Wie werden Websites gehackt?

Als Besitzer einer WordPress-Website wissen Sie bereits, dass Sicherheit eine große Rolle spielt, wenn es darum geht, Ihren Betrieb vor Hacks und böswilligen Angriffen zu schützen. Aber wie genau werden Websites gehackt? Wie ist der Prozess, mit dem Hacker versuchen und oft erfolgreich sind, WordPress-Sites mit ihren Angriffen lahmzulegen?

Obwohl das Internet in den letzten Jahrzehnten sprunghaft gewachsen ist, hat sich nicht viel daran geändert, wie Websites von schlechten Akteuren gehackt werden. Und das Wichtigste, was Sie tun sollten, um Ihre Website und Ihre Besucher zu schützen, ist, vollständig zu verstehen, was diese unveränderlichen Trusts sind, damit Sie ihnen einen Schritt voraus sein können.

In diesem umfassenden Leitfaden zeigen wir Ihnen genau, wie Websites gehackt werden, was die Anzeichen dafür sind, dass Ihre Website gehackt wurde, und vieles mehr. Lass uns mal sehen.

Das enorme Ausmaß gehackter Websites

Weit über 1,2 Milliarden (mit einem B) Websites umfassen mittlerweile die heutige Version des World Wide Web. Und wenn Sie von einer durchschnittlichen Ladezeit einer Website von 3 Sekunden ausgehen, würden Sie über 160 Jahre brauchen, um jede existierende Website zu besuchen, ohne sich eine Sekunde auszuruhen.

Das ist ein wahnsinnig riesiges Netz, das für eine einzelne Entität völlig unmöglich sicher zu überwachen ist. Obwohl Dienste wie Googles Safe Browsing versuchen, ihre Benutzer vor Websites zu warnen, die unsicher sein könnten. Derzeit werden den Benutzern jeden Tag über 3 Millionen dieser Warnungen übermittelt.

Und das entspricht ungefähr der Bevölkerungszahl von Los Angeles und NYC zusammen.

Einfach gesagt, Websites werden immer große Ziele für Menschen mit schlechten Absichten sein. Und die Gesamtauswirkung eines jeden Hacks wird verheerend für Ihr Unternehmen sein.

Aber es gibt gute Nachrichten.

Obwohl es da draußen eine große Bedrohung gibt, die schädlich und hartnäckig ist, wird unser Bewusstsein für uns, kombiniert mit der Verwendung der richtigen Tools, einen großen Beitrag dazu leisten, dass unsere Websites vor Angriffen sicher bleiben.

Wie werden Websites gehackt? Die 3 Hauptwege

In den letzten drei Jahrzehnten des Internets haben wir festgestellt, dass Hacks fast immer in drei verschiedenen Kategorien landen:

1. Zugangskontrolle
2. Software-Schwachstellen
3. Integrationen von Drittanbietern

Die Realität ist, dass es egal ist, ob Sie eine Website für ein Fortune 500 oder Ihr lokales Schuhgeschäft betreiben, die Art und Weise, wie Hacker an ihr Handwerk herangehen, wird nahezu identisch aussehen.

Was jedoch unterschiedlich ist, ist, wie sich jedes Unternehmen individuell ausbeuten lässt.

• Große Organisationen verwenden oft die Entschuldigung, zu sagen: „Wir dachten, jemand anderes kümmert sich um die Sicherheit.“ Diese Art von Nebel und Fehlkommunikation ist in großen, komplexen Organisationen üblich.
• Kleine Unternehmen glauben oft, dass sie zu klein sind, als dass Hacker sie angreifen könnten. Sie gehen oft von der falschen Annahme aus, dass Hacker sie nicht anfassen würden. Dadurch kann man leicht aus den Augen verlieren, wie viele private Informationen wirklich selbst aus der kleinsten Website entnommen werden können.

In beiden Fällen haben Hacker die Anreize und Werkzeuge, um ihre Ziele in Bereichen zu erreichen, in denen es nicht viel Wachsamkeit hinsichtlich der Sicherheit gibt.

