goldene Regeln der Webseitensicherheit

Transkript

1 12 goldene Regeln der Webseitensicherheit

2 12 goldene Regeln der Webseitensicherheit Egal für welches System, ob FTP Server, Webspace-Verwaltungssoftware, Datenbank oder Contentmanagement System verwenden Sie unterschiedliche und sichere Passwörter. Hierbei gilt: je länger das Passwort desto sicherer. Verwenden Sie sichere Passwörter verschiendene Passwörter für alle Systeme verwenden Sie möglichst lange Passwörter und Sonderzeichen Passwort Manager wie lastpass, keepass 1password Integrieren Sie auch Sonderzeichen, denn je komplexer das Passwort ist, desto mehr Kombinationen gibt es für die automatisierte Passworterzeugung was den Aufwand des Angreifers erheblich steigert. Beachten Sie darüberhinaus, dass Ihre Passwörter keinen Bezug zur eigenen Seite oder Person haben. Da solche Passwörter einfach zu erraten sind sollten Sie auf die Einbindung des eigenen Namens oder des Geburtsdatums verzichten. Passwort Manager wie bspw. lastpass, keepass oder 1passwort sind Tools die Ihnen dabei helfen auch bei komplexen Passwörtern den Überblick zu behalten. Diese Tools arbeiten ähnlich wie ein Tresor in dem alle Passwörter abgelegt werden, so dass Sie sich lediglich die Kombination für diesen Tresor merken müssen um auf alle Ihre Passwörter zugreifen zu können. Wenn tatsächlich Zugangsdaten für einen Webserver gestohlen werden dauert es in der Regel nicht lange bis die Angreifer eigene Code-Dateien auf dem Webspace installieren. Genau hier hilft unser Changetracking. Es überwacht den Webspace und informiert Sie automatisch und unverzüglich wenn Änderungen vorgenommen wurden, sodass Sie sofort reagieren können. 02 Verzichten Sie für die Verwaltung eines CMS Attacke Systems auf den Standard-Benutzernamen für den Administrator, denn in diesem Fall muss der Angreifer lediglich noch das Passwort erraten. Wird nur ein schwaches Passwort mit 6 Zeichen verwendet ist eine Brute-Force- Passen Sie die Namen der Systembenutzer an für CMS Systeme niemals den Standardusername wie admin nutzen eigener Namen mit Admin Rechten erschwert Brute-Force um dieses Passwort zu erraten durchaus realistisch. Achten Sie deshalb darauf, dass so wenige Hinweise wie möglich auf das Benutzername-Passwort-Paar gegeben werden.

3 12 goldene Regeln der Webseitensicherheit Um Angriffe an einer Webseite erkennen zu der können ist es wichtig zu wissen was auf dem eigenen Webspace passiert. Beobachten Sie Änderungen an der Webseite nicht jede gefährliche Datei wird als Malware erkannt durch eine php-datei kann die Datenbank ausgelesen oder Spam versendet werden verdächtige Änderungen müssen bemerkt werden um sie zu entfernen Nicht jede Datei, die Schaden anrichten kann wird als Malware oder Virus erkannt. Es könnte z.b. eine einfache PHP auf den Webspace eingeschleust worden sein. Diese Datei sieht auf den ersten Blick harmlos aus, könnte allerdings Spam verschicken oder Informationen aus Datenbank auslesen. Es ist hilfreich zu erfahren wenn neue Dateien auf dem Webspace hinzukommen oder wenn sich bestehende Dateien ändern. Denn meist sind für Änderungen nur wenige Personen verantwortlich, sollte also eine Änderung erkannt werden, deren Ursprung kein Verantwortlicher kennt, ist absolute Vorsicht geboten. Wir untersuchen Ihre Webseite kontinuierlich auf Änderungen. Täglich wird ausgewertet wie viele neue, geänderte und gelöschte Dateien hinzukommen. 04 Ein fataler Fehler den leider sehr viele Webseiten dieser Administratoren begehen ist die Handhabung des Zugriffs auf sensible Dateien. Oftmals sind dies Konfigurations- oder Info-Dateien. Sperren Sie den Zugang zu Dateien Achten Sie darauf, dass keine Konfigurationsdateien über das Web abrufbar sind Sperren Sie die phpinfo.php-datei, webserver.config sowie wordpress.config Diese Dateien geben Aufschluss über die verwendete Software und offenbaren somit mögliche Schwachstellen. Häufig ist z.b. die phpinfo.php-datei für jedermann aufrufbar. In Datei sind Informationen zur verwendeten PHP Version und allen aktivierten Plugins enthalten. Über diese Datei erhält ein Angreifer sehr viele Informationen zur Konfiguration der Webseite. Generell gilt die Regel: je weniger man über sein System verrät, desto aufwendiger wird ein Angriff.

