Content-Management-Systeme, kurz als CMS bezeichnet, werden immer beliebter. Die meisten Websites sind heute mit einem CMS aufgebaut. Die beliebtesten Produkte sind WordPress, Joomla, Typo 3, Contao und Drupal.
Was ist ein CMS?
CMS sind technisch gesehen Dateien-Sammlungen – meist aus PHP-, HTML- und CSS-Dateien. Fast immer kommt zudem eine mySQL-Datenbank zum Einsatz, in der die eigentlichen Inhalte gespeichert sind. Layout und Content sind also getrennt. So kann man dem gleichen Inhalt leicht ein neues Design verpassen.
Warum werden CMS gehackt?
CMS als komplexe Gebilde aus verschiedenen Codes sind immer anfällig auf Hacker-Angriffe, da sie nie 100% sicher programmiert sind. Hacker wollen sich pausenlos in Ihr System einloggen, es kompromittieren und es für kriminelle Zwecke missbrauchen. Das ist normaler Alltag im Netz und braucht Sie nicht zu beunruhigen.
Die (Nicht-) Bedeutsamkeit Ihrer Seite spielt dabei keine Rolle: Auch eine Seit Jahren nicht aktualisierte und kaum besuchte Seite ist für Hacker interessant. Meist geht es um den Massenversand von Spam oder um Finanzbetrug (z.B. kann in einem Verzeichnis Ihrer Website unbemerkt eine Bankenseite gefälscht werden, wo die Betrüger dann Logins abgreifen).
Dagegen gibt es viele Schutzmöglichkeiten. Wir haben auf dem Server zahllose Anti-Hacker-Tools installiert.
Was können bzw. müssen Sie tun?
Das Allerwichtigste ist: Bei jedem CMS müssen Sie immer die aktuellste Version verwenden. Diese erscheinen alle paar Wochen. Dies gilt auch für Komponenten, die Sie nachträglich installieren (Plugins usw.).
Abonnieren Sie Newsletter oder Feeds, um immer sofort von aktuellen Versionen Ihres CMS zu erfahren. Führen Sie das Update umgehend durch – auch wenn Sie in den Ferien sind – oder schliessen Sie einen Wartungsvertrag ab, wenn Sie sich das nicht zutrauen oder sich nicht um solche Dinge kümmern wollen. Eine Website zu betreiben heisst immer auch Verantwortung zu übernehmen.
Veraltete CMS-Versionen und -Komponenten bergen fast immer grosse Sicherheitslöcher. Installieren Sie nur Komponenten von vertrauenswürdigen Anbietern, die regelmässig aktualisiert werden, und Komponenten, die Sie wirklich benötigen.
Da dies so zentral ist, sind wir bei der Sperrung veralteter Systeme sehr strikt und äusserst penetrant, was die Benachrichtigungen betrifft. Wir sind bekannt für speziell sichere Server – dass wir auf aktuelle CMS beharren, ist ein wichtiger Teil dieser Strategie. Das schützt Ihre Daten und die der anderen Leute auf dem Server.
Weitere Tipps
In den meisten CMS lautet der Administratoren-Benutzername «admin» oder «administrator». Das ist den Angreifern natürlich bekannt. Daher sollten Sie einen eigenen Benutzernamen definieren und andere vorhandene Admin-Konten entfernen.
Zudem sollten Sie den Admin-Bereich mit speziellen Plugins schützen, die je nach CMS anders sind. Für WordPress empfehlen wir dringend die Ninja-Firewall, für Joomla bfstop.
Länder-IP-Adressen mit .htaccess eingrenzen
Für Fortgeschrittene: Wenn Sie vermuten, dass Ihre Webseite von gewissen Ländern angegriffen wird, oder wenn Sie sich sowieso nur aus der Schweiz einloggen, können Sie mit einer so genannten .htaccess-Datei die gewünschten Länder blockieren (z.B. alle ausser die Schweiz). Die entsprechenden Einträge sollten am Anfang der .htaccess-Datei eingetragen werden. Hier können Sie die entsprechenden Einträge erstellen. Kopieren Sie die .htaccess dann ins Admin-Verzeichnis Ihres CMS. Bitte beachten Sie, dass diese Methode nicht immer gut funktioniert.
Es kann einfacher sein, dafür vorgesehene Plugins zu verwenden, die zu Ihrem CMS passen.
Fehlt hier etwas?
Haben Sie noch unbeantwortete Fragen? Teilen Sie es uns mit. Wir ergänzen unsere Hilfeseiten gern!