WP Umbrella Logo

WordPress-Profi: Ein Interview mit dem CEO von WPScan, Ryan Dewhurst

Das Team von WP Umbrella
-

Ryan Dewhurst, wer sind Sie?! Bitte, stellen Sie sich vor

Ich interessiere mich schon seit meiner Jugend für Computersicherheit, als ich anfing, mit Old-School-GUI-Programmen wie dem Sub-7-Trojaner und anderen ähnlichen Tools herumzuspielen.

Später besuchte ich die Universität und absolvierte einen Bachelor-Abschluss in Computersicherheit. Noch während meines Studiums wurde ich von einem Unternehmen für Penetrationstests eingestellt, wo ich die Website-Sicherheit einiger der größten britischen Marken testete. Gleichzeitig habe ich ein Open-Source-Projekt namens Damn Vulnerable Web App (DVWA) entwickelt, um meine Fähigkeiten im Bereich Web-Tests zu verbessern. Nach der Universität zog ich nach Frankreich und startete ein neues Projekt namens WPScan.

Wie haben Sie angefangen, WordPress zu benutzen? Wann war das und was haben Sie damit gemacht?

Ich fing an, WordPress zu benutzen, um über das zu bloggen, was ich an der Universität lernte; um mein neues Wissen und meine Erfahrungen mit anderen zu teilen.

Warum haben Sie beschlossen, sich auf WordPress zu konzentrieren?

Ich kann mich nicht mehr genau daran erinnern, warum ich mich für WordPress als erste Blogging-Plattform entschieden habe, aber ich habe es getan. Es war mein eigener Blog, der mich dazu brachte, das WPScan-Tool zu entwickeln, da ich anfing, mir der Sicherheitslücken in meinem eigenen Blog bewusst zu werden, und ich wollte ein Tool für meine Kollegen unter den Penetrationstestern entwickeln, mit dem sie die Sicherheit von WordPress-Websites einfacher testen können.

Was sind die Stärken und Schwächen dieses CMS?

Die Stärken sind, dass es weithin bekannt und stabil ist und die Kernsoftware sicher ist. Die wohl größte Stärke ist das WordPress-Plugin-Ökosystem, das es den Nutzern ermöglicht, die Funktionalität von WordPress auf einfache Weise zu erweitern, und es gibt ein Plugin für fast alles, was Sie brauchen könnten. Auf der anderen Seite ist das Plugin-Ökosystem auch eine der größten Schwächen von WordPress, nämlich die schlechte Qualität und die unsicheren Plugins. Die überwiegende Mehrheit der Sicherheitsprobleme ist auf diese Drittanbieter-Plugins zurückzuführen.

Die 1-Million-Dollar-Frage: Ist WordPress sicher und warum?

Ja, WordPress ist sicher. Es wird nur dann unsicher, wenn es falsch verwaltet wird, und das ist bei WordPress oft der Fall, da viele seiner Nutzer nicht besonders technisch versiert sind oder ihnen die Zeit fehlt, es richtig zu verwalten.

Die Verwaltung eines WordPress-Blogs ist relativ einfach, erfordert aber einige menschliche Interaktion, wie z. B. die Sicherstellung der Installation von Updates. Wie bereits erwähnt, liegt das eigentliche Problem bei einigen WordPress-Plugins von Drittanbietern. Nahezu jeder kann ein WordPress-Plugin erstellen und vertreiben, und einige dieser Entwickler verfügen möglicherweise nicht über die nötigen Kenntnisse, um ihre Software ordnungsgemäß zu sichern. Dennoch sind einige der am weitesten verbreiteten und beliebtesten Plugins heute sehr sicher, da die Anbieter die Bedeutung der Sicherheit erkannt und Zeit und Geld in die Sicherheit ihrer eigenen Plugins investiert haben.

Überwachen Sie die Betriebszeit, Leistung und php-Fehler Ihrer Website?

Ja, wir (WPScan) überwachen die Betriebszeit, Leistung und Fehler der Website. Aber wir verwenden derzeit kein WordPress auf einer unserer Websites, stattdessen verwenden wir eine Mischung aus Technologien und benutzerdefiniertem Code für die Ausführung von WPScan. Aus diesem Grund verwenden wir Anwendungen von Drittanbietern (Uptime Robot, CloudFlare, Kibana) und kein Plugin, um die Betriebszeit, Leistung und Fehler unserer Website zu überwachen.

Wie wird sich WordPress Ihrer Meinung nach in Zukunft weiterentwickeln?

In Anbetracht der aktuellen Entwicklung des Marktanteils kann ich mir nur vorstellen, dass WordPress in Zukunft weiter wächst. Angesichts des gestiegenen Interesses an der Sicherheit von WordPress und der Zahl der Unternehmen, die sich darauf spezialisiert haben, kann ich nur erwarten, dass das WordPress-Ökosystem ebenfalls sicherer wird.

Ich denke, WordPress wird seine Technologien weiterentwickeln, wie man an der Implementierung von Gutenberg und der neuen REST-API und anderen sehen kann. Für mich sieht die Zukunft von WordPress noch für eine lange Zeit rosig aus.

Was ist mit WPScan?!

Bei WPScan haben wir vor kurzem die Neugestaltung unserer Haupt-Website abgeschlossen und einige andere in dieselbe Website integriert. Unser CLI-Tool, die Website und die API sind jetzt ziemlich stabil und ausgereift, so dass ich denke, dass sie in Zukunft weniger Zeit von uns beanspruchen werden. In Zukunft werden wir uns verstärkt um unser WPScan WordPress-Sicherheits-Pluginund ich hoffe, dass dadurch die Zahl der aktiven Plugin-Nutzer deutlich steigen wird.

Wir wollen auch weiterhin sicherstellen, dass wir bei der Pflege unserer WordPress-Schwachstellen-Datenbank so schnell wie möglich und so genau wie möglich vorgehen.