Web Development Agentur Schweiz

Tipps einer Web Development Agentur zum Schutz gegen Hackerangriffe

Schützen Sie sich gegen Hackerangriffe!

Autor: Egzon Cekaj
Datum: 23.09.2020
Lesezeit: ca. 6 Minuten

Ein nicht kleiner Teil des täglichen Lebens findet mittlerweile Online statt. User besuchen Webseiten mit Informationen und manch einer stöbert im Onlineshop nach den neuesten Angeboten. Andere sind in sozialen Netzwerken unterwegs und nahezu alle Medienunternehmen sind auf der Jagd nach neuen Kunden. In den Unternehmen wiederum werden Cloud-Dienste und Onlinebanking genutzt und auch das klassische Meeting wird durch Onlinesitzungen ersetzt. Die Welt könnte so schön sein, wäre da nicht die unbemerkte permanente Bedrohungslage durch Hackerangriffe. Der ein oder andere wird sich sicherlich fragen, was wollen die eigentlich? Wie ein wirksamer Schutz umzusetzen ist und was eine Web Development Agentur tun kann, dazu alles im nachfolgenden Artikel.

Ein kleiner Rückblick auf einen grossen Hackerangriff

OneLine-Web-Development-Agentur-750x-750x

Wir schreiben das Jahr 2001. Ein Trojaner namens NIMDA macht von sich reden. Computerzeitschriften schreiben ganze Seiten voll und die Netzwerkadministratoren verbringen schlaflose Nächte. Denn NIMDA zerstört keine Hardware und klaut keine Bankdaten. Stattdessen platziert er sich unauffällig auf ungesicherten Webservern und Webseiten. Seine Funktion war so einfach wie genial. Das Programm öffnete den kompletten Zugriff für jeden. Dabei verteilte sich NIMDA sehr strukturiert über alle Länder hinweg. Der Name des Trojaners rückwärts gelesen heisst ADMIN.

Es entstand eines der effektivsten Botnetze seiner Zeit. Es haben sehr viele daran verdient. Unzählige Datenbanken, Adressen und Datenbestände fluteten die Netze und kaum einer kannte die Empfängeradresse. Diesen Trojaner wieder loszuwerden war jedoch einfach. Das Programm musste einfach nur gelöscht werden. Die Funktionsweise kommt jedoch sicherlich vielen bekannt vor. Denn so unangenehm ein Hackerangriff auch ist, die Technologie hinter diesen kleinen Programmen findet sich oftmals in unseren Smartphones und Desktop-Computern wieder.

Wie ein Hackerangriff auf einer Webseite bemerkt wird

Jede Software und Webseite hat ihre Schwachstelle. Ob nun ein Content Management System wie WordPress oder Typo3 verwendet wird oder innerhalb der Webseite falsch konfigurierte Zugriffsrestriktionen vorhanden sind. All dies berücksichtigen die Hacker. Zudem sind solche Angriff geplant und auch oft differenziert vorgenommen. So finden sich auf gehackten Webseiten andere Schadprogramme als bei einem Onlineshop.

Verhaltensweise einer angegriffenen Webseite

Hier wird der Webseitenbesucher oft auf andere Webseiten gelenkt oder es öffnet sich ein Pop-Up Fenster mit einem Warnhinweis und einer Verhaltensregel. Befolgt der Nutzer die Anweisung, steht der Computer, Smartphone oder Tablet im Fokus des Angreifers. Mittlerweile erkennen auch Suchmaschinen den platzierten Angriff und warnen den User mit einem Sicherheitshinweis auf eine mögliche Bedrohungslage.

Verhaltensweise eines gehackten Onlineshops

In diesem Fall verhält sich die Schadsoftware unauffällig im Hintergrund. Denn hier geht es um das Abgreifen von Geldbeträgen. Je nachdem, in welchem Bereich die Schadsoftware abgelegt ist, kann die Suchmaschine diese nicht erkennen. Allerdings finden sich immer Hinweise darauf, dass etwas nicht stimmt. Wird die Webseitendarstellung plötzlich sehr langsam oder es öffnen sich nicht zu erwartende Browserfenster, dann ist Vorsicht geboten. Gleiches gilt auch für die Begleichung des Zahlbetrags. Wer bei einem schweizer Onlineshop einkauft und die Bankverbindung befindet sich am anderen Ende der Welt. Dann sollte jeder den Betreiber des Shops anschreiben und fragen, ob dies seine Richtigkeit hat.

