Webseiten-Sicherheit

Falls Sie eine Warnung über eine kompromittierte Webseite erhalten haben, bitten wir Sie umgehend Ihre Passwörter zu erneuern, wie hier beschrieben.

Die Gefahren einer vernachlässigten Webseite

Die eigene Webseite ist eine tolle Möglichkeit, sich der Welt mitzuteilen oder bestimmte berufliche Ziele zu erreichen. Gleichzeitig bringt der Betrieb einer Webseite die Verantwortung mit sich, diese möglichst effizient gegen unbefugte Eindringlinge* und deren Einschleusen von Viren und anderen schadhaften Code (Malware) und Skripten abzusichern. Schließlich verlassen sich Ihre Besucher darauf, Ihre Seite gefahrlos nutzen zu können.

* z.B. Cracker > „Cracker“ ist eine genauere Bezeichnung der umgangssprachlich fälschlicherweise als „Hacker“ bezeichneten kriminellen Eindringlinge in Computersysteme und Webseiten darstellt

Durch eine ungeschützte Webseite drohen unter anderem die folgenden Szenarien. Die Computer Ihrer Webseiten-Besucher werden mit einem Computer-Virus infiziert und

  • als Teil eines größeren Bot-Netzwerk genutzt werden, von dem aus konzertierte Angriffe gegen weitere Rechner gefahren werden
  • durch heimliche Aufzeichnung von Passwort-Eingaben auf Webseiten oder Online-Banking die Privatsphäre oder gar das Vermügen Ihrer Besucher gefährden
  • Schadensersatz- und Haftungs-Ansprüche für Sie als Webseiten-Betreiber nach sich ziehen, wie z.B. ein Fall aus dem letzten Jahr, bei dem durch den Einsatz eines veralteten Plugins die Seite kompromittiert und in Folge dessen ein Streaming-Anbieter angegriffen wurde, dessen Schadensersatz-Klage mit einer Haftungs-Höhe im 6-stelligen Bereich gerichtlich stattgegeben wurde
  • wir sperren Ihre Webseite, falls wir durch die Provider von Angriffszielen hören, die Ihrer kompromittierten Webseite zum Opfer gefallen sind, was durchaus Reputations-schädigend sein kann

Ein etwas prominenteres Beispiel sind die „Panama Papers“ (ein Leak aus 2017), wonach die Daten tausender Steuerflüchtiger in der Datenbank einer veralteten WordPress-Version veröffentlicht wurden.

Anfang 2019 wurden zudem mehrere Millionen Account-Daten diverser Online-Plattformen mit Benutzernamen und Passwörtern über diverse öffentliche Online-Foren zugänglich gemacht. Dass diese Passwörter überhaupt herausgefunden wurden, lag ebenfalls am Einsatz veralteter technischer Komponenten auf den Plattformen, denen diese Zugangsdaten entwendet wurden.

Vorbeugung

Webseiten-Betreiber (auch Webmaster oder Web-Admin genannt) oder die Domain-Inhaber sind dazu verpflichtet, ihre Seiten möglichst frei von Sicherheitslücken sowie Malware wie Trojaner und Viren zu halten. Eine Webseite kann übrigens auch für den Versand von Spam-Mails missbraucht werden.

Als am leichtesten umzusetzende Maßnahme gilt hier ein sicheres Passwort zu verwenden für Ihren Hosting-Account, den FTP-Account, Mail-Account und auch Zugänge in die Webseiten-Verwaltung, z.B. in das Admin-Dashboard von WordPress oder welches CMS Sie auch immer verwenden (Joomla, Contao, Drupal etc.).

Und auch die Webseite selbst muss stets gepflegt und weiter entwickelt werden. Denn es werden ständig neue Sicherheitslücken entdeckt, die meist direkt nach Bekanntwerden von Crackern oder Script-Kiddies versucht ausgenutzt zu werden. Die eigene Webseite und die dort verwendeten Komponenten wie Plugins und Themes müssen also regelmäßig aktualisiert werden. Bei bekannten CMS geht das meistens bequem mit wenigen Klicks.

Notfall

Sollte Ihre Webseite doch einmal kompromittiert sein und diese Seite z.B. für Angriffe auf externe Ziele missbraucht werden, würden unsere System-Administratoren üblicherweise über Beschwerden der Provider der möglichen Opfern erhalten. Nach einer solchen Beschwerde sperren wir die kompromittierte Seite. Um Schäden zu verhindern, die in Folge von Spam-Mail-Bounces, Blacklistings, Browser-Warnungen oder auch der Herabstufung unserer Netzwerke durch externe Stellen entstehen kann, müssen wir zudem die Domain kurzfristig und ohne weitere Verzögerung in Quarantäne setzen.

Was ist genau geschehen?

Vermutlich wurden schadhafte Dateien in Ihren Verzeichnissen hinterlegt oder sogar als Script direkt im Code einer/mehrerer Dateien Ihrer Webseiten eingefügt. Diese Datei oder Script kann Angriffe starten, z.B. Viren, Trojaner oder Keylogger an Webseiten-Besucher verteilen, als Teil eines Botnetzes externe Ziele überlasten, Spam-Mails versenden und noch vieles mehr.

