Diesen Freitag gibt es ein Thema beim Webmaster Friday, dass ich nur zu gut aus eigener Erfahrung kenne. Und das aus zwei Richtungen, einmal als Betreiber eines Blogs, und zum anderen während meiner täglichen Arbeit als Web-Developer. Zudem arbeite ich auch noch in einem Bereich (eCommerce), in dem sehr viel Wert auf Sicherheit gelegt wird, da Fehler schnell kostspielig werden können.
In diesem Beitrag konzentriere ich mich auf die Sicherheitsbedürfnisse eines Blogs.
Muss ich mein Blog schützen? Ist doch sowieso nix da, was geklaut werden kann?!
Die Beantwortung dieser Frage hängt stark davon ab, welche Daten in Eurem Blog vorhanden sind und ob Ihr ein kommerzielles Blog betreibt. Schauen wir doch mal genauer hin, wo Hacker Interesse an einem Blog haben könnten.
Angriffsfläche
- Userdaten / Emailliste / Kennwörter
Userdaten sind natürlich besonders begehrt. Vor allem Emailadressen. Wer Blogs mit sensiblen Themen betreibt, sollte da noch vorsichtiger sein.
Wenn Emailadressen zusammen mit Kennwörtern bekannt werden, dann ist das der GAU. Viele Benutzer verwenden nur eine Emailadresse und nur ein Kennwort, und das auch noch schlecht gewählt. Wenn ein Angreifer das herausbekommt, kann er auch gleich noch die Konten auf allen anderen Plattformen knacken, die die gleiche Emailadresse und das gleiche Kennwort haben. Wie wär’s mit dem Twitter account. Oder Facebook. Oder Xing. Oder, oder, oder…
Passt also auch auf, in welche Hände Ihr die Verwaltung der Email-Liste legt. Sollte schon ein renommiertes Unternehmen sein, die geeignete Schutzmaßnahmen bereitstellen zum Schutz der Email-Liste. - Manipulation der Artikel/Links
Würde bestimmt ein cooler Effekt sein, wenn man auf einen Link in einem Eurer Artikel klickt, und man kommt ganz woanders hin, als das ursprünglich erfasst worden war. Wenn jemand Zugang zu einem Blogbenutzerkonto bekommen hat, dann können mehr oder weniger unbemerkt Änderungen an Artikeln vorgenommen werden, die erst viel später auffallen. - Blinde Zerstörungswut oder der Reiz des Verbotenen
Manche Hacker wollen einfach nur Zerstören oder herumstöbern in fremden Daten. Ist einfach so. - Kontodaten bei eCommerce Anwendungen
Das ist natürlich der finanziell schlimmste Fall, wenn Kontodaten / Kreditkarteninformationen bekannt werden. Nicht gut. Wer solche Daten selber speichert, muss alle erdenklichen Sicherheitsmaßnahmen ergreifen, um sie zu schützen. Da gibt es kein drumherum. Wer das selber nicht leisten kann, sollte diesen Bereich unbedingt auslagern in vertrauensvolle Profihände.
Hacker klauen eben nicht nur Daten, sondern sie verändern/manipulieren auch Daten und zerstören Daten.
Gegenmittel
100% schützen kann man sein Blog nicht. Die verwendete Technik und die Abwehrmaßnahmen sind immer einen Schritt hinter den Möglichkeiten der Hacker zurück.
Was kann der Blogbetreiber tun? Was kann mit wirtschaftlich vertretbaren Mitteln gemacht werden, um die Angriffsfläche zu verkleinern?
Das fängt schon bei der Wahl des Providers an. Wieviel Aufwand betreibt der Hoster beim Thema Sicherheit? Wie steht es mit Backups? Größere Hoster haben (hoffentlich) einen Stab von Administratoren, die sich unter anderem auch um Updates von Systemsoftware kümmern, die Firewall richtig konfigurieren können und evtl. sogar Blogbetreibern Hinweise auf Sicherheitsmassnahmen geben können. Das wird aber sicher nicht im Billigprogramm zu haben sein.
Wahl der Blogsoftware: Hier setze ich persönlich ganz auf Wordpress. Es ist einfach eine ausgereifte Software, und wenn einmal Sicherheitslöcher auftreten, dann werden sie auch schnell mit einem Update geschlossen. Das führt dann gleich zum nächsten Punkt, den Updates.
Updates: Das A und O, wie bei Windows. Updates sollten sofort installiert werden, zumindest, wenn sie Sicherheitslöcher stopfen. Dazu muss man natürlich auch regelmäßig kontrollieren, ob Updates vorhanden sind. Updates betreffen hier sowohl die Blogsoftware (also in meinem Fall Wordpress), als auch das verwendete Theme oder die Plugins. Vor allem bei den Plugins versuche ich welche zu verwenden, die häufig updaten, also aktive Entwickler haben. Da habe ich zumindest das Gefühl, dass Sicherheitslöcher schnell behoben werden, wenn sie bekannt werden. Nicht gepflegte Plugins werden eben auch nicht im Sicherheitsbereich gepflegt. Da ist dann leider etwas Rechercheaufwand nötig, wenn man bei den Plugins auf der sicheren Seite sein will.
Verwendete Plugins: Hier können natürlich relativ schnell Sicherheitslöcher entstehen, da die Pluginhersteller nicht unbedingt immer die Sicherheit an oberster Stelle ihrer Featureliste haben. Meist ist es eben so, dass zuerst die Funktionen eingebaut werden, und dann auf die Sicherheit geachtet wird, wenn überhaupt. Wird schon alles gutgehen. Das ist jetzt etwas über einen Kamm geschoren. Es gibt natürlich auch hochprofessionelle Plugins die zudem sicherheitstechnisch auf dem neuesten Stand sind. Hobbyprogrammierer sind da mit Sicherheit überfordert. Es ist einfach ein enormer Zeitaufwand, sich auf dem Laufenden zu halten.
