Alles im Web, was nicht niet- und nagelfest ist, unterliegt dem Sperrfeuer der Hacker. Und nichts ist jemals auf der sicheren Seite – weder die großen Portale noch die Seiten vom Tischler nebenan.
»Warum in aller Welt sollte jemand versuchen, unsere Homepage zu hacken … da ist nichts, was einen Hacker interessiert.« Das ist ein Trugschluss. Die meisten Seiten werden gehackt, um von diesen Seiten aus Spam-Email zu versenden oder zusammen mit Hunderten von ebenfalls gehackten Rechnern Banken, Google, die Waldorfschule, NSA und BND anzugreifen. Es ist ein dauerhafter Krieg, in dem die Hacker immer einen Schritt voraus sind und die Webmaster hinterherhinken.
100 % sichere Webseiten sind so illusorisch wie einbruchssichere Häuser und diebstahlsichere Autos.
Malware-Injektionen
Bösartiger Code in Form von Links zu Viagra-Seiten wird eingeschleust.
Hintertüren
Schwächen in alten Software-Versionen
Brute Force-Angriffe
Logins mit Wörterbüchern für Benutzername und Passwort, bis der Server die Kontrolle verliert.
50%
aller Übergriffe basieren auf Identitätsdiebstahl
durch jemanden, der die Autoren kennt,
durch den Klick auf einen Spam-Link
durch Malware auf dem eigenen Rechner.
Infrastruktur
Schlecht konfigurierte Server,
lasche Zugriffsrechte,
lesbare Konfigurationsdateien
Benutzername / Passwort
Zu kurz, zu simpel:
Geschenke für Hacker
Sicherheitslücken
Veraltete Betriebssysteme, Templates und Plugins
Früherkennung
- Permalink-Struktur ist geändert
- Seiten leiten zu Shops, Listen und Apotheken in China weiter
- Kein Login möglich
- In Google Analytics tauchen Schlüsselwörter wie »Viagra« und »Louis Vouton« auf
- Kommentare werden ohne Moderation veröffentlicht
Kind in den Brunnen gefallen
- Zuerst einen Virenscanner über den eigenen PC laufen lassen
- Beim Hoster anfragen, ob ein Einbruch entdeckt wurde
- Restore von einem sauberen Backup durchführen
- Alle (aber auch wirklich ALLE!!!) Passwörter ändern
Minimale Vorsorge
- Keine Benutzernamen wie admin, root und test oder von Redakteuren / Autoren.
- Keine Passwörter ohne Großbuchstaben, Ziffern und Sonderzeichen
- Content Management System alle 14 Tage auf Updates prüfen
- Regelmäßige Backups und Checks, ob sich die Sicherung problemlos zurückspielen lässt
- Unbenutzte Plugins und Templates löschen
- Admin-Ordner mit .htaccess schützen
- Zugriffsrechte: 755 für Verzeichnisse, 644 für Dateien, 444 für .htaccess, wp-config und php.ini
- Firewall wie WordFence, Login Lockdown, Login Security für Drupal installieren
- Keine Plugins, Module, Themes aus unbekannten Quellen
Kurz und prägnant: 80% Sicherheit
Und wie kommen wir jetzt auf 100% Sicherheit? Mit einem Clint Eastwood-Zitat: Mr. Ackerman, if you want a guarantee, buy a toaster.
Angriffziel no 1: WordPress
So wie Windows auf dem PC ist WordPress das Lieblingsziel von Hackern. Das liegt einfach daran, dass eine von fünf Webseiten mit WordPress läuft. Aber ob WordPress, Drupal oder Joomla oder Typo3 – nicht einmal Webseiten aus reinem HTML sind sicher.
Innere Sicherheit
Wären gelbe Post-it-Zettel im Büro verboten, würden nur halb so viele Internetauftritte gehackt.
Neben den automatisierten Angriffen von Außen darf eine kritische Zone nicht vernachlässigt werden: Wie halten wir es mit der Sicherheit unserer Rechner und gehen wir selber mit Benutzernamen und Passwörtern um?
Zugangsdaten werden unverschlüsselt gespeichert, Sicherheits-Updates und Patches werden nicht durchgeführt: Trojaner lassen sich häuslich nieder und lesen die Zugangsdaten aus. Über die Email-Accounts werden Spam-Emails versendet.
Ein großer Teil aller erfolgreichen Übergriffe wird durch innere Sicherheitslücken verursacht. Die Zugangsdaten von Autoren, Administratoren und Webmastern werden nicht gelöscht, auch wenn sie bereits aus dem Zirkel ausgeschieden sind.
Benutzernamen und Passwörter werden an Freunde weitergegeben, »damit sie sich das CMS mal ansehen«, Autoren loggen sich an fremden Rechnern ein, um schnell noch einen Beitrag zu ändern, aber löschen ihre Spuren nicht.
Das Notebook oder das Tablett wurden gestohlen. Wer ist in der Lage, innerhalb kurzer Zeit alle Benutzernamen und Passwörter zu ändern?