Web-Sicher­heit mit aktu­el­lem CMS

Ein Con­tent-Manage­ment-Sys­tem benö­tigt regel­mä­ßi­ge Updates für sei­ne Sicher­heit. Ansons­ten wird es anfäl­lig für Hacker. Das betrifft jedes CMS, Wor­d­Press eben­so wie TYPO3, Con­tao, Joom­la!, Dru­pal, Neos und alle wei­te­ren Vari­an­ten.

Sicher­heit über Updates

Alle Con­tent-Manage­ment-Sys­te­me bie­ten Updates in regel­mä­ßi­gen und unre­gel­mä­ßi­gen Abstän­den an. Gera­de die sicher­heits­re­le­van­ten Updates erfol­gen oft unre­gel­mä­ßig, wenn es wie­der ver­stärk­te Hacker­an­grif­fe auf das Sys­tem gab. Die regel­mä­ßi­gen Updates lie­fern eher neue Funk­tio­nen, doch auch sie schlie­ßen Sicher­heits­lü­cken. Sol­che Updates erfol­gen rela­tiv häu­fig. Bei Wor­d­Press kön­nen es monat­lich drei sein, bei weni­ger oft genutz­ten Vari­an­ten wie Con­tao ist es viel­leicht eins. Die­se Updates soll­te nie­mand ver­pas­sen: Hacker wis­sen sonst genau, wel­che Schwach­stel­len ein nicht aktua­li­sier­tes CMS angreif­bar machen. Das wäre beson­ders dann sehr kri­tisch, wenn auf der Sei­te kun­den­spe­zi­fi­sche Daten lagern. Oft sind es E‑Mail-Adres­sen, manch­mal sogar Lebens­läu­fe, Anschrif­ten, Tele­fon­num­mern und in sehr kri­ti­schen Fäl­len sogar Kre­dit­kar­ten­da­ten von Nut­zern. Die Art der Daten hängt von der Nut­zung der Web­sei­te ab. Es wäre grob fahr­läs­sig, so eine Web­sei­te nicht aus­rei­chend zu sichern.

Funk­tio­niert ein Update auf Knopf­druck?

Die­ser Ein­druck wird oft ver­mit­telt, doch ganz so ein­fach funk­tio­niert ein Update nicht. Immer­hin sind auch Exten­si­ons und jedes ein­zel­ne The­me und Plug-in auf die Kom­pa­ti­bi­li­tät der Update-Ver­si­on zu über­prü­fen. Natür­lich funk­tio­niert der Vor­gang in der Regel auto­ma­tisch, den­noch ist er auf­wen­dig und kann eine Über­wa­chung oder gar einen Ein­griff erfor­dern. Web­mas­ter mit sehr gro­ßen Sei­ten arbei­ten dann mit einer gespie­gel­ten Umge­bung und tes­ten die neue Ver­si­on zunächst. Wenn ein Pro­jekt auf so eine Grö­ße gewach­sen ist, der Web­mas­ter aber nicht stän­dig sei­ne Exper­ti­se erwei­tern will, kann es sinn­voll sein, sich fach­li­che Hil­fe zu holen. Es gilt unter ande­rem: Je grö­ßer ein Ver­si­ons­sprung aus­fällt, des­to auf­wen­di­ger und kom­pli­zier­ter kann das Update aus­fal­len. Das wäre etwa ein Sprung von TYPO3 oder TYPO 4.5 auf TYPO 6.2, eben­so ein Sprung von Wor­d­Press Ver­si­on 4.9 auf 5.2 oder vom noch ver­füg­ba­ren Con­tao 4.4 auf die aktu­el­le Ver­si­on 4.9 (Stand: Juli 2020).

Wie gelangt Schad­code in das CMS?

Vor allem via Exten­si­on oder per Plug-in, manch­mal auch über ein The­me, wie zahl­lo­se Unter­su­chun­gen zum The­ma nahe­le­gen. Soll­te ein The­me von bekann­ten Ent­wick­lern stam­men, gilt es als weni­ger gefähr­lich, aber bei Exten­si­ons oder auch bei einem Plug-in ist die Gefahr nicht zu unter­schät­zen. Manch­mal schlei­chen sich gleich meh­re­re Male­wa­re-Fami­li­en über PHP-basier­te Hin­ter­tü­ren ins Con­tent-Manage­ment-Sys­tem und sichern sich den län­ger­fris­ti­gen Zugang. Damit kann der Scha­den sehr groß wer­den. Wer davon betrof­fen ist, soll­te sich auf jeden Fall pro­fes­sio­nel­le Hil­fe suchen. Der eige­ne Hos­ter kann übri­gens oft per Scan fest­stel­len, wel­che Datei­en infi­ziert wur­den. Manch­mal sperrt er dar­auf­hin sogar die Sei­te, bis der Scha­den beho­ben ist. Der bes­te dage­gen Schutz ist es, kein Update zu ver­pas­sen und das Sys­tem immer aktu­ell zu hal­ten.

Kom­men­ta­re

0 Kom­men­ta­re

Einen Kom­men­tar abschi­cken

Dei­ne E‑Mail-Adres­se wird nicht ver­öf­fent­licht. Erfor­der­li­che Fel­der sind mit * mar­kiert.

zwan­zig − 3 =