Um Ihre Website vor zukünftigen Angriffen zu schützen, ist es wichtig zu verstehen, wie sie manipuliert wurde. In diesem Dokument werden einige der Sicherheitslücken behandelt, die dazu führen können, dass Ihre Website manipuliert wird.
Im folgenden Video werden die Arten von Hacks und die Methoden beschrieben, mit denen Hacker die Kontrolle über Ihre Website übernehmen.
Manipulierte Passwörter
Angreifer können Ihr Passwort erraten, indem sie verschiedene Passwörter ausprobieren, bis sie das richtige erraten. Bei Angriffen durch Passwortraten werden Methoden verwendet, z. B. das Ausprobieren gängiger Passwörter oder das Scannen zufälliger Kombinationen aus Buchstaben und Zahlen. Um dies zu verhindern, erstellen Sie ein starkes, schwer zu erratendes Passwort. Tipps zum Erstellen eines starken Passworts finden Sie im Hilfeartikel von Google.
Beachten Sie zwei Punkte.
- Verwenden Sie Passwörter nicht für mehrere Dienste. Sobald Angreifer eine funktionierende Kombination aus Nutzername und Passwort gefunden haben, versuchen sie, die Anmeldedaten für so viele Dienste wie möglich zu verwenden. Verwenden Sie ein eindeutiges Passwort, um zu verhindern, dass andere Konten manipuliert werden.
- Verwenden Sie die 2-Faktor-Authentifizierung (2FA), z. B. die Bestätigung in zwei Schritten von Google. Bei der 2FA wird eine zweite Ebene von Anmeldedaten hinzugefügt, z. B. ein Code per SMS oder eine dynamisch generierte PIN, um zu verhindern, dass Angreifer auf Ihr Konto zugreifen. Einige CMS-Anbieter bieten Anleitungen zum Konfigurieren der 2FA an:
Versäumte Sicherheitsupdates
Ältere Softwareversionen können Sicherheitslücken mit hohem Risiko aufweisen, die es Angreifern ermöglichen, eine gesamte Website zu manipulieren. Angreifer suchen aktiv nach alter Software mit Sicherheitslücken. Wenn Sie Sicherheitslücken ignorieren, erhöht sich das Risiko eines Angriffs.
Beispiel:
- Webserversoftware (wenn Sie Ihre eigenen Server hosten)
- Ihr Content-Management-System (CMS) Beispielsweise Sicherheitsupdates von Wordpress, Drupal und Joomla!.
- Alle Plug-ins und Add-ons, die Sie auf Ihrer Website verwenden
Unsichere Designs und Plug-ins
CMS-Plug-ins und ‑Designs bieten wertvolle Funktionen. Veraltete oder nicht gepatchte Designs und Plug-ins sind jedoch eine Hauptquelle für Sicherheitslücken. Halten Sie Designs und Plug-ins auf dem neuesten Stand. Entfernen Sie Designs oder Plug-ins, die nicht mehr gewartet werden.
Besondere Vorsicht ist bei kostenlosen Plug-ins und Designs geboten, die von nicht vertrauenswürdigen Websites stammen. Es ist eine gängige Taktik von Angreifern, bösartigen Code zu kostenlosen Versionen von kostenpflichtigen Plug-ins oder Designs hinzuzufügen. Wenn Sie ein Plug-in entfernen, löschen Sie alle zugehörigen Dateien von Ihrem Server und deaktivieren Sie es nicht nur.
Social Engineering
Beim Social Engineering wird die menschliche Natur ausgenutzt, um Sicherheitsmaßnahmen zu umgehen. Bei diesen Angriffen werden Nutzer dazu verleitet, vertrauliche Informationen wie Passwörter preiszugeben. Eine gängige Form des Social Engineering ist Phishing. Bei einem Phishing-Versuch sendet ein Angreifer eine E-Mail, in der er vorgibt, eine legitime Organisation zu sein, um vertrauliche Informationen anzufordern.
Geben Sie niemals vertrauliche Informationen (z. B. Passwörter, Kreditkartennummern, Bankdaten oder Ihr Geburtsdatum) weiter, es sei denn, Sie sind sich der Identität des Anfragenden sicher. Wenn mehrere Personen Ihre Website verwalten, bieten Sie Schulungen an, um das Bewusstsein für Social Engineering zu schärfen. Grundlegende Tipps zum Schutz vor Phishing finden Sie in der Gmail-Hilfe.
Lücken in den Sicherheitsrichtlinien
Wenn Sie Systemadministrator sind oder Ihre eigene Website hosten, können schlechte Sicherheitsrichtlinien es Angreifern ermöglichen, Ihre Website zu manipulieren. Beispiele:
- Nutzer dürfen schwache Passwörter erstellen.
- Nutzern, die ihn nicht benötigen, wird Administratorzugriff gewährt.
- HTTPS ist nicht aktiviert und Nutzer können sich über HTTP anmelden.
- Datei-Uploads von nicht authentifizierten Nutzern sind ohne Typüberprüfung zulässig.
Hier einige Tipps zum Schutz Ihrer Website:
- Konfigurieren Sie Ihre Website mit hohen Sicherheitskontrollen, indem Sie unnötige Dienste deaktivieren.
- Testen Sie die Zugriffskontrollen und Nutzerberechtigungen.
- Verwenden Sie die Verschlüsselung für Seiten, auf denen vertrauliche Informationen verarbeitet werden, z. B. Anmeldeseiten.
- Überprüfen Sie Ihre Logs regelmäßig auf verdächtige Aktivitäten.
Datenlecks
Datenlecks treten auf, wenn vertrauliche Daten hochgeladen und falsch konfiguriert werden, sodass sie öffentlich verfügbar sind. Beispielsweise können Fehlermeldungen von Webanwendungen Konfigurationsinformationen preisgeben. Mit einer Methode namens „Dorking“, können böswillige Akteure die Suchmaschinenfunktionen nutzen, um diese Daten zu finden.
Führen Sie regelmäßige Überprüfungen durch und beschränken Sie vertrauliche Daten, damit auf Ihrer Website keine vertraulichen Informationen preisgegeben werden. Wenn Sie auf Ihrer Website vertrauliche Informationen finden, die dringend aus der Google Suche entfernt werden müssen, verwenden Sie das Tool zum Entfernen von URLs.
