Close

Hacke deine Webseite bevor es Hacker tun!

Ist deine Webseite sicher? Diese Frage lässt sich mit einem professionellen Webseiten Schwachstellen Scanner von Acunetix schnell beantworten.
Schwachstellen-Scan

Wer einen eigenen Internet-Auftritt hat, steht automatisch im Visier von Hackern. Zudem läuft man ständig Gefahr, empfindliche Bußgelder zu riskieren. Bislang hatten Bruce-Force-Angriffe keine Chance gehabt, sich dieses Blog unter dem Nagel zu reißen. Dennoch – eine Spur von quälender Unsicherheit begleitete mich: Hat mein Blog mögliche Sicherheitslücken? Ist meine Webseite ausreichend vor Eindringlingen geschützt? Dieses empfindliche Thema schiebt man gerne vor sich hin.

So lange bis etwas passiert.

Dann wird es richtig teuer!

Eine gehackte, infizierte oder anderweitig unsichere Webseite hat zahlreiche negative Folgen. Aber selbst wenn man sich in Sicherheit wiegt, kann jederzeit ein Angriff erfolgen. So wurde auch Felix Beilharz letztes Jahr Opfer von Cyberkriminellen. Seinen Bericht kannst du hier nachlesen. -> Website gehackt- was nun? 

Mein Blog gehört mir! Unbefugte haben hier keinen Zutritt!

Wenn du meine Beiträge schon länger liest, weißt du genau, dass ich in der Vergangenheit schon einige Böcke geschossen habe.

Wie sagt man so schön? Nur aus  Erfahrung wird man klug!

Die Sicherheit meines Blogs liegt mir sehr am Herzen.

Um diese Sicherheit auch künftig zu gewährleisten, würde ich meine Seele verkaufen, habe ich Wolfram Lührig von der Agentur Wolfspress beauftragt, die monatlichen Backups zu erledigen. Zudem ist er mein fester Ansprechpartner, wenn Fragen oder Probleme mit dem Blog auftauchen.

Ist meine Webseite ausreichend gegen Hacker und DDos Angriffe geschützt?

Die Frage ist jetzt nicht mehr, dass man nach Lust und Laune überprüfen kann, ob alles in Ordnung ist.

Vielmehr ist es die Tatsache, dass Online-Händler, Unternehmer und werbetreibende Blogger nach den neuen Anforderungen des § 13 Abs. 7 TMG dazu verpflichtet sind, ihre IT-Systeme fortlaufend zu überprüfen und nach aktuellem Stand der Technik abzusichern. Das verlangen die in der breiten Öffentlichkeit immer noch relativ unbekannten neuen Anforderungen des IT-Sicherheitsgesetzes nach § 13 Absatz 7 des TMG (Telemediengesetz) aus dem Jahr 2015.

Webseitenbetreiber sollten von daher entsprechende Sicherheitsmaßnahmen berücksichtigen, zumindest aber darauf achten, dass:

  • Updates der eingesetzten Software-Versionen zeitnah eingespielt,
  • Angriffe auf den Web-Server durch Firewall- und Intrusion Detection Systeme erkannt und entsprechend blockiert und
  • Web-Applikationen mit Zugriff auf Datenbanken vor der Freigabe differenzierten Penetrationstests unterzogen werden.

Dies bedeutet im Klartext: Die Sicherheit und Datenschutz steht an oberster Stelle! Bei Nicht-Beachtung drohen Abmahnungen und Bußgelder in Höhe von bis zu 50.000 Euro.

Viele Webseiten sind nicht individuell programmiert, sondern nutzen standardisierte Webanwendungen, die millionenfach im Einsatz sind. Dazu gehören beispielsweise Content-Management-Systeme wie WordPress, Joomla, Drupal und E-Commerce-Lösungen wie Magento, Shopware etc.

Wird eine Webseite gehackt, hat dies negative Folgen

  • Imageschäden und Umsatzverluste durch Ausfall der Webseite sowie Verlust sensibler Daten.
  • Sensible Daten sind in Gefahr (z.B. Kunden-, Bank oder Kreditkartendaten)
  • Stammkunden werden verunsichert /potentielle Kunden abgeschreckt
  • der Hosting-Anbieter wird aus Sicherheitsgründen die Sperrung der Webseite veranlassen
  • verlorenes Vertrauen (Trust) bei Google und anderen Suchmaschinen durch Google Blacklisting
  • Rufschädigung und/oder Schwächung der Konkurrenz (z.B. durch Wettbewerber)
  • Viren und Trojaner können eingeschleust werden

Mit meinem Blog bin ich bei Trusted-Blogs angemeldet und nutze hin und wieder die Chance, mich für spannende Kampagnen zu bewerben. Hier bekam ich kürzlich die Gelegenheit, an der Kampagne von Netwächter teilzunehmen.

