Sicherheitsmaßnahmen, die Sie bei der Verwaltung einer WordPress-Website beachten müssen
Im Rahmen Ihres kontinuierlichen Engagements für den Schutz digitaler Ressourcen und die Verbesserung der Website-Sicherheit implementieren wir umfassende Sicherheitsprotokolle für die Verwaltung von WordPress-Websites. Diese Maßnahmen sollen vor unbefugtem Zugriff schützen und sicherstellen, dass Ihr Team die besten Praktiken im Bereich der digitalen Sicherheit anwendet.
Einführung der Zwei-Faktoren-Authentifizierung (2FA)
Der Eckpfeiler des Sicherheitsprotokolls ist die obligatorische Verwendung der Zwei-Faktor-Authentifizierung (2FA). Diese zusätzliche Sicherheitsebene stellt sicher, dass der Zugriff auf Ihr WordPress-Backend streng kontrolliert wird und nur autorisierten Personen zugänglich ist. Die Anforderung eines zweiten Verifizierungsformulars kann das Risiko eines unbefugten Zugriffs erheblich verringern.
Keine Passwörter mehr in Browsern
Um Ihre digitale Umgebung noch sicherer zu machen, sollten Sie eine Richtlinie gegen das Speichern von Browser-Passwörtern durchsetzen. Diese Praxis ist zwar bequem, birgt aber ein Sicherheitsrisiko. Am besten wäre es, die Verwendung von sicheren Passwortmanagern zum Speichern von Passwörtern zu fördern, um die Sicherheit und den Komfort ohne Kompromisse zu erhöhen.
Obligatorische sichere Web-Verbindungen
Angesichts der Schwachstellen, die mit öffentlichen Internetverbindungen verbunden sind, sollten Sie alle Teammitglieder auffordern, bei der Verwaltung Ihrer WordPress-Websites sichere Webverbindungen zu verwenden. Das bedeutet, dass sie VPNs nutzen und öffentliche Wi-Fi-Netzwerke unter allen Umständen vermeiden sollten. Jede Abweichung von dieser Richtlinie wird mit strengen disziplinarischen Maßnahmen geahndet, um Ihre hohen Sicherheitsstandards zu wahren.
Ausführliche Website-Dokumentation
Jedes Teammitglied wird ein detailliertes Dokument für jede von ihm verwaltete WordPress-Website führen. Dieses Dokument enthält unter anderem eine umfassende Liste der installierten Plugins, der aktuellen Benutzer und ein Protokoll der monatlichen manuellen Überprüfungen. Diese Initiative zielt darauf ab, die Transparenz zu erhalten und die effiziente Verwaltung Ihrer Websites zu erleichtern.
Plugin-Installation und -Verwaltung
In Ihrem Bestreben, eine sichere WordPress-Umgebung aufrechtzuerhalten, ist für die Installation neuer oder die Entfernung bestehender Plugins nun eine ausdrückliche schriftliche Genehmigung erforderlich. Diese Richtlinie verhindert unbefugte Änderungen, die zu Sicherheitslücken führen könnten. Dateimanager-Plugins, die für ihre Sicherheitsrisiken bekannt sind, sind streng verboten.
Verpflichten Sie sich zur Sicherheit
Diese Verbesserungen des WordPress-Website-Verwaltungsprotokolls spiegeln Ihr unermüdliches Engagement für die Sicherheit wider. Durch die Umsetzung dieser Maßnahmen können Sie Ihre digitalen Vermögenswerte und die Integrität der Ihnen, Ihren Kunden oder Ihren Teammitgliedern anvertrauten Informationen schützen.
Sie sollten sich darüber im Klaren sein, dass die Anpassung an diese Veränderungen eine gewisse Zeit in Anspruch nehmen kann. Die langfristigen Vorteile - erhöhte Sicherheit, verbesserte Compliance und eine robustere digitale Infrastruktur - überwiegen jedoch bei weitem die anfänglichen Unannehmlichkeiten.
Wir haben eine Standardarbeitsanweisung (SOP) für die WordPress-Website-Sicherheitsprotokollvorlage erstellt, die Sie hier als PDF herunterladen können.
