Threatpress.com, um reagieren zu können – Nachtrag für Systemadministratoren

Kein Kommentar Autor: Jürgen (jdo)

Ich bin gespannt, ob noch mehr Hilferufe kommen, denn gestern waren es zwei, bei denen die auf WordPress basierende Website gehackt und auf blueeyeswebsite.com umgeleitet wurde. Bei der ersten hat es ein bisschen gedauert, die Ausmaße und den Ort des Hacks zu finden, die zweite war dann relativ schnell repariert. Die Sache im Blick zu behalten, ist bei der Fülle von Programmen, Plugins, Themes und so weiter wirklich keine Leichte Aufgabe. Websites wie Threatpress.com helfen aber teilweise.

Code wird von Menschen geschrieben und irren ist nun Mal menschlich. Ich möchte ganz klar darauf hinweisen, dass viele Freiwillige kostenlos Code, Plugins, Themes und so weiter zur Verfügung stellen und es der Masse erst ermöglichen, relativ schnell Websites auf die Beine zu stellen. Auch bei einem ernsten Thema wie gehackten Websites sollte Zeit sein, diesen Entwicklern für ihre Mühen zu danken. Die Leute bauen natürlich nicht mit Absicht Fehler und Security-Lücken ein, sie sind ja nicht bei der NSA oder anderweitige Cyberkriminelle.

Ich schreibe das auch deswegen, weil es bei den Kommentaren des GDPR Plugins echt fiese Kommentare gibt. Einige klingen fast so, als hätte man die Leute gezwungen, es einzusetzen. Natürlich ist eine Security-Lücke nicht schön, aber wenn Du eine Website im Web betreibst, liegt ein Teil der Verantwortung auch bei Dir selbst!

Einiges an Prominenz bei Threatpress.com

Die Security-Lücke in dem GDP Plugin wurde sogar binnen 24 Stunden gelöst und ausgemerzt. Die Entwickler können nichts dafür, wenn die Leute ihre Websites nicht aktualisieren. Normalen Nutzern wird es auch egal sein, wann wo eine Lücke entsteht, wenn sie nur schnell genug geschlossen und gepatcht wird. Systemadministratoren sind da meist etwas vorsichtiger, weil sie auch die Schwere einer Lücke in Betracht ziehen. Jedes Update birgt Risiken und kann unvorhergesehene Effekte auslösen. Admins wissen genau, wovon ich spreche.

Deswegen spielen Systemadministratoren Updates oder Upgrades oft zuerst auf Testsystemen ein. Auf Websites wie zum Beispiel Threatpress.com können sich die Admins informieren, wie kritisch eine Security-Lücke ist! Beziehungsweise haben sie einen Überblick, welche neuen Security-Lücken zum Thema WordPress bekannt geworden sind und können vergleichen, ob sie die entsprechenden Komponenten nutzen oder nicht. Auf jeden Fall fühlt sich auch die Prominenz auf Threatpress.com wohl.

 

Einiges an Prominenz bei Threatpress.com

Einiges an Prominenz bei Threatpress.com

Automatische Updates – Fluch oder Segen?

Didi hatte im andere Beitrag auf automatische Updates hingewiesen, für die er das Plugin Auto Updates benutzt. Bei automatischen Updates bin ich hin- und hergerissen. Auf der einen Seite sind sie gut, wenn sie Fehler beheben. Auf der anderen Seite entgleitet Dir zu einem gewissen Grad die Kontrolle.

Das ist vor allen Dingen dann der Fall, wenn etwas nicht mehr funktioniert. Wurden mehrere Sachen über einen längeren Zeitraum aktualisiert, weißt Du vielleicht nicht mehr, was der Auslöser einer Ungereimtheit ist.

Im Endeffekt musst Du selbst abwägen. Bist Du nicht so häufig im Backend Deiner Website und willst einfach nur einen Internet-Auftritt haben, sind automatische Updates möglicherweise keine schlechte Idee. Bist Du viel im Backend Deiner Website oder Sysadmin, dann gehört es schon zu Deinen Aufgaben, die Lücken im Blick zu behalten. In so einem Fall würde ich manuelle Updates vorziehen, weil ich sofort merke, wenn etwas aus dem Ruder läuft.

Gibt es mehrere Komponenten, die ein Upgrade / Update brauchen, kann ich das einzeln durchführen. Nun haben ich die Möglichkeit, immer wieder zu prüfen, ob die Website noch ordnungsgemäß funktioniert.

Es gibt den Spruch nicht umsonst: Wie man es macht, ist es verkehrt! Trotz manueller Updates schadet es trotzdem nicht, die Security-Lücken im Auge zu behalten. Ein Bookmark für Threatpress.com kostet nichts und schadet auf keinen Fall. Mindestens einmal pro Woche im Backend anmelden und Updates einspielen, schadet ebenfalls nicht. Wenn Du das nicht machen möchtest, gib die Aufgabe ab und lass Dir das ein paar Euro kosten. Das ist unter Strich sicherlich günstiger als der Ausfall Deiner Visitenkarte im Internet.

Ein Backup kann nie schaden!

Benutzt Du WordPress als Art Visitenkarte im Internet oder mehr als statischen Auftritt, dann mache ab und zu ein Backup oder lasse eines erstellen. Sind Daten und Datenbank gesichert, kannst Du die Website relativ schnell wiederherstellen. Damit stellst Du natürlich auch die Security-Lücken wieder her.

Du könntest die Website aber vom Netz nehmen oder den Zugriff mit .htaccess schützen und die Website wiederherstellen. Danach meldest Du Dich an, aktualisierst das ganze Ding und entfernst dann den Schutz via .htaccess wieder.

Das ist nur eine Option, aber eine sehr schnelle. Wie so oft in der IT führen viele Wege nach Rom!




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.