Ein vollständiger Leitfaden für den Verkauf von Website-Schutz an Kunden

Die Kunden überwachen die Sicherheitsrisiken nicht. Sie erwarten, dass ihre Websites funktionieren, und verlassen sich darauf, dass die Agenturen sich um die technischen Details kümmern. Wenn Schwachstellen auftauchen, sind die Agenturen dafür verantwortlich, sie zu erkennen und zu beheben, bevor sie zu Ausfallzeiten, Datenverlusten oder Rufschädigung führen.

Große Unternehmen erleben diese Ausfälle trotz umfangreicher Sicherheitsbudgets. Im Jahr 2023 wurde MGM Resorts, eines der weltweit größten Unternehmen im Gastgewerbe, Opfer eines Ransomware-Angriffs, der das Unternehmen über 100 Millionen Dollar kostete. Kleinere Unternehmen sind mit denselben Risiken konfrontiert, ohne über die gleichen Ressourcen zu verfügen.

Deshalb geht es beim Schutz von Websites weniger darum, perfekte Sicherheit zu versprechen, sondern vielmehr darum, Schichten aufzubauen, die Angriffe erschweren, schneller erkennen und leichter wiederherstellen. 

In diesem Artikel erklären wir, wie Sie Ihren Kunden den Schutz ihrer Website verkaufen können. Wir erläutern, wie Sie Ihren Kunden helfen können, die Risiken zu verstehen, Sicherheit als Geschäftsentscheidung und nicht als IT-Ausgabe zu betrachten und schließlich den Schutz der Website zum Bestandteil jedes Projekts zu machen, das Sie verkaufen.

Über WP Umbrella

Unter WP Umbrellasind wir davon überzeugt, dass intelligente Prävention auf Sichtbarkeit und Geschwindigkeit beruht. Deshalb hilft unser Plugin Agenturen und Hosts, Schwachstellen zu erkennen, bevor sie zu Sicherheitskatastrophen werden. Mehr als 40.000 WordPress-Websites nutzen das Plugin, um Ausfallzeiten zu reduzieren, Sicherheitslücken zu minimieren und Sicherheitsmaßnahmen zu vereinfachen.

WP Umbrella bietet kontinuierliche Sicherheitsüberwachung und virtuelles Patching für WordPress-Websites. Das Plugin scannt Websites alle 6 Stunden auf bekannte Schwachstellen, abgelaufene SSL-Zertifikate, PHP-Fehler, abgelaufene Domains und andere Konfigurationsrisiken, die sich auf die Betriebszeit und Sicherheit auswirken.

Die virtuelle Patching-Funktion, die von Patchstack unterstützt wird, blockiert bekannte Plugin-Schwachstellen auf PHP-Ebene. Sie ermöglicht es Agenturen und Hosts, Websites auch dann zu sichern, wenn Plugin-Updates verzögert werden oder nicht verfügbar sind. Alle Überwachungs- und Patching-Vorgänge laufen über ein zentrales Dashboard, das für Agenturen entwickelt wurde, die mehrere WordPress-Sites verwalten.

Die Plattform wurde für Agenturen, Freiberufler und Hosting-Anbieter entwickelt, die mehrere WordPress-Websites in großem Umfang verwalten. Die Sicherheitsfunktionen sind Teil des umfassenderen Wartungspakets von WP Umbrella, einschließlich sicherer Updates, automatischer Backups und Leistungsüberwachung.

Verkauf von Website-Schutz in geschäftlichen Bedingungen

1. Schwachstellen-Scanning

WP Umbrella scannt WordPress-Websites alle 6 Stunden auf bekannte Sicherheitslücken. Die Scans umfassen Plugins, Themes und WordPress-Kerndateien unter Verwendung einer aktuellen Schwachstellendatenbank. Wenn ein Problem identifiziert wird, sendet es eine sofortige Benachrichtigung per E-Mail oder Slack mit Details zu der betroffenen Komponente.

Für Agenturen, die mehrere Kundenstandorte verwalten, konsolidiert das zentrale Dashboard die Schwachstelleninformationen über alle verwalteten Objekte. So können Teams gefährdete Standorte identifizieren und Patches nach Schweregrad und Auswirkungen auf den Kunden priorisieren.