Wir haben sie auch unten aufgeführt, falls Sie sie kopieren und einfügen möchten.
Standardarbeitsanweisung (SOP) für WordPress-Website-Sicherheitsprotokolle
Dokumentenkontrolle
- Version: 1.0
- Datum: 04/08/2024
- Besitzer des Dokuments:
- Genehmigung:
Zweck
Diese SOP umreißt die Sicherheitsprotokolle für die Verwaltung von WordPress-Websites zum Schutz vor unbefugtem Zugriff und potenziellen Sicherheitsbedrohungen. Das Hauptaugenmerk liegt auf der Aktivierung der Zwei-Faktor-Authentifizierung (2FA) und der Verhinderung der Speicherung von Passwörtern in Browsern.
Umfang
Dieses Verfahren gilt für alle Mitarbeiter, die das Backend der WordPress-Website verwalten, pflegen oder darauf zugreifen.
Zuständigkeiten
- Website-Administratoren: Verantwortlich für die Durchsetzung von Sicherheitsprotokollen.
- IT-Sicherheitsteam: Unterstützt und beaufsichtigt die Umsetzung von Sicherheitsmaßnahmen.
- Alle Benutzer: Halten Sie die Sicherheitsprotokolle ein.
Verfahren
- Zwei-Faktor-Authentifizierung (2FA)
- Umsetzung:
- Installieren und aktivieren Sie ein 2FA-Plugin, z. B. "Two Factor Authentication" oder "Wordfence Security".
- Navigieren Sie zu den Plugin-Einstellungen und aktivieren Sie 2FA für alle Benutzerrollen.
- Wählen Sie die bevorzugte 2FA-Methode (z. B. E-Mail, SMS, Authenticator-App) und konfigurieren Sie sie entsprechend.
- Benutzerregistrierung:
- Informieren Sie alle Nutzer durch eine offizielle Mitteilung über die 2FA-Anforderung.
- Bieten Sie eine schrittweise Anleitung oder Schulung zur Einrichtung von 2FA an.
- Legen Sie eine Frist fest, bis zu der alle Nutzer 2FA für ihre Konten aktivieren müssen.
- Überwachung der Einhaltung der Vorschriften:
- Überprüfen Sie regelmäßig die Benutzerkonten, um sicherzustellen, dass 2FA aktiviert ist.
- Alle Probleme mit der Einhaltung der Vorschriften oder Schwierigkeiten bei der Nutzung sind unverzüglich zu lösen.
- Keine in Browsern gespeicherten Kennwörter
- Leitlinien:
- Aufklärung der Nutzer über die Risiken der Speicherung von Passwörtern in Browsern.
- Fördern Sie die Verwendung eines sicheren Passwort-Managers für die Speicherung von Passwörtern.
- Implementieren Sie technische Lösungen, um die Speicherung von Passwörtern in Browsern zu blockieren, sofern dies möglich ist.
- Einhaltung der Vorschriften:
- Durchführung regelmäßiger Audits, um die Einhaltung dieser Politik zu gewährleisten.
- Bereitstellung von Unterstützung und Alternativen für die sichere Passwortverwaltung.
Zusätzliche bewährte Praktiken
- Regelmäßige Updates: Stellen Sie sicher, dass WordPress Core, Themes und Plugins regelmäßig aktualisiert werden.
- Sichere Passwörter: Erzwingen Sie die Verwendung von sicheren Passwörtern für alle Konten.
- Anmeldeversuche begrenzen: Installieren Sie ein Plugin, um Anmeldeversuche zu begrenzen und IP-Adressen nach wiederholten Fehlversuchen zu sperren.
- Verwaltung von Benutzerrollen: Weisen Sie den Benutzern die erforderlichen Mindestberechtigungen zu, damit sie ihre Aufgaben erfüllen können.
- SSL-Zertifikat: Verwenden Sie ein SSL-Zertifikat, um Daten zu verschlüsseln, die zu und von Ihrer Website übertragen werden.
