The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Die gängigsten Methoden von Spammern beim Hacken von Websites

Um Ihre Website vor Angriffen zu schützen, ist es wichtig herauszufinden, welche Sicherheitslücke die Website aufweist. In diesem Artikel werden einige Sicherheitslücken erklärt, die dazu führen können, dass Ihre Website angegriffen wird.

Manipulierte Passwörter

Angreifer können anhand bestimmter Techniken verschiedene Passwörter ausprobieren, bis sie das richtige Passwort finden. Angriffe, bei denen das Passwort erraten wird, können auf unterschiedliche Weise ausgeführt werden. Dazu können entweder gängige Passwörter ausprobiert werden oder verschiedene Buchstaben- und Zahlenkombinationen so lange eingegeben werden, bis das Passwort geknackt ist. Um dies zu verhindern, sollten Sie ein starkes Passwort erstellen, das schwierig zu erraten ist. Tipps hierzu finden Sie im Google-Hilfeartikel Ein starkes Passwort erstellen.

Es gibt zwei wichtige Punkte, die Sie beachten sollten. Zum einen ist es wichtig, dass Sie ein und dasselbe Passwort nicht mehrfach verwenden. Sobald Angreifer eine funktionierende Kombination aus Benutzername und Passwort identifizieren, werden sie versuchen, diese Kombination bei so vielen Diensten wie möglich zu verwenden. Mit unterschiedlichen Passwörtern für verschiedene Dienste können Sie also vermeiden, dass Ihre Konten bei anderen Diensten auch angegriffen werden.

Zum anderen empfiehlt es sich, sofern verfügbar, eine Zwei-Faktor-Authentifizierung (2FA) wie die Bestätigung in zwei Schritten von Google zu nutzen. Bei der 2FA werden zusätzlich zu den Anmeldedaten weitere Zugangsdaten benötigt, wie beispielsweise ein SMS-Code oder eine andere dynamisch erstellte PIN. Dadurch wird es Hackern erschwert, mit einem gestohlenen Passwort auf Ihr Konto zuzugreifen. Einige CMS-Anbieter, darunter Joomla!, WordPress oder Drupal stellen einen Leitfaden zur Konfiguration von 2FA zur Verfügung.

Fehlende Sicherheitsupdates

Ältere Softwareversionen können durch Sicherheitslücken mit hohem Risiko beeinträchtigt werden, die es Angreifern ermöglichen, eine komplette Website zu manipulieren. Angreifer suchen aktiv nach veralteter Software mit Sicherheitslücken. Wenn Sie Sicherheitslücken auf Ihrer Website ignorieren, wird dadurch die Wahrscheinlichkeit eines Hackerangriffs erhöht.

Hinweis: Es ist wichtig, regelmäßig nach Software-Updates für Ihre Website zu suchen, um Sicherheitslücken zu finden. Richten Sie am besten automatische Updates für Ihre Software ein, sofern möglich, und abonnieren Sie Sicherheitsankündigungen für Ihre aktiv genutzte Software.

Einige Beispiele für Software, die Sie immer aktualisieren sollten:

  • Webserversoftware, sofern Sie eigene Server nutzen
  • Content-Management-System. Beispiel: Sicherheitsupdates von WordPress, Drupal und Joomla!
  • Alle Plug-ins und Add-ons, die Sie auf Ihrer Website verwenden

Unsichere Designs und Plug-ins

Plug-ins und Designs ergänzen ein CMS um wertvolle, erweiterte Funktionalität. Veraltete oder nicht aktualisierte Designs und Plug-ins gehören aber zu den größten Sicherheitslücken auf Websites. Wenn Sie Designs oder Plug-ins auf Ihrer Website verwenden, sollten Sie diese immer aktualisieren. Werden Designs oder Plug-ins von ihren Entwicklern nicht mehr gepflegt, entfernen Sie sie.

