[vc_row full_width=“stretch_row“ css=“.vc_custom_1518267880395{margin-bottom: 70px !important;background-color: #ffffff !important;}“][vc_column][vc_row_inner css=“.vc_custom_1516124521409{background-color: #ffffff !important;}“][vc_column_inner width=“1/12″][/vc_column_inner][vc_column_inner width=“10/12″][vc_empty_space height=“95px“][vc_column_text]

So kommen Sie zu einer sicheren Website

Man mag meinen, die Probleme hören niemals auf. Vor 2 Jahren schrieb ich viel über Website Sicherheit, worauf sich viele Neukunden meldeten und mir Ihre Probleme schilderten. Aus Erfahrung weiß ich, das viele Webseiten Betreiber sich schwer tun, oft mangelt es auch an einem Handfesten Sicherheitskonzept.

Und immer ist es in den Medien zu lesen. Die Website wurde gehackt oder 1000 Websites alleine in Deutschland sind unsicher, ein mancher Website Betreiber mag schon einmal schnell den glauben daran verlieren, das eine Website Sicherheitsstrategie, auf Dauer nicht die richtige Lösung sei. Ich möchte Sie jedoch vom Gegenteil überzeugen. Viele Websites werden dann gehackt, wenn Sie einfach darauf loslegen, ein Internet Business aufbauen möchten, aber dann nichts weiter tun, um die Sicherheit zu verbessern.

Ein Website Hack kommt trotz Update

Wenn Kunden mich anrufen, ist das Erste was Sie mir mitteilen, dass Sie Ihre Websites doch stets nach dem Allgemein gültigen Wissen, doch aktualisiert haben, und Google die Website trotzdem als gehackt einstuft. Viele Website Betreiber Googeln schlicht nach der eigenen Domain, und spätestens dann, fällt Ihnen der Website Hack auf.

Oftmals rufen Website Betreiber bei uns an und teilen uns mit, das lediglich teile Ihre Website, das heißt vereinzelte Links oder Produkte in Ihrem Onlineshop als Attackierend bei Google gemeldet sind. (Bei diesem Beiden Merkmalen erfahren Website Betreiber davon, das Ihre Website durch Hacker gehackt und übernommen wurde.)

Aus unserer Erfahrung lässt sich sagen, dass in beiden Fällen Schadsoftware, oftmals in Form von Trojanern auf der Website untergebracht wurden. Die Trojaner werden auf der Website nach einem Hack installiert, da diese noch von keinem Anti Viren System erkannt werden. Auch Google nutzt eigene Sicherheitssysteme um zu erkennen, ob eine Website gehackt wurde oder nicht. Mit der Zeit werden die Signaturen der Websites allerdings auch erneuert und irgendwann wird die Website dann für Google als gefährlich eingestuft. Bis dies allerdings soweit ist, hat die eigene Website womöglich schon tausende wenn nicht gar zehntausende Besucher mit Schadsoftware infiziert, ohne das Sie das tatsächlich mitbekommen haben.

Welche Systeme sind betroffen und welche Angriffe sind auf Website erfolgt?

Nach unserer Statistik kann gesagt werden, dass das Magento CMS System wohl eines der gefährdeten Shopsysteme ist. Hacker lieben Magento, gefolgt von WordPress und Drupal. Eigene Entwicklungen trifft es ebenso regelmäßig.

Durch welche Angriffe wurde in den letzten 3 Jahren in Websites eingebrochen?

Auf die letzten 3 Jahre bezogen, und nach den Meldungen die uns Neukunden mitteilten, zeichnet sich folgendes Bild ab:

  • Ein ungesichertes Backend (Zugang zur Login Seite)
  • Es wurden Exploits verwendet, für die es noch kein Update gab
  • Es wurden Cross Site Scripting Angriffe durchgeführt

Sicherheitsprobleme für die das CMS nicht verantwortlich war

Ein Website Betreiber schaut in aller Regel zuerst auf die Anwendung, das heißt auf das Content Management System. Wenn er merkt, das irgendwas nicht stimmt, liegt es sicherlich an den Einstellungen der entsprechenden Anwendung. Im Fall Shopware kann gesagt werden, das Shopware ein relativ sicheres CMS System ist, da nur sehr wenige Shopware Hacks gemeldet werden Nach einer Forensischen Untersuchung stellt sich oftmals im Fall Shopware heraus, das der Angreifer gar nicht über das CMS eingebrochen ist, sondern über die FTP Verbindung. Das FTP Passwort wurde schlichtweg via SSH mittels Brute Force Attacke ermittelt.

