Direkt zum Inhalt

Sicherheit für die Webseite

Seiten vor Hackern und Spammern schützen

Alles im Web, was nicht niet- und nagelfest ist, unterliegt dem Sperrfeuer der Hacker. Und nichts ist jemals auf der sicheren Seite – weder die großen Portale noch die Seiten vom Tischler nebenan.

»Warum in aller Welt sollte jemand versuchen, unsere Homepage zu hacken … da ist nichts, was einen Hacker interessiert.« Das ist ein Trugschluss. Die meisten Seiten werden gehackt, um von diesen Seiten aus Spam-Email zu versenden oder zusammen mit Hunderten von ebenfalls gehackten Rechnern Banken, Google, die Waldorfschule, NSA und BND anzugreifen. Es ist ein dauerhafter Krieg, in dem die Hacker immer einen Schritt voraus sind und die Webmaster hinterherhinken.

100 % sichere Webseiten sind so illusorisch wie einbruchssichere Häuser und diebstahlsichere Autos.

Angriffe

Trojaner

Malware-Injektionen

Bösartiger Code in Form von Links zu Viagra-Seiten wird eingeschleust.

backdoor.jpg

Hintertüren

Schwächen in alten Software-Versionen

Brute Force Angriff

Brute Force-Angriffe

Logins mit Wörterbüchern für Benutzername und Passwort, bis der Server die Kontrolle verliert.

50%
aller Übergriffe basieren auf Identitätsdiebstahl
durch jemanden, der die Autoren kennt,
durch den Klick auf einen Spam-Link
durch Malware auf dem eigenen Rechner.

Schwachstellen

Infrastruktur

Schlecht konfigurierte Server,
lasche Zugriffsrechte,
lesbare Konfigurationsdateien

Benutzername / Passwort

Zu kurz, zu simpel:
Geschenke für Hacker

Sicherheitslücken

Veraltete Betriebssysteme, Templates und Plugins

Seite gehackt

Früherkennung

  • Permalink-Struktur ist geändert
  • Seiten leiten zu Shops, Listen und Apotheken in China weiter
  • Kein Login möglich
  • In Google Analytics tauchen Schlüsselwörter wie »Viagra« und »Louis Vouton« auf
  • Kommentare werden ohne Moderation veröffentlicht

Kind in den Brunnen gefallen

  • Zuerst einen Virenscanner über den eigenen PC laufen lassen
  • Beim Hoster anfragen, ob ein Einbruch entdeckt wurde
  • Restore von einem sauberen Backup durchführen
  • Alle (aber auch wirklich ALLE!!!) Passwörter ändern

Minimale Vorsorge

  1. Keine Benutzernamen wie admin, root und test oder von Redakteuren / Autoren.
  2. Keine Passwörter ohne Großbuchstaben, Ziffern und Sonderzeichen
  3. Content Management System alle 14 Tage auf Updates prüfen
  4. Regelmäßige Backups und Checks, ob sich die Sicherung problemlos zurückspielen lässt
  5. Unbenutzte Plugins und Templates löschen
  6. Admin-Ordner mit .htaccess schützen
  7. Zugriffsrechte: 755 für Verzeichnisse, 644 für Dateien, 444 für .htaccess, wp-config und php.ini
  8. Firewall wie WordFence, Login Lockdown, Login Security für Drupal installieren
  9. Keine Plugins, Module, Themes aus unbekannten Quellen

Kurz und prägnant: 80% Sicherheit.

100% Sicherheit?

Mr. Ackerman, if you want a guarantee, buy a toaster.

Dieses Zitat ist aus »Rookie – der Anfänger«.

Angriffziel no 1: WordPress

So wie Windows auf dem PC ist WordPress das Lieblingsziel von Hackern. Das liegt einfach daran, dass eine von fünf Webseiten mit WordPress läuft. Aber ob WordPress, Drupal oder Joomla oder Typo3 – nicht einmal Webseiten aus reinem HTML sind sicher.

Innere Sicherheit

Wären gelbe Post-it-Zettel im Büro verboten, würden nur halb so viele Internetauftritte gehackt.

Neben den automatisierten Angriffen von Außen darf eine kritische Zone nicht vernachlässigt werden: Wie halten wir es mit der Sicherheit unserer Rechner und gehen wir selber mit Benutzernamen und Passwörtern um?

Zugangsdaten werden unverschlüsselt gespeichert, Sicherheits-Updates und Patches werden nicht durchgeführt: Trojaner lassen sich häuslich nieder und lesen die Zugangsdaten aus. Über die Email-Accounts werden Spam-Emails versendet.

Ein großer Teil aller erfolgreichen Übergriffe wird durch innere Sicherheitslücken verursacht. Die Zugangsdaten von Autoren, Administratoren und Webmastern werden nicht gelöscht, auch wenn sie bereits aus dem Zirkel ausgeschieden sind.

Benutzernamen und Passwörter werden an Freunde weitergegeben, »damit sie sich das CMS mal ansehen«, Autoren loggen sich an fremden Rechnern ein, um schnell noch einen Beitrag zu ändern, aber löschen ihre Spuren nicht.

Das Notebook oder das Tablett wurden gestohlen. Wer ist in der Lage, innerhalb kurzer Zeit alle Benutzernamen und Passwörter zu ändern?

Mehr zu Sicherheit für die Webseite

.line1 .box { background: rgb(246,246,246); padding: 0 6px;margin-bottom: 6px;border-radius: 4px;} .line2 .box { background: salmon; color: white; padding: 0 6px;margin-bottom: 6px;border-radius: 4px;} .line3 .box { background: rgb(246,246,246); padding: 0 6px;margin-bottom: 6px;border-radius: 4px;} .line4 { padding:6px;} .line5 { background: rgb(246,246,246);padding: 0 6px;margin-bottom: 6px;border-radius: 4px;} .line6, .line7 { background: #a4d8c0;padding: 6px} .pic { background: url(https://colofon.de/sites/default/files/2014-07/hacker-angriffe.png); width:217px; height:140px; margin: 0 auto} .bullet {width: 100px; height:100px; background: salmon; color: white; font-size:3em; padding: 40px; border-radius: 85px; margin: 6px auto;} @media only screen and (min-width:620px) { .line1, .line2, .line3 { display: flex; display: -webkit-flex; display: -ms-flexbox; -webkit-justify-content: space-between; } .box { -webkit-flex: 1; -ms-flex: 1; flex: 1; } .line1 .box { max-width:31%} .line2 .box { max-width:31%} .line3 .box { max-width:48%} .line4 .box { } }