09.12.2020

CMS: Ist Ihre Webseite bedroht?

Wer etwas auf sich hält, betreibt eine Webseite – dies gilt vor allem im geschäftlichen Umfeld, wo es inzwischen ein No-Go ist, über keinen Internetauftritt zu verfügen. Noch schlimmer ist aber eine Unternehmenswebseite, die gehackt wurde – und da gerade im KMU-Umfeld viele Webseiten quasi hobbymässig nebenbei betrieben werden, ist diese Gefahr nicht zu unterschätzen. Wir zeigen Ihnen, weshalb WordPress als prominentestes Webseitensystem besonders gefährdet ist und was Sie dagegen tun können.

Von: Lars Behrens  DruckenTeilen 

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

CMS

Content Management System (CMS)

Webseiten liegen bekanntermassen auf Webservern, und beides sind beliebte Ziele von Angreifern aus dem Cyberspace. Um die Sicherheit des Servers sollte sich Ihr Hoster kümmern oder Ihre IT-Abteilung. Vielleicht tun Sie das ja auch selbst, ganz gleich, ob es sich um einen Linuxsystem mit Apache oder Nginx handelt (um das beliebteste Gespann zu nennen) oder um einen Windowsserver mit dem IIS (oder eben auch Apache).

Ebenso beliebt wie der Apache-Webserver, dessen Marktanteil sich meist knapp unter 50 % bewegt, ist aber WordPress - je nach Zählung und Schätzung bewegt sich der Anteil der Webseiten, die auf diesem OpenSource-Content Management System aufbauen, deutlich über der 50-Prozentmarke (zit. z.B. nach isitwp.com, siehe Links).

Mit einem Content Management System (CMS) müssen sich Webseitenbetreiber bekanntlich nicht mit HTML-Code, PHP-Zeilen oder CSS-Stylingvorgaben herumschlagen, dies erledigt alles das darunter liegende Framework. Dann noch in eine ansprechende Oberfläche gepackt - und fertig ist das Universalwerkzeug, mit dem auch weniger Geübte in der Lage sind, einen eigenen Webauftritt zu gestalten. Wobei das übliche Verfahren so ablaufen sollte, dass ein Webdesigner das Grundgerüst baut respektive das gewünschte Design an WordPress anpasst. Die spätere Pflege der Inhalte hingegen wird dann durch den Besitzer der Webseite vorgenommen.

WordPress

Im Grunde ist das schon eine feine Sache, und CMS (also Content Management Systeme) gehören seit etwa 20 Jahren zu einem der Standards im Internet. Leider hat sich dabei mit WordPress ausgerechnet ein CMS durchgesetzt, welches ursprünglich weniger als Werkzeug zur Erstellung ganzer Unternehmensauftritte im Internet, sondern eher als eine Art digitales Tagebuch für Blogger gedacht war. "Leider" nicht deswegen, weil WordPress ein schlechtes CMS wäre. Ganz im Gegenteil ist es inzwischen äusserst leistungsfähig, baut dabei auf bewährte Standards wie eben Apache, PHP und MySQL (als Datenbanksystem) auf und lässt sich vor allem durch unzählige Erweiterungen - so genannte Plugins - um zahlreiche Funktionen wie ein Kontaktformular, eine Spamabwehr, Forum, Shop und so weiter ergänzen.

Allerdings liegt genau hierin auch eine der Schwächen des Systems. Bei WordPress greift eine Vielzahl von Komponenten ineinander - und jede davon kann potenziell ein Sicherheitsleck darstellen. Der so genannte Quellcode von WordPress wies und weist leider immer wieder Bugs und Lücken auf - was selbstverständlich für alle IT-Systeme gilt, WordPress ist da keine Ausnahme! Die Themes (mit denen man das Design anpassen kann) können ebenso wie die erwähnten Plugins ein Einfallstor für Hacker und Malware darstellen. Gerade Plugins und Themes werden oft von Einzelentwicklern oder kleinen Programmierteams erstellt und nach Veröffentlichung nicht immer fortlaufend gepflegt. Die so genannten Black Hats (mithin Hacker) sind hingegen weltweit verteilt und somit 24 Stunden am Tag und 7 Tage die Woche ganzjährig aktiv. Haben Hacker erst einmal eine Sicherheitslücke in WordPress oder dessen Erweiterungen gefunden, geht die Kenntnis darüber in der "Community" schnell herum. Das bekommen natürlich auch die "White Hats" mit, also die "guten" Webentwickler und Programmierer, die dann Patches und Updates für ihre Systeme erstellen. Diese müssen dann aber auch eingespielt werden, und damit sind wir wieder am Eingang unserer Betrachtungen. Nach dem "Relaunch" einer neuen Webseite haben die Webentwickler ihre Arbeit zumeist abgeschlossen, fortan sind entweder IT-Abteilung oder Sie selbst für die Pflege des CMS verantwortlich - und damit ist eben nicht nur die inhaltliche Pflege gemeint. Viel wichtiger ist es, das WordPress und seine Erweiterungen ständig aktuell zu halten.

Webauftritt

Vernachlässigen Sie dies, wird Ihr Webauftritt mit recht hoher Wahrscheinlichkeit früher oder später komprimittiert (also gehackt) werden. Entweder ist die Seite dann Offline oder es wird eine vollkommen andere Webseite angezeigt - in politischen Zusammenhängen ist dies immer wieder ein beliebtes Vorgehen, Besucher des Internetauftritts der PLO wurden schon auf die Webseite des Staates Israel geführt und umgekehrt. Im privaten beziehungsweise geschäftlichen Umfeld ist es eher üblich, Besucher zum Beispiel auf obskure Glücksspielseiten oder ähnliches zu leiten, wenn man seine eigene Webseite von Google aus aufruft - der so genannte Google Redirect Hack.

