Sicherheit bei Internetseiten

Internetseiten im Allgemeinen werden immer häufiger Ziel von Angriffen. Automatisiert wird versucht Schadsoftware einzuschleusen, die wiederum dann häufig weitere Viren verteilt. Im schlimmsten Fall an die ahnungslosen Besucher von ganz normalen Internetseiten.

Betroffen hiervon können grundsätzlich alle Internetseiten sein. Auch statische Internetseiten können Sicherheitslücken enthalten. Vermehrt werden jedoch Angriffe auf beliebte und weit verbreitete Content Management System (CMS) registriert. Besonders Joomla und auch WordPress werden in diesem Zusammenhang genannt. Der Grund hierfür ist einfach, je mehr Internetseiten ich mit automatisierten Attacken angreife, desto wahrscheinlicher ist, dass Internetseiten dabei sind die nicht aktuell gehalten werden und bereits bekannte Sicherheitslücken enthalten. Weit verbreitete CMS wie Joomla und WordPress sind daher nicht besonders unsicher, sondern bieten aufgrund ihrer weiten Verbreitung ein großes Angriffsziel.

Zum Beispiel gibt es im Internet noch Millionen von Internetseiten die auf Joomla 1.5 basieren. Und das, obwohl diese Joomla Version bereits seit Mai 2012 abgekündigt ist. Das bedeutet, dass es keinen Langzeitsupport für diese Version mehr gibt. Bei neu entdeckten Sicherheitslücken werden diese also nicht mehr von den Entwicklern geschlossen. Dies bietet Hackern natürlich paradiesische Zustände, sie brauchen nur nach den entsprechenden Softwareversionen suchen und können dann bekannte Sicherheitslücken ausnutzen.

Ein weiteres in letzter Zeit aufgetretenes Sicherheitsproblem mit Joomla und WordPress besteht in der mangelhaften Sicherung der Zugangsdaten. Da die Login Adresse der meisten CMS Systeme allgemein bekannt sind, ist es auch hier ein leichtes für Angreifer automatisiert mehrere Millionen von Benutzernamen/Passwort Kombinationen auszuprobieren. Lautet der Benutzername dann vielleicht „admin“ und das Passwort „12345“ lädt man Angreifer förmlich ein. Auf diese Art und Weise wurden Tausende von Internetseiten in den letzten Wochen gehackt.

Beide Beispiele zeigen jedoch, dass es oftmals nicht an dem beliebten Content Management System liegt, wenn ein System gehackt wird. Grund hierfür ist häufig die Sorglosigkeit der Seitenbetreiber.
Wie kann man sich also schützen? Es sollte regelmäßig darauf geachtet werden, aktuelle Updates sowohl des CMS als auch der verwendeten Module und Plugins einzuspielen. Sobald eine Version abgekündigt wird, sollte ein großes Update der Internetseite geplant werden. Da diese Zeitpunkte bereits vorab feststehen, lässt sich dies im Allgemeinen sehr gut planen.

Sowohl Joomla als auch WordPress bieten eine hohe Sicherheit, wenn Benutzernamen und Passwörter sinnvoll gewählt werden, und die Systeme aktuell gehalten werden. Gleichzeitig gibt es weitere Möglichkeiten sich sinnvoll gegen Hackerangriffe zu schützen. Sehr sinnvoll ist zum Beispiel die Initiative des Verbands der Internetwirtschaft ECO. Mit Unterstützung des Bundesministeriums für Wirtschaft und Technologie wurde unter der Adresse www.initiative-s.de eine Plattform geschaffen, auf der jeder Websitebetreiber seine Internetseite kostenlos auf unbemerkte Manipulationen untersuchen lassen kann.

13. Juni 2013 von Peter Embscher