Website-Umgebungen sind sehr aktiv

Bevor wir uns mit den Spezifikationen der einzelnen Hack-Typen befassen, wollen wir zunächst eine unglaublich wichtige Grundlage dafür schaffen, wie das Web tatsächlich funktioniert.

Jede Website basiert auf einer Reihe von Systemen, die miteinander verbunden sind und zusammenarbeiten. Es gibt Komponenten wie DNS (Domain Name Servers), den Webserver und die Infrastruktur, die Ihre verschiedenen Server beherbergt und sie mit dem Internet verbindet.

Auch wenn das relativ einfach klingt, ist das zugrunde liegende Ökosystem recht komplex.

So viele der einzelnen Komponenten werden von spezialisierten Dienstleistern bereitgestellt. Selbst wenn Sie eine Reihe verschiedener Dienste von einem einzigen Dienstanbieter erhalten, gibt es immer noch unzählige einzigartige Teile der Gleichung, die für sich alleine funktionieren.

Stellen Sie sich Ihre Website wie ein modernes Verbraucherfahrzeug vor. Von außen sieht es solide und stromlinienförmig aus, aber darunter befinden sich unzählige bewegliche Teile, die dafür sorgen, dass alles funktioniert.

Für die Zwecke dieses Leitfadens ist es nicht wichtig, dass Sie alle Details zur Funktionsweise Ihrer Website verstehen. Es ist jedoch wichtig zu wissen, dass sich jede dieser einzelnen Komponenten auf die Sicherheit Ihrer gesamten WordPress-Site auswirkt.

Und sie alle haben das Potenzial, dazu beizutragen, wie Ihre Website gehackt wird.

1. Zugangskontrolle

Dies spricht speziell für den Prozess der Autorisierung und Authentifizierung. Einfach ausgedrückt ist die Zugriffskontrolle die Art und Weise, wie Sie sich bei Ihrer WordPress-Website anmelden.

Und das geht über die Art und Weise hinaus, wie Sie sich beim Admin-Panel Ihrer Website anmelden. Wie wir bereits festgestellt haben, gibt es viele verschiedene miteinander verbundene Logins, die hinter den Kulissen Ihrer Website zusammenarbeiten.

Wenn Sie über die Zugriffskontrolle nachdenken, müssen Sie sechs spezifische Bereiche berücksichtigen.

Wie machst du:

• Melden Sie sich in Ihrem Host-Panel an?
• Am Server anmelden (SSH, SFTP, FTP)?
• Melden Sie sich auf Ihrer Website an?
• Melden Sie sich an Ihrem PC an?
• Bei Social-Media-Plattformen anmelden?
• Ihren Benutzernamen und Ihr Passwort für jede dieser Variablen speichern?

Viel zu leicht übersieht man die Zutrittskontrolle. Jeder einzelne Zugangspunkt kann Hackern jedoch Zugriff auf Ihr gesamtes Ökosystem bieten.

Ein Hacker verwendet auch eine Reihe verschiedener Taktiken, um Zugriff auf einen einzelnen unsicheren Anmeldepunkt zu erhalten. Stellen Sie es sich wie einen Hausdieb vor, der jeden potenziellen Eingang überprüft und sich dann Kopien Ihrer Passcodes oder Schlüssel für Ihr Zuhause anschleicht (oder Sie dazu bringt).

• Brute-Force-Angriffe sind am einfachsten durchzuführen und können der effektivste Weg sein. Bei einem Brute-Force-Angriff versucht der Hacker, die möglichen Kombinationen aus Benutzername und Passwort zu erraten, um sich als glaubwürdiger Website-Benutzer anzumelden.
• Social-Engineering-Angriffe werden immer beliebter. Ein Hacker erstellt Phishing-Seiten, die darauf ausgelegt sind, einen Benutzer dazu zu bringen, freiwillig seine Kombination aus ID und Passwort einzugeben.
• Cross-Site Scripting (XSS)- und Cross-Site Request Forgery (CSRF)-Angriffe umfassen das Abfangen der Anmeldeinformationen eines Benutzers über den Browser des Benutzers.
• Man-in-the-Middle (MITM) -Angriffe werden ebenfalls verwendet. Damit können der Benutzername und das Passwort eines Benutzers leicht abgefangen werden, wenn ein Benutzer in Netzwerken arbeitet, die nicht vollständig sicher sind.
• Keylogger und zusätzliche Malware, die Benutzer überwacht , verfolgen Eingaben und melden sie dann an den Hacker zurück, der den Benutzer infiziert hat.

