Stets auf Nummer Sicher
Die Anbieter von Content-Management Systemen und Blogging-Software richten sich schon lange nicht mehr nur an das Fachpublikum.
Mit immer stärker vereinfachten Installationsroutinen werden End-Benutzer dazu verleitet, sich mal schnell auf einer Download-Seite zu bedienen und sich ihr eigenes Blog oder eine Website mit CMS einzurichten.
Dieser Trend wäre sehr erfreulich, läse man nicht in stetig kürzer werdenden Abständen, dass wieder einmal mehrere hunderttausend Blogs durch sogenannte SQL-Injection zu Dreckschleudern für Virusautoren umgebaut wurden.
In den einschlägigen Foren für Ahnungslose watet man quasi täglich durch verzweifelte Hilferufe von Autoren, deren Blogs sich als Todesfalle für das Betriebssystem ihrer Besucher entpuppten.
Dabei ist dann noch zu befürchten, dass es Menschen gibt, denen es garnicht auffällt, wenn ihr Blog oder CMS gehackt wurde.
Dabei scheint doch alles so einfach
„Installation mit einem Klick“ lautet die verlockende Botschaft auf so mancher Download-Seite und der frischgebackene Domainbesitzer glaubts gerne.
In der Eile übersieht er dann schnell das Kleingedruckte, wo dazu aufgefordert wird, nach der Installation bestimmte Korrekturen an den Einstellungen vorzunehmen.
April 2010
Mehrere Tausend WordPress Blogs auf den Servern des Hosting Providers Network Solutions wurden gehackt, weil Benutzer den Unterschied zwischen den Dateisystemen von Windows und Linux/UNIX nicht kannten und es deshalb versäumten, nach dem Upload die Zugangsberechtigungen der Konfigurationsdateien zu ändern.
Update, Juli 2010 -- Die Einbruchswelle bei WordPress, Joomla!, Typo3 und Drupal Websites auf den Servern von Network Solutions, GoDaddy und Media Temple geht fröhlich weiter. Die Zahl der gehackten Blogs ist mittlerweile 6-stellig. In den Foren der betroffenen Blogger "helfen" Ahnungslose den vollkommen Unwissenden mit teilweise hahnebüchenden Ratschlägen.
Neueste Meldung, August 2010 -- Mittlerweile steht fest, dass die Infektion über Vorlagendateien und sogenannte Plug-Ins verteilt wurde, die ahnungslose User ungeprüft in ihre Webseiten einbauten. Es erschreckt besonders, dass es sich dabei teilweise um Webseiten von selbsternannten "Internet Programmierern" handelte.
Viele Agenturen blicken einfach nicht durch
Leider lassen sich auch provinzielle Werbeagenturen, PR-Berater und Graphikgestalter durch die Versprechungen auf den Download-Seiten dazu verleiten, auf CMS basierende Leistungen anzubieten, ohne die notwendigen Kenntnisse für eine sichere Umsetzung zu besitzen.
Bedauerlicherweise gibt es mittlerweile sogar Anbieter, die hinter dem Rücken des ahnungslosen Kunden irgendwelche Webseiten-Baukästen verwenden, die vorgeblich "ohne Programmierkenntnisse" anwendbar sind.
Diese Baukästen laufen dann als "Web-Anwendungen" auf den Servern Dritter, mit denen der Endkunde keinen Vertrag hat.
Man liefert also den Kunden der Sicherheitsstrategie eines Unternehmens aus, über dessen Existenz der Kunde nicht informiert wurde.
Nehmen Sie sich Zeit für ihre Sicherheit
Besonders die Grundeinstellungen für PHP sind leider immer noch nicht bei allen Hosting-Anbietern auf dem wirklich sichersten Stand.
Gute Anbieter fassen die Einstellungen auf einer durchsuchbaren Seite zusammen und geben ihren Kunden die Möglichkeit, diese mit den Empfehlungen der Programmierer des verwendeten Systems zu vergleichen.
Nehmen Sie sich also die Zeit. Lesen Sie die Empfehlungen der Programmierer und vergleichen Sie diese mit den Einstellungen ihres Hosting Anbieters. Haken Sie nach, wenn es von dort keine Informationen gibt.
Überhebliche Antworten wie "Darum müssen Sie sich nicht kümmern" sind symptomatisch für schlechte Hosting-Provider. Lassen Sie sich damit nicht abspeisen. Es geht schließlich um die Sicherheit Ihres Angebotes.
Ich helfe gerne
Natürlich biete ich auch zu diesem Themenkreis Beratung und Unterstützung.