ArtikelCMS-Sicherheit: So halten Sie Ihre Website sicher

Die Anzahl der Websites im Internet wächst, ebenso wie der Prozentsatz der Websites, die jedes Jahr gehackt werden. Es könnte ein Bot sein, der versucht, eine bekannte Schwachstelle auszunutzen, oder ein direkter, gezielter Angriff auf Ihr Unternehmen. In jedem Fall sollten Sie davon ausgehen, dass Sie gehackt werden . Diese Denkweise fördert proaktives Verhalten und bessere Praktiken.

Wenn Sie skeptisch sind, dass jemand Ihre Website hacken möchte, dann werfen Sie irgendwann einen Blick auf Ihre Webprotokolle. Sie werden wahrscheinlich Beweise dafür finden, dass jemand oder ein Bot versucht, sich in Ihren Webserver zu hacken. Wenn Ihre Organisation hochkarätig ist, werden Sie vielleicht feststellen, dass dies jeden Tag passiert. Es ist unerlässlich, im Voraus zu wissen, wie Hacks passieren können, was die Auswirkungen sein könnten und wie der Schaden gemindert werden kann. Werfen wir einen Blick darauf, wie sie passieren.

Code-Schwachstellen

Einer der berüchtigtsten Exploits im Internet war eine Schwachstelle in OpenSSL, die als Heartbleed bekannt ist. OpenSSL ist die Softwareschicht, die die Verschlüsselung auf dem Server für sichere Datentransaktionen übernimmt. Heartbleed war es egal, welches Content-Management-System (CMS) Sie verwendet haben, da OpenSSL auf einer niedrigeren Ebene zusammen mit der Webserver-Software arbeitet. Es war ein einfacher Fehler, der von einem sehr qualifizierten Programmierer eingeführt wurde, und es war die Art von Fehler, die jeder hätte machen können.

Das Bemerkenswerte an diesem Fehler ist, dass mehr als zwei Drittel aller sicheren Websites betroffen waren. Trotz mehr als 100 Mitwirkenden an OpenSSL und mehr als 21.000 unterschiedlichen Codebeiträgen wurde diese einfache Schwachstelle fast drei Jahre lang nicht erkannt und gepatcht.

Die beiden neuesten hochkarätigen Exploits, Spectre und Meltdown, nutzten beide Schwachstellen aus, die den meisten modernen Computerprozessoren innewohnen. Sie ermöglichen Benutzern von gemeinsam genutzten Computern (wie Webservern), einen Blick über die virtuelle Mauer zu werfen, die ihre Umgebung von anderen Sites trennt, die auf derselben Hardware ausgeführt werden.

Da die meisten Websites von Dutzenden unterschiedlicher Anwendungen, Millionen von Codezeilen und Tausenden von einzelnen Entwicklern (ohne den Code für Ihre Website selbst) abhängig sind, können wir davon ausgehen, dass es in jedem Betriebssystem, Webserver und CMS Sicherheitslücken gibt und Webseite.

Falsche Konfiguration

Der häufigste Grund, warum eine Website gehackt wird, ist eine schlechte Erstkonfiguration. Viele Website-Administratoren sind einfach nicht sehr erfahren, und es gibt eine Menge zu wissen. Konfigurieren von Benutzern sowohl im Betriebssystem als auch im CMS, Verwalten der Berechtigungen dieser Benutzer, Verwalten von Firewall-Regeln, Webserver-Konfiguration – die Liste lässt sich fortsetzen. Aber all diese Faktoren sind entscheidend für die Sicherheit.

Viele Artikel und Anleitungen decken nur das Nötigste ab, um die Dinge für neue Benutzer einfach zu halten. Das mag für eine Einzelperson oder ein Tante-Emma-Unternehmen in Ordnung sein, aber es ist inakzeptabel für ein großes, börsennotiertes Unternehmen. Auf dieser Ebene sind Hacks nicht nur eine Unannehmlichkeit; sie können schwerwiegende Auswirkungen auf ein Unternehmen haben.

Mangel an Wartung

Wenn Code-Schwachstellen entdeckt werden, werden Patches erstellt und Benutzern wird Zeit gegeben, ihre Systeme zu aktualisieren, bevor die Schwachstelle der Öffentlichkeit bekannt gegeben wird. Leider werden viele Websites nicht regelmäßig gepatcht. Um auf unser Heartbleed-Beispiel zurückzukommen: Mehr als drei Jahre nach der Veröffentlichung des Patches gab es immer noch mehr als 200.000 Webserver, auf denen die alte, anfällige Version von OpenSSL ausgeführt wurde.