Aber egal, welche Art von Angriff durchgeführt wird, das Ziel des Hackers ist immer dasselbe: Über glaubwürdige Logins direkten Zugriff auf Ihre Website zu erhalten.

Unabhängig vom Angriffsstil ist das Ziel das gleiche: Direkten Zugriff über Logins erhalten.

Das iThemes-Sicherheits-Plugin fügt mehr Schutz für die Sicherheit Ihrer Benutzer hinzu. Die Sicherheit Ihrer Website hängt davon ab, dass Ihre Benutzer sichere Anmeldungen mit starken Passwörtern haben. Aus diesem Grund bietet iThemes Security mehrere Sicherheitsebenen für Benutzer, darunter Zwei-Faktor-Authentifizierung, vertrauenswürdige Geräte mit Schutz vor Session-Hijacking, passwortlose Anmeldungen zur Überprüfung der Identität eines Benutzers und Schutz vor Passwortverletzungen. Sie können sogar Benutzersicherheitsprüfungen durchführen, um die kritischsten Elemente der Sicherheit Ihrer Benutzer schnell zu prüfen und zu ändern.

Die nächste Sicherheitsebene, die iThemes Security hinzufügt, ist der Schutz für den am häufigsten angegriffenen Teil Ihrer Website, den WordPress-Anmeldebildschirm. iThemes Security bietet zwei Arten von Brute-Force-Schutz, um auf ungültige Anmeldeversuche auf Ihrer Website zu achten. Sobald ein Benutzer oder Bot zu viele aufeinanderfolgende ungültige Anmeldeversuche unternommen hat, wird er gesperrt und für einen festgelegten Zeitraum an weiteren Versuchen gehindert.

2. Software-Schwachstellen

In Wirklichkeit ist die überwiegende Mehrheit der Besitzer von WordPress-Websites nicht in der Lage, die Sicherheitslücken in der heutigen Software ohne einen Patch zu schließen, der ihnen vom Softwareentwickler empfohlen wird. Das Problem ist, dass viele Entwickler die Bedrohungen nicht berücksichtigen, die der von ihnen geschriebene Code in Ihre Website einführt.

Ein kleiner Fehler, der die beabsichtigte UX (Benutzererfahrung) nicht merklich beeinträchtigt, kann ausgenutzt werden, um die Software dazu zu bringen, Dinge zu tun, für die sie nicht vorgesehen ist. Und die erfahrensten Hacker betrachten diese Fehler als potenzielle Schwachstellen.

Eine der häufigsten Methoden, mit denen sie dies tun, ist die Verwendung eines fehlerhaften POST-Headers oder einer fehlerhaften URL (Uniform Resource Locator), um eine Reihe verschiedener Angriffe zu initiieren.

Diese beinhalten:

• Remote Code Execution (RCE), die eine vollständige Remote-Übernahme des Zielstandorts und -systems ermöglicht
• Remote / Local File Inclusion (R/LFI), bei dem vom Benutzer in Feldern bereitgestellte Eingaben verwendet werden, um bösartige Dateien in ein System hochzuladen
• SQL Injection (SQLi), die Texteingabefelder mit bösartigem Code manipuliert, der Angriffssequenzen an den Server sendet

Ähnlich wie bei der Asset-Kontrolle erstrecken sich Schwachstellen in Software über den Rahmen der Website hinaus. Diese Schwachstellen können in jeder vernetzten Technologie gefunden und ausgenutzt werden, auf die eine Website angewiesen ist.

Und die meisten aktuellen Websites verwenden eine Mischung aus Erweiterungen von Drittanbietern, wie z. B. WordPress-Plugins und -Designs, die alle potenzielle Angriffspunkte für Hacker darstellen.