Administrative Fehler: Server Administration

Administrative Fehler sind die zweit häufigste Ursache für Website Hacks. In der Vergangenheit hatten wir bereits mehrere Agenturen als Kunde und immer wieder stellte sich heraus, das der Server nicht richtig konfiguriert war. Dazu zählt:

  • SSH Login absichern
  • SSH Port ändern
  • Eine Benachrichtigung bei SSH Login
  • Alle unnötigen Ports sperren und mit Whitelists arbeiten
  • Festplatten Überwachen mit Open Source smartmontools
  • Einsatz von TCP-Wrapper
  • Einsatz von fail2ban
  • Einsatz von Zwei-Faktor-Authentifizierung auch beim Server

Ein großes Problem aus unserer Sicht: Was ist ein Server?

In Gesprächen stellt sich heraus, das Website und Onlineshop Betreiber gleichermaßen, nicht wissen was ein Server ist. Sie nutzen zwar Anbieter die Ihre Anwendungen und Websites Hosten, aber Website Betreiber können mit dem Wort Server wenig anfangen. Ein Betreiber eines Onlineshops zum Beispiel, sieht seinen Magento Onlineshop als Einnahme Quelle, ohne sich einem tieferen Verständnis mit der Server Technik oder der Anwendung selbst anzueignen.

Der Büro Arbeitsplatz

Wenn ein Hacker Passwörter aus Ihrer eigenen IT ausspäht, und diese dann für die Infizierung an der Website, dem Onlineshop einer Anwendung nutzt, dann . war die Ursache ein ungesicherter Computer.

  • Prüfen Sie Ihren Computer, Ihr Notebook und Ihre IT im Büro.
  • Nutzen Sie für diesen Check Kaspersky Rescue Disc
  • Installieren Sie Sandboxie: Nutzen Sie Sandboxie als Sandboox, als eine Art Sicherheitskapsel.

Es steht und fällt letzten Endes alles, mit Ihrer eigenen IT.

Wie Ihre Website und Ihre Anwendung sicherer werden

Lassen wir das Website Hacking einmal komplett weg, und überlegen uns die Ursachen von Website Hacking. Das Problem ist nicht der Angreifer, dass Problem ist oftmals die Unkenntnis des Betreibers über Server-Administration und die Unkenntnis des Betreibers, über Anwendungen die auf dem Server betrieben werden an sich. Ein Website Betreiber muss nicht wissen was Cross Site Scripting, SQL Injektion und weitere Hacking Attacken im einzelnen bedeuten, aber ein Website oder Onlineshop Betreiber sollte seine Anwendungen und Server absichern können. und verantwortungsbewusst mit seinem Kapital umgehen können.

Im Nachfolgenden finden Sie kostenfreie Open Source Lösungen, um Ihre Server und Website abzusichern. Denken Sie bitte nicht nur an die Anwendungen, denken Sie in einem komplettes Sicherheitskonzept.

 

Open Source Tools für Ihre Linux Server

Die Paketquellen und Repertoires eines Linux Betriebssystems auf Ihrem Server. bieten ein großes Angebot um Cyber-Angriffe und Manipulationen zu erkennen. Ein Vorteil für Linux, den so erhalten Sie jede Menge Tools und Werkzeuge Gratis.

Backup
Falls es, trotz aller Vorsichtsmaßnahmen und eingesetzter Tools, zu einem erfolgreichen Angriff kommt, ist eine zuverlässige Backup-Strategie von höchster Priorität.

diff-backup und rsnapshot.

nmap
Mit nmap können Sie offene Ports scannen werden.

debsums
Mit dem Tool debsums können Checksummen von Files, die über Debian Pakete auf dem System installiert wurden, überprüft werden. Checksummen, die nicht mit den bei der Paketinstallation mitinstallierten Files übereinstimmen, können ein Hinweis auf eine Malware-Infizierung sein. Die Binaries von ls und find werden gerne modifiziert um das Rootkit zu verstecken.

etckeeper
Etckeeper stellt vom Grundgedanken her eigentlich eine Versionierungsmöglichkeit des Konfigurationsverzeichnisses /etc/ dar. Änderungen in den Unterverzeichnissen von /etc/ werden mitprotokolliert, wodurch bei einer fehlerhaften Konfiguration eine Vorgängerversion wiederhergestellt werden kann. Da etckeeper eine Benachrichtigungsfunktion per E-Mail mitbringt, kann es auch als Tool zur Erkennung von unerwünschten Veränderungen am Server eingesetzt werden.

tripwire
Das Tool „Open Source Tripwire“ ist ein freies Host-basiertes Intrusion Detection System für kleinere Umgebungen mit wenigen Linux Servern. Es ist ein Tool für Sicherheit und Datenintegrität und wird direkt auf den Hosts zur Alarmierung bei Veränderungen an den Files verwendet.

rkhunter und chkrootkit
Um Rootkits, Backdoors und lokalen Exploits auf die Schliche zu kommen, empfiehlt es sich mehrere Tools wie rkhunter oder chkrootkit parallel zu betreiben.

logcheck
Auffälligkeiten in den Logfiles kann der Administrator manuell per Hand durchsuchen oder an kleine Programme wie logcheck delegieren.