NET WÄCHTER (https://netwaechter.de) bietet

  • Schutz gegen modernste Internet-Bedrohungen wie Hacker und DDoS Angriffe
  • Ladezeit-Optimierung für besseres Google-Ranking und Benutzerzufriedenheit
  • Automatische Überwachung der Verfügbarkeit und Ladezeit von Webseiten und Online-Shops
  • Rechtssicherheit durch Erfüllung der Anforderungen des IT-Sicherheitsgesetzes.
  • Automatisches Backup von Webseiten und Datenbanken

Das Geschäftsmodell von Netwächter besteht darin, einfach und effektiv die eigene Webseite oder Online-Shop gegen modernste Internet-Bedrohungen wie z.B. Hacker-Angriffe, DDoS-Angriffe etc. zu schützen. Dabei wird der  Seitenaufbau beschleunigt, um so sein Google-Ranking und die Besucherzufriedenheit zu erhöhen. Somit kann man rund um die Uhr seinen Internetauftritt automatisch überwachen, um bei Problemen alarmiert zu werden und schnell handeln zu können.

Nachdem ich mich ausgiebig über Netwächter informiert habe war mein Interesse geweckt. Es ist immens wichtig, die eventuell möglichen Schwachstellen seiner Website zu kennen.

Anzeige: Dieser Beitrag enthält Werbung.
Der Inhalt und meine Meinung wurden dadurch nicht beeinflusst. Weitere Infos:
http://www.trusted-blogs.com/werbekennzeichnung

Die Kontaktaufnahme mit Netwächter erfolgte recht unkompliziert. Hier habe ich mit Herrn Swjatoslav Cicer, einer der Geschäftsführer von Netwächter, ein sehr angenehmes Telefonat geführt. Auch über Twitter stand ich während des Test mit Herrn Cicer in enger Verbindung. Zugleich habe ich meinen Webmaster in Kenntnis gesetzt, dass derzeit ein Schwachstellen-Report läuft. So konnte ich ganz relaxt den Test angehen. Im Anschluss an diesen Test hat Wolfram Lührig von Wolfspress auch eine Einschätzung dazu. Es bleibt also spannend.

Der Web Security Check

Bevor der Webseiten-Scan gestartet werden kann, erfolgt die Verifizierung der Domain-Inhaberschaft.  Genauso wie bei der Eintragung bei einem Newsletter wird durch die Verifizierung verhindert, dass hier ein Lausbub sein Unwesen treiben will. Insofern kann nur der rechtmäßige Domain-Eigentümer diesen Check in die Wege leiten. Safety First!

Nachdem ich meine Verifikation bestätigt habe, wurde mir von dem System mitgeteilt, dass es gut 48 Stunden dauern kann, bis mein Report fertig ist. Zwischenzeitlich habe ich deutlich mitbekommen, dass recht viele Spam-Kommentare eintrudelten. Alle kamen von einem bestimmten Absender.

Wie schon erwähnt, Swjatoslav Cicer von Netwächter und ich standen während des Test auch über Twitter im engen Kontakt. Auf meine Frage hin, ob die Spam-Kommentare zum Test gehören, kam die Entwarnung:“ Ja, der Bot scannt auch die Formulare..“

Mein Report war kurze Zeit später fertig. Dabei ist mir aufgefallen, dass der Report von Acunetix in englisch ausgearbeitet wurde. Dies ist eigentlich ungünstig, da man als Betreiber seiner Webseite wenigstens das Wesentliche verstehen möchte.

Ich habe in Erfahrung gebracht, dass man bei den Web Schwachstellen (Vulnerabiity) Tools selten deutsche Reports findet, da die internationale CWE Bezeichnungen von Web Lücken etc. auch alle auf englisch sind.

Was ist bei meinem Report herausgekommen?

Es gab einige Schwachstellen, auch wenn diese nicht in den kritischen Bereich fielen. Dennoch wäre es möglich gewesen, über die Benutzernamen der einzelnen Gastblogger Zugang zu meinem Blog zu bekommen. Um Angriffe auf den Admin-Zugang einzuleiten, wird ein Bot-Netz mit einer Spezial-Software auf die betreffenden Websites losgelassen. Die Software von Acunetix prüft dann alle möglichen Passwörter durch – jeweils eins pro IP eines einzelnen Mitglieds-Computers aus dem Bot-Netz.

Wie schon oben erwähnt, habe ich meinen Webmaster von diesem Schwachstellen-Scantest informiert und schickte ihm dem Report zu. Ein paar Tage vorher hatte sich Wolfram mit der Speed Optimierung vom Blog beschäftigt.

Interview mit Wolfram Lührig von Wolfspress

Hallo Wolfram, vielen Dank, dass du dir Zeit genommen hast, dich mit dem Schwachstellen-Scan auseinander zu setzen. Du hattest aus Sicherheitsgründen meinen Account als Admin gelöscht und mir eine neue Identität verpasst. In Kurzform bedeutet das: Jeder, der nun versucht, sich in meinem Blog unter einen falschen Benutzernamen und falschem Passwort einzuloggen, für 60 Minuten gesperrt ist.

