Was du als Betreiber einer WordPress-Website wissen musst

1. Juni 2022
post title on glowing triangle background

Eines der Kernkonzepte der Cybersicherheit ist als CIA-Trias bekannt. Der Dreiklang besteht aus drei Säulen, wobei jede Säule einen Aspekt der Datensicherheit behandelt. Diese drei Säulen sind Vertraulichkeit, Integrität und Verfügbarkeit.

Die Vertraulichkeitssäule soll den unbefugten Zugriff auf die Daten verhindern, während die Integritätssäule sicherstellt, dass die Daten nur dann geändert werden, wenn und wie sie geändert werden sollten. Die Säule Verfügbarkeit schließlich stellt sicher, dass der Zugriff auf die Daten dann erfolgt, wenn sie benötigt werden. Wenn diese drei Säulen zusammenarbeiten, entsteht eine Umgebung, in der die Daten vor jeder Art von Angriff, Kompromiss oder Missgeschick geschützt sind.

Auch wenn sich die Verwaltung einer Website nicht immer wie eine Aufgabe im Bereich der Cybersicherheit anfühlt, besteht ein wesentlicher Zweck jeder Website darin, Daten zu verwalten, was den Einsatz der CIA-Triade erfordert. Auch bei der Verwaltung einer WordPress-Website ist die CIA-Trias unabdingbar, selbst wenn du keinen Code für die Website schreibst.

Wenn du eine Website erstellst oder aktualisierst, ist es wichtig, dass du die CIA-Trias im Hinterkopf behältst, wenn du entscheidest, welche Plugins und Funktionen du in die Website einbauen willst. Auch wenn die Benutzerfreundlichkeit oft im Vordergrund steht, ist es wichtig, dass du alle Plugins und Themes, die du für deine Website in Betracht ziehst, genau unter die Lupe nimmst, um sicherzugehen, dass du nur solche installierst, die gut gewartet werden und die nicht als Angriffsvektor für Datenschutzverletzungen auf Webseiten dienen. Wenn du eine der drei Säulen der CIA-Trias nicht beachtest, kann dies zu einer Schwachstelle in deiner Website führen, die sich auf die Nutzer deiner Website oder dein Unternehmen auswirken kann. Deshalb ist es wichtig zu verstehen, wie die Triade auf die Verwaltung einer WordPress-Website anzuwenden ist.

Wahrung der Vertraulichkeit von vertraulichen Daten

Die Vertraulichkeitssäule der CIA-Trias steht häufig im Blickpunkt der Öffentlichkeit, besonders wenn sie versagt. Das Grundkonzept besteht darin, dass alle Daten, die geheim gehalten werden sollten, eingeschränkt werden, um unbefugten Zugriff zu verhindern. Privilegierte Daten auf einer WordPress-Website können unterschiedlich sein, aber dazu gehören Administrator- und Benutzeranmeldedaten sowie persönlich identifizierbare Informationen (PII) wie Adressen und Telefonnummern. Je nach Zweck der Website können auch zusätzliche Kundendaten enthalten sein, vor allem, wenn du eine E-Commerce- oder Mitglieder-Website betreibst. Abgesehen von persönlichen Daten hast du vielleicht auch geschäftliche Daten, die vertraulich behandelt werden sollten. Das bedeutet, dass das Konzept der Vertraulichkeit richtig eingesetzt werden muss, um diese Daten vor unbefugtem Zugriff zu schützen.

Eine Sache, die man bedenken sollte, ist, dass unbefugter Zugriff leicht versehentlich erfolgen kann. Jede Seite einer WordPress-Website kann so eingestellt werden, dass sie bestimmte Zugriffsrechte erfordert. Wenn du eingeschränkte Informationen veröffentlichst, musst du sicherstellen, dass die Seite nicht öffentlich zugänglich ist. Auch wenn du eine Seite aktualisierst, ist es eine gute Praxis, die Sichtbarkeit von Beiträgen vor der Veröffentlichung von Änderungen zu überprüfen, um sicherzustellen, dass auf eingeschränkte Daten nicht ohne die richtige Zugriffsstufe zugegriffen werden kann. Diese Prüfung ist schnell erledigt, und es dauert nur einen Moment, um zu korrigieren, wenn die Sichtbarkeit falsch eingestellt ist.