Sicherheits-Plugins: Es gibt eine Reihe von Wordpress Plugins, die zusätzliche Sicherheitsfunktionen einbauen. Das geht über Firewallfunktionen über Login Kontrolle und zusätzlichen Logfiles bis zu Spamfiltern und Backupfunktionen. Hier sind die Plugins, die ich einsetze (ich nenne die Liste, obwohl das eigentlich auch schon ein Sicherheitsrisiko ist)
Antispam Bee: Spamschutz
Login LockDown: Schutz vor automatisierten Loginversuchen.
Redirection: Hier vor allem die Logdateien zu den 404 Fehlern interessant. Was da alles zu lesen ist…
WP-DBManager: Verwende ich für Backups.
Wordpress Firewall: Läßt nicht jeden Mist ans Blog.
WP-SpamFree: Noch ein Spamschutz. Kann man nie genug von haben.
Regelmäßige Backups: absolutes Muss. Wenn Sicherheitslöcher zu spät gestopft wurden, und der Schaden schon da ist, dann hilft oft nur noch ein Backup einzuspielen. Du hast doch ein aktuelles Backup Deiner gesamten Blogdaten, oder? Und Du hast sicher auch schon getestet, dass sich das erstellte Backup auch zum Wiederherstellen verwenden läßt, oder? Hast Du doch? Gesamte Blogdaten heißt: Alle Dateien vom Rootverzeichnis abwärts. Plus die Datenbank.
Regelmäßige Pflege der Kommentare: Kommentare werden gerne gespamt. Ein Muss ist hier ein Spamschutz, z.B. mit AntiSpamBee oder Akismet oder WP-SpamFree. Hat bei mir schon einige hundert Spamkommentare vor der Veröffentlichung bewahrt, und das in nur drei Monaten Blogleben (ich verwende AntiSpamBee und WP-SpamFree und bin damit sehr zufrieden).
Sowenig Daten wie möglich speichern: Das fällt in den Bereich: Angriffsfläche verkleinern. Wenn keine Daten da sind, die es zu klauen gilt, dann muss man sich an der Stelle auch nicht mit dem Schutz befassen. Also: so wenig wie möglich klauwürdige Daten speichern. Gespeicherte Daten müssen geschützt werden, wo nötig. Kennwörter dürfen nicht in Klarschrift in der Datenbank zu sehen sein.
Administratorkonto umbenennen: Wer als Administrator zutritt zum Blog erhält, kann alles damit machen. Alles. Darum ist hier besondere Vorsicht geboten. Am besten einen Benutzer einrichten mit Administratorrechten (darf nicht “admin” heißen), und hinterher den ursprünglichen Admin löschen. Zusätzlich einen normalen Editor einrichten, unter dessen Account dann die Artikel geschrieben werden. Das Administratorkonto tritt so nach aussen hin nicht in Erscheinung und ist wirklich nur für administrative Zwecke. Das heisst dann, dass ein Angreifer schon erst den Namen des Administratorkontos herausbekommen muss, um darauf Zugriff zu bekommen. Wenn der admin heißt (oder administrator), dann braucht sich der Angreifer nur noch um das Kennwort zu kümmern. Angreifern das Leben schwer machen ist die Devise.
Erstellen von Benutzern beschränken: Wenn nicht die die Art des Blogs es unbedingt nötig macht: Das Erstellen von Benutzern verbieten. Wenig Benutzer, wenig Probleme mit den Nutzerdaten (spricht deren Emailadressen und Kennwörter).
Systembenutzerrechte setzen / .htaccess konfigurieren: Zu diesem Thema kenne ich mich nicht so aus, aber es gibt diverse Artikel im Netz, die sich damit befassen. Einfach mal hier einlesen.
Kennwörter: Sollte “strong” sein, und man sollte es regelmäßig alle 30 Tage wechseln. Ich weiss, das ist doof. Wenn man es nicht macht, ist die Chance, dass jemand das Kennwort herausbekommt, eben größer. Hier gibt es z.B. einen Artikel zum Thema Kennwortsicherheit.
OWASP: Was issn das? Wer sich professionell mit Softwareentwicklung im Webbereich beschäftigt, kommt nicht drum herum, für die Sicherheit des geschriebenen Codes zu sorgen. Die Website von OWASP ist eine gute Anlaufstelle für Informationen dazu. Achtung, wer sich weiter einliest, bekommt das kalte Grausen, wenn einem klar wird, mit welchen Methoden Hacker versuchen, Schaden anzurichten. Hacker sind *sehr* erfinderisch!
So, der Artikel ist nun vielleicht etwas düster geworden. Ist aber auch wirklich kein witziges Thema. Spätestens, wenn es einen schon mal erwischt hat. Mein GMail Account ist schon einmal gehackt worden (obwohl mein Kennwort nicht gerade leicht zu erraten ist). Mein Blog, obwohl erst drei Monate alt, ist mehrfach Angriffsversuchen ausgesetzt gewesen, von SQL Injection attacks bis zu comment spam. Das Firewall Plugin hat immerhin einmal Alarm geschlagen. Wenn man sich keine Gedanken darüber macht, schläft man vermutlich besser. Zumindest, bis die ersten seltsamen Dinge auf dem Blog passieren. Dann hat man am besten ein Backup zur Hand. Ihr habt doch eins, oder?
Das waren meine 
dazu.
Verwandte Artikel:
Loading ...