Die meisten Angriffe auf Websites mit WordPress versuchen zuerst sich mit dem Nutzer admin anzumelden. Das war (wie bei Windows) lange der Standardbenutzer. Wird also dieser Benutzer verwendet, dann kann man sich nicht optimal schützen. Um solche Attacken abzuwehren, werden alle Aufrufe mit einem nicht existierenden Benutzer sofort blockiert.

Hierbei kann man die Zeit der Blockierung einstellen. Für bekannte Benutzer kann man einstellen, das erst nach drei falschen Login versuchen die angreifende IP blockiert. Dies ist für Seiten mit Mitgliederzugriff gut, da es dort häufiger vorkommt, das mal ein Passwort falsch eingegeben wird. Hier ist eine Beschränkung der Blockadezeit sinnvoll, damit sich die Mitglieder wieder anmelden können, ohne das ein Admin sie wieder freischalten muss.

Welche Schwachstellen aus diesem Report konntest du erkennen und was hast du dagegen unternommen?

Das mit dem Benutzer admin war eigentlich schon die wichtigste Änderung. Dein System war bereits gut abgesichert. Bei den weiteren genannten Dingen handelt es sich zum großen Teil um WordPress spezifische Dinge, die Du als Nutzer nicht einfach verbessern kannst. Hier wird sich sicherlich bei der Weiterentwicklung von WordPress einiges tun. Daher ist es auch so immens wichtig, das Du Dein WordPress System immer auf dem neuesten Stand hälst – also immer alle Aktualisierungen einspielst (Backup vorher nicht vergessen).

Warum ist es wichtig seinen Blog / seine Webseite wie Fort Knox zu sichern?

Immer wieder höre ich von Websites, die gehackt wurden. Dadurch ist WordPress auch etwas in Verruf geraten. Es ist oft so, dass die beliebtesten Systeme auch am meisten mit Sicherheitsproblemen zu kämpfen haben (zum Beispiel auch Windows). Das liegt im Falle von WordPress ähnlich und das Ziel der Hacker sind nicht die Daten der Website, sondern der Zugriff auf den Server und damit die Möglichkeit Spam über den Server zu versenden oder andere Seiten ebenfalls von dort zu attackieren.

Fazit: Sollte Deine Website gehackt worden sein, hast Du super viel Arbeit. Du musst die Lücke finden, durch die der Angriff erfolgte. Du musst eine Sicherung haben, die noch unberührt ist und diese wieder einspielen. Vor allem aber, wenn Du es zu spät bemerkst, kann es sein, das Deine Seite bereits auf dem Index gelandet ist. Dies dann wieder frei zu schalten ist aufwendig.

Welche Tipps kannst du Seitenbetreiber geben, wenn es um die Sicherheit geht?

Das Ganze ist kein einfaches Thema. Es gibt da auch sehr unterschiedliche Meinungen zu und sehr unterschiedliche Plugins. Zwei einfache Maßnahmen sind die Limitierung der Login Versuche und eine Firewall. Ich kann gerne Tipps geben.

 

Was möchtest du meinen Leser zum Schluss noch mit auf dem Weg geben? 

Es gibt wie gesagt sehr unterschiedliche Meinungen zum Thema Sicherheit und auch einiges an Mythen, die sich hartnäckig halten. Hier muss man abwägen, wie groß das Risiko ist und wie aufwendig die Maßnahme. Auch sollte man es Besuchern, Kommentatoren oder Leuten, die mit Dir Kontakt aufnehmen wollen nicht allzu schwierig machen (Capcha …).

Das ist auch an dem Report für Einsteiger das Problem. Es gibt zwar eine Klassifizierung nach High, Medium, Low und Information, aber keine Erklärung wie solche Sicherheitslücken einzuschätzen sind.

Vielen Dank an Wolfram Lührig für dieses spannende Interview.

Ist deine Webseite sicher? 

Wie du aus diesem Beitrag erkennen konntest, ist meine Webseite sehr gut abgesichert. Du möchtest deine Website / Online-Shop auf mögliche Sicherheitslücken überprüfen?

Hier hast du die Gelegenheit, NET WÄCHTER 14-Tage kostenlos zu testen – und einen kostenlosen Test deiner Website oder Online-Shop auf mögliche Sicherheitslücken mit dem Web Schwachstellen Scanner Acunetix  https://netwaechter.de/webseiten-scan zu machen.

Ich bin gespannt auf deine Erfahrung mit Netwächter..

 

 

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die DSGVO-Checkbox ist ein Pflichtfeld.

*

Ja, ich habe die Datenschutzerklärung gelesen