- Website-Backups: Planen Sie regelmäßige Backups Ihrer Website und bewahren Sie sie sicher auf.
- Sicherheitsprüfungen: Führen Sie regelmäßig Sicherheitsaudits und Penetrationstests durch, um Schwachstellen zu ermitteln und zu beheben.
Anforderung an die Dokumentation der Website
- Grundsatzerklärung: Jedes Teammitglied ist verpflichtet, ein detailliertes Dokument für jede von ihm verwaltete WordPress-Website zu führen. Dieses Dokument dient als umfassende Aufzeichnung, die unter anderem die folgenden Informationen enthält:
- Plugins: Eine Liste aller installierten Plugins, ihr Zweck und das Datum der letzten Aktualisierung. In diesem Abschnitt sollten auch alle Anpassungen oder spezifischen Einstellungen vermerkt werden, die für den Betrieb des Plugins relevant sind.
- Aktuelle Benutzer: Eine aktuelle Liste aller Benutzer mit Zugriff auf das WordPress-Backend, einschließlich ihrer Rollen und des Datums, an dem sie hinzugefügt wurden. Es sollten regelmäßige Audits durchgeführt werden, um sicherzustellen, dass nur autorisierte Benutzer Zugriff haben.
- Sicherheitsmaßnahmen: Alle spezifischen Sicherheitsmaßnahmen, die auf der Website implementiert sind, einschließlich 2FA-Einrichtungen, SSL-Zertifikate und benutzerdefinierte Firewall-Regeln.
- Manuelle monatliche Scans: Ein Protokoll der manuellen monatlichen Scans, die mit Immunify oder einem ähnlichen Tool durchgeführt wurden, einschließlich des Datums des Scans und aller Ergebnisse oder Maßnahmen, die daraufhin getroffen wurden.
- Änderungsprotokoll: Ein detailliertes Änderungsprotokoll aller Aktualisierungen, Änderungen oder wichtigen Maßnahmen, die an der Website vorgenommen wurden, einschließlich des Datums und der verantwortlichen Person.
Plugin-Installation und -Verwaltung
- Grundsatzerklärung: Unter keinen Umständen darf ein Teammitglied Plugins installieren, aktualisieren oder entfernen, ohne die ausdrückliche schriftliche Genehmigung einer dafür zuständigen Stelle innerhalb der Organisation. Diese Richtlinie dient dazu, unbefugte Änderungen zu verhindern, die die Sicherheit oder Funktionalität der Website beeinträchtigen könnten.
- Verfahren für Ausnahmen: Anträge auf Installation oder Aktualisierung von Plugins sind schriftlich bei der zuständigen Behörde einzureichen, einschließlich einer Begründung für den Antrag und einer Bewertung möglicher Sicherheitsauswirkungen.
- Verbotene Plugins: Die Verwendung von Dateimanager-Plugins oder anderen Plugins, die bekanntermaßen Sicherheitslücken aufweisen, ist streng verboten. Dies schließt Plugins ein, die eine direkte Dateimanipulation innerhalb des WordPress-Dashboards ermöglichen, ist aber nicht darauf beschränkt.
Einhaltung und Durchsetzung
- Überwachung und Audits: Durch regelmäßige Audits wird die Einhaltung dieser SOP sichergestellt. Dazu gehören die Überprüfung der Website-Dokumentation auf Vollständigkeit, die Überprüfung der Autorisierung installierter Plugins und die Sicherstellung, dass manuelle Scans wie erforderlich durchgeführt werden.
- Nichteinhaltung: Jede Abweichung von dieser Standardarbeitsanweisung wird sofort geahndet. Die Nichteinhaltung kann disziplinarische Maßnahmen nach sich ziehen, einschließlich des Entzugs der Zugriffsrechte auf die Website und der möglichen Beendigung des Arbeitsverhältnisses.
Schulung und Sensibilisierung
- Regelmäßige Schulung: Alle Teammitglieder werden regelmäßig zu dieser SOP geschult, einschließlich der Bedeutung der Sicherheit bei der Website-Verwaltung, des Verfahrens für Plugin-Installationsanfragen und der Durchführung effektiver manueller Scans.
- Sensibilisierungskampagnen: Laufende Sensibilisierungskampagnen werden die Bedeutung der Einhaltung von Sicherheitsprotokollen und einer detaillierten Dokumentation der Website-Verwaltungsaktivitäten unterstreichen.
Voraussetzung für eine sichere Webverbindung
Grundsatzerklärung
Um ein Höchstmaß an Sicherheit zu gewährleisten und sich vor unbefugtem Zugriff und potenziellen Sicherheitsverletzungen zu schützen, müssen alle Teammitglieder über eine sichere Internetverbindung auf das WordPress-Backend zugreifen oder jegliche Website-Verwaltungsaktivitäten durchführen. Öffentliche Internetverbindungen, die von Natur aus unsicher und abhörgefährdet sind, sind streng verboten.
Richtlinien für sichere Verbindungen
- VPN-Nutzung: Beim Fernzugriff auf die Website müssen die Benutzer ein virtuelles privates Netzwerk (VPN) verwenden, um sicherzustellen, dass ihre Verbindung sicher und verschlüsselt ist. Die IT-Abteilung kann Empfehlungen für zugelassene VPN-Dienste geben.
- Wi-Fi-Sicherheit: Wenn Sie von zu Hause oder von einem privaten Netzwerk aus auf die Website zugreifen, vergewissern Sie sich, dass das Wi-Fi-Netzwerk mit WPA2 oder WPA3 verschlüsselt ist und dass das Netzwerkpasswort sicher und eindeutig ist.
- Verbot von öffentlichen Netzwerken: Unter keinen Umständen darf ein Teammitglied ein öffentliches Wi-Fi-Netzwerk (z. B. Cafés, Bibliotheken, Hotels) nutzen, um auf das WordPress-Dashboard zuzugreifen, Updates durchzuführen oder Inhalte zu verwalten. Dies gilt auch für Tethering über öffentliche Wi-Fi-Netzwerke.
Einhaltung und Durchsetzung
- Überwachung und Erkennung: Das IT-Sicherheitsteam wird Überwachungslösungen implementieren, um alle Versuche, von unsicheren oder öffentlichen Netzen aus auf die Website-Verwaltungstools zuzugreifen, zu erkennen und zu melden.
- Disziplinarmaßnahmen: Jedes Teammitglied, das gegen diese Richtlinie verstößt, muss mit sofortigen disziplinarischen Maßnahmen rechnen, die bis zur Kündigung des Arbeitsverhältnisses reichen können. Diese strenge Durchsetzung ist notwendig, um die Integrität und Sicherheit unserer digitalen Vermögenswerte zu schützen.
Verantwortung der Nutzer und Berichterstattung
- Persönliche Verantwortlichkeit: Alle Nutzer sind persönlich dafür verantwortlich, die Sicherheit ihrer Webverbindung beim Zugriff auf das Backend der Website zu gewährleisten. Unkenntnis der Richtlinie oder technische Probleme gelten nicht als Entschuldigung für die Nichteinhaltung.
- Meldung von Zwischenfällen: Die Nutzer werden aufgefordert, Vorfälle zu melden, bei denen absichtlich oder unabsichtlich gegen sichere Webverbindungsprotokolle verstoßen wurde. Eine sofortige Meldung kann dazu beitragen, potenzielle Sicherheitsrisiken zu mindern.
Schulung und Sensibilisierung
- Fortlaufende Schulung: Die Organisation bietet allen Teammitgliedern fortlaufend Schulungen und Ressourcen zur Sicherung ihrer Internetverbindung, zu den mit öffentlichen Netzwerken verbundenen Risiken und zur effektiven Nutzung von VPNs an.
- Kampagnen zur Sensibilisierung für die Sicherheit: Es werden regelmäßige Sensibilisierungskampagnen durchgeführt, um die Bedeutung dieser Richtlinie zu unterstreichen und alle Teammitglieder über die besten Praktiken zur Aufrechterhaltung einer sicheren Internetverbindung auf dem Laufenden zu halten.