Wie konnte das passieren?

  • Den unerlaubten Zugang zu Webseiten Dateien oder Datenbanken verschaffen sich die Täter häufig über den Account des Hauptbenutzers, seinem FTP-User oder einen vom Kunden angelegten zusätzlichen FTP-User, indem das Kunden-Passwort erschlichen oder abgehört wurde
  • Ein weiteres Einfallstor bietet eine Webseite dann, wenn Sie über einen eigenen Login verfügt, wie bei WordPress oder Joomla und das dortige Passwort nicht sicher ist
  • Veraltete Kontakt-Formulare sind ebenfalls beliebte Angriffsziele
  • Eine der häufigsten Ursachen für einen erfolgreichen Angriff liegt in der Verwendung von veralteter Webseiten-Komponenten. Daher ist es extrem wichtig, Ihre Webseiten und etwaig verwendete Gestaltungs-Vorlagen (Themes) und Funktionserweiterungen (Plugins) regelmäßig auf neue Versionen zu prüfen und die Webseite entsprechend zu aktualisieren

Was muss ich nun tun?

1. Schritt: Ändern Sie Ihre sämtlichen Passwörter: Macbay-Account, FTP-Benutzer und Webseiten-Zugänge
2. Sichern Sie Ihre Webseiten-Dateien und Datenbank-Einträge.
Für Profis:
3. Untersuchen Sie Ihre Webseiten-Dateien nach schadhaften Dateien und Code-Injections und entfernen diese
4. Berichten Sie über Ihre erfolgreich durchgeführten Maßnahmen

Grundsätzlich empfehlen wir allen Webmastern Ihre Webseiten-Installationen regelmäßig zu aktualisieren. Vor dem erstmaligen Aufsetzen einer Webseite gibt es im Netz zahlreiche Empfehlungen von Schutzmaßnahmen für die gängigsten Webanwendungen (WordPress, Joomla etc.). Auch wir werden einen entsprechenden Artikel vorbereiten und hier veröffentlichen.

Könnte nicht auch Macbay die Seiten bereinigen? Ja, seit 2019!

Seit 2019 steht Ihnen über unsere neu gegründeten „mDev“ Abteilung ein Team von erfahrenen Web-Entwicklern, Sicherheits-Spezialisten und Programmierern zur Verfügung, um infizierte Webseiten zu bereinigen, Sicherheitslücken zu schließend und dabei zu helfen, Ihre Seite künftig besser zu schützen.

Schreiben Sie uns in dem Fall über unser Kontakt-Formular und wir werden uns schnellstmöglich mit Ihnen in Verbindung setzen.

Darüber hinaus helfen wir Ihnen – sollten Sie WordPress für Ihre Webseite benutzen – Ihre Seite regelmäßig auf neue Sicherheitslücken zu überprüfen, Ihre Plugins regelmäßig zu aktualisieren und Sie zu benachrichtigen, wenn es Probleme gibt oder Gefahr droht. Bei diesen – und vielen weiteren – Herausforderungen kann Ihr neuer mPress Admin eine große Hilfe sein!

Wir sind als Hosting-Provider in erster Linie für den Betrieb und Sicherheit der Macbay-Plattform, Server und Netzwerk zuständig und unterstützen Sie diesbezüglich über unseren kostenlosen Support. Was über diesen leider nicht abgebildet werden kann, sind weiterführende Dienste, wie z.B. Beratung, Design und auch Programmier-Arbeiten für Ihre Webseite. Solche Leistungen erbringen unsere Kunden i.d.R. aus eigenem Haus oder werden von deren weiteren Dienstleistern übernommen. Die Bereinigung einer Webseite ist üblicherweise Aufgabe des Webseiten-Inhabers bzw. des Programmierers.

Ich erhalte ohne Ende Spam

Wenn Ihre Webseite kompromittiert wurde, sind möglicherweise bereits zahlreiche Spam-Mails von dort versendet worden. Üblicherweise werden nicht alle Mail-Server der Spam-Empfänger solche Mails annehmen. Die meisten weisen die Spam-Mails ab und schicken eine Unzustellbarkeit-Nachricht (Bounce Mails) per „MAILER DAEMON“ an den Absender, welcher in so einem Fall der Mail-Account der kompromittierten Webseite ist.

Diese Bounce-Mails erhält der Betroffene häufig noch Stunden und sogar Tage später, obwohl die Domain bereits gesichert und die Seiten bereinigt wurden. Der Grund dafür ist, dass die abweisenden Mail-Server eine verdächtige Mail nicht sofort abweisen, sondern zunächst prüfen, ob es wirklich eine Spam-Mail ist. Dies kann bis zu 1 Woche dauern, je nach Mail-Provider. In so einem Fall kann man nicht viel tun, außer abwarten, bis die Welle an Bounce-Mails abklingt und die bereits erhaltenen einfach löscht.