4 12 goldene Regeln der Webseitensicherheit Der mittlerweile standardmäßig verwendete Virenscan für PCs ist für Ihren Webspace heutzu- Infektion tage mindestens genauso dringend. Bedenken Sie wie viele Menschen auf Ihre Webseite zugreifen und somit gefährdet sind. Verwenden Sie einen Virenscanner für Ihren Webspace Malware kann durch Usercontent hochgeladen werden Fileinjection, Viren in PlugIns oder Themes kompromitierter FTP Zugang Zusätzlich steigt durch die kontinuierliche Ereichbarkeit Ihrer Webseite die Gefahr für eine des Webspaces. Die meisten Infektionen resultieren allerdings aus der Installation von Fremdsoftware, wie beispielsweise eines neuen Wordpress Plugins oder Themes sowie aus der Möglichkeit des Dateiuploads Ihrer User. Wir untersuchen täglich das gesamte Backup nach Malware und Viren. Dabei werden verschiedene Scanner eingesetzt, um eine möglichst hohe Bandbreite an Infektionen zu erkennen. 06 Die Datenübertragung mittels des HTTP Protokolls birgt Risiken, da die Daten unverschlüsselt sich übertragen werden. Der Datenverkehr zwischen Webserver und Nutzerrechner kann so vom Man in the middle abgefangen werden. Verwenden Sie SSL Zertifikate, um das HTTPS Protokoll zu nutzen Verschlüsselte Übertragung der Daten Man in the middle (z.b. offenen WLAN, Anmeldung im WP Admin) Seitenidentität Wenn solch ein Angreifer beispielsweise die Login Daten eines CMS System abfängt kann er anschließend anmelden und hat somit Zugriff auf die komplette Webseite. Außerdem gibt das Zertifikat Gewissheit über die Identität des Webseitenbetreibers. So wird sichergestellt, dass man sich tatsächlich auf der gewünschten Seite befindet.

5 12 goldene Regeln der Webseitensicherheit Elementar für Webseiten Administratoren ist Schnittstelle natürlich auch der Schutz des eigenen Computers vor Viren und Malware. Denn die Betreuung der Webseite erfolgt zumeist über den Computer des Administrators. Befinden sich Viren auf diesem Computer besteht das Risiko, dass diese beim Aktualisieren von Dateien für die Webseite ebenfalls übertragen werden. Virenschutz auf dem eigenen Rechner beachten Eigener Rechner ist meist die Schnittstelle zur Webseite z.b. Zugriffe per FTP oder auf das Admin Panel von eigenem Rechner bei Infektion des eigenen Rechner, können Passwörter ausspioniert werden Darüberhinaus besteht die Gefahr von Keyloggern, mit denen Passworteingaben aufgezeichnet und an den Angreifer übermittelt werden. So kann der Angreifer den Admin Computer, der als zur Webseite dient ausforschen und erhält Zugriff auf die Webseite. Beispielsweise könnte ein Angreifer dem Administrator eine gefälschte Mail mit einem Anhang zukommen lassen. Der Admin erachtet die Mail als vertrauensvoll und öffnet auch den Anhang. Bereits jetzt könnte ein Trojaner auf dem Computer des Administrators alle Handlungen auf dem Computer protokollieren. Wenn nun der Administrator das nächste Mal das Dashboard seiner Seite aufruft und sich einloggt hat der Angreifer alle Daten, um sich selbst anmelden zu können. 08 Über die Administrationsoberfläche, das Backend, Darüberhinaus Ihres CMS Systems kann ein Angreifer Ihr System komplett übernehmen, denn hier findet er Zugang zu allen Konfigurationsdateien und somit die Passwörter für die Datenbankverbindung. Schützen Sie Ihren CMS-Admin-Login eigenen Link zum Admin-Bereich des CMS, nicht den Standardlink nutzen htacces Zusatzschutz einrichten verwenden Sie wenn möglich 2 Faktor Authentifizierung Deshalb ist es besonders wichtig den Anmeldedialog gegen Brute-Force-Attacken zu sichern. Zu allererst sollten Sie die URL zum Anmeldedialog für den Login ändern, dass automatisierte Abfragen von Angreifern schon mal ins Leere führen. Des Weiteren ist es empfehlenswert einen Verzeichnisschutz für den Anmeldedialog mittels.htaccess und.htpasswd Dateien einzurichten. haben Sie die Möglichkeit die Passworteingabe nach jeder Falscheingabe für eine bestimmte Zeit zu sperren. Dieser Schutz führt dazu, dass Brute-Force-Attacken solange dauern, dass diese Form der Attacke nahezu unmöglich wird. Zusätzlich existieren für viele Systeme inzwischen Plugins die eine 2 Faktor Authentifizierung ermöglichen. Für diese Authentifizierungsform werden 2 Komponenten, wie bspw. ein Passwort und ein Code, der an die Handynummer des Nutzers geschickt wird, für das Login benötigt.