Moderne Content-Management-Systeme haben Schichten über Schichten von Anwendungen. Eine typische WordPress-Installation umfasst ein Linux-Betriebssystem, Webserver-Software, PHP, MySQL und eine beliebige Anzahl von Plug-Ins. All diese Dinge müssen ständig überwacht und gewartet werden. Fakt ist, dass viele Dienstleister einfach nicht hinterherkommen.

Menschen, die Menschen sind

Code-Schwachstellen und mangelnde Wartung mögen beängstigend erscheinen, aber sie können im Vergleich zu den Risiken verblassen, die entstehen, wenn Menschen Ihr CMS verwenden. Wir Menschen sind immer das schwächste Glied und der Hauptakteur bei einem gezielten Angriff.

Jeder möchte hilfreich sein und klug erscheinen, was uns von Natur aus anfällig für Social Engineering macht. Bei bestimmten Anfragen sollten die Alarmglocken schrillen, wie zum Beispiel:

• „Hallo, hier ist Bob von der IT.
• „Ich schicke dir ein paar Diagnosetools und …“
• "Sie sind einer unserer Power-User, könnten Sie mir also helfen, indem Sie..."

Leider funktionieren diese Techniken oft bei gefährdeten Personen.

Eine weitere häufige Falle sind schlechte Passwortpraktiken. Werfen Sie einen kurzen Blick auf diese Liste gängiger Passwörter. Kommt Ihnen irgendetwas bekannt vor? Sehen einige davon wie der Stamm Ihres Passworts aus oder verwenden Sie eine ähnliche Technik?

Wenn ja, ist Ihre Lösung nicht einzigartig oder schlau und Sie sollten jetzt Ihre Passwörter ändern! Ein Brute-Force-Angriff beginnt mit einer Liste wie dieser, führt Variationen ein und findet Ihr Passwort möglicherweise innerhalb von Minuten.

Neben arm Passwort Die Wahl besteht darin, denselben über mehrere Standorte hinweg wiederzuverwenden. Wenn Ihr Passwort auf einer Website kompromittiert ist und Sie dieses Passwort an anderen Orten verwendet haben, sind Sie in Schwierigkeiten.

So halten Sie Ihre Website sicher

Wer sagt „Wir können nicht gehackt werden“, fordert das Schicksal heraus, aber man kann die Risiken deutlich minimieren. Hier sind einige grundlegende Sicherheitsvorkehrungen und Prozesse, die Sie einrichten können, um Websites vor böswilligen Akteuren zu schützen.

Gute Sicherheitsgewohnheiten

Es gibt ein paar einfache Dinge, die Ihre Benutzer tun können, um das Risiko einer Kompromittierung ihrer Anmeldeinformationen erheblich zu verringern:

• Verwenden Sie „Phrasen“-Passwörter. Nach Angaben des National Institute of Standards and Technologies Passphrasen sind einprägsamer und sicherer. Passwortanforderungen mit Sonderzeichen und Zahlen sind nicht so effektiv.
• Verwenden Sie einen Passwort-Manager. Ein Passwort-Manager hilft sicherzustellen, dass Sie auf jeder Website eindeutige Passwörter verwenden. Sie können auch Ihre eigenen Kennwortrichtlinien festlegen und durchsetzen.
• Lehren Sie die Kunst des Social Engineering. Geben Sie Benutzern das Wissen, es zu erkennen, während es passiert, und das Vertrauen, es zu schließen, bevor es erfolgreich ist.

Routinewartung

Halten Sie die Software mit Sicherheitspatches und neuen Versionen immer auf dem neuesten Stand. Wenn Sie nicht für die Wartung Ihres Webservers verantwortlich sind, wenden Sie sich an alle Ihre Dienstanbieter, um Details zu ihren Prozessen zu erhalten, die sicherstellen, dass Ihr Technologie-Stack die neuesten kritischen Patches ausführt.

Dazu gehören Betriebssysteme, Webdienste, serverseitig Parser, Content-Management-Systeme, Datenbanken und alle Plugins.

Gute Wartungspraktiken erstrecken sich auf die Hardware außerhalb Ihres Webs Server wie Switches und Firewalls. Diese Geräte müssen mit der gleichen Wachsamkeit und Aufmerksamkeit gewartet werden, die Sie Ihrem Webserver widmen.

