Als Betreiber einer WordPress-Website weißt du bereits, dass Sicherheit eine große Rolle spielt, um deinen Betrieb vor Hacks und bösartigen Angriffen zu schützen. Aber wie genau werden Websites gehackt? Wie versuchen Hacker, WordPress-Websites mit ihren Angriffen lahmzulegen, und sind dabei oft erfolgreich?
Auch wenn das Internet in den letzten Jahrzehnten sprunghaft gewachsen ist, hat sich an der Art und Weise, wie Websites von bösen Akteuren gehackt werden, nicht viel geändert. Und das Wichtigste, was du tun solltest, um deine Website und deine Besucher/innen zu schützen, ist, diese unveränderlichen Methoden genau zu verstehen, damit du ihnen einen Schritt voraus sein kannst.
In diesem umfassenden Leitfaden zeigen wir dir genau, wie Websites gehackt werden, was die Anzeichen dafür sind, dass deine Website gehackt wurde, und vieles mehr. Werfen wir einen Blick darauf.
Das riesige Ausmaß gehackter Websites
Weit über 1,2 Milliarden (mit einem B) Websites gibt es heute im World Wide Web. Wenn du von einer durchschnittlichen Ladezeit von 3 Sekunden ausgehst, würdest du über 160 Jahre brauchen, um alle existierenden Websites zu besuchen, ohne eine Sekunde Pause zu machen.
Das ist ein wahnsinnig riesiges Netz, das von einer einzelnen Organisation unmöglich sicher überwacht werden kann. Obwohl Dienste wie Googles Safe Browsing versucht, seine Nutzer/innen vor Websites zu warnen, die unsicher sein könnten. Derzeit werden jeden Tag über 3 Millionen dieser Warnungen an die Nutzer/innen ausgegeben.
Auf Websites, die von einem WordPress-Sicherheits-Plugin wie iThemes Security Prohaben zwischen 1-2% aller Websites mindestens einen Indikator für eine Gefährdung (Indicator of Compromise, IoC), der auf einen aktuellen Hackingversuch hinweist. Auch wenn dir dieser Prozentsatz auf den ersten Blick recht klein erscheint, ist er es nicht wirklich. Wenn du diesen Prozentsatz durch alle Websites auf der Welt teilst, bedeutet das, dass etwa 12 Millionen Websites derzeit von einem Angreifer infiziert oder gehackt werden.Und das entspricht in etwa der Einwohnerzahl von Los Angeles und New York City zusammen.
Kurz gesagt: Websites werden immer ein großes Ziel für Menschen mit schlechten Absichten sein. Und die Gesamtauswirkungen eines Hacks werden für dein Unternehmen verheerend sein.
Aber es gibt auch eine gute Nachricht.
Es gibt zwar eine große Bedrohung da draußen, die schädlich und hartnäckig ist, aber wenn wir uns dessen bewusst sind und die richtigen Tools verwenden, können wir unsere Websites vor Angriffen schützen.
Wie werden Websites gehackt? Die 3 wichtigsten Methoden
In den letzten drei Jahrzehnten des Internets haben wir gesehen, dass Hacks fast immer in drei verschiedene Kategorien fallen:
- Zugangskontrolle
- Software-Schwachstellen
- Integrationen von Drittanbietern
Egal, ob du eine Website für ein Fortune-500-Unternehmen oder für deinen örtlichen Schuhladen betreibst, die Art und Weise, wie Hacker an ihr Handwerk herangehen, sieht fast identisch aus.
Was jedoch variiert, ist die Art und Weise, wie jedes Unternehmen sich selbst ausbeuten lässt.
- Große Unternehmen benutzen oft die Ausrede: "Wir dachten, jemand anderes kümmert sich um die Sicherheit." Diese Art der Vernebelung und Fehlkommunikation ist in großen, komplexen Organisationen üblich.
- Kleine Unternehmen glauben oft, dass sie zu klein sind, um von Hackern angegriffen zu werden. Sie gehen oft von der falschen Annahme aus, dass Hacker sie nicht angreifen werden. Dabei verlieren sie leicht aus den Augen, wie viele private Informationen selbst von der kleinsten Website gestohlen werden können.
In beiden Fällen haben Hacker den Anreiz und die Werkzeuge, um ihre Ziele in Bereichen zu verwirklichen, in denen nicht viel Wert auf die Sicherheit gelegt wird.
Website-Umgebungen haben eine Menge Aktivität
Bevor wir uns mit den Spezifikationen der einzelnen Hack-Typen befassen, sollten wir zunächst eine unglaublich wichtige Grundlage dafür schaffen, wie das Web eigentlich funktioniert.
Jede Website basiert auf einer Reihe von Systemen, die miteinander verbunden sind und zusammenarbeiten. Es gibt Komponenten wie DNS (Domain Name Servers), den Webserver und die Infrastruktur, die deine verschiedenen Server beherbergt und sie mit dem Internet verbindet.
Auch wenn das relativ einfach klingt, ist das zugrunde liegende Ökosystem ziemlich komplex.
Viele der einzelnen Komponenten werden von spezialisierten Dienstleistern bereitgestellt. Selbst wenn du eine Reihe verschiedener Dienstleistungen von einem einzigen Anbieter beziehst, gibt es immer noch unzählige Einzelteile, die für sich alleine funktionieren.
Stell dir deine Website wie ein modernes Kundenfahrzeug vor. Von außen sieht sie solide und stromlinienförmig aus, aber darunter befinden sich unzählige bewegliche Teile, die dafür sorgen, dass alles funktioniert.
Für die Zwecke dieses Leitfadens ist es nicht wichtig, dass du alle Details über die Funktionsweise deiner Website kennst. Aber es ist wichtig zu wissen, dass jede einzelne Komponente einen Einfluss auf die Sicherheit deiner WordPress-Website insgesamt hat.
Und jede dieser Komponenten kann dazu beitragen, dass deine Website gehackt wird.
Hol dir den Bonusinhalt: Ein Leitfaden zur WordPress-Sicherheit
1. Zugangskontrolle
Hier geht es speziell um den Prozess der Autorisierung und Authentifizierung. Vereinfacht gesagt, ist die Zugriffskontrolle die Art und Weise, wie du dich bei deiner WordPress-Website anmeldest.
Dabei geht es nicht nur um die Art und Weise, wie du dich in das Admin-Panel deiner Website einloggst. Wie wir bereits festgestellt haben, gibt es viele verschiedene, miteinander verbundene Logins, die hinter den Kulissen deiner Website zusammenarbeiten.
Wenn du über die Zugangskontrolle nachdenkst, gibt es sechs bestimmte Bereiche, die du berücksichtigen musst.
Wie kannst du:
- Bei deinem Host-Panel anmelden?
- Bei dem Server anmelden (SSH, SFTP, FTP)?
- In deine Website einloggen?
- In deinen persönlichen Computer einloggen?
- Bei sozialen Medienplattformen anmelden?
- Deinen Benutzernamen und dein Passwort für jede dieser Variablen speichern?
Es ist viel zu einfach, die Zugangskontrolle zu übersehen. Doch jeder einzelne Zugangspunkt kann Hackern Zugang zu deinem gesamten Ökosystem verschaffen.
Ein Hacker wird außerdem verschiedene Taktiken anwenden, um sich Zugang zu einem einzelnen unsicheren Anmeldepunkt zu verschaffen. Stell dir vor, dass ein Hausdieb jeden potenziellen Eingang überprüft und dir dann heimlich (oder mit einem Trick) Kopien deiner Passwörter oder Schlüssel besorgt.
- Brute-Force-Angriffe sind am einfachsten zu bewerkstelligen und können der effektivste Weg in die Website sein. Bei einem Brute-Force-Angriff versucht der Hacker, die möglichen Kombinationen aus Benutzernamen und Passwort zu erraten, um sich als glaubwürdiger Benutzer der Website anzumelden.
- Social-Engineering-Angriffe werden immer beliebter. Ein Hacker erstellt Phishing-Seiten, die darauf abzielen, einen Nutzer dazu zu bringen, freiwillig seine ID- und Passwortkombination einzugeben.
- Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF) Angriffe beinhalten das Abfangen der Anmeldedaten eines Nutzers über den Browser des Nutzers.
- Man in the Middle (MITM) Angriffe werden ebenfalls eingesetzt. Dabei können der Benutzername und das Passwort eines Nutzers leicht abgefangen werden, wenn ein Nutzer in nicht vollständig gesicherten Netzwerken arbeitet.
- Keylogger und zusätzliche Malware die Benutzer überwacht verfolgt die Eingaben und meldet sie dann an den Hacker zurück, der den Nutzer infiziert hat.
Aber egal, welche Art von Angriff verübt wird, das Ziel des Hackers ist immer dasselbe: Über glaubwürdige Logins direkten Zugang zu deiner Website zu erhalten.
Unabhängig von der Art des Angriffs ist das Ziel immer dasselbe: Direkten Zugang über Logins zu erhalten.
Die iThemes Sicherheit Plugin sorgt für mehr Schutz für die Sicherheit deiner Nutzer. Die Sicherheit deiner Website hängt davon ab, dass deine Nutzer/innen sichere Logins mit starken Passwörtern haben. Deshalb bietet iThemes Security mehrere Sicherheitsebenen für Nutzer/innen, einschließlich Zwei-Faktor-Authentifizierung, vertrauenswürdige Geräte mit Session-Hijacking-Schutz, passwortlose Logins, um die Identität eines/einer Nutzers/in zu überprüfen, und Schutz vor verletzten Passwörtern. Du kannst sogar Sicherheitschecks durchführen, um die kritischsten Elemente der Sicherheit deiner Nutzer/innen schnell zu überprüfen und zu ändern.
Die nächste Sicherheitsebene, die iThemes Security hinzufügt, ist der Schutz für den am häufigsten angegriffenen Teil deiner Website, den WordPress-Login-Bildschirm. iThemes Security bietet zwei Arten von Brute-Force-Schutz, um ungültige Login-Versuche auf deiner Website zu erkennen. Sobald ein Benutzer oder Bot zu viele ungültige Anmeldeversuche hintereinander unternommen hat, wird er ausgesperrt und kann für eine bestimmte Zeit keine weiteren Versuche mehr unternehmen.
2. Software-Schwachstellen
In der Realität ist die große Mehrheit der WordPress-Websitebesitzer nicht in der Lage, die Sicherheitslücken in der heutigen Software zu schließen, ohne dass der Softwareentwickler ihnen einen Patch empfiehlt. Das Problem ist, dass viele Entwickler die Bedrohungen, die der von ihnen geschriebene Code für deine Website mit sich bringt, nicht bedenken.
Ein kleiner Fehler, der die beabsichtigte UX (User Experience) nicht merklich beeinträchtigt, kann ausgenutzt werden, um die Software Dinge tun zu lassen, für die sie nicht gedacht war. Und die erfahrensten Hacker sehen diese Fehler als potenzielle Schwachstellen an.
Eine der häufigsten Methoden, um dies zu tun, ist die Verwendung eines fehlerhaften POST-Headers oder eines fehlerhaften Uniform Resource Locator (URL), um eine Reihe verschiedener Angriffe zu starten.
Dazu gehören:
- Remote Code Execution (RCE), die eine vollständige Fernübernahme der Zielseite und des Systems ermöglicht
- Remote / Local File Inclusion (R/LFI), die die Eingaben des Benutzers in Felder nutzt, um bösartige Dateien in ein System hochzuladen
- SQL Injection (SQLi), die Texteingabefelder mit bösartigem Code manipuliert, der Angriffssequenzen an den Server sendet
Ähnlich wie bei der Asset-Kontrolle reichen die Schwachstellen in der Software über den Bereich der Website hinaus. Diese Schwachstellen können in jeder vernetzten Technologie, auf die sich eine Website stützt, gefunden und ausgenutzt werden.
Und die meisten aktuellen Websites verwenden eine Mischung aus Erweiterungen von Drittanbietern, wie WordPress-Plugins und Themes, die alle potenzielle Angriffspunkte für Hacker sind.
Weil anfällige Plugins, Themes und WordPress-Kernversionen das größte Sicherheitsrisiko für deine Website darstellen, macht sich iThemes Security an die Arbeit und scannt deine Website. Mit dem iThemes Security Site Scanerfährst du jedes Mal, wenn ein Plugin, ein Theme oder eine WordPress-Kernversion auf deiner Seite angreifbar ist und aktualisiert werden muss. Und was noch besser ist ... er führt die Updates automatisch für dich durch. Site Scan stützt sich auf die umfangreichste Schwachstellendatenbank auf dem Markt, damit du immer den neuesten Schutz hast. Site Scan ist auch mit Google Safe Browsing integriert, um den Status deiner Website auf der Sperrliste zu überprüfen und nach bekannter Malware oder verdächtigen Dateien zu suchen.
So funktioniert der Site Scan von iThemes Security zum Schutz deiner Website:
- Scannt deine Website zweimal am Tag auf Schwachstellen - Die Plugins, Themes und WordPress-Kernversionen deiner Website werden mit der WPScan-Schwachstellen-Datenbank auf die neuesten Sicherheitslücken überprüft.
- Automatische Updates, wenn ein Sicherheitsfix verfügbar ist - In Verbindung mit der Versionsverwaltung aktualisiert iThemes Security automatisch ein Plugin, ein Theme oder eine WordPress-Kernversion, wenn es eine Sicherheitslücke gibt.
- Benachrichtigt dich per E-Mail, wenn der Site Scan eine Sicherheitslücke entdeckt - Du kannst einen E-Mail-Bericht erhalten, wenn auf deiner Website gefährdete Versionen eines Plugins, Themes oder WordPress-Kerns installiert sind. Lege die E-Mail-Adressen fest, die die Scan-Ergebnisse erhalten sollen.
3. Dienste und Integrationen von Drittanbietern
Und schließlich gibt es noch die Exploits, die über Dienste und Integrationen von Drittanbietern erfolgen.
Meistens geschieht dies in Form von Werbung über ein Werbenetzwerk, die zu Malvertising-Angriffen führt.
Diese Hacks betreffen Dienste, die du mit deiner Website und deinem Hosting nutzt, einschließlich Variablen wie dein CDN (Content Distribution Network).
Integrationen und Dienste von Drittanbietern bieten genügend Verbindungen zwischen den verschiedenen Teilen deiner Website. Das ist es, was die Leute an erweiterbaren Diensten so lieben. Content Management System Optionen wie WordPress, Drupal und Joomla.
Aber die Vernetzung bietet auch Angriffspunkte für Hacker.
Eines der größten Probleme ist, dass Hacker diese Dienste und Integrationen auf eine Art und Weise ausnutzen, die sich der Kontrolle durch den Website-Betreiber entzieht. Als Website-Ersteller oder -Manager hast du viel Vertrauen in Drittanbieter gesetzt, wenn du dich für eine ihrer Integrationen entscheidest.
Und natürlich sind viele von ihnen sehr darauf bedacht, ihre Integrationen zu sichern.
