Nicht nur wer Anfänger ist und das erste Mal eine Webseite betreibt, sollte diese vor Hackerattacken schützen. Denn jeder ist für seine Webseite persönlich verantwortlich. Wird nun diese Seite gehackt, muss die Sicherheitslücke umgehend geschlossen werden. Wer zu spät reagiert, kann von seinem Hosting Anbieter aus Sicherheitsgründen gesperrt werden. Wir zeigen nachfolgend einige Tipps, wie dies gelingt.
Kontinuierliche Aktualisierung und Prüfung der Webseite erforderlich
Heute ist es nicht mehr schwierig, als Anfänger eine Webseite zu betreiben. Denn diese basieren sehr häufig auf Anwendungen, den sogenannten Web Apps, die intuitiv bedienbar sind und mit denen es möglich ist, kinderleicht Inhalte einzufügen. Der Funktionsumfang lässt sich durch Plugins erweitern und die Web Apps sind mittlerweile für die unterschiedlichsten Anforderungen verfügbar:
- Lösungen für den E-Commerce Bereich
- Software für Blogs und Foren
- Content Managementsysteme
- Social-Networking
- Bildergalerien
- vieles mehr
Zahlreiche Web Apps gibt es inklusive der Erweiterungsoptionen als gratis Open Source Lösungen. Sie befinden sich millionenfach auf der Welt im Einsatz. Diese Beliebtheit hat allerdings auch einen ganz gewaltigen Nachteil: Sie führen dazu, dass solche Seiten ein beliebtes Ziel für Hackerangriffe sind. Dort werden bekannte Schwachstellen ausgenutzt, um beispielsweise Phishing Seiten einzuschleusen, mit denen Cyberkriminelle versuchen, an die Bankdaten zu gelangen.
Möglich ist es auch, dass Besucher der Webseite dazu aufgefordert werden, auf einen Link zu klicken, der dann Trojaner und Viren herunterlädt. Außerdem ist es möglich, eine Webseite dazu zu missbrauchen, um Spam zu versenden. In diesem Fall landet die IP auf eine Blacklist. Dem steuern natürlich die Entwickler der Web Apps entgegen und schließen Sicherheitslücken durch Updates. Voraussetzung ist natürlich, dass diese Updates auch zeitnah heruntergeladen und installiert werden. Die folgenden Tipps helfen ebenfalls dabei, die Webseite von Hacker Attacken zu schützen.
1. Web App regelmäßig aktualisieren
WordPress und Joomla sind die zwei Open Source Anwendungen, die am beliebtesten für Webseiten sind. Allerdings sind zahlreiche Installationen veraltet. Mit jeder neuen Version werden Sicherheitslücken geschlossen. Daher sollten Web Apps regelmäßig auf die neueste Version aktualisiert werden. WordPress erlaubt es, dass Updates automatisiert ablaufen. Mit der richtigen Einstellung werden diese im Hintergrund automatisiert ausgeführt. Wer diese Funktion lieber deaktiviert lässt, sollte seine WP-Version selber kontinuierlich manuell überprüfen und entsprechend aktualisieren.
2. Plugins und Erweiterungen regelmäßig updaten
Was für die Web App selber gilt, gilt natürlich auch für WordPress Plugins und Erweiterungen. Dabei handelt es sich in der Regel um eigenständige Programme, die ebenfalls ein Update benötigen. Wird die Web App aktualisiert, bedeutet dies nicht, dass auch die Plugins und Erweiterungen ebenfalls automatisch mit aktualisiert werden. Dies ist natürlich auch Hackern bekannt und diese nutzen dieses Wissen für Angriffe auf bekannte Sicherheitslücken in Erweiterungsmodulen und Plugins.
Ist solch eine Schwachstelle bekannt, arbeiten die Programmierer daran, mit einem Update dies zu beheben. In der Vergangenheit sind verschiedene WordPress Plugins zu Sicherheitsrisiken geworden, wie zum Beispiel die Kommentarfunktion, Kontaktformulare, Newsletter oder Gästebucheintragungen. Theoretisch kann jedes Plugin zum Ziel der Hacker werden. Beliebte Angriffsstellen sind auch die Erweiterungen der Content Managementsysteme von Joomla. Aus diesem Grund gilt, dass Erweiterungskomponenten und Plugins regelmäßig aktualisiert werden sollten. Diese Updates können bei WordPress und Joomla bequem über das Dashboard ausgeführt werden.
3. Daten, Systemdateien und Datenbanken sichern
Wurde die Webseite bereits gehackt, ist es zu spät und wichtige Einstellungen und Daten, die sich auf dem System befunden haben, sind unwiederbringlich verloren oder zerstört. Durch Updates werden Systemdateien normalerweise überschrieben, wurden Anpassungen beim Template oder Theme vorgenommen, sind diese betroffen. Bei WordPress sollten daher Dateien mit den folgenden Endungen gesichert werden:
- wp-config.php
- index.php
- style.css
Bei Joomla sind es die Dateiendungen:
- template.css
- template_rtl.css
- index.php
Nur wer regelmäßig seine Systemdateien, Datenbanken und Daten in der Webanwendung sichert und ein Back-up erstellt, kann diese wiederherstellen. Für WordPress gibt es hierfür sogar Plugins, die teilweise kostenlos sind, wie zum Beispiel BackupWordPress. Für Joomla werden ebenfalls entsprechende Tools wie beispielsweise LazyDbBackup angeboten.