Zeigt, wie man die Sichtbarkeit von Beiträgen in WordPress einstellt

Auch böswillige Zugriffe müssen bei der Verwaltung einer Website berücksichtigt werden. Eine der häufigsten Arten von Angriffen auf Webanwendungen ist Cross-Site-Scripting (XSS). Die Gefahr von XSS-Angriffen besteht darin, dass sie für einen Angreifer oft einfach zu implementieren sind, indem er eine speziell gestaltete URL erstellt. Wenn eine XSS-Schwachstelle auf der Website vorhanden ist und ein Angreifer deine Nutzer oder Administratoren dazu bringen kann, auf einen von ihm erstellten Link zu klicken, kann er leicht die Cookies der Nutzer stehlen oder Aktionen durchführen, die die Sitzung des Opfers nutzen. Wenn es sich bei der Schwachstelle um ein gespeichertes XSS handelt, reicht es möglicherweise aus, wenn ein Website-Administrator auf die verwundbare Seite zugreift, damit der Angreifer Admin-Zugriff auf die Website erhält. Wenn es dem Angreifer gelingt, Authentifizierungs-Cookies zu erlangen, hat er den gleichen Zugriff auf Informationen auf der Website wie der Benutzer oder Administrator, von dem er das Cookie gestohlen hat. Bei WordPress-Websites können XSS-Schwachstellen außerdem leicht ausgenutzt werden, um neue administrative Benutzer einzuschleusen oder Hintertüren über speziell erstelltes JavaScript einzubauen, die es Angreifern unglaublich leicht machen, unbefugten Zugriff auf sensible Informationen auf deiner WordPress-Website zu erhalten.

Bild mit einem Beispiel für eine XSS-Warnung

Der unbefugte Zugriff auf vertrauliche Informationen kann für ein Unternehmen oder den Inhaber einer Website dauerhafte negative Auswirkungen haben. Wenn du jedoch Maßnahmen zum Schutz dieser Daten ergreifst, kannst du diese Risiken erheblich verringern. Ganz gleich, ob du einen persönlichen Blog betreibst, der die E-Mail-Adressen von Abonnenten sammelt, oder eine Website für den Online-Handel, es gibt immer Daten, die vor versehentlichem oder böswilligem Zugriff geschützt werden sollten. Um diese Daten zu schützen, ist es wichtig, dass du bei der Erstellung und Aktualisierung deiner WordPress-Website das Konzept der Vertraulichkeit im Hinterkopf behältst. Auch wenn die anfängliche Recherche und die Auswahl von Plugins, die für ihre Sicherheit bekannt sind, mühsam erscheint, sparst du am Ende Zeit und Geld, indem du eine mögliche Datenpanne in der Zukunft vermeidest.

Wenn du dich über Themes und Plugins informierst, solltest du darauf achten, wie transparent der Entwickler mit etwaigen Sicherheitslücken umgeht. Wenn ein paar Schwachstellen bekannt sind und gepatcht wurden, bedeutet das, dass der Entwickler aktiv Probleme behebt. Ein Theme oder Plugin, das keine gepatchten Schwachstellen im Changelog auflistet, kann genauso problematisch sein wie ein Theme oder Plugin, das zu viele Schwachstellen aufweist, vor allem, wenn es das Theme oder Plugin schon länger gibt. Das zeigt, wie wichtig es ist, sich nicht nur darauf zu verlassen, ob ein Plugin oder Theme eine zuvor bekannt gegebene Sicherheitslücke aufweist, sondern sich auf die Transparenz und die Kommunikation über das Sicherheitsmanagement der WordPress-Softwareentwickler zu konzentrieren.

Sicherstellung der Integrität von Website-Daten

Integrität ist die Säule, die definiert, wie Daten gepflegt und verändert werden. Die Idee dahinter ist, dass Daten nur von bestimmten Personen geändert werden dürfen und dass jede Änderung korrekt und notwendig sein muss, um den Zweck der Daten zu erfüllen. Falsche oder unnötige Änderungen an Daten können zumindest Verwirrung stiften und in manchen Fällen sogar rechtliche und finanzielle Folgen haben. Während die Säule der Vertraulichkeit hier eine Rolle spielt, muss die Integrität unabhängig davon behandelt werden, um sicherzustellen, dass die Daten, auf die zugegriffen wird, nicht böswillig oder versehentlich kompromittiert wurden.