Die Verantwortung der Webseitenbetreiber

Lange Zeit wurden die Webseitenbetreiber nicht in die Haftung genommen, wenn ihre Webseite gehackt wurde. Diese Einstellung hat sich mittlerweile seitens der Justiz komplett gewandelt. Befindet sich auf einer Webseite eine Schadsoftware die einem anderen einen Schaden zufügt, ist der Webseitenbetreiber haftbar. Das Argument der Ahnungslosigkeit bezüglich Einrichtung und Konfiguration einer Webseite zieht nicht mehr vor dem Gericht. Es sei denn, der Angriff erfolgte intern beim Webhoster und breitete sich dann auf die gehosteten Webseiten aus.

Angesichts der zahlreichen Hackerangriffe auf Webseiten und das fehlende Wissen der Webseitenbetreiber. Ist es eine gute Idee die Installation und Wartung einer Webseite den Profis zu übertragen. Für diesen Zweck steht eine Web Development Agentur wie OneLine Marketing in der Schweiz zur Verfügung.

Tipps zum Schutz einer Webseite und eines Online Shops

Natürlich gibt es auch für Webseiten softwarebasierte Sicherheitsprogramme. Diese haben aber einen elementaren Nachteil. Durch den permanenten Schutz sind Zugriffe stark verlangsamt. Zudem kommt es auf die verwendete Software an, die für die Darstellung der Website zuständig ist. Mittlerweile befinden sich auf unzähligen Seiten Installationen von Content Management Systemen (CMS) wie WordPress, Joomla! oder Typo3. Es gilt hier vor allem den Zugriff auf Datenbanken zu verhindern.

Wichtige Tipps zur Sicherheit von Content Management Systemen

Seit vielen Jahre erfreuen sich CMS basierte Webseiten einer wachsenden Beliebtheit. Die Installationen schnellen seit Jahren nach oben und damit natürlich auch die Gefahr gezielter Hackerangriffe. Denn die Schwachstelle der einen Webseite ist auch die Schwachstelle der anderen Webseite. Eine Websoftware wie WordPress hat in der Erstinstallation schon über 2.000 Dateien und 250 Ordner. Ist auch nur an einer Stelle die Berechtigung falsch gesetzt, ist dies ein Einfallstor für Hacker.

Ein weiteres Angriffsziel sind die Zugangsdaten zur SQL-Datenbank. Diese Daten liegen nicht nur bei WordPress in Klarschrift im Root-Verzeichnis der Webseite. Es ist die bekannte Konfigurationsdatei wp-config.php. Daher müssen die Zugangsdaten ausgelagert werden. Hierzu wird in der Datei ein Textstring mit einem Zeiger gesetzt, wo die Konfigurationsdaten zu finden sind. Der Speicherort der Datei ist dabei so zu wählen, dass er eine Ebene höher als das Root-Verzeichnis liegt. Weiterhin gilt natürlich die Maxime, Plugins und Themes nur aus vertrauensvollen Quellen zu beziehen.

Für die Prüfung der korrekten Berechtigung stehen Erweiterungen zur Verfügung, die eine WordPress-Installation überprüfen. Natürlich muss der Webseitenbetreiber wissen, wie eine Berechtigungsvergabe vorzunehmen ist. Ein weiteres Sicherheitsrisiko ist die Datei wp-login.php. Hierüber gelangt üblicherweise der Verwalter der Webseite in das Backend von WordPress. Aber auch diese Datei steht immer wieder im Fokus der Hacker. Abhilfe schafft hier eine Umbenennung der Login-Datei. Gib ihr einfach ein Fantasiename, wie etwa 12345.php, und benenne die wp-login.php um. Danach mit einem Editor die Datei öffnen und die „Suchen und Ersetzen“ Funktion aufgerufen. Es wird nun gesucht nach wp-login.php und ersetzt durch 12345.php. Dann nur noch speichern und schon gibt es ein Problem weniger. Diese Probleme sind teils schwierig selbst zu lesen, denn dafür gibt es eine Web Development Agentur wie OneLine.