4. Webseite regelmäßig überprüfen
Es gibt verschiedene Maßnahmen, die durchgeführt werden können, um die Webseite zu schützen. Aber selbst diejenigen, die die besten Vorkehrungen treffen, können sich nicht 100 % vor Hackerangriffen schützen. Oft wird erst zu spät oder auch gar nicht bemerkt, dass die Webseite gehackt worden ist. Daher ist es unabdingbar, dass die Webseite manuell regelmäßig überprüft werden sollte.
Dies gelingt ihnen mit speziellen Virenprogrammen. Dabei sollte man regelmäßig mit einer entsprechenden Software die Datei auf Viren prüfen. So ist es möglich, den Internetauftritt auf Viren und Manipulationen zu checken und gegebenenfalls die Viren in Quarantäne zu schieben. Gleichzeitig überprüft die Virensoftware automatisch alle heruntergeladenen Dateien und kann so Bedrohungen stoppen, bevor sie überhaupt die Webseite erreichen.
5. Sichere Passwörter verwenden
Eigentlich sollte es selbstverständlich sein, komplexe Wörter zu verwenden. Die Verbraucherzentrale empfiehlt, dass ein Passwort aus mindestens acht Zeichen bestehen sollte. Dabei sollte es sich um einen Mix aus Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen handeln. Ist das Passwort länger als 20 Zeichen, kann dieses auch weniger abwechslungsreich gestaltet sein.
In der Praxis sieht es allerdings komplett anders aus, denn viele verwenden nicht nur einfach zu knackende Passwörter, sondern dieses Passwort auch noch für die unterschiedlichsten Konten und Anwendungen. Zur Generierung eines sicheren Passworts können verschiedene Tools verwendet werden, wie zum Beispiel von Google. Außerdem ist es möglich, die Passwörter in einem Passwortmanager zu speichern. Dies ist für all diejenigen interessant, die Probleme haben, sich das Passwort zu merken. Auch in Chrome können Passwörter sicher gespeichert werden.
6. Gästebucheintragungen und Kontaktformulare durch Captcha-Abfragen schützen
Zu den beliebtesten Angriffspunkten zählen auch Kontaktformular und Gästebucheintragungen. Aus diesem Grund sollten diese gesichert sein. Eine einfache Möglichkeit, um sich vor automatisierten Hackerangriffen zu schützen, sind die sogenannten Completely Automated Public Turing test to tell Computers and Humans Apart – kurz Captchas.
7. Sicheren Benutzernamen auswählen
Ähnlich wie bei dem Passwort, sollte auch ein sicherer Benutzername gewählt werden. Standards wie Admin, Administrator oder der Klarname sind einfach zu erraten. Besser ist es auf komplexere Namen zurückzugreifen, wie zum Beispiel mit der Erweiterung um eine Jahreszahl oder einem zusätzlichen Kürzel. So ist es Hackern schwerer, in das System einzudringen.
Eine Antwort
Meine Erfahrungen mit negativen Hacks sind vielfältig und vllt. auch aufgrund der langen Erfahrungszeit seit Erfindung des WWW etwas tiefgründiger.
Die Essenz daraus: Gegen einen echten Cracker gibt es keine Sicherung.
Selbst wenn alles aktuell und abgesichert ist, wenn alle Logins noch so gut sind – die sind in Sekunden drin. V.a. die genannten Standard Apps sind da unsicherer als eine 20 yo Website aus unbekanntem Eigenbau-Code.
Gegen die feigste Form des Angriffs, DDoS, gibt es ohnehin kaum Schutz. Wir mussten auf einer von mir betreuten, großen Mediensite Angriffe abwehren, die sogar Cloudflare nicht mehr allein wegstecken konnte. Zugriffe, welche über 100 Mio. Mal intensiver waren, als jene, von denen man so liest, weil sie gegen bekannte Websites gerichtet waren.
Abhilfe: Sich einen (der sehr wenigen) dagegen spezialisierten Hoster suchen. Ok, das macht aber eher nur für größere, exponiert stehende Projekte Sinn.
Noch ein bisschen Senf zu 1, 2 und 3:
Ja, Aktualisieren ist wichtig und schützt vor den meisten möglichen Problemen, aber nicht vor allem.
Über 75 % der Probleme auf den 21 dzt. betreuten Sites kamen durch Updates von Plugins. Plugins, welche beim Hersteller (z. T. auch mit dessen Wissen!) kompromittiert wurden und dieser Schadcode verteilt sich dann im WP Ökosystem.
Abhilfe: ALLES neue vorher auf Staging/lokaler Entwicklungsumgebung testen!
Backups sind die beste IT-Lebensversicherung, klar. Doch 2 Dinge wären noch wichtig:
A: Die Wiederherstellung üben!!! Letzteres macht leider fast keiner und im Schadensfall “geht das Backup nicht zum zurückkopieren”
B: Backups verteilen. Nicht nur am selben Server lagern, sondern mindestens nochmal lokal und in der Cloud.
(Dazu vllt. auch noch Vollsicherungen und Differentialsicherungen fahren.)
Diese pessimistische Sichtweise eines alten Webworkers soll jetzt nicht dazu verleiten: “dann ist ja eh alles wurst, wenn die dennoch einbrechen können und man sich mit Updates Extra Ärger einhandeln kann”. Nein.
Bitte, all die vom Autor genannten Sachen sind wichtig und sollten Mindeststandard sein! Das hält 95 % der Probleme ab.