Security-Check: Ist deine Website noch sicher?

In letzter Zeit kommt es wieder verstärkt zur Ausnutzung von Sicherheitslücken innerhalb von bestehenden Websites. In der Regel handelt es sich hierbei um vermeidbare Angriffe, welche durch veraltete Software-Versionen zustande kommen.

Wie bei einer guten Bank, einer Wohnung, einem Haus oder sonstigen zu schützenden Gütern, müssen Sicherheitsvorkehrungen ständig geprüft, verbessert, erneuert und vor allem auf dem neuesten Stand gehalten werden, um vor möglichen Angriffen geschützt zu sein. Falls du ein CMS (Content Management System) für deine Website verwendest, so stellt dieses das Herzstück deiner Website dar, ohne das nichts läuft. Deshalb sollte dein CMS ebenso wie das menschliche Herz gepflegt und gesund gehalten werden, da sonst Angriffe durch Krankheiten oder im Falle einer Website durch Hacker sehr wahrscheinlich und auf Dauer unvermeidbar werden.

Doch wie genau kann man seine Website gegen Hacker schützen?

Diese Frage zu beantworten ist gar nicht so einfach, da man im Grunde jedes System knacken kann, wenn man es darauf anlegt. Bei den gehackten Websites von kleinen sowie mittelständischen Unternehmen legt aber niemand einen großen Wert darauf immense Zeiten zum Entdecken einer Sicherheitslücke und zum Ausnutzen dieser zu investieren. Bei den gehackten Websites handelt es sich in der Regel eher um Open-Source CMS-Systeme wie Typo3, WordPress, Joomla, Drupal oder ähnlichen, welche mit einer alten Software-Version laufen, in der Sicherheitslücken bereits bekannt sind. Ebenso werden oft Sicherheitslücken von veralteten MySQL-Datenbanken, PHP-Versionen, Erweiterungen und Plugins ausgenutzt. Eine bekannte Sicherheitslücke zur Integration von Schadcode in eine Website zu verwenden, ist dann lediglich eine Sache von wenigen Minuten und wird von kleineren Hackern schnell ausgenutzt. Die Hacker durchsuchen das World Wide Web in der Regel nach Websites mit bestimmten Softwareversionen und entsprechenden Sicherheitslücken und finden binnen Minuten etliche Seiten, welche sie dann nur noch nacheinander „durchhacken“ müssen.

All diese Sicherheitsmängel sind relativ einfach zu vermeiden, indem man die Software-Versionen der Website immer auf dem neuesten Stand hält. Teilweise ist das bei sehr alten Websites nur schwer oder nicht möglich und man muss über einen Website-Relaunch nachdenken oder aufwendige Anpassungen auf aktuelle Software-Versionen in Erwägung ziehen. Aktuell ist das Thema wieder sehr wichtig, da zum Ende des Jahres bzw. zu Beginn des kommenden Jahres die PHP-Versionen 5.6 sowie 7.0 auslaufen und nicht mehr verwendet werden sollten. Man sollte deshalb schon jetzt entsprechende Maßnahmen in Betracht ziehen, um nicht im neuen Jahr mit einer gehackten Seite und immensen Kosten dazustehen. Mehr zum Thema veralteten PHP-Versionen erfahrt ihr in einem Blogbeitrag von mir.

Welche Sicherheitsvorkehrungen kann ich zum Schutz meiner Website treffen?

Natürlich ist die beste Sicherheitsvorkehrung die Website sowie alle dafür benötigten Softwarepakete und -erweiterungen auf dem neuesten Stand zu halten und regelmäßig die Aktualität zu prüfen oder sich über Updates automatisch informieren zu lassen. Für manche Unternehmen oder kleinere Websitebetreiber wird das jedoch auf Dauer nicht so einfach, da Sicherheitsupdates auch fehlschlagen können oder man einfach keine Zeit für regelmäßige Wartungsarbeiten hat und die Seite somit potentiell gefährdet ist.

In der Regel legen die meisten Provider in regelmäßigen Abständen Sicherungen von deiner Website an. Zum Teil ist die Wiederherstellung von solchen Backups jedoch mit Kosten verbunden und es wird bei manchen Providern lediglich der Webspace gesichert. Das heißt bei etwaigen Angriffen, die zum Beispiel auch die Datenbank betreffen, haben sie bereits Probleme die Website nach einem Angriff wiederherzustellen. Es empfiehlt sich daher entsprechende Erweiterungen zu installieren, welche regelmäßige Backups deiner kompletten Website inkl. der Datenbank anlegen oder sich mittels Cron-Jobs einen eigenen Sicherungsmechanismus zu programmieren.

Neben dem Anlegen von Sicherungungen empfiehlt es sich zudem Sicherheitsplugins und Erweiterungen in deine Website zu integrieren. Diese Plugins können verschiedene Funktionen bieten, wie etwa die Blockierung von IPs, welche als Angreifer indetifiziert werden oder dem Senden von Info-Mails über neue Aktualisierungen die für deine Website verfügbar sind.

Welche Schritte sollte ich als nächstes in Betracht ziehen um meine Website abzusichern?

  1. Prüfe ob Deine Website auf einem CMS basiert oder rein mit PHP und/oder HTML entwickelt wurde.
  2. Sollte deine Website ohne CMS auskommen und aus statischen Seiten bestehen, kannst du die Websitedaten einfach sichern und diese ggf. bei einem Angriff wieder einspielen. Solltest du hingegen ein CMS verwenden, rate ich dir umgehend die Version des CMS in Erfahrung zu bringen, was immer über das Backend, also den Login-Bereich deiner Website, möglich ist.
  3. Prüfe die Version deines CMS und gleiche diese mit der neuesten existenten Version ab. Die neueste Version kannst du über die Website deines CMS in Erfahrung bringen kannst. Auf der Website steht in der Regel auch bis zu welchem Zeitpunkt sicherheitsrelevante Korrekturen bei welcher Versionsnummer umgesetzt werden und welche Versionen du nicht mehr verwenden solltest.
  4. Prüfe zusätzlich die verwendete PHP-Version deiner Website, eine Anleitung hierzu findest du hier. Deine Website kann aktuell gerne noch mit der PHP-Version 5.6 oder 7.0 laufen, sollte das ab nach Möglichkeit nicht mehr oder zumindest nur noch für diese Jahr.
  5. Stelle sicher ob dein Provider Sicherungen deines Webspace durchführt und ob hiervon auch die Datenbank betroffen ist.
  6. Sollte dein Provider alle Websitedaten sichern, kannst du dich gerne selbst daran versuchen die PHP-Version sowie die CMS-Version und alle installierten Erweiterungen, Plugins, Templates und Co. auf den neuesten Stand zu bringen.
  7. Solltest du mit deinem Latein am Ende sein, kontaktiere mich gerne. Bei kleineren Fragen stehe ich dir kostenfrei zur Verfügung oder berate dich unverbindlich zu Sicherheitsmaßnahmen, welche deine Website langzeitig absichern können.

Ich freue mich auf deine Anfrage und wünsche dir ansonsten viel Erfolg bei der Absicherung deiner Website.

Und denkt immer dran: Eure Haustür lasst ihr auch nicht offenstehen, da das Eindringen in Eure vier Wände ebenfalls sehr teuer werden kann und im schlimmsten Fall existenzgefährdend werden kann 😉

Beste Grüße und eine gute Woche
Euer Simon