Mein Blog, dessen Sicherheit und ich

Ob Massenattacke, gezielte Angriffe oder Defacements – Blogs laufen ständig Gefahr von Cyberkriminellen attackiert zu werden. Viele Blogger und Blogbetreiber übersehen oft, dass sie nicht nur eine simple Webseite, sondern

Sicherheitstipps

Ob Massenattacke, gezielte Angriffe oder Defacements – Blogs laufen ständig Gefahr von Cyberkriminellen attackiert zu werden. Viele Blogger und Blogbetreiber übersehen oft, dass sie nicht nur eine simple Webseite, sondern ein ausgewachsenes Content Management System (CMS) verwenden. Angreifer haben umfangreiche Möglichkeiten, um Blogs zu infizieren und für ihre Zwecke zu missbrauchen. Kaspersky Lab veröffentlicht im Vorfeld des Blogger-Meetings re:publica 14 (6. bis zum 8. Mai 2014 in Berlin) neun praktische Sicherheitstipps, mit denen Blogger ihre Systeme präventiv vor Cyberattacken schützen.

Blog_Artikel

 


„Die Frage, wie man am besten verhindert, dass der eigene Blog gehackt wird, kann relativ einfach beantwortet werden: mit präventiven Maßnahmen. Denn besser als das Aufräumen nach der Attacke ist das Verhindern der Attacke an sich“, erklärt Christian Funk, Senior Virus Analyst bei Kaspersky Lab. „Zumal nicht alle Konsequenzen durch den Webmaster des Blogs behoben werden können – wie zum Beispiel die Infektion eines Blogbesuchers.“

Tatsächlich verringern ein paar einfache Regeln die Angriffsfläche auf Blogs. Kaspersky Lab gibt die folgenden Tipps, wie Blogger und Blogbetreiber Cyberattacken wirkungsvoll entgegentreten können:

  • Updates, Updates, Updates! Egal ob es sich um eine neue Version des Blogsystems, eines Plugins oder eines Themes handelt, sobald eine sicherheitsrelevante Aktualisierung zur Verfügung steht, sollte diese schnellstmöglich installiert werden. Der Grund: Spätestens wenn eine Schwachstelle bekannt wird, werden Angreifer versuchen, diese für ihre Zwecke auszunutzen.
  • Web-Applikationen härten. Mit diesem Begriff ist das Verringern der eigenen Angriffsfläche gemeint. WordPress hat dazu eine umfangreiche Dokumentation zusammengestellt. Für alle anderen Systeme gibt es ähnliche Anleitungen. Im Zweifel hilft eine Suche nach „Systemname + Hardening“.
  • Versionsnummern eingesetzter Serversoftware verbergen. So haben Angreifer eine deutlich kleinere Chance, mit automatisierten Skripten herauszufinden, ob ein Blogsystem veraltet ist. Einen zusätzlichen Schutz bietet die Deaktivierung von „Directory Listings“, die Einblick in die Struktur der Webseite erlauben und so mögliche Schwächen aufzeigen.
  • Standard-Admin-Nutzer deaktivieren. Dieser ist meist sehr gut dokumentiert, entsprechend einfach können ihn Kriminelle abfragen. Besser ist es – falls möglich –, den eigentlichen Admin-Account nach der Installation zu deaktivieren und einen dedizierten, neuen Account anzulegen.
  • Verfügbare Rechtestufen nutzen. Nicht jeder Nutzer benötigt einen Vollzugriff. Selbst wer seinen Blog alleine führt, sollte bei alltäglichen Aufgaben einen Account mit möglichst wenig Rechten verwenden. Denn Vollzugriff benötigt man eigentlich nur für System-Updates.
  • Auf Berechtigungen achten. Oftmals müssen nicht alle Daten auf dem Webserver von jedermann les- und vor allem nicht schreibbar sein. Blogbetreiber sollten sich daher mit den notwendigen Berechtigungen beschäftigen und diese für die Installation anpassen.
  • Je weniger Plugins, desto besser. Jedes Plugin öffnet potenziell einen neuen Weg in ein System. Daher sollte man möglichst wenige Erweiterungen installieren. Unnötige Erweiterungen sollten entweder deaktiviert oder idealerweise gelöscht werden.
  • Sicherheits-Plugins nutzen. Eine Ausnahme von der „möglichst wenig Erweiterungen“-Regel stellen Sicherheits-Plugins dar. Diese können oftmals viele der Best-Practices automatisch durchführen und den eigenen Blog gegen Angreifer schützen.
  • Backups. Blogger sollten die Funktionen ihres Blog-Systems nutzen, um in regelmäßigen Abständen Sicherungen anzulegen. Dadurch kann man im Falle einer Attacke das System schneller wieder zum Laufen bringen.

Kaspersky Lab bietet neben dem kompletten Whitepaper „Security für Blog und PHP – WordPress und Co. vor Hackern schützen“ allen Interessierten ausführliche und praktische Informationen zu den folgenden Themen an:

Tipps