540 Aufrufe
Gefragt in Webseiten HTML von
Hallo, wir haben eine kleine wordpress-homepage (bei strato) für den
Verein. Eigentlich nichts wichtiges. Aber ich habe mich schon öfters
gefragt, ob irgendein böser Hacker damit etwas anstellen könnte.Also zB
statt der Verbandsliga-Ergebnisse Werbung für eine Porno-Seite
platzieren, oder Angela Merkel übel beschimpfen, oder, oder ...
Und wenn dann nach 1 oder 2 Wochen mal wieder jemand auf die
Homepage schaut und das ganze entdeckt und zurück setzt, ist das Kind
schon in den Brunnen gefallen. D. h. irgendein Dritter hat dort eine
mutmassliche Straftat gesehen und uns, die Webseiten-Betreiber, bzw.
mich als offiziell Verantwortlichen, angezeigt.
Frage: wie sicher sind solche 08-15-Homepages? Schwierig zu hacken
oder einfach für Profi-Hacker oder versierte Amateur-Hacker?

5 Antworten

0 Punkte
Beantwortet von steffen2 Experte (6.4k Punkte)
wie oft spielt ihr (bzw Strato) die Patches ein?
0 Punkte
Beantwortet von mixmax Experte (2.2k Punkte)
Antwort 1  betrifft eher die Server-Software, solche Hacks sind für dich als Webseitenprogrammierer kaum überprüfbar und auch (ohne großes KnowHow) nicht ersichtlich.

Meistens sind solche Lücken auch bei den Serverfarmen (besonders bei großen wie Strato) eher schnell geschlossen aber du kannst prüfen welche PHP-Version installiert ist und ob du in der Webconsole z.B. eine aktuellere Version nehmen kannst. Auch der Webserver selber, mailserver oder installierte Addins sind mögliche Einfallstore.

z.B. wenn du eine standart-Forumssoftware installierst oder ein Gästebuch etc. Um so mehr funktionen deine Webseite bekommt, um so eher ist in einer eine Lücke.

Mein schönstes Beispiel war eine namenhafte und sehr gute Supportseite die einen Bilderupload hatte, über den man Serverscripte hochladen konnte. Die Lücke wurde natürlich dann geschlossen aber jemand böses hätte damit die ganze seite lahmlegen können oder eben Nazipropaganda einbauen, illegale Downloads anbieten usw..

Also wenn du nacktes HTML schreibst und man keine Formulare oder andere Interaktionen hat ist ein Hack so gut wie unmöglich.

Wenn du ein Forum oder Chat oder irgendwas hast wo eingaben von Besuchern wieder auf der Seite angezeigt werden, oder Dateien hochgeladen werden können, solltest du bei fertigen Produkten immer wider nach updates schauen und diese auch zeitnah aufspielen.
Bei selbst programmierten Interaktionen ist es für den Hacker schwerer eine Lücke zu finden, aber ein kleiner Programierfehler kann genau hier eine Lücke bieten.
0 Punkte
Beantwortet von steffen2 Experte (6.4k Punkte)
bei meinem WordPress von 1&1 kann ich Patches die 1&1 zur Verfügung stellt selbst einspielen. Oder nach einigen Tagen automatisch machen lassen.
0 Punkte
Beantwortet von flupo Profi (17.7k Punkte)
Die Frage kann hier wahrscheinlich nicht erschöpfend beantwortet
werden. Dafür gibt es einfach zu viele Aspekte die berücksichtigt werden
müssen und viele davon liegen in Bereichen, die man selbst nicht
beeinflussen kann.
Als Webseitenbetreiber sollte man sich einen guten Hoster suchen, der
seine Systeme aktuell hält und auch überwacht damit ungewöhnliche
Aktivitäten schnell entdeckt werden.
Man selbst muss sich um die Aktualität der verwendeten Software
kümmern. Nutzt man externe Tools oder Datenquellen, sollte man auch
die im Blick haben.
Ganz wichtig ist auch, den Zugang zum Webserver so sicher wie möglich
zu machen. Ein einfaches ftp-Passwort, dass nicht verschlüsselt
übertragen wird, ist eine Einladung. Falls Wordpress eine 2-Faktor-
Autorisierung für den Zugang zur Administration bietet, würde ich die auf
jeden Fall nutzen.

Gruß Flupo
0 Punkte
Beantwortet von
Besten Dank für die Hinweise!
Wirklich sehr informativ. Werde ich gleich mal bei Strato checken, wie das
mit den Patches gehandlet wird und ob man die PHP-Version prüfen
kann. Werde auch mal schauen, ob dort eine 2-Faktor-Autorisierung
möglich ist.
...