Interview mit Alex Mitchell von VPNpro.com

interview-vpnpro

Wer viel im Internet surft – und Hand aufs Herz, wer tut das nicht? – der hat sich das eine oder andere Mal bestimmt schon mal Gedanken über die Sicherheit seiner Daten gemacht. Besonders dann, wenn man selbst Webseitenbetreiber ist, sollte dieses Thema einen hohen Stellenwert haben.

In diesem Artikel haben wir Alex Mitchell von VPNpro.com zum Thema Web Sicherheit interviewt. Alex ist Experte wenn es um das Thema Datensicherheit und WordPress geht. Er wird uns erklären, worauf es zu achten gilt, damit wir unsere Webseiten sicher halten können. In diesem Sinne, viel Spaß beim Interview!

Hallo Alex, vielen Dank, dass du dir Zeit für uns genommen hast.

Alex: Kein Problem. Ich helfe immer gerne.

Das freut mich zu hören. Fangen wir auch gleich mit unserer ersten Frage an: Wenn wir über Webseitenentwicklung sprechen, wo müssen wir da die Web Sicherheit einordnen?

Alex: Kurz gesagt: Sicherheit und Datenschutz sollten beim gesamten Entwicklungsprozess der Webseite an erster Stelle stehen.

Interessant. Ein großer Teil aller Webseiten im Netz basiert ja auf WordPress. Wie schneidet das CMS in Sachen Sicherheit ab?

Alex: Man sagt, dass rund 30% aller Webseiten auf WordPress basieren. Man sollte also meinen, dass WordPress sicher sein sollte und im Großen und Ganzen ist es das auch. Dennoch übersehen die Entwickler von Zeit zu Zeit ein paar Bereiche im Bezug auf Sicherheit oder finden Lücken erst nachdem bereits einige Zeit verstrichen ist.

Wir reden hier nicht über schwer auffindbare Spezialfälle oder logische Fehler. XSS ist ein gutes Beispiel dafür, mittlerweile ist es richtig gut. Aber sieh dir mal die letzten Updates an und schau wie viele Fehler alleine nur in XSS bestanden:
https://wordpress.org/support/wordpress-version/version-5-2-3/
https://wordpress.org/support/wordpress-version/version-5-2-4/

Wow das ist tatsächlich eine ganze Menge und ist natürlich auch beunruhigend. Gibt es denn Alternativen oder sichere Systeme als WordPress die du empfehlen würdest?

Alex: Klar gibt es die. Das sind dann aber meistens Lösungen für Unternehmen, wie beispielsweise Symfony. Es gibt allerdings auch kein System in der ganzen Welt, welches 100% sicher ist. Meistens geht es eher darum, wie schwer Sicherheitslücken zu finden sind, wie viel Schaden dadurch entstehen kann und wie schnell sie geschlossen werden.

Plus, solche Lösungen für Unternehmen (oder Content Management Systeme welche Teile davon benutzen) bezahlen White-Hat Hacker um Schwachstellen zu finden. Nicht dafür, die Schwachstellen auszunutzen, sondern die Entwickler zu informieren. Manche bekommen sogar einen Bonus dafür, dass Sie die Fehler selbst beheben.

Das klingt so, als gäbe es die eine ideale Lösungen also gar nicht. Hast du ein paar Tipps, was jeder Webmaster tun kann um seine eigene Webseite zu schützen?

Im Grunde genommen drei simple Dinge: Konstant lernen und sich weiterbilden, auf bewährte Verfahren setzen und sichere Verbindungen nutzen wenn man sich mit der einen Webseite verbindet.

Also wirklich ein paar einfache Dinge mit einer großen Wirkung. Wer sich kontinuierlich weiterbildet der behält den Überblick und wird nicht nachlässig. Was sind denn die häufigsten Bedrohungen für WordPress Webseiten?

