Würden Sie in Ihrer Firma Ihr Lager oder Ihre Bürotür stets offen lassen? Das Beispiel ist vergleichbar mit Ihrer „unaktualisierten Webseite“. Wenn Sie Ihre Webseite und Ihr System nicht regelmäßig aktualisieren, können ungebetene Gäste einfach hinein.
Alle Content Management Systeme, Blog-Systeme, Wikis etc. bieten in unregelmäßigen Abständen sicherheitsrelvante Updates an. Desweiteren gibt es regelmäßige Updates, um neue Funktionen zu liefern und um bekanntgewordene Sicherheitslücken zu schließen.
Da sich das worldwideweb und die Technik dahinter so rasant entwickeln, kann es sein, dass alleine WordPress im Monat drei Sicherheitsupdates erhält. Sobald ein Sicherheitsupdate veröffentlich wird, wissen nicht nur die Admins der Webseite, dass Sie tätig werden müssen sondern auch Hacker wissen, wo Sie Ihren Schraubschlüssel genau ansetzen müssen. Das bedeutet, wenn man in Verzug gerät, können Hacker relativ einfach auf Ihre Webseite zugreifen.
Kritisch wird es, wenn auf Ihrer Webseite kundenspezifische Daten eingegeben werden und in einer Datenbank gespeichert werden. Das können z.B.E-Mail Adressen (für die Anmeldung der Newsletter) oder vom Nutzer hochgeladene Lebensläufe sein. In diesem Fall ist es grob fahrlässig, die Seite nicht ausreichend zu betreuen.
Was heißt Update?
Ein Update ist nicht so einfach, wie es oft vermittelt wird. Da heißt es dann „Auf Knopfdruck“ und schon erstrahlt das System in der aktuellsten Version und man ist beruhigt. Dabei sind ja auch Plugins bzw. Extensions mit in der Installation integriert und müssen oft vorab auf die Kompatibilität der neuen CMS Version getestet werden. Daher ist es sinnvoll, mit einer gespiegelten Entwicklungsumgebung zu arbeiten und die neue Version vorab zu testen.
Abb. 1: WordPress Update
Je größer die Sprünge der Versionen sind, desto aufwendiger, komplizierter und auch teurer ist es. Beispielsweise ein Update von TYPO3 – 4.5 auf 6.2. ist sehr komplex (Achtung, in diesem Fall hat TYPO3 aufgrund der umfangreichen neuen Features die Verson 5 gleich übersprungen).
Wie gelangt Schadcode auf meine Seite?
In einer Studie (Q1, 2016) von der Sucuri Remediation Group [httpss://sucuri.net/website-security/website-hacked-report ] wurden über 10.000 Webseiten auf ihre Sicherheit überprüft.
Auch wenn WordPress als eines der am meisten genutzten Content Management Systeme weltweit auf dem ersten Platz der gehackten Webseiten steht, hat es meist wenig bis überhaupt nichts mit der Keranwandung des Systems zu tun. Sondern vielmehr mit den zahllosen Erweiterungen, Modulen, Templates und den vielen Themes, die es heute für das CMS gibt.
Über die bekannten Sicherheitslücken in zum Beispiel Plugins oder Extensions, kann Maleware, Schadcode oder ein Virus auf die Webseite eingeschleust werden. Auch ist es möglich, dass das FTP Passwort, über einen Trojaner auf dem PC gehackt wurde.
Oft schleichen sich die verschiedenen Maleware Familien über eine PHP basierte Hintertür. Dank dieser Hintertür konnten sich die Angreifer einen längerfristigen Zugang nach der Infektion sichern und somit noch mehr Schaden an den Dateien verursachen.
Sollten Sie feststellen, dass Ihre Seite das Ziel eines Angriffs gewesen ist, sollten Sie mit Ihrem Hoster Kontakt aufnehmen. In der Regel kann hier genaustens gescannt werden, welche Dateien infiziert sind und wie hoch der Schaden ist. Nicht selten, wird die Seite gleich vom Hoster gesperrt, bis die Dateien beereinigt wurden oder ein Backup eingespielt wurde.
Scheckliste für den Schutz des Content Management Systems
Einen 100%igen Schutz gibt es nicht. Aber die Möglichkeiten eines Hackerangriffs kann minimiert werden. Dafür gibt es folgende Tipps:
- System und die Komponenten immer aktuell halten. Damit ist das Kern CMS und die zusätzlichen Plugins gemeint. Aber auch den eigenen Rechner sollte man nicht außer acht lassen. Das Betriebssysten, Java, Viren Software etc. sollte stets aktuell gehalten werden.
- Sichere Passwörter und untypische Benutzernamen. Passwörter sollten mindestens 12 Zeichen habe, darunter Groß -und Kleinbuchstaben, Zahlen und Symbole. WordPress selber verbietet beim Anlegen eines neuen Nutzers den Namen „admin“. Bauen Sie sich einen einfachen Benutzernamen zusammen: z.B. vornamenachname_itw
- Sichern Sie Ihr Gästebuch und oder Kontaktformular mit Hilfe von Captchas. So haben automatisierte Bots keine Chance, SPAM zu produzieren.
- System häufig sichern – Wenn es einmal einen Hackangriff gab, sind viele Systemdateien unbrauchbar. Es ist fast nicht möglich, die betroffenen Dateien zu reinigen. Daher ist es sinnvoll regelmäßige Backups zu machen
Die Aktualität eines CMS bedeutet nicht nur Sicherheit
Sie bedeutet nicht nur Sicherheit, sondern auch neue Funktionen und bessere Möglichkeiten um die Webseite für das Publikum attraktiver. Es bedeutet auch Neuerungen, um den Redakteuren das Leben angenehmer zu machen.
Was können wir für Sie tun?
Bei Fragen rund um Ihr Content Management System, stehen Ihnen unsere Webentwicklungsspezialisten gern zur Verfügungen. Kontaktieren Sie uns noch heute. Kontaktieren Sie uns noch heute.