In diesem kurzen Beitrag werden die einfachsten und wichtigsten Ansätze und spezifischen Empfehlungen zum Schutz Ihrer Anwendung vor Hackerangriffen vorgestellt. Auf jedem gut konfigurierten Webserver sind viele der folgenden Methoden in unterschiedlichem Maße und auf verschiedene Weise implementiert.
Auf diese Weise ist es möglich, über den PHP-Code nur den Inhalt des Verzeichnisses mit der Website selbst zu lesen. Wenn eine Website kompromittiert wird, schützt dies die anderen vor einer Kompromittierung. Es schützt auch gegen den Missbrauch von Standardwerkzeugen, die von Webentwicklern verwendet werden können, so dass es unmöglich war, den gesamten Inhalt des Servers durch ein ungenau ausgefülltes php-Skript abzurufen. Mit anderen Worten: eine Site - ein Systembenutzer, der nur das Verzeichnis mit dem Projekt liest.
Es gibt eine zuverlässigere Umsetzung des beschriebenen Ansatzes: ein Standort - eine virtuelle Maschine. Dadurch werden die Umgebung und die Webserver-Software vollständig isoliert, die Standardbenutzer für das Web (in der Regel www-data) können nicht berührt werden und dies ist eindeutig ein sicherer Ansatz. Wenn es also möglich ist, eine Website in einer separaten virtuellen Maschine unterzubringen, ist es besser, dies zu tun. Es gibt inzwischen viele Möglichkeiten, dies zu tun.
Ein typischer Weg, beliebte CMS zu hacken, besteht darin, Code als Inhalt einzuschleusen und ihn dann auszuführen. Durch das Verbot des Schreibens von Skripten wird der erste Teil eines solchen Angriffs weitgehend eliminiert. Daher ist es möglich, in der Konfiguration des Webservers die Möglichkeit der Aufzeichnung in allen Verzeichnissen auszuschalten, in denen dies nicht erlaubt ist, und Standardverzeichnisse für Uploads/Dateien/Bilder und ähnliches offen zu lassen - um den Inhalt zu füllen.
Es ist notwendig, den Nachteil dieser Methode im Voraus zu verstehen: viele CMS für die Bequemlichkeit der Nutzer, bieten die Möglichkeit, ihren Code zu überschreiben. Daher kann ein Verbot des Überschreibens die Arbeit mit dem CMS erheblich erschweren. Hier hilft die Verwendung unterschiedlicher Konten (Eigentümer:Gruppe) für den Webserver und für Webmaster sehr. Dieser Ansatz funktioniert auch hervorragend bei der Verwendung von Versionskontrollsystemen (git/svn).
Durch die Blockierung des Zugriffs auf Upload-Verzeichnisse wird der zweite Teil des im vorigen Absatz beschriebenen Angriffs teilweise beseitigt. Natürlich kann das Skript, das als Inhalt hochgeladen wurde, immer noch von der Shell aus gestartet werden (und auch auf andere Weise als über das Internet), aber es wird unmöglich, es aus dem Internet zu holen. Dies macht das Leben für verschiedene hochgeladene Malware sehr schwierig.
Dieser elementare Schutz gilt nicht nur für WordPress, sondern auch für fast alle anderen Seiten im Web. Leider wird er oft vernachlässigt und so werden Dinge geöffnet, die nicht geöffnet werden sollten, wie z.B. Git-Repositories und svn.
Jede offene Verwaltungskonsole oder andere Verwaltungsressource wird geknackt. Im typischsten Fall werden die Passwörter geknackt. Wenn Sie sich die Protokolle eines Webservers ansehen, ist ein großer Teil davon ein Versuch, das CMS zu erkennen, die typischen Schwachstellen zu finden und Passwörter zu knacken.
Selbst wenn Sie sich sicher sind, dass Ihr Passwort sicher ist, haben Sie das gleiche Vertrauen, dass Webmaster, Inhaltsverantwortliche und andere Personen mit Zugriff auf die Website ein sicheres Passwort haben? Oder, dass es nicht kompromittiert ist? Es ist also besser, den Zugang zum administrativen Teil nach IP-Adressen zu beschränken oder als Mindestmaßnahme die Anzahl der Anmeldeversuche zu begrenzen
Wenn wir von Kompromittierung sprechen, meinen wir alle Formulare, in denen wertvolle Daten und Passwörter enthalten sind - dies sollte nur über HTTPS geschehen.
Aktualisieren Sie die gesamte Software auf dem Server, vom Betriebssystem über das CMS bis hin zu dessen Plugins. Und tun Sie dies rechtzeitig. Dies hilft gegen viele mögliche Schwachstellen, die Angreifer versuchen, in der Software zu finden, wenn Ihr Plugin / App etc. veraltet ist, sowohl in den Code CMS (in erster Linie), und in der Web-Server-Software (zB openssl, und Heartbeat-Attacken). Bei kritischen Anlässen raten wir zu automatischen Aktualisierungen.
Dieser Punkt sollte ein Teil der Routine sein. Aber Schwachstellen in beliebten CMS werden immer wieder gefunden, und nicht immer kommt der Patch rechtzeitig. Daher gibt es auch bei allen installierten Updates keine Garantie für Sicherheit.
Diese Lösungen erfordern ein gewisses Maß an technischem Geschick. Lassen Sie es uns wissen, wenn Sie Sicherheitssysteme für Ihre Anwendungen einführen wollen, wir helfen Ihnen gerne! Kontaktieren Sie uns auf unserer Seite für ein Angebot.
Natürlich schöpfen die oben genannten Ansätze nicht alle Möglichkeiten für die Sicherheit einer Website aus, insbesondere bei einem beliebten CMS, aber sie verringern die Möglichkeit einer Infektion und des Hackens von Websites und Apps erheblich. Wenn wir die Infektionsstatistiken analysieren, können wir mit Sicherheit sagen, dass die korrekte Umsetzung der oben genannten Empfehlungen die typische Website in mehr als 95 % der möglichen Fälle retten wird.