Bei diesem und anderen bekannten Angriffstypen auf WordPress sind Sie leider in erschreckend grosser Gemeinschaft:

"WordPress website security and protection from malware or malicious code has become more important than ever (...) WordPress malware infections saw a considerable from 83% to 90% in 2019-20."

(Quelle: secure.wphackedhelp.com/blog/wordpress-malware-redirect-hack-cleanup/)

Sollten Sie selber betroffen sein, gilt es vor allem erst einmal, Ruhe zu bewahren. Nehmen Sie Kontakt zu Ihrem Webhoster auf - oder Ihrer IT-Abteilung. Letztere hat Sie vielleicht ohnehin erst auf die gehackten Seite aufmerksam gemacht. Und je nachdem, bei welchem Provider (auch Webhoster genannt) Ihre Webseite liegt, hat dieser Sie womöglich schon ausgesperrt und die befallene Seite vom Netz genommen. So etwas geht ganz schnell, und nicht nur Ihre Reputation kann darunter leiden, sondern womöglich auch Ihr wirtschaftlicher Ertrag. Eine gute Idee ist es immer, die befallene Seite durch eine Vorschaltseite zu ersetzen. Dies kann eine statische Seite mit Ihrem Unternehmenslogo sein, eine Baustellenseite oder ähnliches. Den so genannten Maintenancemodus im WordPress selber zu aktivieren hilft hingegen nicht immer – je nachdem, an welcher Stelle der gehackte Code greift, wenn jemand Ihre Webseite besuchen möchte. Sie können sich mit einer Vorschaltseite jedenfalls in Ruhe um den Wiederaufbau der Seite kümmern.

Absicherung Ihres WordPress

Befallene Webseiten lassen sich in der Regel bereinigen - dazu gibt es wiederum Plugins wie Sucuri, Malcare oder Wordfence. Die drei genannten sind auch äusserst hilfreich bei der vorbeugenden Absicherung Ihres WordPress - aber denken Sie daran, dass die allerwichtigste Regel das laufende Einspielen von Updates und Patches ist! Ebenso wichtig, aber eine Selbstverständlichkeit auch ausserhalb von WordPress sind regelmässige Updates. Sollte Ihre Seite befallen sein, könnten Sie notfalls auf einen früheren Stand zurückgehen. Sie benötigen dann eine Sicherung der Datenbank und der WordPress-Inhalte. Das Wordpress-System an sich sollten Sie sicherheitshalber neu installieren, ebenso wie die verwendeten Plugins und das Theme. Apropos: Plugins und Themes, die Sie in Ihrem WordPress nicht nutzen, sollten Sie deinstallieren. Und grundsätzlich bietet WordPress die Möglichkeit, Aktualisierungen automatisch einspielen zu lassen - hiervon sollten Sie dringend Gebrauch machen! Es besteht zwar die Gefahr, dass durch ein Update Funktionen beeinträchtigt werden - was nicht eben selten ist, schliesslich können sich die Programmierer des WordPress-Systems nicht mit allen Entwicklern der unzähligen Themes und Plugins abstimmen. Aber notfalls haben Sie dann ja noch Ihre Datensicherung, aus der sie einen vorherigen funktionierenden Zustand Ihrer Webseite wiederherstellen können.

Wenn alle Stricke reissen und Sie weder über ein sauberes Backup verfügen noch selber in der Lage sind, Ihre Webseite zu bereinigen, können Sie noch auf diverse Dienstleister zurückgreifen, die dies für Se erledigen. Die Entwickler einiger Sicherheits-Plugins wie Wordfence oder Malcare bieten so etwas aus dem Plugin heraus an, die Kosten bewegen sich dabei in der Regel um die 100 CHF für die Säuberung einer Webseite. Darüber hinaus bieten auch viele Webentwickler oder Agenturen so etwas an, sie kümmern sich in der Regel auch um die Sichtung der Datenbank, auf die WordPress ja angewiesen ist. Auch hierin kann sich nämlich Schadcode befinden, beispielsweise der Link für die besagte Umleitung auf eine Glücksspielseite – oder die Angreifer haben sich gleich der gesamten Datenbank bemächtigt und eigene Benutzeraccount angelegt. In solchen Fällen ist es möglicherweise von vornherein sinnvoller, auf eine professionelle IT-Unterstützung zurückzugreifen.

Fazit CMS

Mit etwas Vorsicht und Vorbeugung lassen sich Webseiten auch dann sicher betreiben, wenn Sie nicht über eine eigene IT-Sicherheitsabteilung verfügen. Das laufende Einspielen von Updates und das regelmässige Erstellen und Überprüfen von Backups sichern nicht nur Webauftritte, die mit WordPress erstellt wurden. Das hier gesagte gilt in Grundzügen auch für andere Content Management Systeme wie Drupal, Joomla oder Typo3.

Links:

https://www.isitwp.com/popular-cms-market-share/

https://wordpress.org/about/security/

Produkt-Empfehlungen

  • IT-Verträge

    IT-Verträge

    Die wichtigsten IT-Verträge nach Schweizer Recht – von Experten geprüft und laufend aktualisiert.

    ab CHF 198.00

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

  • Datenschutz kompakt

    Datenschutz kompakt

    Alles rund um den Datenschutz – Vorlagen, Checklisten und aktuelles Know-how.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Security – Sicherheitslücken analysieren, entschärfen und vermeiden

    Systeme absichern und der zunehmenden Cyber-Bedrohung entgegenwirken

    Nächster Termin: 15. April 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Crashkurs IT-Technologien und Digitalisierungsstrategien für Unternehmen

    IT-Trends kennen und Kosten-Nutzen richtig einschätzen

    Nächster Termin: 19. Mai 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 09. Juni 2021

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos