Kategorien
Security

WordPress Sicherheitsupdates

WordPress SecurityEine äußerst kritische Sicherheitslücke von WordPress 4.7.0 und 4.7.1 wurde mit dem Update 4.7.2 vom 26. Januar behoben. Betroffen war die seit WordPress 4.7.0 in den Core integrierte Rest-API. Achtung: Nicht gefährdet sind ältere WordPress-Versionen, und zwar auch dann, wenn sie die REST API als Plugin verwendeten. Falls du jetzt nur Bahnhof verstehst, keine Panik! Eine Erklärung zu dieser Schnittstelle findest du im dritten Teil dieses Beitrags. Zunächst aber: wie lässt sich WordPress gegen Sicherheitslücken schützen? Durch automatische Updates, Security-Plugins und weitere Security-Maßnahmen.

Inhalt

Automatische WordPress-Updates

Onlineshops mit WordPress

WordPress spielt Updates automatisch ein, aber nicht alle, sondern nur die großen. Beispiel:

  • Update von WordPress 4.7 zu 4.8 zu 4.9 – Die großen Updates musst du manuell starten
  • Update von WordPress 4.7.o zu 4.7.1 zu 4.7.2 – Die kleinen Updates starten automatisch

Was du nicht machen solltest:

  • Die automatische Updatefunktion von WordPress deaktivieren
  • Die manuellen Updates ignorieren. Ein über Jahre nicht mehr aktualisiertes WordPress wird früher oder später gehackt und von den Angreifern übernommen!

Schutz durch das iThemes – Plugin

iTHemes-Plugin

Falls Du der REST-API doch nicht so ganz über den Weg traust, solltest du dir das iThemes Security Plugin installieren. Dort findest Du nämlich ein Feature namens Restricted Access, mit dem sich der Zugriff auf die REST API einschränken lässt. Im Falle der Sicherheitslücken in WordPress 4.7.0 und 4.7.1 wärest du bei einem Angriff nämlich nicht betroffen gewesen – unter der Voraussetzung, dass das Plugin nach dem Empfehlungen des Herstellers eingestellt wurde. So steht es zumindest auf der Webseite des Herstellers. 😉

Was ist eine REST-API?

Nicht-Nerds haben von diesem Begriff noch nie etwas gehört, und deswegen fange ich mal mit dem Kürzel API an. 😉 Das steht für Application Programming Interface, zu deutsch Programmier-Schnittstelle. Wozu sind diese Schnittstellen gut? Um Daten zwischen unterschiedlichen Anwendungen auszutauschen. Angewiesen auf Schnittstellen sind aber nur diejenigen Zahlungssysteme eines Onlineshops, die auf externe Dienste zurückgreifen. Beispiel:

  • PayPal – Damit ein Zahlungsvorgang sofort in WooCommerce bzw. wpShopGermany angezeigt werden kann, ist eine API notwendig.
  • Vorkasse – Hier bleibt, sofern du kein externes Warenwirtschaftssystem angeschlossen hast, alles innerhalb von WordPress. Eine API ist nicht notwendig.

API-Standards

Normen gibt es ja überall, bei Steckdosen, bei Staubsaugerbeuteln und auch bei Websites. Auch HTML und CSS sind nicht anderes als dokumentierte Spielregeln, an die sich ein Webdesigner hält, damit sein Produkt auf allen Browsern funktioniert. Zu den bevorzugten Standards gehört die REST-API. REST steht hierbei für Representational State Transfer. Das klingt jetzt dramatisch, meint aber nur, dass Daten verschiedener Anwendungen über das Internet ausgetauscht werden, also über das HTTP-Protokoll. Damit dieser Austausch funktioniert, müssen diese Daten in einem bestimmten Format übergeben werden, populär sind XML und JSON. Als WordPress-Anwender musst du aber weder XML noch JSON beherrschen.

APIs und Social-Media

Immer wichtiger werden APIs für Social-Media-Plattformen wie Facebook, Twitter, Snapchat, etc. Die öffnen sich nämlich via APIs zu Drittanbietern. Wenn du Marketing auf diesen Plattformen betreibst, hast du bestimmt schonmal von Diensten wie Crowdfire oder Hootsuite gehört. Diese externen Anbieter könnten ohne APIs gar nicht mit Facebook und anderen kommunizieren.

Mit Facebook einen Instagram-Account anlegen

Auch untereinander sind die Social-Media-Plattformen gut vernetzt, dank API. Deshalb kannst du auch mit deinen Facebook-Daten einen Instagram-Account anlegen. Da Instagram zu Facebook gehört, wird dir das besonders einfach gemacht. Aus eine naheliegendem Grund! Du sollst dem Facebook-Imperium nicht untreu werden. Die APIs haben natürlich auch den Zweck, Firmenpolitik zu betreiben. Die Moral von der Geschichte: Vertraue nicht jeder API!

Hat dir dieser Artikel gefallen? Dann schau doch auch mal in mein Buch 😉

Kommentar verfassen