Fähigkeitsüberprüfungen sind eine Möglichkeit, mit der WordPress nicht nur die Vertraulichkeit, sondern auch die Integrität schützt. Alle Plugins sollten Fähigkeitsprüfungen verwenden, um sicherzustellen, dass der Benutzer, der eine Änderung an den Website-Informationen, der Konfiguration oder den enthaltenen Daten vornimmt, auch tatsächlich die richtigen Berechtigungen hat, um diese Änderungen vorzunehmen. Aus der Sicht des Website-Eigentümers oder -Verwalters sollten alle Plugins, die für die Website in Betracht gezogen werden, untersucht und getestet werden, um sicherzustellen, dass die Daten nur vom Eigentümer oder von einer entsprechenden Redakteurs- oder Administratorenebene geändert werden können. Wenn Daten in irgendeiner Form auf der Website verfügbar sind, müssen sie überprüft werden, denn ein anfälliges Plugin könnte es einem Angreifer ermöglichen, Daten zu ändern oder zu löschen, wenn er weiß, wie er die Sicherheitslücke ausnutzen kann. Website-Einstellungen und Code sind ebenfalls Daten, und wenn ihre Integrität beeinträchtigt ist, kann dies zu einer vollständigen Beeinträchtigung der Vertraulichkeit und Verfügbarkeit aller anderen Daten auf der Website führen.

Code, der eine Fähigkeitsprüfung zeigt

Da nicht jedes Plugin die Fähigkeitsprüfung richtig einsetzt, liegt es in der Verantwortung des Website-Betreibers, die Integrität der Daten sicherzustellen. Zusätzlich zur Überprüfung der Plugins auf Zugriffsfehler sollten alle Benutzer/innen mit den richtigen Zugriffsrechten ausgestattet sein. In einem Unternehmen bedeutet dies auch, dass Benutzerprüfungen durchgeführt werden müssen und dass jeder Mitarbeiter, der das Unternehmen verlässt, sofort von der Website entfernt oder gesperrt werden sollte. In vielen Fällen ist es auch sinnvoll, zwischen Redakteuren und Autoren zu trennen. Dadurch wird eine Umgebung geschaffen, in der die Änderungen von mehr als einem Auge gesehen werden, um eventuelle Fehler bei den Datenänderungen zu erkennen. Um die Integrität der Daten zu schützen, müssen sowohl böswillige Absichten als auch unbeabsichtigte Fehler berücksichtigt werden.

Gewährleistung der Verfügbarkeit aller Daten

Die letzte Säule der Triade ist die Verfügbarkeit. In diesem Sinne bedeutet Verfügbarkeit, dass die Daten verfügbar sind, wenn sie angefordert werden. Bei einer WordPress-Website bedeutet das, dass die Website online ist, die Datenbank zugänglich ist und alle Daten, die für einen bestimmten Nutzer verfügbar sein sollten, verfügbar sind, solange er mit der richtigen Zugriffsstufe eingeloggt ist. Was Verfügbarkeit nicht bedeutet, ist, dass die Daten verfügbar sind für alle zu jeder Zeit. Die ersten beiden Säulen des Dreiklangs müssen bei der Bestimmung der Verfügbarkeit von Daten berücksichtigt werden. Die Verfügbarkeit ist die Säule, die sich stärker auf die Infrastruktur stützt als auf das, was die meisten als Sicherheit bezeichnen werden.

Für den Endnutzer ist die Verfügbarkeit die offensichtlichste Säule, da er weiß, wenn eine Website nicht verfügbar ist oder die Daten, auf die er zugreifen will, nicht geladen werden. Der Endnutzer ist vielleicht nicht immer in der Lage zu erkennen, wenn auf vertrauliche Informationen unbefugt zugegriffen wird oder wenn Daten falsch verändert werden, aber ein Mangel an Verfügbarkeit wird immer offensichtlich sein. WordPress-Websites bestehen aus vielen funktionierenden Teilen, und damit die Daten auf einer WordPress-Website bei Bedarf verfügbar sind, müssen alle diese Teile einwandfrei zusammenarbeiten. Das bedeutet, dass die Website an einem zuverlässigen Ort gehostet werden muss, dass die Gebühren für den Domainnamen, das Hosting oder andere Aspekte der Infrastruktur rechtzeitig bezahlt werden müssen, dass TLS-Zertifikate rechtzeitig erneuert werden müssen und dass die Website-Software regelmäßig aktualisiert werden muss.

