CMS Security Webseite schützen vor hacker angriffen

Letzte Aktualisierung : |  

CMS Security ! Webseite schützen ? Werde ich angegriffen ? Ja, weil so wie draußen Tausende von kriminellen taten begehen tun Sie dies auch im Web und nutzen unter anderem auch Deine Webseite. Um es zu stehlen/kapern oder auch für ein weiteren angriff zu nutzen mit vielen anderen Servern zusammen. Ob Dein Server oder Deine eigenen Daten können interessant werden, auch wenn das für Dich jetzt im Moment kein Sinn macht. Im Web zählen grade die Daten und das Nutzerverhalten. Wenn ich weiß, wie Tausende von Menschen sich im Web verhalten, vielleicht sogar so wie Du, dann kann ich diese leichter manipulieren und kinderleicht zu Interaktionen bringen.

Die meisten Menschen legen kein Wert darauf das Ihre Daten erfasst verwendet oder genutzt werden, da Sie das Argument vertreten:

Ich hab doch eh nichts zu verbergen

Doch darum geht es nicht, es geht darum das wir Sichtbare spuren hinterlassen, die der Menschheit vielleicht nicht gut tun wird in der Zukunft. Denn wir wissen nicht, was die Menschen mit diesen Daten anstellen können, aber dazugibt es jede menge Theorien. Wenn heutzutage im Web viel Geld verdient wird, ist es nur wegen dem User selbst, kein User kein Geld. Also sei Dir bewusst, was für eine Rolle Du selbst spielst im World Wide Web. Warum ich von hier begonnen habe, ist da der Mensch immer selber schuld ist im Web so wie im Realen leben auch.



Wie sicher ist meine Webseite überhaupt ?

Ist die Webseite wirklich gut geschützt und sicher wie fehlerfrei programmiert ? Oder wurde ein CMS benutzt, wo vielleicht eine Sicherheitslücke existiert ?

Die meisten System Veröffentlichen Fehlerquellen erst nach der Behebung so das keine Panik bei den Nutzern entsteht. Also du hättest in dieser Zeit einem Hacker zum Opfer fallen können, was nicht fair ist da es zahlreiche Tools gibt um bestimmte CMS Systeme zu hacken. Man sollte grade im Internet nicht alles einfach so hinnehmen und auch mal hinterfragen, weil das nimmt immer mehr ab.

Hat man ein Plugin installiert, was vielleicht nicht sicher genug war ? Auf einmal stellen sich so einige Fragen nach dem man nun angegriffen wurde, doch die Lösung liegt bereits am Anfang. Wenn man ein Auto kaufen will dann geht man nicht und kauft irgendein Auto, sondern man erkundigt sich und es dauert eine Weile bist die Entscheidung fällt. Man sollte im Web auch wie im realen Leben versuchen sich vorausschauend zu bewegen.

Ich möchte jetzt hier auch keine Angriffsmöglichkeiten zeigen um das auch noch zu unterstützen jedoch wird eine Webseite jeden Tag angegriffen. Um einige zu nennen:


  • XSS - Cross-Site-Scripting Webseitenübergreifendes Skripting - bei XSS gibt es Clientseitiges und Serverseitiges Cross-Site-Scripting und verfolgen beide einen anderen Ansatz
  • SQL-Injection - Datenbank-Einschleusung
  • Session Hijacking - Entführung einer Kommunikationssitzung
  • HTTP Response Splitting - Hier geht es darum zwischen Server und Browser den Header zu manipulieren so das auf der Clientseite falsche Header-Informationen ausgeliefert werden. Wenn Du in Deinem Browser eine HTML-Seite von einem Webserver aufrufst bekommst Du diese über HTTP gesendet.

Egal ob klein und kaum Besucher oder Riesen groß und Tausende von Besuchern. Die meisten Angriffe stammen von Script Kiddies also eigentlich eher harmlose Angriffe, jedoch nutzen Sie Tools die wiederum von professionellen entwickelt wurden, doch es greifen auch professionelle an und wenn diese nur eine kleine Lücke finden, kann das Schwere folgen haben. Also rechne damit, auch wenn Du keine dafür vorgesehene Oberfläche hast, um so etwas einzusehen das Du trotzdem täglich angegriffen wirst und das steigend.



Hash Info

MD5 und auch SHA-Hashes können geknackt werden, jedoch kann man diese mit ruhigem gewissen einsetzen. Es braucht einige versuche um es zu knacken, also eine lange Zeitspanne. Jedoch gibt es Hash-Datenbanken (Diese wandeln Dein gehashtes Passwort wieder um in das was du eigegeben hast), also habe ich Dein gehashtes Passwort so kann ich es ohne viel mühe entschlüsseln. Deshalb solltest Du immer ein sehr starkes Passwort nutzen und alle Möglichkeiten sollten genutzt werden, weil dies verlängert dem Hacker das Knacken. Es kann eine Sekunde dauern Dein Passwort zu knacken wenn Du nur 1234 eingibst oder Du machst es so schwer mit Kombinationen wie die üblichen Empfehlungen, so kann es bis zu 15 Jahre dauern Dein Passwort zu knacken ;)



Leider gibt es keine 100% Lösung dagegen man kann nur sein bestes Geben sich gegen die Angriffe zu schützen. Sei es das man seine Programmierer Kenntnisse erweitert und sein System verbessert oder ein Vertrauens würdiges System nutzt, das ist am ende jedem Selbst überlassen.