Da anfällige Plugins, Themes und WordPress-Core-Versionen das größte Sicherheitsrisiko Ihrer Website darstellen, macht sich iThemes Security daran, Ihre Website zu scannen. Mit dem iThemes Security Site Scan wissen Sie jedes Mal, wenn ein Plugin, ein Design oder eine WordPress-Kernversion auf Ihrer Website anfällig ist und aktualisiert werden muss. Und noch besser … Updates werden automatisch für Sie ausgeführt. Site Scan basiert auf der umfassendsten verfügbaren Schwachstellendatenbank, sodass Sie immer über den neuesten Schutz verfügen. Site Scan lässt sich auch in Google Safe Browsing integrieren, um den Sperrlistenstatus Ihrer Website sowie bekannte Malware oder verdächtige Dateien zu überprüfen.

So funktioniert der Site-Scan von iThemes Security, um Ihre Website zu schützen:

• Scannt Ihre Website zweimal täglich auf Schwachstellen – Die Plugins, Themes und WordPress-Kernversionen Ihrer Website werden mit der WPScan Vulnerability Database auf die neuesten Offenlegungen von Schwachstellen abgeglichen.
• Automatische Updates, wenn ein Sicherheitsfix verfügbar ist – Gepaart mit der Versionsverwaltung aktualisiert iThemes Security automatisch ein Plugin, ein Design oder eine WordPress-Kernversion, wenn sie eine Schwachstelle aufweist.
• Benachrichtigt Sie per E-Mail, wenn Site Scan eine Schwachstelle erkennt – Sie können einen E-Mail-Bericht erhalten, wenn auf Ihrer Website anfällige Versionen eines Plugins, Designs oder WordPress-Kerns ausgeführt werden. Passen Sie die E-Mail-Adressen an, die Scanergebnisse erhalten.

3. Dienste und Integrationen von Drittanbietern

Schließlich gibt es noch die Exploits, die durch Dienste und Integrationen von Drittanbietern passieren.

Meistens nehmen diese die Form von Werbung über ein Werbenetzwerk an, was zu Malvertising-Angriffen führt.

Diese Hacks betreffen Dienste, die Sie mit Ihrer Website und Ihrem Hosting verwenden, einschließlich Variablen wie Ihrem CDN (Content Distribution Network).

Integrationen und Dienste von Drittanbietern bieten eine ausreichende Verbindung zwischen verschiedenen Teilen Ihrer Site-Management-Erfahrung. Tatsächlich ist das eine Sache, die die Leute an erweiterbaren Content-Management-Systemoptionen wie WordPress, Drupal und Joomla lieben.

Aber die Vernetzung bietet auch Ansatzpunkte für Hacker, die sie ausnutzen können.

Eines der größten Probleme besteht darin, wie Hacker diese Dienste und Integrationen auf eine Weise ausnutzen, die außerhalb der Kontrolle eines Website-Eigentümers liegt. Als Website-Ersteller oder -Manager haben Sie Drittanbietern sehr vertraut, wenn Sie sich für eine ihrer Integrationen entscheiden.

Und natürlich sind viele fleißig dabei, ihre Integration zu sichern.

Aber wie bei anderen Dingen gibt es ein inhärentes Risiko. Und es ist eines, das Hacker immer im Auge haben.

Eine der Möglichkeiten, wie iThemes Security den Zugriff durch Dritte schützt, sind sichere App-Passwörter für XML-RPC & REST API. Dieses Update ermöglicht die Verwendung von Benutzername/Passwort-Authentifizierung für REST-API-Anforderungen, sodass Sie die REST-API (gemäß unserer Empfehlung) sperren können, während Sie weiterhin externen Tools, die die REST-API verwenden, die Verbindung erlauben.

Schützen Sie Ihre Website vor Hackerangriffen

Die Sicherheit von WordPress-Websites ist wichtig. Ein großer Teil der Sicherheit von WordPress-Websites ist Aufklärung und Sensibilisierung. Und das einfache Lesen dieses Leitfadens hat Sie in eine bessere Position gebracht, um Ihre Website zu sichern.

