kaffeeringe.de

WordPress nicht aktualisiert, gehackt, bei Google rausgeflogen

Ob das Motto „Never Change a Running System“ jemals richtig war, lässt sich schwer beurteilen, im Bereich des Internets führt übertriebener Konservativismus oder Faulheit unweigerlich zur Katastrophe: Kaum eine Site besteht heute noch aus statischen HTML-Seiten und sobald Programmierung dahintersteckt, besteht auch das Risiko gehackt zu werden. Wer sein System nicht aktuell hält, sieht schnell alt aus.Inzwischen lebt eine ganze Branche vom heimlichen Ausnutzen fremder Server: Ohne dass es der Webmaster bemerkt wird dann weitere Software installiert, die zum Beispiel Spam verschickt.

Eine andere Variante ist das Platzieren von versteckten Links auf beliebten Seiten. Wie das funktioniert kann man beim Werbeblogger nachlesen: Über eine bekannte Sicherheitslücke in einer veralteten Version der Blog-Software WordPress hat sich jemand Zugriff auf die Inhalte der Site verschafft und dann Links in einer Art in Artikel eingebunden, dass sie im Browser nicht zu sehen sind. Wohl aber nehmen Suchmaschinen diese Links wahr und die wiederum errechnen aus der Häufigkeit von Verlinkungen die Wichtigkeit von Inhalten. So profitieren die Hacker von ihren geheimen Links. Im Falle des Werbebloggers hat diese nach Google-Richtlinien nicht erlaubte Technik dazu geführt, dass die gesamte Site aus dem Google Index geflogen ist. Für einen Shop oder eine andere kommerzielle Site kann so etwas schnell zu finanziellen Katastrophe führen.

Möglich sind Hackangriffe auf breiter Front durch die weite Verbreitung von verlateten Open Source Systemen. Diese Projekte pflegen idealerweise einen offenen Umgang mit Sicherheitslücken: Wird eine entdeckt, gibt es innerhalb kürzester Zeit ein Update. Kaum eine neue Version erscheint, die nur mit neuen Features daherkommt. In der Regel werden neben bekannten auch zufällig entdeckte Lecks beseitigt. Wer sein System also nicht aktuell hält, handelt ähnlich fahrlässig, wie jemand, der an seinem Auto nicht hin und wieder die Funktionstüchtigkeit seiner Bremsen überprüft.

Das klassische Defacement, in dem eine Site über eine bekannte Sicherheitslücke gehackt wird und diese dann im Sinne des Hackers verändert wird, ist mittlerweile das geringste Problem. Wenn man merkt, dass man gehackt wurde, ist es kein guter Hack.

Kommentare

stefano picco

so ist dat halt, aber schon ärgerlich das man nun wie ein bescheuerter ständig patchen muß nicht nur offline sondern auch online -.-

Clemens

Ein solcher Hack ist schneller passiert, als man denkt.
In meinem Fall war es eine Galerieerweiterung für Joomla!, die einen ungesicherten Dateiupload hatte – schwupps hat man einige sog. PHP-Shells auf dem Server und ein Defacement auf der Seite.
Das Problem sind imho nicht die Hauptsoftwareversionen (weil die oft eine Updatebenachrichtigung mitbringen) sondern schlecht programmierte oder kaum gepflegte 3rd-Party-Erweiterungen. Ein automatisches Update (wie z.B. für die Erweiterungen von Firefox) ist hier Gold wert.

Steffen

Automatische Updates sind Teil des Problems. Die benötigen nämlich Schreibrechte für die Skripte auf dem Server. Dadurch wird es für Angreifer einfacher die eigenen Tools auf den Server zu schmuggeln.

Postnuke hat ja von PHPNuke den schlechten Ruf in Sicherheitssachen geerbt, hat sich aber eigentlich genau deswegen von PHPNuke abgespalten, weil die Entwickler das System sicherer machen wollten. Mittlerweile sind einige ziemlich gute Sicherheitsansätze implementiert. Bei Joomla liegt das Problem tatsächlich schon im Kernsystem, dass jegliche Art von Zugriffen ungefiltert zulässt.

Bei Postnuke hat man sich dagegen entschieden, automatische Updates in der Form wie bei anderen Systemen umzusetzen. Stattdessen werden so wenig wie möglich Verzeichnisse zum Schreiben geöffnet. Im Live-Betrieb benötigt man kein einziges, das nach außen erreichbar ist. Deswegen gibt es bei Postnuke auch kaum Meldungen über gehackte Seiten. Und ich habe es in 5 Jahren noch nie erlebt, dass eine aktuelle Installation gehackt wurde.

Außerdem traue ich Autoupdates bei Websites nicht. Da steckt meistens ne Menge Anpassungsarbeit drin. Und wenn man vorher nicht zumindest ein komplettes Backup macht, kann man ggf. alles noch einmal machen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Möchtest Du benachrichtigt werden, wenn Dir hier jemand antwortet?