Um Ihre Website vor Angriffen zu schützen, müssen Sie wissen, wie Ihre Website manipuliert wurde. Auf dieser Seite werden einige Sicherheitslücken beschrieben, die zur Manipulation Ihrer Website führen können.
Im folgenden Video werden die verschiedenen Arten von Hacks beschrieben und es wird erklärt, wie Hacker die Kontrolle über deine Website übernehmen können.
Manipulierte Passwörter
Angreifer können Techniken zum Erraten von Passwörtern einsetzen, indem sie verschiedene Passwörter ausprobieren, bis sie das richtige erraten. Angriffe, bei denen Passwörter erraten werden, können auf verschiedene Weise durchgeführt werden, z. B. durch Ausprobieren gängiger Passwörter oder durch Zufallskombinationen aus Buchstaben und Zahlen, bis das Passwort erkannt wurde. Um dies zu verhindern, sollten Sie ein starkes Passwort erstellen, das schwierig zu erraten ist. Im Google-Hilfeartikel finden Sie Tipps zum Erstellen eines starken Passworts.
Es gibt zwei wichtige Punkte, die Sie beachten sollten. Zunächst ist es wichtig, zu vermeiden, dass Passwörter mehrfach verwendet werden. Sobald Angreifer eine funktionierende Kombination aus Nutzername und Passwort ermitteln können, versuchen sie, diese Kombination bei so vielen Diensten wie möglich zu verwenden. Daher kann die Verwendung verschiedener Passwörter für verschiedene Dienste die Manipulation anderer Konten bei anderen Diensten verhindern.
Nutzen Sie anschließend die 2-Faktor-Authentifizierung (2FA) wie die Google-Bestätigung in zwei Schritten, sofern diese verfügbar ist. 2FA ermöglicht eine zweite Ebene von Anmeldedaten, in der Regel über einen SMS-Code oder eine andere dynamisch generierte PIN, die es Angreifern erschwert, mit einem gestohlenen Passwort auf Ihr Konto zuzugreifen. Einige CMS-Anbieter haben eine Anleitung zum Konfigurieren von 2FA: Weitere Informationen finden Sie in der Dokumentation zu Joomla!. WordPress oder Drupal
Verpasste Sicherheitsupdates
Ältere Softwareversionen können von Sicherheitslücken mit hohem Risiko betroffen sein, über die Angreifer eine ganze Website kompromittieren können. Angreifer suchen aktiv nach alter Software mit Sicherheitslücken. Wenn Sie eine Sicherheitslücke auf Ihrer Website ignorieren, erhöht sich die Wahrscheinlichkeit, dass Ihre Website angegriffen wird.
Hier einige Beispiele für Software, die Sie immer auf dem neuesten Stand halten sollten:
- Webserversoftware, wenn Sie eigene Server betreiben.
- Ihr Content-Management-System (CMS). Beispiel: Sicherheits-Releases von WordPress, Drupal und Joomla!.
- Alle Plug-ins und Add-ons, die Sie auf Ihrer Website verwenden.
Unsichere Designs und Plug-ins
Plug-ins und Designs in einem CMS bieten wertvolle erweiterte Funktionen. Veraltete oder nicht gepatchte Designs und Plug-ins sind jedoch eine Hauptursache für Sicherheitslücken auf Websites. Wenn Sie auf Ihrer Website Designs oder Plug-ins verwenden, sollten Sie diese immer auf dem neuesten Stand halten. Entfernen Sie Designs oder Plug-ins, die nicht mehr von ihren Entwicklern verwaltet werden.
Besondere Vorsicht ist bei kostenlosen Plug-ins und Designs geboten, die von nicht vertrauenswürdigen Websites stammen. Angreifer versuchen häufig, schädlichen Code zu kostenlosen Versionen kostenpflichtiger Plug-ins oder Designs hinzuzufügen. Achten Sie beim Entfernen eines Plug-ins darauf, alle zugehörigen Dateien von Ihrem Server zu entfernen, anstatt es nur zu deaktivieren.
Social Engineering
Bei Social Engineering geht es darum, die menschliche Natur auszunutzen, um komplexe Sicherheitsinfrastrukturen zu umgehen. Bei diesen Angriffen werden autorisierte Nutzer dazu verleitet, vertrauliche Informationen wie Passwörter preiszugeben. Eine gängige Form von Social Engineering ist Phishing. Bei einem Phishing-Versuch sendet ein Angreifer eine E-Mail, die sich als seriöse Organisation ausgibt und vertrauliche Informationen anfordert.
Gib niemals vertrauliche Informationen wie Passwörter, Kreditkartennummern, Bankdaten oder sogar dein Geburtsdatum an, es sei denn, du bist dir bezüglich der Identität des Antragstellers sicher. Wenn Ihre Website von mehreren Personen verwaltet wird, sollten Sie Schulungen anbieten, um das Sicherheitsbewusstsein gegen Social-Engineering-Angriffe zu sensibilisieren. Grundlegende Tipps zum Phishing-Schutz finden Sie in der Gmail-Hilfe.
Lücken in den Sicherheitsrichtlinien
Wenn Sie ein Systemadministrator sind oder Ihre eigene Website betreiben, denken Sie daran, dass mangelhafte Sicherheitsrichtlinien Angreifern ermöglichen können, Ihre Website zu manipulieren. Beispiele:
- Nutzer dürfen schwache Passwörter erstellen.
- Administratorzugriff für Nutzer, die ihn nicht benötigen.
- HTTPS auf Ihrer Website wird deaktiviert und Nutzer können sich über HTTP anmelden.
- Dateiuploads von nicht authentifizierten Nutzern oder ohne Typprüfung sind zulässig.
Einige grundlegende Tipps zum Schutz Ihrer Website:
- Achten Sie darauf, dass Ihre Website mit strengen Sicherheitskontrollen konfiguriert ist, indem Sie unnötige Dienste deaktivieren.
- Zugriffssteuerungen und Nutzerberechtigungen testen
- Verwenden Sie die Verschlüsselung für Seiten, auf denen vertrauliche Informationen verarbeitet werden, z. B. Anmeldeseiten.
- Prüfen Sie Ihre Protokolle regelmäßig auf verdächtige Aktivitäten.
Datenlecks
Datenlecks können auftreten, wenn vertrauliche Daten hochgeladen werden und eine Fehlkonfiguration diese vertraulichen Informationen öffentlich zugänglich macht. Beispielsweise können bei der Fehlerbehandlung und Benachrichtigungen in einer Webanwendung Konfigurationsinformationen in einer unbearbeiteten Fehlermeldung offengelegt werden. Mit einer Methode, die als „Google Hacking“ bezeichnet wird, können böswillige Akteure Suchmaschinenfunktionen ausnutzen, um diese Daten zu finden.
Sorgen Sie dafür, dass Ihre Website keine vertraulichen Informationen an unbefugte Nutzer weitergibt. Führen Sie dazu regelmäßige Prüfungen durch und beschränken Sie vertrauliche Daten mithilfe von Sicherheitsrichtlinien auf vertrauenswürdige Entitäten. Falls Sie dennoch vertrauliche Informationen auf Ihrer Website finden, die dringend aus den Google-Suchergebnissen entfernt werden müssen, können Sie einzelne URLs mit dem Tool zum Entfernen von URLs aus der Google Suche entfernen.