Aber wie bei anderen Dingen auch, gibt es ein inhärentes Risiko. Und es ist eines, auf das Hacker immer ein Auge geworfen haben.
iThemes Security schützt den Zugriff Dritter unter anderem mit Sichere App-Passwörter für XML-RPC & REST API. Dieses Update ermöglicht die Verwendung von Benutzernamen/Passwort-Authentifizierung für REST API Anfragen, so dass du die REST-API (gemäß unserer Empfehlung) sperren kannst, während du externen Tools, die die REST-API nutzen, weiterhin die Verbindung erlaubst.
Schutz deiner Website vor Hackerangriffen
WordPress Website-Sicherheitsfragen. Ein großer Teil der WordPress-Website-Sicherheit ist Aufklärung und Bewusstsein. Wenn du diesen Leitfaden liest, bist du in der Lage, deine Website besser zu schützen.
Für die Zukunft gibt es bestimmte Schritte, die du unternehmen musst. Und es ist unser Ziel, dir dabei zu helfen, sie zu erreichen. Leider machen sich viele Website-Betreiber erst dann ernsthaft Gedanken über die Sicherheit, wenn bereits etwas schief gelaufen ist.
Warum gehst du nicht lieber dem Schmerz voraus und unternimmst diese Schritte, um dich davor zu schützen?
- Nutze die Prinzipien von Defense in Depth. Dabei werden Sicherheitsschichten wie eine Zwiebel aufgebaut. Mit jeder Maßnahme wird es für Hacker schwieriger, in dein Ökosystem einzudringen.
- Nutze die Best Practice "Least Privileged". Achte darauf, dass du die Zugriffsrechte der einzelnen Benutzer/innen auf der Website einschränkst.
- erstellen Zwei-Faktoren-Authentifizierung und Multi-Faktor-Authentifizierung, wo immer du kannst. Dadurch werden diese speziellen Benutzerzugriffspunkte noch sicherer.
- Verwende eine Website-Firewall. Das wird Wunder bewirken, wenn es darum geht, wie Hacker versuchen, Schwachstellen in der Software auszunutzen.
- Planen Sie regelmäßig Backups ein. Download und Installation der BackupBuddy WordPress-Backup-Plugin als deine Lösung für dieses Problem. Wenn deine Website gehackt wird, kannst du sie mit ein paar Klicks wiederherstellen.
- Nimm die Perspektive der großen Suchmaschinen ein. Bing Webmaster Tools und Google Search Console bieten beide nützliche Berichte darüber, wie sie die Sicherheit deiner Website einschätzen.
Der beste Weg, diese Sicherheitsaspekte als WordPress-Seitenbesitzer abzudecken, ist die Verwendung des iThemes Security Pro Plugins.
Du musst dir darüber im Klaren sein, dass es keinen idiotensicheren Weg gibt, um jederzeit 100% sicher zu sein. Die Werkzeuge, die du in deiner Website-Umgebung einsetzt, werden dein Gesamtrisiko erheblich verringern. Aber Sicherheit ist nicht eine einzelne Aktion oder ein Ereignis. Sie ist eine Reihe von Maßnahmen.
Und alles beginnt mit einem großartigen Tool wie iThemes Security Pro, das dir zeigt, wie du deine Website am besten absicherst.
Jetzt, wo du weißt, was zu tun ist und wonach du suchen musst, wirst du zweifellos auf eines der Sicherheitsszenarien stoßen, die wir in diesem Leitfaden behandelt haben. Aber jetzt weißt du besser, was du tun musst, um das Problem zu beheben.
Kristen schreibt seit 2011 Tutorials für WordPress-Nutzer. Als Marketing-Direktorin bei iThemes hat sie es sich zur Aufgabe gemacht, dir zu helfen, die besten Wege zu finden, um effektive WordPress-Websites zu erstellen, zu verwalten und zu pflegen. Kristen schreibt auch gerne Tagebuch (schau dir ihr Nebenprojekt an, Das Jahr der Transformation!), Wandern und Camping, Step-Aerobic, Kochen und tägliche Abenteuer mit ihrer Familie, in der Hoffnung, ein präsenteres Leben zu führen.