Als Websitebetreiber sind Sie grundsätzlich für Ihre Webanwendungen selbst verantwortlich. Wird Ihr System als gehackt gemeldet, müssen Sie die Sicherheitslücken umgehend schließen. Reagieren Sie nicht oder zu spät, kann Ihre Webseite aus Sicherheitsgründen von Ihrem Hosting–Anbieter gesperrt werden. Schützen Sie sich und machen Sie Ihre Webpräsenz sicherer – wir zeigen Ihnen wie es geht!
Die Zeiten, in denen Internetpräsenzen aufwendig programmiert werden musste, sind schon lange vorbei. Die meisten Webseiten basieren heute auf Webanwendungen, in die man einfach Inhalt einfügen kann. Diese Programme – allgemein auch Web-Apps genannt – sind für bestimmte Anwendungsbereiche zugeschnitten: Es gibt Content-Management-Systeme, Blog- und Forensoftware, E-Commerce-Lösungen, Bildergalerien, Wikis, Groupware, Kalender, Social Networking und vieles mehr. Durch Erweiterungsoptionen wie zum Beispiel Plug-Ins oder Komponenten lässt sich der Funktionsumfang der jeweiligen Web-App individuell erweitern.
Viele Web-Apps und Erweiterungsoptionen sind zudem als kostenlose Open-Source-Lösungen verfügbar und millionenfach im Einsatz. Doch gerade diese Beliebtheit macht sie zu einem bevorzugten Ziel für Hackerangriffe, die dabei gezielt Schwachstellen ausnutzen. Zum Beispiel um:
- Phishing-Seiten einzuschleusen, über die man Zugangsdaten/Bankdaten erlangen möchte
- Webseitenbesucher zum Download von versteckten Viren und Trojaner zu verleiten (drive-by download)
- eine Seite zum Spamversand zu missbrauchen, mit der Folge, dass die IP diese Seite auf einer Blacklist landen könnte
- Uvm.
Die Entwickler steuern gegen und veröffentlichen regelmäßig Updates, um bekannte Schwachstellen sofort schließen zu können.
Tipp 1: Halten Sie Ihre Webapplikationen immer aktuell
Zwei der beliebtesten Open-Source-Anwendungen sind WordPress und Joomla. Schaut man sich einmal die Installationen an, sind die Zahlen alarmierend. So sind zum Beispiel 3 von 4 WordPress-Installationen überaltert. Bei Joomla sieht es noch dramatischer aus: Teilweise laufen über 90 % aller Joomla-Webseiten mit einer veralteten Joomla-Version.
Halten Sie Ihre Webapplikationen deshalb aktuell! Ab WordPress 3.7. gibt es die Möglichkeit, Updates automatisiert im Hintergrund ausführen zu lassen. Wenn Sie diese Funktion deaktiviert haben, sollten Sie Ihre WordPress-Version kontinuierlich manuell überprüfen und aktualisieren.
Tipp 2: Regelmäßig Updates von Plug-Ins und Erweiterungskomponenten
Plug-Ins und sonstige Erweiterungsmodule sind in der Regel eigenständige Programme. Das heißt: Durch ein Update der Web-Anwendung werden diese nicht automatisch mitaktualisiert. Hacker wissen das und nutzen für ihre Angriffe oft gezielt Sicherheitslücken in Plug-Ins und Erweiterungsmodulen.
Mitte des Jahres war davon zum Beispiel das beliebte WordPress-Plug-In All in One SEO betroffen. Diese und weitere Schwachstellen wurden zwischenzeitlich selbstverständlich beseitigt.
Aber All One SEO ist bei weitem nicht das einzige WordPress-Plug-In, das schon einmal zum Sicherheitsrisiko geworden ist: ob Kontaktformulare, Kommentarfunktionen, Newsletter etc., praktisches jedes Plug-In kann zum Ziel für Hacker werden.
Auch bei dem ebenfalls weitverbreiteten Content-Management-System Joomla sind die Erweiterungen – Components genannt –beliebte Angriffsstellen. In der Vergangenheit mussten durch Updates zum Beispiel Sicherheitslücken des File Managers eXtplorer und des Content-Editor JCE geschlossen werden. Die Liste der betroffenen Joomla-Components ließe sich beliebig erweitern.
Aktualisieren Sie deshalb Ihrer Plug-Ins und Erweiterungskompontenten regelmäßig! Bei WordPress und Joomla können Sie diese Updates bequem über das Dashboard ausführen.
Tipp 3: Sichern Sie Daten, Datenbanken und Systemdateien
Wenn Ihre Webseite gehackt wurde, ist es meist zu spät. Wichtige Daten und Einstellungen, die sich auf dem betroffenen System befunden haben, können dadurch unwiederbringlich zerstört sein. Auch Systemdateien werden teilweise durch Updates überschrieben. Das ist besonders ärgerlich, wenn Sie zum Beispiel individuelle Theme- oder Template-Anpassungen vorgenommen haben. Bei WordPress betrifft das hauptsächlich die folgenden Dateien: index.php, style.css und wp-config.php, während bei Joomla-Template-Änderungen vor allem die Dateien index.php, template.css und template_rtl.css angepasst werden.