Lynis
Lynis stellt ein Open Source Auditing Tool für viele gängige Unix-basierte Betriebssysteme dar. Damit können auf dem Host automatisierte Sicherheitsevaluierungen durchgeführt werden.

 

Anwendungen wie WordPress, Magento, Drupal und Shopware absichern

Das Schwierige an diesem Teil ist, das wir ihnen mitteilen müssen, das wir dieses Kapitel nicht ganz in einem Artikel unterbringen können. Eine Anwendung abzusichern, das kann schon einmal 4 oder 5 Artikel andauern. Dauer möchten wir Ihnen Stichpunkte an die Hand geben, die Ihnen als Hinweis darauf diesen, was Sie tun sollten um Ihre Anwendungen abzusichern.

  • Problem 1: Keine Authentifizierung
  • Problem 2: Keine Autorisierung
  • Problem 3: Unverschlüsselte Übertragung
  • Problem 4: Ungeprüfte Übernahme von Kundeneingaben
  • Problem 5: Keine Tokens verwenden
  • Problem 6: $_POST als Sicherheitsfeature
  • Problem 7: Unsichere Konfiguration des Webservers oder PHP
  • Problem 8: Klartextpasswörter speichern
  • Problem 9: Kein Vorwissen über mögliche Schwachstellen
  • Problem 10: Session Hijacking
  • Problem 11: Keine automatisch ablaufenden Sitzungen
  • Problem 12: Es werden keine Sicherheitstools für die Anwendung eingesetzt. (Open Source ist kostenfrei)

 

Den Server schützen

Unter Server Härten versteht man in der Computertechnik, die Sicherheit eines Systems zu erhöhen, indem nur dedizierte Software eingesetzt wird, die für den Betrieb des Systems notwendig ist, und deren unter Sicherheitsaspekten korrekter Ablauf garantiert werden kann. Ihr System wird durch das Härten besser vor externen Angriffen geschützt werden.

  • die Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten
  • die Minimierung der möglichen Angriffsmethoden
  • die Beschränkung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Werkzeuge
  • die Minimierung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Privilegien
  • die Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs

 

Sichere Softwarearchitektur und sichere Programmierung

Das Ziel sollte sein, Systemdesign, Software und Software-Entwickler resistent zu machen gegen Designfehler und verbreitete sicherheitskritische „Bugs“, die z.B. von Angriffstechniken wie Cross-Site-Scripting, SQL-Injection oder Cross-Site-Request-Forgery ausgenutzt werden – Methoden, die immer wieder ganz oben auf den Top-Ten-Listen der verbreitetsten Angriffe erscheinen

 

Regelmäßige Wartungen von Server und Anwendungen

Es ist ein bisschen so, als nutzen Sie einen PKW und das über Jahre und würden niemals etwas in die Werkstatt zur Reparatur bringen. Irgendwann ist das Auto kaputt und fährt nicht mehr. Genauso verhält es sich mit Ihrem Server und der Anwendung, sprich Ihren Websites. Aus diesem Grund brauchen Sie einen Wartungsplan.

  • Legen Sie Regelmäßige Wartungsintervalle fest, Strichwort Updates
  • Führen Sie Regelmäßige Server-Sicherheitschecks durch 2x im Jahr
  • Führen Sie Regelmäßige Anwendungsüberprüfungen durch, jedoch mindestens 2 x im Jahr.

 [/vc_column_text][vc_column_text]Kontaktmöglichkeit: Persönliche Beratung

  • Adresse: Breslaustrasse 28
  • 97424 Schweinfurt
  • Anmeldungen unter: +49 (9721) 47 29 099

Beratung am Telefon

Rufen Sie uns an:

  • +49 (9721) 47 29 099

Beratung Vor Ort:

Rufen Sie uns an und vereinbaren Sie einen Termin

[/vc_column_text][/vc_column_inner][vc_column_inner width=“1/12″][/vc_column_inner][/vc_row_inner][vc_column_text css=“.vc_custom_1516066835937{background-color: #000000 !important;}“]

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][/vc_column][/vc_row]