Interaktive Online-Inhalte gehören heute ebenso zum Standard wie IP-basierte Kommunikation. Doch einmal nicht aufgepasst und wir sind fällig. Nun gut, nicht wir direkt, aber unser Webauftritt, unsere Onlinedatenbanken oder unsere Collaboration-Umgebung. Ein Paradebeispiel hierfür bietet das zu Recht überaus beliebte WordPress. Darauf aufbauende Webseiten mutieren immer wieder zu Malware-Schleudern und Hacker haben allzu oft leichtes Spiel; die Nachrichten dazu reißen nicht ab. Schuld daran sind in der Regel veraltete Plug-ins mit deftigen Schwachstellen oder eine fehlerhafte Konfiguration, etwa in Form einfacher Standardpasswörter.
Ein aktuelles Beispiel bietet das verwundbare Newsletter-Plug-in, über das Angreifer sich Admin-Zugang erschleichen und Hintertüren installieren konnten. Geschätzt 150.000 Seiten waren Anfang August noch verwundbar. Oder das Facebook-Chat-Plug-in, das Man-in-the-Middle-Angriffe ermöglichte. Betroffen: Mehr als 80.000 Installationen, davon 50.000 Anfang August noch verwundbar – eine Spielwiese für Hacker.
Dass die sich nicht zweimal bitten lassen, bewies eine großangelegte Attacke Ende Mai auf immerhin 1,3 Millionen Seiten. Dabei versuchten die Angreifer, mittels Cross-Site-Scripting an die interne Konfigurationsdatei "wp-config.php" zu gelangen und somit Datenbankzugänge abzugreifen. Von einem Katz-und-Maus-Spiel kann da keine Rede mehr sein, vielmehr tobt ein regelrechter Krieg im Netz. Lücken in der Verteidigung führen schnell zu einer schmerzvollen Niederlage.
Dies mag für ein florierendes und offenes Ökosystem wie WordPress mit unzähligen Drittanbieter-Plug-ins natürlich noch mehr gelten als für ein relativ statisches Websystem aus einer Hand. Doch lauern auch hier Fallstricke allerorten. Fehlerhaft konfigurierte Datenbanken in der Cloud mit frei zugänglichen, vertraulichen Daten sind derzeit beispielsweise der zweite große Renner im Netz. Dies und Lücken in Unternehmens-Webservern wie Microsoft IIS treffen dann auch große Firmen empfindlich.
In unserer September-Ausgabe zeigen wir Ihnen ab Seite 86, wie Sie die Internet Information Services absichern. Auch lesen Sie, wie Sie Webapplikationen sinnvoll überwachen (Seite 60) und ab Seite 74, wie Sie nginx richtig administrieren. In den Produkttests übt sich nicht zuletzt die Barracuda Web Application Firewall auf Seite 30 in Sachen Hackerabwehr.
Bleiben Sie up to date und natürlich gesund. Ihr
Daniel Richey
Stellv. Chefredakteur, Chef vom Dienst
Das auf Git basierende Versionierungs-Plugin für Wordpress ist nun frei verfügbar.