Für die Zukunft gibt es bestimmte Schritte, die Sie unternehmen müssen. Und es ist unser Ziel, Ihnen dabei zu helfen, sie zu erreichen. Leider nehmen so viele Website-Besitzer das Thema Sicherheit erst ernst, nachdem bereits etwas schief gelaufen ist.

Warum nicht stattdessen dem Schmerz einen Schritt voraus sein und diese Schritte unternehmen, um Sie davon abzuhalten:

1. Verwenden Sie die Prinzipien der Tiefenverteidigung. Dies beinhaltet den Aufbau von Sicherheitsschichten wie eine Zwiebel. Jede Vorgehensweise erschwert es Hackern, einen Schuss in Ihr Ökosystem zu bekommen.
2. Nutzen Sie die am wenigsten privilegierten Best Practices. Stellen Sie sicher, dass Sie einschränken, was die Anmeldung jedes Site-Benutzers ihnen erlaubt.
3. Erstellen Sie eine Zwei-Faktor-Authentifizierung und eine Multi-Faktor-Authentifizierung, wo immer Sie können. Dadurch werden diese bestimmten Benutzerzugangspunkte weiter gesichert.
4. Verwenden Sie eine Website-Firewall. Dies wirkt Wunder, wenn es darum geht, wie Hacker versuchen, Schwachstellen in Software auszunutzen.
5. Planen Sie regelmäßig Sicherungen. Laden Sie das BackupBuddy WordPress-Backup-Plugin als Ihre Lösung dafür herunter und installieren Sie es. Wenn Ihre Website jemals gehackt wird, können Sie sie auf diese Weise mit wenigen Klicks wiederherstellen.
6. Holen Sie sich die Perspektive der großen Suchmaschinen. Bing Webmaster Tools und Google Search Console bieten beide nützliche Berichte darüber, wie sie die Sicherheit Ihrer Website sehen.

Der beste Weg, diese Sicherheitsbasen als Besitzer einer WordPress-Site abzudecken, ist die Verwendung des iThemes Security Pro-Plugins.

Dann verstehen Sie, dass es keinen narrensicheren Weg gibt, jederzeit 100 % sicher zu bleiben. Die Tools, die Sie in Ihrer Website-Umgebung einsetzen, reduzieren Ihr Gesamtrisiko erheblich. Sicherheit ist jedoch keine einzelne Aktion oder ein einzelnes Ereignis. Es ist eine Reihe von Aktionen.

Und alles beginnt mit einem großartigen Tool wie iThemes Security Pro, das Ihnen hilft, Ihre Website am besten zu sichern.

Jetzt, da Sie wissen, was zu tun ist und wonach Sie suchen, werden Sie zweifellos auf eines der Sicherheitsszenarien stoßen, die wir in diesem Handbuch behandelt haben. Aber jetzt wissen Sie besser, was zu tun ist, um das Problem zu beheben.

Das beste WordPress-Sicherheits-Plugin zum Sichern und Schützen von WordPress

WordPress betreibt derzeit über 40 % aller Websites, sodass es zu einem leichten Ziel für Hacker mit böswilligen Absichten geworden ist. Das iThemes Security Pro-Plug-in beseitigt das Rätselraten bei der WordPress-Sicherheit, um es einfach zu machen, Ihre WordPress-Website zu sichern und zu schützen. Es ist, als hätten Sie einen Vollzeit-Sicherheitsexperten im Team, der Ihre WordPress-Site ständig für Sie überwacht und schützt.

Holen Sie sich iThemes Security Pro

Kristen Wright

Kristen schreibt seit 2011 Tutorials, um WordPress-Benutzern zu helfen. Als Marketingleiterin hier bei iThemes hilft sie Ihnen dabei, die besten Wege zum Erstellen, Verwalten und Pflegen effektiver WordPress-Websites zu finden. Kristen schreibt auch gerne Tagebuch (schau dir ihr Nebenprojekt The Transformation Year an!), wandert und campt, macht Step-Aerobic, kocht und liebt tägliche Abenteuer mit ihrer Familie, in der Hoffnung, ein präsenteres Leben zu führen.