Es war Mitte Februar, als eine Meldung durch einschlägige Fachmedien huschte, die an vielen vorbeigegangen sein wird – nur nicht an denen, deren Webseiten betroffen waren: Es ging um einen groß angelegten Hackerangriff, von dem 400.000 Webauftritte betroffen waren und der zu einer kompletten Abschaltung dieser Seiten geführt hat!
Von diesem Angriff war auch eine von mir betreute Seite betroffen. Und trotz Sicherungen der Datenbank wie auch der WordPress Seiten half kein Weg daran vorbei, die Seite neu aufzusetzen, da das Login gehackt worden war und ich so die Seite nicht mehr administrieren konnte. Einzige Abhilfe: Löschen der kompletten Datenbank und nochmal neu starten! Ein Worstcase-Szenario, das ich nicht nochmals erleben möchte!
Nun hat dieser Tage erneut ein Hackerangriff stattgefunden – und dieses Mal sind mehr als doppelt so viel, nämlich 900.000 Webseiten betroffen!
Was tun?
Letztlich wird es immer Hackerangriffe geben und sie werden zunehmen und es wird immer schwerer sein, sich zu schützen. Das einzige, das hilft, ist meiner Ansicht nach die Berücksichtigung der folgenden Punkte, um es Hackern zumindest so schwer wie möglich zu machen:
PlugIn-Sparsamkeit
Während die von dem ersten Angriff betroffene Seite viel „Schnick-Schnack“ hatte, der nur mithilfe vieler PlugIns umgesetzt werden konnte, hatte ich bei den anderen Seiten darauf verzichtet. Das werde ich auch in Zukunft so halten – außer, es geht nicht anders, um bestimmte gewünschte Funktionalitäten bieten zu können. Beispielsweise ein Forum oder ähnliches. Denn je mehr PlugIns und zusätzliche Tools, die zur Nutzung der Seite eingerichtet werden, desto höher ist die Wahrscheinlichkeit, dass Hacker eine Tür finden, die sie öffnen können.
Aktualisierungen
Genutzte Software, Datenbanken, Tools, PlugIns, Themes, Protokolle – kurz alles, was eingesetzt wird, um die Webseite zu erstellen, sollte immer auf dem aktuellsten Stand sein. Deshalb prüfe ich alle Installationen routinemäßig und regelmäßig auf Aktualität. Dazu gehört meines Erachtens sogar, die eingesetzten PlugIns regelmäßig daraufhin zu prüfen, wie lange die letzte Aktualisierung seitens des Anbieters zurückliegt. Ist das zu lange her, sollte nach einem PlugIn gesucht werden, das offenbar eine bessere Wartung erfährt, um das andere zu ersetzen.
Sicherungen
Was sich beim oben beschriebenen Worstcase als „segensreich“ herausgestellt hat, war der Umstand, dass ich nicht nur die Datenbank und das Interface der von mir betreuten Webseiten regelmäßig sichere. Dies allein hätte mir, da ich – wie beschrieben – zu Datenbank und WordPress-Instanz gar keinen Zugang mehr erhalten habe, nicht viel genützt. Doch ich verlasse mich nicht nur auf automatische Sicherungen und Instanz-Duplikate, die von den Tools in der Cloud/beim Anbieter gespeichert werden. Vielmehr sichere ich Texte, Bilder, Inhalte und Gestaltung zusätzlich auf meinem Server. So kann ich auch in dramatischen Fällen die Webseiten schnell wieder herstellen.
Hilfe nötig?
Haben Sie dazu Fragen oder benötigen Sie Unterstützung, melden Sie sich gerne bei mir.
Links zu den Berichten
https://t3n.de/news/400000-websites-betroffen-3-1243138/
© Grafik: Webdesign Ahrensburg