Die Rolle von Schwachstellen-Scans 

Die Schwachstellensuche identifiziert Komponenten mit bekannten Schwachstellen, die Angreifer ausnutzen könnten. Das System weist auf veraltete oder anfällige Plugins und Themes hin, sobald sie öffentlich bekannt werden. Durch das Scannen können die Agenturen diese Risiken erkennen und beseitigen, bevor Angreifer sie ausnutzen können.

Verkaufsstrategien

Manche Kunden gehen davon aus, dass routinemäßige Plugin-Updates ausreichen. Sie unterschätzen, wie schnell Schwachstellen entdeckt und als Waffe eingesetzt werden. Verwenden Sie einfache, direkte Frames:

In dem Moment, in dem eine Sicherheitslücke bekannt wird, beginnen Angreifer, das Internet nach Websites zu durchsuchen, die noch nicht gepatcht worden sind. Auch wenn Sie regelmäßig aktualisieren, ist Ihre Website in der Zeit zwischen dem Bekanntwerden einer Schwachstelle und dem Einspielen von Patches am stärksten gefährdet. Kontinuierliches Scannen hilft Ihnen, Probleme zu erkennen, bevor sie sich zu Vorfällen entwickeln.

Kundenvorteile

• Erkennt bekannte Schwachstellen in allen Plugins, Themes und Kerndateien.
• Zentralisierte Sichtbarkeit über mehrere Standorte hinweg für einen effizienten Agenturbetrieb.
• Unterstützt proaktive Wartung und Kundenberichte.
• Verringert die Wahrscheinlichkeit von unerwarteten Zwischenfällen im Zusammenhang mit veralteten Komponenten.

2. Virtuelles Patchen

WP Umbrella's Site Protect blockiert bekannte Sicherheitslücken auf PHP-Ebene, auch wenn Plugins oder Themes ungepatcht bleiben. Dies ermöglicht es Agenturen, den Schutz während des kritischen Zeitfensters zwischen dem Bekanntwerden von Schwachstellen und dem sicheren Einsatz von offiziellen Hersteller-Updates aufrechtzuerhalten.

Das virtuelle Patching von Site Protect arbeitet als Zusatzmodul und nutzt die Regeln von Patchstack, um Exploit-Versuche in Echtzeit abzufangen und zu neutralisieren.

Die Rolle von Site Protect 

Site Protect bietet einen sofortigen Schutz vor aktiven Ausnutzungsversuchen bekannter Schwachstellen. Es ermöglicht Agenturen die Einhaltung regelmäßiger Aktualisierungspläne, ohne dass Websites durch Patch-Verzögerungen, Anbieterverzögerungen oder vom Kunden gewünschte Verschiebungen gefährdet werden.

Verkaufsstrategien

Nicht technisch versierte Kunden verstehen virtuelles Patching oft falsch. Vermeiden Sie tiefe technische Erklärungen. Konzentrieren Sie sich stattdessen auf das Risikofenster:

Wenn eine Sicherheitslücke bekannt wird, sind die Angreifer schnell zur Stelle. Selbst wenn ein Update veröffentlicht wird, dauert es seine Zeit, bis es an mehreren Client-Standorten installiert ist. Das virtuelle Patching von Site Protect fungiert während dieses Zeitfensters als temporärer Schutzschild. Ohne diesen Schutz bleiben Ihre Websites ungeschützt, bis die Updates vollständig installiert sind. Sind Sie bereit, diese Lücke ungeschützt zu lassen?

Kundenvorteile 

• Blockiert die Ausnutzung bekannter Schwachstellen in Echtzeit.
• Ermöglicht Flexibilität bei der Planung von Aktualisierungen ohne Erhöhung des Risikos.
• Verringert das Risiko von Notfall-Patching oder ungeplanten Ausfallzeiten.
• Unterstützt die Geschäftskontinuität sowohl für Agenturen als auch für ihre Kunden.

3. SSL- und Domänenüberwachung

WP Umbrella überwacht kontinuierlich die Gültigkeit von SSL-Zertifikaten und das Ablaufdatum von Domains für alle verwalteten Sites. Das System warnt die Betreiber, bevor die Zertifikate ablaufen oder die Domains sich den Erneuerungsfristen nähern, sodass genügend Zeit für die Erneuerung bleibt und Serviceunterbrechungen vermieden werden.

Die zentrale Überwachung stellt sicher, dass Agenturen, die mehrere WordPress-Websites verwalten, die Ablauftermine verfolgen können, ohne separate Tabellen zu führen oder sich auf Kundenerinnerungen zu verlassen.

