Um Ihre Website vor Angriffen zu schützen, müssen Sie verstehen, wie Ihre Website kompromittiert wurde. Auf dieser Seite werden einige Sicherheitslücken behandelt, die dazu führen können, dass Ihre Website kompromittiert wird.
Im folgenden Video werden die verschiedenen Arten von Hacks und die Möglichkeiten beschrieben, wie Hacker die Kontrolle über Ihre Website übernehmen können.
Manipulierte Passwörter
Angreifer können Passwörter erraten, indem sie verschiedene Passwörter ausprobieren, bis sie das richtige erraten. Passwörter können auf verschiedene Arten erraten werden, z. B. durch Ausprobieren gängiger Passwörter oder durch Scannen zufälliger Kombinationen von Buchstaben und Zahlen, bis das Passwort gefunden wird. Um dies zu verhindern, sollten Sie ein starkes Passwort erstellen, das schwierig zu erraten ist. Tipps zum Erstellen eines starken Passworts finden Sie im Hilfeartikel von Google.
Es gibt zwei wichtige Punkte, die Sie beachten sollten. Erstens sollten Sie Passwörter nicht für mehrere Dienste verwenden. Sobald Angreifer eine funktionierende Kombination aus Nutzername und Passwort gefunden haben, versuchen sie, diese Kombination für so viele Dienste wie möglich zu verwenden. Wenn Sie für verschiedene Dienste unterschiedliche Passwörter verwenden, können Sie verhindern, dass andere Konten bei anderen Diensten kompromittiert werden.
Zweitens sollten Sie die 2‑Faktor-Authentifizierung (2FA) wie die Bestätigung in zwei Schritten von Google nutzen, wenn die Option verfügbar ist. Bei der 2FA ist eine zweite Ebene von Anmeldedaten erforderlich, in der Regel ein Code per SMS oder eine andere dynamisch generierte PIN. Dadurch wird die Möglichkeit eines Angreifers verringert, mit einem gestohlenen Passwort auf Ihr Konto zuzugreifen. Einige CMS-Anbieter bieten Anleitungen zum Konfigurieren der 2FA an: siehe Dokumentation für Joomla!, WordPress, oder Drupal.
Versäumte Sicherheitsupdates
Ältere Softwareversionen können von Sicherheitslücken mit hohem Risiko betroffen sein, die es Angreifern ermöglichen, eine gesamte Website zu kompromittieren. Angreifer suchen aktiv nach alter Software mit Sicherheitslücken. Wenn Sie eine Sicherheitslücke auf Ihrer Website ignorieren, steigt die Wahrscheinlichkeit, dass Ihre Website angegriffen wird.
Beispiele für Software, die Sie auf dem neuesten Stand halten sollten:
- Webserversoftware, wenn Sie eigene Server verwenden
- Ihr Content-Management-System (CMS) Beispiel: Sicherheitsupdates von Wordpress, Drupal und Joomla!.
- Alle Plug-ins und Add-ons, die Sie auf Ihrer Website verwenden
Unsichere Designs und Plug-ins
Plug-ins und Designs in einem CMS bieten wertvolle, erweiterte Funktionen. Veraltete oder nicht gepatchte Designs und Plug-ins sind jedoch eine Hauptquelle für Sicherheitslücken auf Websites. Wenn Sie Designs oder Plug-ins auf Ihrer Website verwenden, müssen Sie sie auf dem neuesten Stand halten. Entfernen Sie Designs oder Plug-ins, die von ihren Entwicklern nicht mehr gewartet werden.
Besondere Vorsicht ist bei kostenlosen Plug-ins und Designs geboten, die von nicht vertrauenswürdigen Websites stammen. Es ist eine gängige Taktik von Angreifern, bösartigen Code zu kostenlosen Versionen kostenpflichtiger Plug-ins oder Designs hinzuzufügen. Wenn Sie ein Plug-in entfernen, müssen Sie alle zugehörigen Dateien von Ihrem Server entfernen und es nicht nur deaktivieren.
Social Engineering
Beim Social Engineering wird die menschliche Natur ausgenutzt, um ausgeklügelte Sicherheits infrastrukturen zu umgehen. Bei diesen Arten von Angriffen werden autorisierte Nutzer dazu verleitet, vertrauliche Informationen wie Passwörter anzugeben. Eine gängige Form des Social Engineering ist Phishing. Bei einem Phishing-Versuch sendet ein Angreifer eine E‑Mail, in der er sich als legitime Organisation ausgibt und vertrauliche Informationen anfordert.
Geben Sie niemals vertrauliche Informationen an (z. B. Passwörter, Kreditkartennummern, Bankdaten oder Ihr Geburtsdatum), es sei denn, Sie sind sich der Identität des Anfragenden sicher. Wenn Ihre Website von mehreren Personen verwaltet wird, sollten Sie Schulungen anbieten, um das Bewusstsein für Sicherheitsrisiken im Zusammenhang mit Social-Engineering-Angriffen zu schärfen. Grundlegende Tipps zum Schutz vor Phishing finden Sie in der Gmail-Hilfe.
Lücken in den Sicherheitsrichtlinien
Wenn Sie Systemadministrator sind oder Ihre eigene Website betreiben, sollten Sie bedenken, dass schlechte Sicherheitsrichtlinien es Angreifern ermöglichen können, Ihre Website zu kompromittieren. Beispiele:
- Nutzer dürfen schwache Passwörter erstellen.
- Nutzer erhalten Administratorzugriff, obwohl sie ihn nicht benötigen.
- HTTPS ist auf Ihrer Website nicht aktiviert und Nutzer können sich über HTTP anmelden.
- Datei-Uploads von nicht authentifizierten Nutzern sind zulässig oder es wird keine Typüberprüfung durchgeführt.
Einige grundlegende Tipps zum Schutz Ihrer Website:
- Konfigurieren Sie Ihre Website mit hohen Sicherheitskontrollen, indem Sie unnötige Dienste deaktivieren.
- Testen Sie die Zugriffskontrollen und Nutzerberechtigungen.
- Verwenden Sie die Verschlüsselung für Seiten, auf denen vertrauliche Informationen verarbeitet werden, z. B. Anmeldeseiten.
- Prüfen Sie Ihre Logs regelmäßig auf verdächtige Aktivitäten.
Datenlecks
Datenlecks können auftreten, wenn vertrauliche Daten hochgeladen werden und eine Fehlkonfiguration dazu führt, dass diese vertraulichen Informationen öffentlich verfügbar werden. Beispielsweise können bei der Fehlerbehandlung und ‑benachrichtigung in einer Webanwendung Konfigurationsinformationen in einer nicht behandelten Fehlermeldung offengelegt werden. Mit einer Methode namens „Dorking“, können böswillige Akteure die Suchmaschinenfunktionen nutzen, um diese Daten zu finden.
Sie sollten regelmäßig prüfen, ob Ihre Website vertrauliche Informationen für nicht autorisierte Nutzer offenlegt, und vertrauliche Daten durch Sicherheitsrichtlinien auf vertrauenswürdige Entitäten beschränken. Wenn Sie auf Ihrer Website vertrauliche Informationen finden, die dringend aus den Google-Suchergebnissen entfernt werden müssen, können Sie mit dem Tool zum Entfernen von URLs einzelne URLs aus der Google Suche entfernen.