Kein System ist zu 100% sicher

In den meisten Fällen ist der Programmierer schuld, dass ein System gehackt wird bzw. gehackt werden kann. Man hat etwas übersehen oder hat es nicht bedacht und so macht man es dem Angreifer um so leichter.

Nutze Tools um auch so gut wie Möglich dagegen anzugehen, die meisten vernachlässigen den Server oder auch andere dinge deshalb ist es um so wichtiger zu Prüfen ob man dagegen gesichert ist. Prüfe z.B. dein HTTP Header Request hier mit den Tools von tnado:
 SEO Tools



Probier es aus, gib in der Google suche "Hacked by" ein, du wirst Webseiten finden die gehackt wurden und mit initialen der Hacker versehen wurden


Tipp

Für Entwickler gilt immer "Never trust the client" und "All incoming Data is evil"



Wie Webseite schützen ?

Am besten sollte man im vorne hinein schon dafür sorgen das man sein Wissen erweitert, um besser seine eigene Sicherheit im Web zu gewährleisten und seine Webseite zu schützen. Das Web ist mit der Zukunft verbunden, kann nicht ignoriert werden und das wird es auch nicht nur du wirst zurückbleiben. Wenn Du mich fragst, fange gleich an mit programmieren, wenn Du Jung bist, dann erst recht, es ist Deine Zukunft. Programmiersprachen sind dumme sprachen und wenn Du sie einmal verstanden hast dann wirst Du Dir selber, sagen wieso hab ich das nicht gleich verstanden :)

Wenn Du denkst, o. k. brauch ich nicht dann ist es Deine Entscheidung und muss respektiert werden. Dann würde ich Dir Raten, das Du ein vertrauenswürdiges System nutzt, was jedoch heute sehr schwer zu finden ist, weil es muss trotzdem alles eingerichtet und installiert werden so wie die Sicherheit in Betracht gezogen werden. Erkundige Dich also sehr gut, bevor Du mit einem System startest und frage am besten einen bei Experten nach Rat. Wenn du deine Webseite schützen willst beachte auch die folgende Liste.



  • Halte CMS Systeme immer aktuell und update sie, so wie Plugins und andere extras.
  • Verwende sichere Passwörter oder nutze wie ich ein Passwort Manager.
  • Captchas einbauen die bei zu häufigen aufrufen oder auch Bots daran hindern zu Manipulieren.
  • Nutzte die Search Console um Mögliche Hackings ausfindig zu machen, da sie dir dort auch angezeigt werden wenn deine Webseite verknüpft wurde.
  • SSL Verschlüsselung verwenden so das die Seite nur über https erreichbar ist.


Wenn bereits gehackt

Dann ist alles bereits zu spät um die Webseite zu schützen, da es jetzt zu schwer wäre den Wurm zu finden, ist es sinnlos zu suchen. Außer man hat die nötigen Vorbereitungen getroffen und man kann in seinen Aufzeichnungen etwas herauslesen. Jedoch wird sich der Hacker nicht zeigen wollen, sondern eher unsichtbar bleiben. Es bleiben Dir nicht viele Möglichkeiten, sondern nur wenige, also das Beste ist, das Du alles entfernst und Dein System neu aufsetzt. So bist Du auf der sichersten Seite und es besteht nicht die Gefahr, dass der Hacker noch drauf ist und auf eine Gelegenheit lauert.



tnado wirkt dem entgegen

In tnado wurde dem etwas entgegen gewirkt und so wurde ein Weg genutzt, der nur bestimmte URL-Strukturen erlaubt und kontrolliert zulässt. Das heißt, die meisten Angriffe werden bereits beim Aufruf der Seite verhindert, der Front Controller oder auch Router genannt ist das Herzstück in einem MVC (Model View Controller). Dieser wurde in tnado so konzipiert, dass diese URL-Struktur möglich ist, jeglicher Versuch von Parameter Manipulation oder auch Eingabe von nicht existierenden URLs werden nicht beantwortet und bekommen eine 404 Seite ausgegeben.

Dein Kommentar

* Diese Felder sind erforderlich, E-Mails werden nicht veröffentlicht
Du kannst diese Tags verwenden: <p>, <em>, <strong>, <u>, <s>, <pre>, <blockquote>
?

Dieses Feld ist optional
Fülle dieses Feld aus und verbinde Dein Namen mit Deiner Website.

Die in dieses Kontaktformular eingegebenen Daten werden in unserem System gespeichert, um die Ausgabe des Kommentars sicherzustellen. Ihre E-Mail-Adresse wird gespeichert, um die Anzahl der Kommentare und die zukünftige Registrierung zu bestimmen

Ich habe gelesen die Datenschutzbestimmungen und Nutzungsbedingungen. Ich bestätige die Übermittlung des Formulars und die Übermittlung meiner Daten.
tnado © 2019 | Alle Rechte Vorbehalten
In cooperation with Hyperly