Die Rolle von SSL und Domainüberwachung 

SSL-Zertifikate sind für den Aufbau sicherer HTTPS-Verbindungen unerlässlich, die für die Aufrechterhaltung des Benutzervertrauens, die Abschwächung von Sicherheitswarnungen des Browsers und die Verbesserung der Suchmaschinenoptimierung entscheidend sind. Das Auslaufen einer Domain führt zur sofortigen Unerreichbarkeit der Website und zum potenziellen Verlust der Domain, wenn die Erneuerung nicht rechtzeitig vorgenommen wird. Die SSL- und Domain-Überwachung verhindert unbeabsichtigte Ausfälle, die durch administrative Versäumnisse verursacht werden.

Verkaufsstrategien 

Kunden gehen oft davon aus, dass SSL- und Domänenerneuerungen vollständig automatisiert sind. In Wirklichkeit sind Verlängerungsfehler häufig auf abgelaufene Zahlungsmethoden, Probleme mit der Registrierungsstelle oder falsch konfigurierte Automatisierungen zurückzuführen. Verwenden Sie ein einfaches Framing:

Abgelaufene SSL-Zertifikate lösen sofort Browserwarnungen aus, die Besucher vergraulen. Verpasste Domain-Erneuerungen können dazu führen, dass Ihre gesamte Website offline geht und sogar die Eigentumsrechte verloren gehen, wenn dies nicht schnell erkannt wird. Eine kontinuierliche Überwachung verhindert diese vermeidbaren Ausfälle und schützt sowohl Ihre Einnahmen als auch Ihren Ruf.

Kundenvorteile

• Verhindert unerwartete Ausfallzeiten durch abgelaufene SSL-Zertifikate oder Domains.
• Bewahrt SEO-Rankings und vermeidet Vertrauenswarnungen des Browsers.
• Zentralisierte Aufsicht über mehrere Kundenstandorte.
• Vereinfacht die Verwaltung von Verwaltungsaufgaben, die anfällig für menschliche Fehler sind.

4. PHP-Versionsüberwachung 

WP Umbrella überwacht die PHP-Version, die auf jeder verwalteten WordPress-Seite läuft. Das System kennzeichnet veraltete PHP-Versionen, die nicht mehr unterstützt werden oder keine Sicherheitsupdates mehr erhalten. Agenturen erhalten Warnungen, wenn auf ihren Websites Versionen laufen, die sich dem Ende der Lebensdauer nähern oder bereits nicht mehr unterstützt werden.

Die zentralisierte PHP-Versionsberichterstattung ermöglicht es Agenturen, Versions-Upgrades in Abstimmung mit der Kompatibilität von Plugins und Themen zu planen.

Die Rolle der PHP-Versionsüberwachung 

PHP ist die zentrale Skriptsprache von WordPress. Veraltete PHP-Versionen führen zu Sicherheitslücken, da sie keine Sicherheits-Patches oder Fehlerbehebungen mehr erhalten. Die Verwendung unterstützter Versionen verringert die Angriffsfläche und gewährleistet die fortlaufende Kompatibilität mit dem WordPress-Ökosystem.

Verkaufsstrategien 

Viele Kunden kennen die PHP-Versionen und ihre Bedeutung nicht. Vermeiden Sie technische Diskussionen über Code-Versionen. Verwenden Sie eine einfache Risikobeschreibung:

Veraltete PHP-Versionen verlieren ihre Sicherheitsunterstützung, was bedeutet, dass neue Schwachstellen nicht behoben werden. Wenn Sie nicht unterstützte Versionen einsetzen, wird Ihre Website anfälliger für Angriffe. Die Überwachung der PHP-Versionen ermöglicht es uns, Upgrades zu planen, bevor sie zu einem Problem werden.

Kundenvorteile 

• Identifiziert veraltete PHP-Versionen, bevor der Support endet.
• Verringert das mit nicht unterstützter Software verbundene Sicherheitsrisiko.
• Ermöglicht die vorausschauende Planung von Versions-Upgrades.
• Gewährleistet die Kompatibilität mit den sich entwickelnden WordPress-Anforderungen.

