kaffeeringe.de

WordPress nicht aktualisiert, gehackt, bei Google rausgeflogen

Ob das Motto „Never Change a Running System“ jemals richtig war, lässt sich schwer beurteilen, im Bereich des Internets führt übertriebener Konservativismus oder Faulheit unweigerlich zur Katastrophe: Kaum eine Site besteht heute noch aus statischen HTML-Seiten und sobald Programmierung dahintersteckt, besteht auch das Risiko gehackt zu werden. Wer sein System nicht aktuell hält, sieht schnell alt aus.Inzwischen lebt eine ganze Branche vom heimlichen Ausnutzen fremder Server: Ohne dass es der Webmaster bemerkt wird dann weitere Software installiert, die zum Beispiel Spam verschickt.

Eine andere Variante ist das Platzieren von versteckten Links auf beliebten Seiten. Wie das funktioniert kann man beim Werbeblogger nachlesen: Über eine bekannte Sicherheitslücke in einer veralteten Version der Blog-Software WordPress hat sich jemand Zugriff auf die Inhalte der Site verschafft und dann Links in einer Art in Artikel eingebunden, dass sie im Browser nicht zu sehen sind. Wohl aber nehmen Suchmaschinen diese Links wahr und die wiederum errechnen aus der Häufigkeit von Verlinkungen die Wichtigkeit von Inhalten. So profitieren die Hacker von ihren geheimen Links. Im Falle des Werbebloggers hat diese nach Google-Richtlinien nicht erlaubte Technik dazu geführt, dass die gesamte Site aus dem Google Index geflogen ist. Für einen Shop oder eine andere kommerzielle Site kann so etwas schnell zu finanziellen Katastrophe führen.

Möglich sind Hackangriffe auf breiter Front durch die weite Verbreitung von verlateten Open Source Systemen. Diese Projekte pflegen idealerweise einen offenen Umgang mit Sicherheitslücken: Wird eine entdeckt, gibt es innerhalb kürzester Zeit ein Update. Kaum eine neue Version erscheint, die nur mit neuen Features daherkommt. In der Regel werden neben bekannten auch zufällig entdeckte Lecks beseitigt. Wer sein System also nicht aktuell hält, handelt ähnlich fahrlässig, wie jemand, der an seinem Auto nicht hin und wieder die Funktionstüchtigkeit seiner Bremsen überprüft.

Das klassische Defacement, in dem eine Site über eine bekannte Sicherheitslücke gehackt wird und diese dann im Sinne des Hackers verändert wird, ist mittlerweile das geringste Problem. Wenn man merkt, dass man gehackt wurde, ist es kein guter Hack.

Kommentare

stefano picco

so ist dat halt, aber schon är­ger­li­ch das man nun wie ein be­scheu­er­ter stän­dig patchen muß nicht nur off­line son­dern auch on­line -.-

Clemens

Ein sol­cher Hack ist schnel­ler pas­siert, als man denkt.
In mei­nem Fall war es ei­ne Galerieerweiterung für Joomla!, die ei­nen un­ge­si­cher­ten Dateiupload hat­te – schwupps hat man ei­ni­ge sog. PHP-Shells auf dem Server und ein Defacement auf der Seite.
Das Problem sind im­ho nicht die Hauptsoftwareversionen (weil die oft ei­ne Updatebenachrichtigung mit­brin­gen) son­dern schlecht pro­gram­mier­te oder kaum ge­pfleg­te 3rd-Party-Erweiterungen. Ein au­to­ma­ti­sches Update (wie z.B. für die Erweiterungen von Firefox) ist hier Gold wert.

Steffen

Automatische Updates sind Teil des Problems. Die be­nö­ti­gen näm­li­ch Schreibrechte für die Skripte auf dem Server. Dadurch wird es für Angreifer ein­fa­cher die ei­ge­nen Tools auf den Server zu schmug­geln.

Postnuke hat ja von PHPNuke den schlech­ten Ruf in Sicherheitssachen ge­erbt, hat si­ch aber ei­gent­li­ch ge­n­au des­we­gen von PHPNuke ab­ge­spal­ten, weil die Entwickler das System si­che­rer ma­chen woll­ten. Mittlerweile sind ei­ni­ge ziem­li­ch gu­te Sicherheitsansätze im­ple­men­tiert. Bei Joomla liegt das Problem tat­säch­li­ch schon im Kernsystem, dass jeg­li­che Art von Zugriffen un­ge­fil­tert zu­lässt.

Bei Postnuke hat man si­ch da­ge­gen ent­schie­den, au­to­ma­ti­sche Updates in der Form wie bei an­de­ren Systemen um­zu­set­zen. Stattdessen wer­den so we­nig wie mög­li­ch Verzeichnisse zum Schreiben ge­öff­net. Im Live-Betrieb be­nö­tigt man kein ein­zi­ges, das nach au­ßen er­reich­bar ist. Deswegen gibt es bei Postnuke auch kaum Meldungen über ge­hack­te Seiten. Und ich ha­be es in 5 Jahren no­ch nie er­lebt, dass ei­ne ak­tu­el­le Installation ge­hackt wur­de.

Außerdem traue ich Autoupdates bei Websites nicht. Da steckt meis­tens ne Menge Anpassungsarbeit drin. Und wenn man vor­her nicht zu­min­dest ein kom­plet­tes Backup macht, kann man ggf. al­les no­ch ein­mal ma­chen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Möchtest Du benachrichtigt werden, wenn Dir hier jemand antwortet?