Über die Wichtigkeit der Aktualisierung von WordPress-Komponenten zum Schutz der Vertraulichkeit und Integrität wurden bereits unzählige Artikel geschrieben, aber das Thema der Aktualisierung für die Verfügbarkeit ist genauso wichtig. Auch hier spielen Zugriffsbeschränkungen und die Sicherstellung der Integrität eine Rolle, da Daten böswillig oder versehentlich gelöscht werden können, aber die ordnungsgemäße Wartung der Komponenten deiner Website ist genauso wichtig. Wenn sich die Technologien auf Webservern ändern oder neue Funktionen auf der Website hinzugefügt werden, können ältere Komponenten inkompatibel werden und nicht mehr funktionieren. Die Einhaltung eines angemessenen Wartungsplans und das Testen der Funktionalität nach jeder Aktualisierung sind unerlässlich, um die Verfügbarkeit deiner Website und der darin enthaltenen Daten zu gewährleisten.

Ich bin kein Cybersecurity-Experte, wie verwende ich die CIA-Triade?

Zum Glück musst du kein Cybersecurity-Experte sein, um die Konzepte der CIA-Trias in den Mittelpunkt deiner Arbeit zu stellen. Die Festlegung von Richtlinien für Wartungspläne, die Behandlung von Problemen mit Plugins und sogar Verfahren für die Veröffentlichung von Datenänderungen werden deine Prozesse leiten. Wordfence, einschließlich Wordfence Free, bietet eine Reihe von Tools, die dir helfen, diese Standards einzuhalten. Dazu gehören die Zwei-Faktor-Authentifizierung (2FA) zum Schutz von Benutzerkonten und Warnmeldungen bei veralteten Website-Komponenten oder verdächtigen Aktivitäten. Die Wordfence WAF blockiert Angriffe, die die Vertraulichkeit und Integrität deiner Daten bedrohen, und der Wordfence Scan erkennt Malware und andere Anzeichen dafür, dass die Integrität deiner Daten möglicherweise gefährdet ist. Wordfence Premium enthält die aktuellsten WAF-Regeln und Malware-Signaturen sowie Ländersperren und unsere Echtzeit-IP-Blockliste, die verfolgt, welche IPs unsere Nutzer angreifen und sie blockiert, damit sie gar keine Chance haben, deine Website zu bedrohen.

Wordfence bietet außerdem zwei zusätzliche Dienste an: Wordfence Pflege und Wordfence Antwort. Beide Dienste tragen zur Sicherheit deiner Website bei, indem sie die Grundprinzipien der CIA-Trias befolgen. Unser Team von Sicherheitsexperten prüft deine Website zunächst in einem vollständigen Sicherheitsaudit, um herauszufinden, wie du die Vertraulichkeit der Daten deiner WordPress-Website durch Dinge wie TLS-Zertifikate & kryptografische Standards verbessern kannst. Unser Team empfiehlt außerdem Best Practices, mit denen du die Integrität und Verfügbarkeit deiner WordPress-Website verbessern kannst, z. B. regelmäßige Backups und den Verzicht auf Software mit bekannten Sicherheitslücken. Sowohl Wordfence Care als auch Wordfence Response beinhalten die Überwachung deiner WordPress-Website durch unser Team von Sicherheitsexperten, um sicherzustellen, dass die Vertraulichkeit, Integrität und Verfügbarkeit deiner Website nicht gefährdet sind. Wordfence Antwort bietet den gleichen Service wie Wordfence Care, aber mit 24/7/365 Verfügbarkeit und einer Reaktionszeit von 1 Stunde.

Fazit

Die Anwendung der CIA-Triade hilft jedem Websitebesitzer oder -betreiber, die Sicherheit der Daten auf der Website zu gewährleisten, auch wenn er nicht speziell für Cybersicherheit zuständig ist. Unabhängig davon, für wen die Website bestimmt ist, müssen die Daten auf der Website vertraulich, genau und verfügbar sein. Die Konzepte der CIA-Triade dienen als Leitfaden für Entscheidungen, die sicherstellen, dass diese Anforderungen erfüllt werden. Wenn du diese Konzepte anwendest, kannst du beruhigt aufatmen, denn du weißt, dass du das Risiko, dass deine Daten durch einen Angriff oder einen Unfall gefährdet werden, minimiert hast.

Quelle


Dieser Artikel ist im Original von www.wordfence.com und wurde übersetzt
https://www.wordfence.com/blog/2022/06/the-cybersecurity-cia-triad-what-you-need-to-know-as-a-wordpress-site-owner/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung