WeLoveYou löscht «Security-Brände» nicht erst, wenn das Haus bereits in Flammen steht. Unser selbstentwickeltes Monitoring durchsucht die bei uns eingesetzten Softwarepakete kontinuierlich nach öffentlich bekannten Sicherheitslücken – und ermöglicht uns damit eine proaktive Herangehensweise beim Einspielen von Sicherheitsupdates. Für dich heisst das: Sicherheitslücken werden geschlossen, bevor sie jemand ausnutzen kann. Gewöhnliches Hosting deckt das nicht ab – bei uns gehört diese Sicherheit automatisch dazu.
Wartung von CMS und Plugins: komplexer als gedacht
Die Websites unserer Kunden basieren auf unterschiedlichen CMS- und Shopsystemen wie WordPress, Statamic oder Magento. Jedes davon muss regelmässig gewartet und aktuell gehalten werden. Das ist komplexer, als es auf den ersten Blick scheint.
Bist du bereit für einen «Deep Dive» in die Welt von Paketmanagern und Scanner-Tools?
Das Thema interessiert mich. Ich möchte mich gerne beraten lassen.
KontaktUnterschätzte Sicherheitsrisiken
Nebst dem jeweiligen Basissystem sind auf den meisten Websites zusätzliche Softwarepakete, Plugins und Add-ons im Einsatz. Viele stammen von Drittherstellern und haben teils tiefen Zugriff auf das zugrundeliegende System. Sie werden unabhängig vom Basissystem weiterentwickelt und müssen zusätzlich gewartet werden – sonst drohen Funktionsstörungen oder offene Sicherheitslücken. Nicht alle Dritthersteller kümmern sich gleich gewissenhaft um ihre Lösungen. So kommt es vor, dass Pakete nicht mehr weiterentwickelt werden, von bekannten Sicherheitslücken betroffen sind, nach einem Update des Basissystems nicht mehr funktionieren oder gar die Website lahmlegen. Solche vernachlässigten Pakete nutzen potenzielle Angreifer gerne als Einfallstor für Datendiebstahl, Inhaltsmanipulation und andere bösartige Angriffe.
Kein zentraler Überblick
Die Wartung und Verwaltung dieser Softwarepakete, Plugins und Add-ons ist für die Sicherheit einer Website also von grosser Bedeutung. In vielen Fällen hilft dabei ein Paketmanager: Er zeigt zumindest, welche Pakete veraltet sind – ob sie bekannte Sicherheitslücken enthalten, verrät er aber in der Regel nicht.
Bei WordPress-Websites, die wir nicht selber entwickelt haben, sind auch immer wieder Plugins im Einsatz, die ohne Paketmanager verwaltet werden. Hier fliegt man komplett blind: Verwaiste Pakete bleiben unbemerkt installiert und gleichen einer tickenden Zeitbombe.
Für uns als Hosting- und Wartungsanbieter stellt sich deshalb die Frage: Wie behalten wir in diesem Wartungsdschungel den Überblick und halten die Websites unserer Kunden dauerhaft auf dem bestmöglichen Sicherheitsniveau?
Den Dschungel lichten – mit unserem intelligenten Monitoring
Die Lösung: Ein smartes, proaktives Monitoringsystem, das die Softwarepakete unserer Websites regelmässig nach öffentlich bekannten Sicherheitslücken durchsucht, die Ergebnisse übersichtlich darstellt und uns damit eine solide Gesamtübersicht verschafft.
Dreifacher Sicherheits-Scan
Zum Einsatz kommt ein mehrschichtiges Verfahren, das die zuverlässige Erkennung von Sicherheitslücken gewährleistet. Zuerst durchsuchen drei Scanner-Tools unabhängig voneinander die vorhandene Codebasis. Bei der Auswahl dieser Scanner achteten wir darauf, dass sie optimal auf unsere Serverumgebung abgestimmt sind und möglichst aussagekräftige Resultate liefern.
Die Resultate der drei Scanner werden anschliessend zusammengeführt und für die Weiterverarbeitung aufbereitet.
Einschätzung der Risiken
Damit beginnt die zweite Stufe: Die gefundenen Sicherheitslücken aus den Scans werden mit Informationen aus öffentlichen Datenbanken angereichert – zum Beispiel mit Daten der National Vulnerability Database (NVD). Dazu gehören Details zur Sicherheitslücke, Hinweise zum Schliessen der Lücke sowie Risikofaktoren wie der sogenannte «Severity Score». All diese Informationen ermöglichen eine gezielte Einschätzung des Risikogrades.
Überblick über alle Projekte
Ausgegeben werden die Resultate dann in unserem internen Dashboard. Auf einen Blick sehen wir hier über all unsere Projekte hinweg die Gesamtzahl vorhandener Risiken – eingestuft nach Schweregrad. Wir sehen, welche Websites betroffen sind, welche Lücken im Spiel sind, welche Pakete sie enthalten und wie gravierend der Fund ist. Bei schwerwiegenden Fällen werden wir sofort benachrichtigt.
Es ist ein Ansatz, der Probleme gleich nach dem Bekanntwerden angeht, bösen Überraschungen vorbeugt und so das Sicherheitsmanagement unserer Websites massiv verbessert. Über 50 Sicherheitsrisiken wurden auf den von uns betreuten Websites bereits identifiziert und behoben – auf unseren Servern bleiben bekannte Risiken nicht länger unerkannt.
Sicherheit, die mitwächst
Auch wenn die Sicherheit im Netz ständig neue Herausforderungen bringt: Dieses Tool entwirrt uns den Wartungsdschungel und erlaubt eine proaktive und hochprofessionelle Wartung der uns anvertrauten Projekte. WeLoveYou hat damit eine solide, erweiterbare Security-Basis aufgebaut – für Websites, die auch morgen noch sicher stehen.
