Hostpoint Magazin

Dein Hosting-Magazin über Hostpoint, Webhosting, E-Commerce und SEO

Regelmässige Updates der Apps erhöht die Sicherheit

Bereits seit langer Zeit bieten wir im Control Panel die sogenannten One-Click Apps an, wo man ganz einfach per Knopfdruck Web-Applikationen wie Typo3, Joomla!, WordPress uvm. für eine Website installieren kann. Dabei wird jeweils die aktuellste Version der ausgewählten Applikation installiert. Hört sich einfach an, ist es auch. Jedoch gibt es trotz allem eine Gefahr, die man sich so nicht immer bewusst ist.

Defacements und andere Missbräuche

Es schleichen sich leider immer wieder kleinere und grössere Fehler in solche Applikationen ein, welche die zuständigen Entwickler von Zeit zu Zeit beheben und die korrigierte Version in einem neuen Release veröffentlichen. Oftmals handelt es sich bei solchen Fehlern um gravierende Sicherheitslücken. Dadurch ist es z.B. möglich den Inhalt einer Website zu verändern oder gar private Daten auszulesen. Häufig werden auf diese Weise Websiten für politische Zwecke oder einfach “just for fun” mit fremden Inhalt verunstaltet. Die Hacker können sich quasi so “selbst bestätigen” und in gewissen Kreisen damit angeben, wie viele Seiten sie übernommen und verunstaltet haben. Leider bleibt es aber meist nicht nur bei diesen sogenannten “Defacements” sondern die gehackten Seite wird auch für weitere Zwecke missbraucht – für Zwecke mit denen Geld verdient werden kann! Natürlich geschieht dies nicht auf legale Art, sondern durch Betrug und Missbrauch. In einem Support-Center Artikel haben wir weitere Details zu den Missbräuchen aufbereitet.

Viele Sicherheitslöcher

Obwohl die Entwickler solcher Applikationen mittlerweile äusserst sensibilisiert sind, Fehler bereits vorgängig zu eliminieren bzw. zu vermeiden, werden doch alle paar Wochen Sicherheitslöcher bei den bekanntesten Web-Applikationen entdeckt. So listet eine simple Suche bei heise Security alleine für das weitverbreitete Content Management System Typo3 ganze 29 Treffer und für die bekannte Blog-Applikation WordPress gar 51 Treffer für die vergangenen knapp 2 Jahre auf.

Updates sollten möglichst schnell durchgeführt werden

Aus eigener Erfahrung empfehle ich Updates jeweils möglichst rasch einzuspielen, so dass die Applikation immer auf den neusten Stand ist und man somit auch gegen Angriffe auf die bereits bekannten Sicherheitslücken geschützt ist. Auch kann es vorkommen, dass manchmal grössere Änderungen in den einzelnen Releases vorgenommen werden. Wenn man jedoch jeden Update eingespielt hat, sind solche grösseren Änderungen zwischen den verschiedenen Releases meist gar kein Problem. Selbstverständlich ist mir als Entwickler klar, dass man bei manchen Applikationen nicht sofort auf die neuste Version updaten kann, weil z.B. eigene Anpassungen am Sourcecode der Applikation vorgenommen wurde oder aber die Website einfach zu wichtig ist, als dass eine Unterbrechung durch die neue Version drin liegt.

Da es oftmals halt doch sehr kritische Sicherheitslücken sind, ist es trotzdem ratsam, den Update möglichst früh durchzuführen. Falls nicht, sind in den allermeisten Fällen dadurch vor allem die persönlichen Daten auf dem Webserver dem Risiko ausgesetzt, missbraucht zu werden.

Was macht der Provider?

Da wir über unser Control Panel immer die aktuellste Version zum Update anbieten, kann man die Applikation per Knopfdruck aktualisieren (dies sollte jedoch auch bei einer selber installierten Applikation innerhalb des Menüs der Applikation in der Regel der Fall sein). Zusätzlich verschicken wir Info-E-Mails an Kunden, welche eine Applikation von uns installiert haben, dass ein Update zur Verfügung steht. Dieses E-Mail sollte kein Zwang zum Update sein, sondern eher eine Sensibilisierung, dass es wichtig ist, seine Installationen immer auf dem neusten Stand zu halten.

Da unsere Infrastruktur sehr konservativ abgesichert ist, gab es bis heute zum Glück keinen einzigen Fall, dass die Infrastruktur durch einen solchen Angriff missbraucht werden konnte. Somit sind meistens „nur“ die Daten auf dem persönlichen Webhosting-Account betroffen. Als wäre das für den betroffenen nicht schon schlimm genug, werden gehackte Accounts meistens auch noch zum Versand von Spam-E-Mails verwendet.  Spätestens ab diesem Zeitpunkt sind wir dann gezwungen, den Webhosting-Account zu sperren.  Durch den Einsatz von speziellen Sicherheitsmechanismen wie z.B. Mod_Security können wir viele kritische Fälle jedoch bereits im Vornherein verhindern.

Letztlich ist aber jeder Einzelne für die Aktualität seiner installierten Applikationen verantwortlich und muss alleine entscheiden, ob das Risiko eines erfolgreichen Hacker-Angriffs eingehen will oder nicht.

2 Kommentare

  1. Walter Schärer 24. Oktober 2010 Reply

    Für mich hat sich das Hosting bei Hostpoint als sehr zuverlässig und einfach erwiesen. Ich betreibe hier inzwischen 4 Blogs und kann die Dienstleistung nur weiterempfehlen!

  2. Michi 8. August 2012 Reply

    Ich möchte Ergänzen, dass heute gehackte Accounts und Webseiten meist verwendet werden, um die PCs der Besucher (Freunde, Bekannte, Kunden…) mit Viren und Schadsoftare zu infizieren.

    Was passiert in so einem Fall?

    * Google streicht die Seite aus seinem Index.
    * Die meisten Browser zeigen anstelle der Webseite einen grossen roten Warhinheis, dass die Webseite verseucht ist und einem einen Virus unterjubeln möchte.
    * Switch entfernt nach wenigen Tagen die Domain. Somit funktioniert ab diesem Zeitpunkt weder die Webseite/Warnhinweis noch E-Mail.

    Die Auswirkungen von nicht gewarteten Applikationen können – gerade für Betriebe – gravierend sein. Aus dieser Sicht ist die Benachrichtigung über ein verfügbares Update zwar kein Zwang, aber ein _sehr_ dringender Hinweis.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>