Alex: Die häufigsten Bedrohungen für die Sicherheit der Webseite sind:

  • Eine veraltete Version der Software
  • Nutzung von nicht vertrauenswürdigen oder unpopulären Plugins
  • Verwendung von nicht vertrauenswürdigen Themes
  • Inanspruchnahme von unsicherem Hosting (in der Regel günstige Anbieter), welches zwischen mehreren Nutzern aufgeteilt ist
  • Nicht den “wp-admin” Namen zu schützen und den gleichen Namen auf der Webseite zu benutzen. Es sollte immer ein separater Name gewählt werden
  • Veraltetes PHP
  • Im Allgemeinen auch Freelancer zu beschäftigen, die über wenig Wissen zu Sicherheit und bewährten Verfahren besitzen. Leute, die einfach nur einen Job machen und ein paar zufällige Plugins installieren ohne sich groß darüber Gedanken zu machen, was sie eigentlich machen und wie es die Sicherheit und Performance beeinträchtigt
  • Genaue Details preisgeben oder Entwicklern von Plugins Zugriff ermöglichen, selbst wenn es Premium Plugins sind.

Jetzt haben wir einen guten Überblick über die Gefahren. Also immer darauf achten, dass alles auf dem neuesten Stand ist, man den bewährten Pfad wählt und keine sensiblen Informationen freigibt.

Alex: Genau. Vor allem das unbedachte Installieren von Plugins und die Wahl des gleichen Namens für den Admin Account kommt bei Anfängern oft vor.

Was meinst du denn, welche Trends und Gefahren in der Zukunft auf uns zukommen?

Updates kommen schon jetzt häufiger als je zuvor und das wird sich in der Zukunft noch erhöhen. Jeder Webmaster und Webseitenbesitzer der glaubt, dass man einfach eine Seite erstellen kann und sie für immer bestehen bleibt, liegt leider völlig daneben.

Durch fehlende Updates gehen die Gefahren nicht nur vom veralteten Content Management System aus, sondern auch vom Server, PHP, MySQL und anderen Komponenten. Dadurch erhöht sich das Risiko gehackt zu werden, einen Ausfall der Seite zu haben oder sogar Datenlecks zu produzieren.

Ja Updates sind ein wichtiger Teil der Sicherheit. Unsere letzte Frage lautet: Wenn man ein ganzes Team anheuert die Webseite zu entwickeln, sollte dann jeder alle aufgeführten Schritte für die Web Sicherheit befolgen?

Alex: Definitiv! Zusätzlich sollte noch eine Sicherheitsprüfung gemacht werden und extra Programme und Tests laufen gelassen werden. Das sind alles schlaue Dinge die es sich lohnt zu machen.

Vielen lieben Dank, dass du dir heute für dieses Interview Zeit genommen hast, auch im Namen unserer Leser. Wir wünschen dir weiterhin viel Erfolg bei VPNPro und halte das Internet sicher.

Alex: Danke sehr. Es war mir eine Freude und bis zum nächsten Mal.

Zusammenfassung des Interviews

Alex uns hier ein paar sehr wertvolle Informationen darüber gegeben, wie wir unsere Webseiten schützen können. Um es nochmal zusammenfassend zu sagen:


Schon bei der Entwicklung der Webseite sollte man die Sicherheit der Daten berücksichtigen

Alle Systeme und Plugins sollten ständig geupdatet werden damit sie auf dem neuesten Stand bleiben. Damit vermeidet man die größte Gefahrenquelle

Niemals persönliche oder sensible Informationen preisgeben. Das bedeutet für den Admin der Seite unterschiedliche Namen für das Front- und Backend zu wählen, aber auch Plugins im Idealfall keinen Zugriff auf Daten zu ermöglichen.

Es gibt kein 100% sicheres System. Deshalb sollte man sich stetig weiterbilden und auf bewährte Verfahren setzen

Wir hoffen dieser Artikel hat dir weitergeholfen. Solltest du Fragen oder Anmerkungen haben, freuen wir uns auf ein Kommentar.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.