Opolo04
Themenersteller
Neuling (3 Beiträge)

Webseite vor Angriffen schützen

am 27.05.2015, 11:02 Uhr eröffnete Opolo04 folgenden Thread
Sicherheit    1543 mal gelesen    3 Antwort(en).

Hallo,

neulich hat es den Blog von meinem Kumpel erwischt. Er hatte wohl seit längerer Zeit keine Updates mehr für WordPress gemacht und seine Seite wurde gehackt.

Was kann man denn außer regelmäßigen Updates noch zur Vorbeugung machen?


matthes
Avatar matthes
Foren Moderator
Evil Genius
Content Halbgott (973 Beiträge)
am 27.05.2015, 13:46 Uhr schrieb matthes

Richtige Dateirechte setzen, Benutzereingaben validieren, ...

Das Thema ist sehr vielfältig.
Prinzipiell sollte man sich nicht überschätzen, beispielsweise einen Server anmieten, wenn man von Serveradministration höchstens etwas Ahnung hat - wenn die Grundlagen schon falsch laufen, lädt man Eindringlinge geradezu ein.
Nur tun, was man auch wirklich tun kann. Zwar ist viele Software heutzutage ausgesprochen simpel zu installieren, aber das führt letztlich nur dazu, dass jeder ohne ausreichendes Wissen seinen eigenen Internetauftritt bastelt.

Wenn man lediglich der Endnutzer ist und von Servermechanismen, den Codinggrundlagen und generell der Internetstruktur nichts oder nur wenig weiß, sollte man aktiv betreute Software verwenden, wie Wordpress, Joomla und Co. Dort werden Fehler von der aktiven Community schnell gefunden, gemeldet und behoben.
Dann sind Sicherheitsmeldungen als Newsletter oder RSS-Feed abonnieren, um auch wirklich zeitnah von nötigen Updates zu erfahren - es bringt wenig, wenn man nur alle paar Monate mal ein Update einspielt, weil man zufällig daran gedacht hat.
Schließlich gibt es zu jeder dieser Softwares Sicherheitsanleitungen, die man befolgen sollte. Kritische Ordner separat sichern oder außerhalb des Docroot ablegen, beispielsweise. Tutorials findet man haufenweise.

Backups sind auch wichtig, aber man darf nicht vergessen, dass man damit wahrscheinlich auch die Sicherheitslücke wiederherstellt, wenn sie nach einem Hackangriff verwendet werden. Also muss man gründlich suchen, woher der Angriff kam - deshalb am besten nur Hoster verwenden, die in dem Bereich entweder viel Hilfe anbieten oder Logs zur Verfügung stellen. Wenn man attackiert wurde, ist es wichtig, die Ursache zu finden - kann man das nicht, braucht man seine Seite gar nicht erst wiederherzustellen...

Als jemand, der seine eigene Seite erstellt, Plugins programmiert oder auf andere Weise mit PHP und ähnlichem herumspielt, muss man sich grundlegend über Sicherheit informieren und prinzipiell allem misstrauen, das von außerhalb an das Skript herangetragen wird. Wirklich allem. Validieren, prüfen, escapen - das wird zu oft vernachlässigt. Manchmal ist es aber genau eine klitzekleine Stelle, die dafür sorgt, dass Angreifer problemlos ein System übernehmen können. Der Login, eine Suchfunktion oder ein Bestellformular - alles sicherheitskritische Punkte, die viel zu oft nur mäßig gesichert sind.

Wie Du siehst, ist das Thema umfangreich.
Es ist praktisch unmöglich, in einem Beitrag alle Fälle abzudecken, weil es ganz speziell auf Benutzer und Software ankommt.
Wenn Du nur eine Seite bei einem kostenlosen Hoster oder 1-Klick-Webseitenbaukasten hast, reicht es, ein sicheres Passwort zu wählen. Wenn Du ein eigenes Servercluster betreibst und beispielsweise Seitenreport hostest, solltest Du etwas gründlicher arbeiten.


Make Seitenreport great again!

bibagg
Neuling (5 Beiträge)
am 28.05.2015, 14:20 Uhr schrieb bibagg

Ich schließe mich da Matthes Meinung an. Vor allem kommt es darauf an, um welche Art von Webpräsenz es sich handelt. Als Administrator eines Servers ist die ganze Sache natürlich aufwendiger, als wenn man nur ein Webspacepaket hat oder lediglich einen Homepagebaukasten nutzt. Zusätzlich zu den ausführlichen Tipps hier im Forum kannst du ja auch mal noch den Artikel hier unter www.hosttest.de/artikel/webseite-gehackt-was-tun-1062.html durchlesen. Da wird auch auf das Thema eingegangen und du erfährst worauf du achten musst. Auch für Wordpress speziell gibt es ettliche Guides im Internet zu finden, die Schritt für Schritt das Vorgehen zur Absicherung der Webseite erklären.



Hauptsache man befasst sich mit dem Thema überhaupt und versucht die gängigsten Methoden umzusetzen. Damit ist schonmal viel für die Sicherheit getan.


matthes
Avatar matthes
Foren Moderator
Evil Genius
Content Halbgott (973 Beiträge)
am 28.05.2015, 14:44 Uhr schrieb matthes

bibagg schrieb:
www.hosttest.de


Ist das Deine Seite...? Das ist schon der zweite Link dieses Anbieters, den Du hier platzierst. Wenn es Deine ist, wäre mehr Transparenz schön.

bibagg schrieb:
Hauptsache man befasst sich mit dem Thema überhaupt und versucht die gängigsten Methoden umzusetzen. Damit ist schonmal viel für die Sicherheit getan.


Sehe ich anders. Sich damit zu befassen und eine Umsetzung zu versuchen reicht bei weitem nicht aus. Der Versuch muss gelingen, sonst hat man nichts erreicht. Was bringt es, wenn man sich stundenlang theoretisch mit dem Thema befasst, die eigene Seite aber nach wie vor offen steht wie... Hm... Wie etwas, das weit offen steht.

Zur Not muss man eben ein paar Euro hinlegen und jemanden beauftragen.


Make Seitenreport great again!

  • 1


« zurück zu: Sicherheit

Das Seitenreport Forum hat aktuell 5276 Themen und 36111 Beiträge.
Insgesamt sind 48364 Mitglieder registriert.