht „modifizieren“.
  • Authentifizierung : Phishing- oder Man-in-the-Middle-Angriffe, bei denen ein Benutzer Informationen an Dritte weitergibt, obwohl er glaubt, mit jemand anderem zu sprechen, werden vermieden.

So stellen Sie beispielsweise sicher, dass die Daten der auf Ihrer Website getätigten Einkäufe nicht von Kriminellen gelesen und/oder verändert werden können.

Wenn Ihre Website SSL verwendet, zeigen die meisten Browser die Web-URL beginnend mit https:// und ein Vorhängeschloss-Symbol irgendwo in der Nähe oder in der Adressleiste an, was den Besuchern einen visuellen Hinweis auf die Sicherheit der aktuellen Website gibt.

Bild von Nelios URL, das im Browser angezeigt wird
Bild von Nelios URL, das im Browser angezeigt wird.

Stellen Sie bei der Suche nach einem Hosting-Dienstleister sicher, dass dieser SSL unterstützt, und prüfen Sie, wie einfach es ist, es einzurichten.

Sichern und Wiederherstellen

Wenn Sie jemals einen Malware-Angriff auf Ihr WordPress erleiden, müssen Sie höchstwahrscheinlich ein altes Backup wiederherstellen, das frei von infiziertem Code ist. Stellen Sie aus diesem Grund sicher, dass Ihr Hosting-Provider regelmäßige und automatische Backups Ihrer WordPress-Website durchführt .

Stellen Sie sicher, dass Sie wissen:

  • Häufigkeit von Backups,
  • Auf wie viele Backups Ihrer Website Sie Zugriff haben,
  • Unabhängig davon, ob Sie alle problemlos selbst wiederherstellen können oder eine Wiederherstellung anfordern und für den Service bezahlen müssen,
  • Ob Sie Teilwiederherstellungen von Dateien, Ordnern, E-Mail-Konten oder Datenbanken durchführen können,
  • Ob Sie auf den Wiederherstellungsverlauf zugreifen können.

Schutz vor DDoS-Angriffen

Ein Distributed-Denial-of-Service-Angriff (DDoS) ist eine Angriffsart, bei der versucht wird, den Webserver herunterzufahren, indem „eine Menge“ Anfragen ausgelöst werden, bis der Server überlastet ist und abstürzt.

Illustration eines DDoS-Angriffs
Illustration eines DDoS-Angriffs (Quelle: Anti DDoS)

Um sie zu verhindern, arbeiten einige Hosting-Anbieter wie SiteGround und Bluehost mit Content Delivery Networks (CDNs) wie Cloudflare zusammen. CDNs betreiben globale Servernetzwerke, die es einfacher machen, Daten schneller bereitzustellen und ressourcenintensive Angriffe wie DDoS abzuwehren. Dies hilft Hosting-Unternehmen, die Last auf ihren eigenen Servern zu reduzieren, ohne stark in zusätzliche Infrastruktur investieren zu müssen. Es wird dringend empfohlen, dass Sie prüfen, ob Ihr Hosting-Unternehmen mit CDNs arbeitet.

Stellen Sie außerdem sicher, dass sie Protokolle für diese Art von Angriffen vorbereitet haben, wie zum Beispiel:

  • Firewall-Hardware, die Flutverkehr filtert,
  • Firewall-Software basierend auf iptables mit komplexen Funktionen und Verkehrsüberwachung,
  • Sie begrenzen die Anzahl der Verbindungen, die aus der Ferne hergestellt werden können,
  • Sie überprüfen die hohe Anzahl fehlgeschlagener Verbindungsversuche von Hosts und führen eine Filterung durch.

Malware-Scan

Malware ist, wie wir im Fall von GoDaddy gesehen haben, bösartige Software, die Server beeinträchtigen kann. Sie können eine geringfügige Infektion verursachen, z. B. den Diebstahl bestimmter Daten, oder eine ganze Datenbank löschen.

Es ist wichtig zu wissen, wie Ihr Hosting-Provider diese Art von Angriffen kontrolliert und prüft. Wie oft führen sie Scans durch? Haben sie ein System zur Kontoisolierung, damit es im Falle einer Infektion eingedämmt wird?

Verfügbarkeit und Betriebszeit

Die drei Säulen der Informationssicherheit sind als CIA-Triade (Vertraulichkeit, Integrität und Verfügbarkeit) bekannt. Die Verfügbarkeit und Betriebszeit Ihrer Website (Prozentsatz der Zeit, in der eine Website aktiv und verfügbar ist) sind auf jeder Website von entscheidender Bedeutung.

Hosting-Unternehmen haben viele Möglichkeiten, diese Verfügbarkeit sicherzustellen. Einige verwenden beispielsweise RAID-Technologie, Hardwareredundanzen, Netzwerkredundanzen und sogar alternative Spiegelungsstandorte. Stellen Sie sicher, dass Ihr Hosting-Provider Ihnen im Service Level Agreement (SLA) seiner Allgemeinen Geschäftsbedingungen eine Mindestverfügbarkeit garantiert. Im Fall von Siteground garantieren sie beispielsweise:

5.2. Wir garantieren eine Netzwerkverfügbarkeit von 99,9 % auf Jahresbasis. Wenn wir die garantierte Netzwerkverfügbarkeit unterschreiten, werden wir Sie wie folgt entschädigen ;

  • 99,9 % – 99,00 % Betriebszeit: 1 Monat kostenloses Hosting
  • Ein zusätzlicher Monat kostenloses Hosting für jeweils 1 % der unter 99,00 % verlorenen Betriebszeit .

Das SLA ist ein weiterer Indikator für die Investitionen Ihres Hosting-Anbieters in die Infrastruktur und die Verpflichtung, die er eingeht, um den Service zu gewährleisten.

Fazit

Sicherheit ist, wie ich bereits erwähnt habe, wie Gesundheit. Obwohl Sie nie die absolute Kontrolle darüber garantieren können, ist es umso besser, je weniger Risiken Sie eingehen. Der Schutz Ihrer Website und die Pflege ihrer Sicherheit können schwerwiegende unerwünschte Folgen verhindern. Und dieser Schutz beginnt mit der Auswahl eines guten Hosting-Anbieters für Ihre WordPress-Website.

Beitragsbild von Liam Tucker auf Unsplash.