Führen Sie deshalb regelmäßig ein Backup der Daten, Datenbanken und Systemdateien Ihrer Webanwendung durch. Für WordPress-Installationen gibt es dafür beispielsweise das kostenlose Plug-In BackupWordPress bzw.das kostenpflichtige Tool Backwpup-Pro. Beliebte Backup-Tools für Joomla sind: Akeeba Backup, Easy Joomla Backup und – speziell für Joomla Datenbanken – LazyDbBackup.
Host Europe-Kunden mit einem Shared Hosting-Produkt (Webhosting, WebServer) haben zudem die Möglichkeit, über das Administrationstool (Das Kunden-Informations-System – KIS) ein kostenloses Backup durchzuführen.
Tipp 4: Verwenden Sie sichere Passwörter
Über Passwortsicherheit ist bereits so viel geschrieben worden, dass die Verwendung sicherer, komplexer Passwörter eigentlich eine Selbstverständlichkeit sein sollte. Doch praktisch werden häufig immer noch Passwörter verwendet, die von Hackern einfach zu knacken sind. Ein sicheres Passwort sollte mindestens 8 Zeichen oder mehr enthalten. Verwenden Sie Klein- und Großbuchstaben, Zahlen und Sonderzeichen gemischt und vermeiden Sie Ausdrücke, die in einem Wörterbuch zu finden sind. Zur Generierung eines sicheren Passworts können Sie auch ein Tool nutzen, wie z.B. den kostenlosen Passwort-Generator von GaiJin.
Tipp 5: Vermeiden Sie typische Benutzernamen
Neben einem sicheren Passwort sollten Sie auch einen Benutzernamen wählen, der nicht einfach zu erraten ist. Verwenden Sie statt den Standards „Administrator“, „admin“ oder Ihrem Klarnamen lieber komplexere Benutzernamen, z.B. durch Erweiterungen mit Jahreszahlen oder zusätzlichen Kürzeln etc. Auf diese Weise machen Sie es Hackern doppelt schwer, in Ihr System einzudringen.
Tipp 6: Sichern Sie Kontaktformulare und Gästebücher durch Captcha Abfragen
Äußerst beliebte Angriffspunkte für automatisierte Angriffe auf Ihre Webseite sind Kontaktformulare und Gästebücher. Diese sollten Sie daher besonders absichern. Eine einfach und praktische Möglichkeit, um sich vor automatisierten Anfragen zu schützen, sind Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart.) Achten Sie bei der Recherche nach Erweiterungsoptionen am besten direkt darauf, ob diese entweder schon ein Captcha enthält oder ob ein passendes Captcha Plug-In zur Verfügung steht.
Tipp 7.–9: Erweiterte Sicherheitsvorkehrungen für Experten
Neben den vorgestellten Basic-Tipps gibt es natürlich noch weitere Vorkehrungen, die Sie treffen können, um Hacking und das Einschleusen von Schadprogrammen zu unterbinden.
- Erstellen Sie einen eigenen Zugriffsschutz für den Administrationsbereich mittels .htaccess oder verwenden Sie für die Zugriffsverwaltung ein Administrationstools wie das Kunden-Informations-System (KIS) von Host Europe – nur für Host Europe-Kunden mit einem Shared Hosting-Produkt (Webhosting, WebServer, WebServer, BlogHosting) möglich
- Optimieren Sie die Rechtevergabe für Ihre Dateien und Verzeichnisse
- Unterbinden Sie die Ausführung von PHP-Dateien in bestimmten Verzeichnissen
Die Umsetzung dieser Tipps erfordert allerdings einige Vorkenntnisse. Informationen zum speziellen Vorgehen bei Shared Hosting-Produkten von Host Europe finden Sie in folgenden FAQ-Artikeln:
Wie schütze ich meinen WordPress-Blog vor Hacking?
Wie schütze ich meine Joomla Webseite vor Hacking?
10. Prüfen Sie regelmäßig, ob Ihre Seite gehackt wurde
Wie Sie sehen, können Sie sehr viel tun, um Ihre Webseite zu schützen. Aber selbst die besten Vorkehrungen können Ihnen keine 100% Sicherheit vor Hacking bieten. Als Websitebetreiber merken Sie oft gar nicht oder zu spät, dass Ihre Webseite gehackt wurde. Deshalb sollten Sie Ihre Webseite regelmäßig prüfen. Im Netz gibt es eine ganze Reihe kostenloser Tools, mit denen Sie Ihren Webauftritt auf Manipulationen checken lassen können oder Ihre Webseite direkt zu regelmäßigen Überprüfungen anmelden können. Zum Beispiel:
InitiativeS vom Verband der deutschen Internetwirtschaft e.V. (eco)
Oder der freie Online-Service virustotal
Seite gehackt? Was tun?
Ihre Seite wurde gehackt? Dann sollten Sie schnell handeln, sonst riskieren Sie, dass Ihre Webseite unter Umständen vom zuständigen Hosting-Provider gesperrt wird. In den beiden folgenden FAQ-Artikeln haben wir Ihnen für den Fall der Fälle Erste-Hilfe-Tipps speziell für WordPress- und Joomla-Anwendungen auf Shared Hosting-Produkten von Host Europe zusammengestellt.
Mein WordPress Blog wurde gehackt – was kann ich tun?
Meine Joomla Webseite wurde gehackt – was kann ich tun?
Sie haben weitere interessante Tipps zum Thema Hacking und wie man seine Webseite schützen kann? Dann schicken Sie uns einen Kommentar!