Besondere Vorsicht ist bei kostenlosen Plug-ins und Designs geboten, die von nicht vertrauenswürdigen Websites stammen. Angreifer nutzen diese besonders häufig, um schädlichen Code hinzuzufügen. Wenn Sie ein Plug-in entfernen, achten Sie darauf, alle dazugehörigen Dateien von Ihrem Server zu entfernen, anstatt es einfach nur zu deaktivieren.

Social Engineering

Bei Social Engineering geht es darum, die menschliche Natur auszunutzen, um anspruchsvolle Sicherheitsinfrastrukturen zu umgehen. Autorisierte Nutzer werden bei dieser Art von Angriff dazu gebracht, vertrauliche Informationen wie Passwörter freizugeben. Eine gängige Form von Social Engineering ist beispielsweise Phishing. Bei einem Phishing-Versuch sendet der Angreifer eine E-Mail, in der er sich als seriöse Organisation ausgibt und vertrauliche Informationen anfordert.

Hinweis: In einer Studie von Google zu Social Engineering wurde festgestellt, dass einige der effektivsten Phishing-Kampagnen eine Erfolgsquote von 45 % haben.

Achten Sie deshalb darauf, sensible Informationen, wie beispielsweise Passwörter, Kreditkartennummern, Bankdaten oder Ihr Geburtsdatum, nur dann herauszugeben, wenn Sie die Identität des Antragstellers sicher kennen. Wenn Ihre Website von mehreren Personen verwaltet wird, sollten Sie mit diesen über das Thema Social Engineering-Angriffe sprechen, um das Sicherheitsverständnis zu erhöhen. Informationen dazu finden Sie auch im Gmail-Hilfeartikel Phishing-E-Mails vermeiden und melden.

Lücken in den Sicherheitsrichtlinien

Als Systemadministrator oder Inhaber einer eigenen Website sollten Sie bedenken, dass schlechte Sicherheitsrichtlinien dazu führen können, dass Ihre Website von Angreifern manipuliert wird. Beispiele:

  • Benutzern können schwache Passwörter erstellen.
  • Der Administratorzugriff wird für Nutzer freigeben, die diesen nicht benötigen.
  • HTTPS ist auf Ihrer Website nicht zugelassen und Benutzer können sich über HTTP anmelden.
  • Das Hochladen von Dateien durch nicht authentifizierte Nutzer oder ohne Typprüfung ist zulässig.

Einige grundlegende Tipps zum Schutz Ihrer Website:

  • Achten Sie darauf, dass Ihre Website über hohe Sicherheitskontrollen verfügt, indem Sie unnötige Dienste deaktivieren.
  • Überprüfen Sie Zugriffskontrollen und Benutzerberechtigungen.
  • Verschlüsseln Sie Seiten, auf denen sensible Informationen verarbeitet werden, wie beispielsweise Anmeldeseiten.
  • Prüfen Sie Protokolle regelmäßig auf verdächtige Aktivitäten.

Datenlecks

Datenlecks können auftreten, wenn vertrauliche Daten hochgeladen werden und eine fehlerhafte Konfiguration dazu führt, dass diese vertraulichen Informationen öffentlich zugänglich sind. Beispielsweise können in Fehlermeldungen, wenn diese nicht entsprechend eingerichtet wurden, und Meldungen in einer Webanwendung unter Umständen Konfigurationsinformationen offengelegt werden. Mit einer Methode, die als "Google Hacking" bekannt ist, können böswillige Angreifer Suchmaschinen-Funktionen ausnutzen, um diese Daten zu finden.

Achten Sie deshalb darauf, dass nicht autorisierten Nutzern auf Ihrer Website keine vertraulichen Informationen angezeigt werden. Führen Sie dazu regelmäßige Überprüfungen durch und geben Sie vertrauliche Daten über die Sicherheitsrichtlinien nur für vertrauenswürdige Instanzen frei. Wenn Sie dennoch sensible Informationen auf Ihrer Website entdecken, die dringend aus den Google-Suchergebnissen entfernt werden müssen, können Sie mit dem Tool zum Entfernen von URLs einzelne URLs aus der Google-Suche entfernen.