Denken Sie daran, dass Sie sich jedes Mal, wenn ein neuer Exploit entdeckt wird, unfreiwillig in einem Rennen mit den Bösewichten wiederfinden. Sie müssen die Patches an Ort und Stelle bringen, bevor sie Sie finden. Es gibt viele Maßnahmen zu ergreifen und Dinge zu überwachen, sodass die Wartung von Webservern eine Vollzeitbeschäftigung ist.

Halten Sie Ihre Liste der autorisierten Benutzer auf dem neuesten Stand und kürzen Sie immer diejenigen, die Ihre Organisation verlassen haben. Koordinieren Sie einen Plan für den Umgang mit Kündigungen, da verärgerte Arbeitnehmer in kurzer Zeit großen Schaden anrichten können.

Beseitigen Sie Angriffsvektoren

Jede Ebene, die Code und Komplexität zu Ihrer Website hinzufügt, führt auch zu potenziellen Schwachstellen, halten Sie Ihren Technologie-Stack also so schlank und einfach wie möglich. Entfernen Sie alle Anwendungen und Dienste, die nicht erforderlich sind. Führen Sie nur Dienste aus, die für die Funktion Ihrer Website und Ihres CMS erforderlich sind.

Lassen Sie nur eingehenden Datenverkehr zu Ihrem Webserver auf den Ports zu, die für Ihre Website, Ihr CMS oder andere erforderliche Dienste erforderlich sind. Es hat keinen Sinn, Dienste offenzulegen, die Sie nicht nutzen.

Beschränken Sie den Zugriff auf Ihr CMS auf Benutzer in Ihrem Netzwerk oder VPN. Dies kann sich auf Ihre Inhaltsadministratoren auswirken, also überlegen Sie sich diesen Kompromiss sorgfältig.

Backups rotieren lassen

Unter Bezugnahme auf einen früheren Punkt ist die sicherste Denkweise, anzunehmen, dass Sie gehackt werden. Es unterstreicht den Wert guter Backups. Ein gründlicher Backup-Plan könnte das Führen von sechs rotierenden täglichen Backups, vierwöchentlichen, halbjährlichen und jährlichen Backups beinhalten.

Da Hacks nicht immer sofort entdeckt werden, weiß man nie, wie weit man zurückgehen muss. Ein einziges tägliches Backup ist riskant.

Beachten Sie auch, dass das einfache Festlegen des Backup-Plans nicht ausreicht. Sie müssen regelmäßig überprüfen, ob alle Backups ausgeführt werden und dass Sie alle diese Backups rechtzeitig wiederherstellen können. Stellen Sie sich vor, Sie stellen fest, dass Ihre Backups nicht funktionieren, nachdem Sie gehackt wurden … Es ist kein Szenario, in dem sich die Leute wiederfinden möchten.

Was ist also mit SAM?

Es gibt einige einzigartige Eigenschaften von SAM, die es schwieriger machen, Websites zu hacken, die mit diesem Tool erstellt wurden, als Websites, die mit anderen Content-Management-Systemen erstellt wurden.

SAM ist eine einzige App, die auf dem neuesten Stand gehalten werden muss, da sie keine Plugins hat und nur die grundlegenden Dienste benötigt, die Kernkomponenten des Windows Server-Betriebssystems sind. Wenn Sie sich auf die automatischen Updates von Microsoft verlassen, wird Ihr Server immer gepatcht.

Noch bemerkenswerter ist, dass SAM ein statischer Site-Generator ist. Die meisten Content-Management-Systeme generieren Seiten bei Bedarf, wenn ein Benutzer sie anfordert, aber ein statischer Site-Generator funktioniert, indem er Seiten generiert und sie im Dateisystem veröffentlicht, wenn sich der Inhalt ändert.

Das CMS ist nicht erforderlich, damit Benutzer die Live-Website anzeigen können, und SAM kann in Ihrem Netzwerk versteckt werden. Mit anderen Worten, es gibt kein öffentlich sichtbares CMS zum Hacken! Die meisten unserer Kunden sind sich des Unterschieds nie bewusst, aber es ist eine Qualität, die SAM wirklich von der Masse unterscheidet.

Referenzen & Ressourcen

• Trendbericht zu gehackten Websites
• NoHacked: Ein Jahresrückblick
• Website-Sicherheit: Wie werden Websites gehackt?
• Wie sie Ihre Website hacken: Überblick über gängige Techniken
• November 2017 Webserver-Umfrage
• Der Heartbleed-Bug
• Kernschmelze und Gespenst
• NIST-Richtlinien zur digitalen Identität
• Die schlechtesten Passwörter 2016