5. Offengelegte Debug-Protokolle

WP Umbrella überwacht offene debug.log-Dateien auf WordPress-Websites. Wenn sie während der Fehlerbehebung oder Entwicklung aktiviert werden, können diese Protokolle sensible Fehlermeldungen, Dateipfade, Datenbankabfragen oder Anmeldedaten aufzeichnen. Wenn sie öffentlich zugänglich sind, liefern die Debug-Logs Angreifern detaillierte Systeminformationen, die zur Ausnutzung von Schwachstellen verwendet werden können.

Das System warnt die Anwender, wenn Debug-Protokolle in öffentlich zugänglichen Verzeichnissen entdeckt werden.

Die Rolle der Debug-Log-Überwachung 

Debug-Protokolle dienen als temporäre Diagnosewerkzeuge, sind aber für den langfristigen Einsatz in der Produktion nicht vorgesehen. Die Veröffentlichung dieser Dateien erhöht das Risiko eines Informationsverlusts, der Angreifern dabei helfen könnte, Schwachstellen in der Anwendung zu finden.

Verkaufsstrategien 

Die meisten Kunden sind sich der Debug-Protokolle und ihrer Risiken nicht bewusst. Stellen Sie dies als Teil der Standardhygiene dar:

Wenn Debug-Protokolle versehentlich offengelegt werden, können sie sensible Systemdetails preisgeben, nach denen Angreifer suchen. Wir überwachen offene Debug-Protokolle und schließen sie, bevor sie ein unnötiges Risiko darstellen.

Kundenvorteile

• Verhindert die versehentliche Preisgabe von sensiblen Debug-Informationen.
• Verringert das Risiko gezielter Angriffe unter Verwendung von durchgesickerten Systemdaten.
• Spürt vergessene Entwicklerkonfigurationen auf, die auf Produktionsstandorten noch aktiv sind.
• Verbessert die allgemeine Sicherheitslage ohne Beteiligung des Kunden.

Wie man Sicherheitsdienstleistungen verpackt und verkauft

Sicherheit wird kompliziert, wenn Agenturen ihren Kunden zu viel Verhandlungsspielraum lassen. Sicherheit als eigenständiges Produkt erhöht die Wahrscheinlichkeit von Kundenwiderstand, uneinheitlicher Übernahme und unkontrollierten Risiken im gesamten Portfolio. Das liegt daran, dass die meisten Kunden nicht genau wissen, wo die wirklichen Risiken liegen. Sie gehen davon aus, dass alles in Ordnung ist, bis etwas schief geht. Und wenn es dann passiert, sind Sie derjenige, der das Problem beheben soll.

Ziel ist es, die Sicherheitsabdeckung für alle verwalteten Standorte zu standardisieren. Auf diese Weise können Sie konsistente Betriebsverfahren beibehalten, Notfalleinsätze reduzieren und Risiken vermeiden, die sich daraus ergeben, dass Kunden wesentliche Schutzmaßnahmen nicht in Anspruch nehmen.

Sicherheitsdienste sollten in den Standardpflegeplänen oder Wartungspauschalen enthalten sein. Für die meisten ist eine zweistufige Struktur am besten geeignet:

• Basis-Tier: Schwachstellen-Scans, PHP-Versionsüberwachung, SSL/Domain-Überwachung, Debug-Log-Überwachung und Kundenberichte. Diese Leistungen sind nicht verhandelbar, da sie die häufigsten Fehler abdecken, die zu Notfällen beim Kunden führen können.

• Erweitertes Tier: Alle Basisdienste plus Site Protect-Add-on für Kunden, die ein minimales Expositionsfenster benötigen. Damit wird die Sicherheitslücke zwischen der Aufdeckung von Schwachstellen und der vollständigen Bereitstellung von Patches geschlossen. Dies ist besonders nützlich für E-Commerce-Websites, Websites für Mitglieder oder andere Unternehmen, die mit sensiblen Kundendaten arbeiten.

Wenn Sie mit Kunden über Sicherheit sprechen, halten Sie sich von der Fachsprache fern. Sie müssen nicht verstehen, wie Patches funktionieren oder welche Schwachstellen in ihren Plugins bestehen. Was für sie wichtig ist, ist ganz einfach: Die Website muss online bleiben, die Kundendaten müssen geschützt werden, und es müssen Situationen vermieden werden, die den Einnahmen oder dem Ruf schaden. Das ist es, was Sie verkaufen. Der Rest ist Ihre Aufgabe.