6 12 goldene Regeln der Webseitensicherheit Eine Webseite birgt zahlreiche Risiken wie Datenverlust, Malware Injection, Verschlüsselung Ebenso durch Ransomware uvm. Aufgrund dessen ist es besonders wertvoll wenn Sie jeden Stand Ihrer Website wiederherstellen können. Erstellen Sie regelmäßig Backups sichern Sie die gesamte Seite inkl. Datenbank und Dateien achten Sie wenn möglich auf die räumliche Trennung der Server wichtig ist die gleichzeitige Sicherung von Datenbank und Dateien. Bei der Sicherung sollte man beachten, dass die Sicherung auf einem anderen Server erfolgt, der im Idealfall auch räumlich getrennt ist. Regelmäßige Backups sind die Kernkompetenz von sitehero. Nach der schnellen und einfachen Einrichtung auf der sitehero Homepage werden die Backups täglich und vollautomatisch ausgeführt und auf unseren Servern verschlüsselt gespeichert. 10 Ähnlich wie unter Punkt 9 bereits beschrieben Die gibt es auch bei der Kommunikation zwischen Server und Computer die Gefahr von Man-in-themiddle-Attacken. Verwenden Sie SFTP / FTP TLS via SSL und SSH Lassen Sie wenn möglich nur SFTP Kommunikation zum Server zu Wenn zum Beispiel die Konfigurationsdatei von einer Wordpress Installation mit einem FTP Programm heruntergeladen wird, werden diese Daten unverschlüsselt übertragen. Es besteht dadurch die Gefahr, dass ein Angreifer diese Daten ausliest und somit die sensiblen Daten erhält. meisten FTP Server unterstützen SFTP oder FTP TLS wodurch die Kommunikation zwischen Client und Server verschlüsselt stattfindet. Dies erschwert es dem Angreifer die Daten auszulesen um ein Vielfaches. Eine besonders sichere Variante zur Synchronisation zwischen Arbeitsrechner und Server sind SSH Verbindungen mit Keyfiles zur Authentifizierung. Über diese Verbindung und Tools wie rsync können Webspaces gefahrlos aktualisiert werden.

7 12 goldene Regeln der Webseitensicherheit Die meisten Webseiten werden mit CMS oder später Frameworks entwickelt. Dadurch haben viele Seiten dieselbe Codebasis und somit dieselben Schwachstellen. Wenn eine Schwachstelle identifiziert wurde, kann diese auf sehr viele Seiten angewendet werden. Verwenden Sie immer aktuelle Versionen da CMS und Frameworks häufig eingesetzt werden lohnt sich ein Angriff Hersteller reagieren mit Updates auf die gefunden Lücken Installieren Sie Updates Manche dieser Schwachstellen sind so gravierend, dass mit dem richtigen Angriff der gesamte Webspace übernommen werden kann. Für fast alle Systeme werden früher oder Schwachstellen entdeckt. Die Hersteller schließen diese Lücken meist in den folgenden Versionen. Deshalb ist es von enormer Bedeutung immer aktuelle Systeme zu verwenden. Beispielsweise wurde bei der Joomla Version eine Lücke entdeckt, die es Benutzern erlaubt sich bei der Registrierung erweiterte Rechte zu geben. Somit konnten diese Benutzer im System sehr viel mehr steuern als erwünscht. Da bei der Installation einer neuen CMS Version oder beim Update auf ein neues Framework viel schief gehen kann sollte man vor der Aktualisierung unbedingt ein Backup des gesamten Systems erstellen. Durch die Nutzung von sitehero existieren Backups von jeder Version Ihrer Webseite und Sie können Updates beruhigt einspielen, da jeder Stand Ihrer Seite wiederhergestellt werden kann. 12 Es Schulen Sie Ihre Teammitglieder immer wieder bringt der Faktor Mensch Probleme mit sich jeder Beteiligte muss die Risiken kennen verantwortungsvoller Umgang mit Passwörtern und anderen sensiblen Daten Ein sicheres System allein reicht nicht wenn die beteiligten Personen leichtfertig mit sensiblen Daten umgehen. Das beste Beispiel hierfür sind Post-Its mit Passwörtern am Monitor! ist von enormer Bedeutung, dass alle Beteiligten die Risiken kennen und den Umgang mit sensiblen Daten verantwortungsvoll handhaben.

8 Sie haben noch Fragen? Unser Support-Team steht Ihnen jederzeit gerne zur Verfügung um auch für Ihr Problem die passende Lösung zu finden! sitehero GmbH In der neuen Welt Memmingen Fon: +49 (0) Fax: +49 (0) info@sitehero.io