Wichtige Tipps zur Absicherung von ganzen Webseiten, Ordnern und Dateien

Mit der Datei .htaccess steht eine der stärksten Instrumente zur Abwehr von Hackerangriffen zur Verfügung. Jedoch muss der Dateiinhalt fehlerfreie Konfigurationsanweisungen beinhalten. Festgelegt wird mit der .htaccess wer auf welche Inhalte zugreifen darf und welche Dateien geschützt sind, unabhängig ihrer Berechtigung. Die Liste der Anweisungen, die in einer .htaccess-Datei gesetzt werden können, ist lang. Es genügt aber oftmals nur eine Zeilenanweisung und ein ganzer Ordner ist geschützt. Auch Content Management Systeme wie WordPress legen hier Codezeilen ab. Weiterhin können ganze IP-Adressräume vom Seitenzugriff ausgeschlossen werden. Dies bietet sich immer dann an, wenn ein Hackerangriff von einer gleichbleibenden IP-Adresse erfolgt. Weiterführende Informationen finden sich bei einer Web Development Agentur, wie beispielsweise der Agentur OneLine.

Wichtige Tipps zur Absicherung eines Online-Shops

Je nachdem welche Shop Software in Gebrauch ist, sind unterschiedliche Sicherheitsstrategien vorzunehmen. Besonderes Augenmerk ist auf kostenfreie Shop Angebote zu legen. Wie bei den CMS-Versionen sind die Zugangsdaten zur MySQL-Datenbank in Dateien abgelegt. Eine gute Shop Software zeichnet sich dadurch aus, dass im Softwarepaket eine Anleitung der zu vergebenden Zugriffsberechtigungen vorhanden ist.

OneLine-Web-Development-Agentur-1200x-328x

Erkennen und beheben einer Webseitenmanipulation nach einem Hackerangriff

Ein Hackerangriff hinterlässt immer seine Spuren. Weist eine Webseite plötzlich ein seltsames Verhalten auf oder es erscheinen ungefragt Werbefenster, ist vermutlich ein Programmcode in eine Datei eingefügt worden. Dieser oftmals kleine Programmcode befindet sich dann entweder am Anfang oder am Ende der Programmdatei. Fachleute sehen dies mit einem Blick. Es müssen dann sofort alle auf dem Webspeicherplatz vorhandene Dateien und gegebenenfalls angeschlossene Datenbanken überprüft werden. Im weiteren Verlauf muss untersucht werden, wie es zum Einschleusen des Codes kam. Selbstverständlich sind auch alle Zugangsdaten unverzüglich zu ändern. Bei einem eingeschleusten Code genügt oftmals diesen aus der Datei zu löschen.

Die Wahl des richtigen Webhoster

Nicht immer ist das günstigste Angebot eines Hosters auch gekoppelt mit notwendigen Sicherheitsmechanismen. Denn vor allem im Businessbereich werden neben der Websoftware auch Monitorsysteme zur Überwachung der Webseitenzugriffe mit installiert. Dazu sind bestimmte Voraussetzungen notwendig, die sich auf Speicherplatz und Zugriffsberechtigungen beziehen und im Einzelfall auch eine Änderung im DNS möglich ist.

Kleinere Unternehmen dagegen verfügen oftmals nicht über die Ressourcen einer effektiven Webseiteneinrichtung und der Überwachung. Dies übernehmen dann Dienstleister wie OneLine, eine Web Development Agentur in der Schweiz. Dort sind die Mitarbeiter entsprechend geschult und verfügen über Fachwissen seitens der Einrichtung und Absicherung einer Webseite.

Auch wenn ein Hackerangriff einen gewissen Charme mit sich bringt, haben nahezu alle Angriffe nur ein Ziel: Geld zu erwirtschaften zum Schaden eines Dritten.