Umgang mit Kundeneinwänden

Kunden lehnen Sicherheit ab, weil sie das Risiko nicht klar sehen. An dieser Stelle müssen Sie ihnen mit einfacher Logik und realen Zahlen die Zusammenhänge verdeutlichen.

Wir haben noch nie ein Problem gehabt.

Die Tatsache, dass noch nichts passiert ist, bedeutet nicht, dass das Risiko nicht vorhanden ist. Schwachstellen sind automatisiert. Angreifer führen automatisierte Scans auf Millionen von Websites durch, um nach bekannten Schwachstellen zu suchen. Sobald eine Plugin-Schwachstelle bekannt wird, brauchen Angreifer in der Regel weniger als 48 Stunden, um massenhaft Versuche zur Ausnutzung zu starten. Sich auf das Glück der Vergangenheit zu verlassen, ist keine Strategie. Je länger Sie ohne Schutz arbeiten, desto größer ist die Wahrscheinlichkeit, dass es Sie irgendwann erwischt.

Ist WordPress nicht standardmäßig sicher?

Der WordPress-Kern ist im Allgemeinen sicher. Das Problem ist der Rest des Stacks: Plugins, Themes, Code von Drittanbietern und Fehlkonfigurationen. Patchstack fand allein im Jahr 2023 fast 6.000 Plugins, Themes und Kernfehler. Die überwiegende Mehrheit der Sicherheitslücken ist auf veraltete Plugins zurückzuführen, nicht darauf, dass WordPress selbst fehlerhaft ist. Bei der Sicherheit geht es also darum, die Risiken zu managen, die durch alles, was auf WordPress aufgesetzt wird, entstehen.

Brauchen wir das alles wirklich?

Ja, denn die Kosten für die Vorbeugung sind trivial im Vergleich zu den Kosten für die Wiederherstellung. Nach Angaben von IBM belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2024 weltweit auf 4,88 Millionen Dollar. Selbst ein einziger Vorfall, wie ein Ausfall einer Website oder ein Datenleck, kann Hunderttausende an Kosten für die Bereinigung, den Verlust von Kunden und gesetzliche Geldstrafen verursachen. Ein paar hundert Dollar pro Jahr für kontinuierlichen Schutz zu zahlen, ist nicht übertrieben. Es ist eine grundlegende Betriebshygiene.

Können wir uns nicht einfach um die Probleme kümmern, wenn sie auftauchen?

Wenn ein Problem auftritt, ist es oft schon zu spät. Die Erkennungs- und Reaktionskosten steigen schnell an, sobald eine Sicherheitsverletzung auftritt. Die Daten von IBM zeigen, dass Unternehmen mit proaktiven Sicherheitskontrollen pro Vorfall fast 1 Million US-Dollar einsparen, verglichen mit Unternehmen, die erst nach dem Vorfall reagieren. Notfälle kosten mehr, brauchen länger, um sie zu beheben, und richten mehr Schaden an - vor allem, wenn es um rechtliche Fragen oder die Einhaltung von Vorschriften geht. Mit jedem Tag, den Sie proaktive Maßnahmen hinauszögern, steigen die potenziellen Kosten.

Überlassen Sie uns das Heben schwerer Lasten

Agenturen übernehmen die volle Verantwortung für die von ihnen verwalteten Websites. Wenn etwas kaputt geht, erwarten die Kunden, dass Sie es in Ordnung bringen. 

Sicherheitsmängel verursachen Ausfallzeiten, Umsatzeinbußen, rechtliche Risiken und einen Vertrauensverlust bei den Kunden. Diese Probleme sind im Nachhinein viel teurer zu beheben als sie von vornherein zu verhindern.

Sicherheitsarbeit gehört in den Wartungsprozess. Wenn jeder Client abgedeckt ist, vermeiden Agenturen Lücken, die zu unvorhersehbaren Notfällen führen. Die Überwachung von Schwachstellen, die Anwendung virtueller Patches, die Verfolgung von SSL-Ablaufdaten, die Überprüfung von PHP-Versionen und die Entfernung offener Debug-Protokolle mithilfe von WP Umbrella verringern die Anzahl der Fehler, die die Produktion erreichen.

Die Kosten für die Bereitstellung dieses Schutzes sind konstant und vorhersehbar. Die Kosten eines Verzichts auf diesen Schutz sind unvorhersehbar und oft hoch.