Ihre Webseite ist im Normalfall überall im Internet verfügbar. Somit kann auch jede Person mit Zugang zum Internet sie auf Schwachstellen untersuchen. Heutzutage ist es technisch ohne große Hürden möglich, ganze Netzbereiche automatisiert zu scannen und anzugreifen. Werden Schwachstellen auf Ihrem Webserver gefunden und ausgenutzt, spricht man davon, dass Ihr Webserver kompromittiert wurde. Dies kann sich z.B. dadurch bemerkbar machen, dass über Ihren Webserver Spam-Mails versendet werden, Schadcode verteilt wird oder Inhalte des Webauftritts verändert werden.

Das LRZ kümmert sich um die Sicherheit der Maschinen sowie der Betriebsumgebung, auf denen Ihr Webauftritt läuft. Beides wird regelmäßig mit Updates versorgt und gegen Eindringlinge abgesichert. Für die Sicherheit Ihrer Webseite können wir allerdings nicht allein sorgen, sondern wir erwarten bei der Nutzung unserer Dienste, dass auch Sie zum ordnungsgemäßen Funktionieren der Dienste beitragen – in Ihrem Sinne wie im Sinne der anderen Nutzer.

Ihre Pflichten als Webserver-Betreiber

Im Rahmen des Webhostings am LRZ können Sie in Ihrem Speicherbereich eine beliebige Software installieren. Joomla oder Wordpress sind Beispiele für häufig bei uns eingesetzte Content-Management-Systeme. Da Sie die Software selbst installieren, sind Sie auch für deren Wartung verantwortlich.

Meist werden Webserver über folgende Wege angreifbar:

1. Veraltete Software: In der Dokumentation zu Ihrer Software finden Sie Hinweise zur Sicherheit, die Sie unbedingt beachten sollten. Darüber hinaus ist es mit dem einmaligen Einrichten der Webpräsenz nie getan – es werden ständig neue Sicherheitslücken bekannt und Updates zur Verfügung gestellt, die diese wieder beheben. Angreifer scannen das Internet systematisch nach veralteter Software und greifen unsichere Webauftritte automatisiert an. Achten Sie also darauf, die Aktualität Ihrer Software regelmäßig zu überprüfen und Updates einzuspielen, sobald sie verfügbar sind. Lesen Sie dazu auch unsere unten aufgeführten Sicherheitstipps für häufig verwendete Software.
2. Bekannt gewordene Passwörter: Seltener geschieht es, dass das Passwort der Funktionskennung Angreifern bekannt wird und damit direkter Zugriff auf Ihren Speicherbereich über FTP oder SSH möglich wird. Ein Angreifer verfügt dann über alle Möglichkeiten, die Sie als Kennungsverantwortlicher oder Kennungsbesitzer haben. Passwörter können beispielsweise über einen mit Malware infizierten Arbeitsplatzrechner oder unsichere (d.h. unverschlüsselte) Netze ausgespäht werden.

Das Risiko erfolgreicher Angriffe senken Sie also erheblich, wenn Sie Ihre Software regelmäßig aktualisieren und auf Passwortsicherheit achten. Dazu gehört beispielsweise, die Software auf Ihrem Desktop-Rechner aktuell zu halten und das Passwort in unsicheren Netzen möglichst nur verschlüsselt zu übertragen.

Falls Ihr Webauftritt nicht mehr aktualisiert wird und nur noch zu Dokumentationszwecken weiter besteht, empfehlen wir, das Dateisystem komplett auf read-only zu setzen. Dies können Sie von einer  Zugangsmaschine aus selbst und sofort erledigen. Wenn es damit Probleme gibt, kontaktieren Sie uns bitte über das Servicedesk.

Wenn Ihr Webserver kompromittiert wurde

Falls uns ein kompromittierter Webserver bekannt wird, werden wir diesen darum sofort deaktivieren. Wir werden Sie dann kontaktieren und das Vorgehen mit Ihnen besprechen.

Darum bitten wir Sie: Falls Ihnen ein Webauftritt, der am LRZ gehostet wird, kompromittiert erscheint, geben Sie uns bitte so schnell wie möglich über das Servicedesk Bescheid – egal, ob Sie den Webserver selbst betreiben oder nicht.

Auf der Seite System- und Internet-Sicherheit finden Sie noch mehr Tipps zum Thema.

Sicherheitstipps für häufig verwendete Software (WordPress, Joomla! usw.)

Viele unserer Kunden nutzen für ihre Webserver etablierte Software wie WordPress oder andere Content-Management-Systeme. Aus diesem Grund haben wir für Sie im Folgenden einige Links zusammengestellt, die es Ihnen erleichtern sollen, die Betriebssicherheit Ihres Webservers sicherzustellen. Fügen Sie diese Links z.B. als Lesezeichen in Ihrem Browser hinzu, um sich regelmäßig über bekannt gewordene Sicherheitslücken und dafür veröffentliche Software-Patches zu informieren.

Bitte beachten Sie, dass diese Links auf externe Seiten außerhalb des LRZ-Webauftritts verweisen und wir darum auf deren Inhalte keinen Einfluss haben.

WordPress

Weblinks

• WordPress.org: Security-Veröffentlichungen
• wpbeginner.com: The Ultimate WordPress Security Guide – Step by Step (2019)

Verwundbarkeit durch Angriff auf XML-RPC-Schnittstelle

Die XML-RPC-Schnittstelle kann u.a. dazu verwendet werden, Artikel mithilfe der WordPress-Apps für den Desktop oder für mobile Geräte zu verfassen. Außerdem stellt sie die Pingback-Funktion zur Verfügung. Leider ist sie bei Angreifern jedoch ein beliebtes Ziel, um viele Login-Versuche gleichzeitig abzusenden oder DOS-Attacken durchzuführen (DOS: Denial of Service, d.h., der Server wird durch zu viele Anfragen innerhalb kurzer Zeit in die Knie gezwungen). Wenn Sie die XML-RPC-Schnittstelle nicht benötigen, weil Sie Ihre Artikel ohnehin über die WordPress-Weboberfläche verfassen, gibt es eine einfache Möglichkeit, die Schnittstelle effektiv abzuschalten und sich so vor dieser Art von Angriffen zu schützen.

Dazu nehmen Sie folgende Änderungen in der Datei functions.php des von Ihnen verwendeten WordPress-Themes vor:

<?php

/* Die XMLRPC-Schnittstelle komplett abschalten */
add_filter( 'xmlrpc_enabled', '__return_false' );

/* Den HTTP-Header vom XMLRPC-Eintrag bereinigen */
add_filter( 'wp_headers', 'AH_remove_x_pingback' );
 function AH_remove_x_pingback( $headers )
 {
 unset( $headers['X-Pingback'] );
 return $headers;
 }

(Quelle: https://gist.github.com/anonymous/02cfcb73c70a64925752)

Außerdem blockieren Sie den Zugriff in der Datei .htaccess (wenn Sie noch keine .htaccess-Datei haben, müssen Sie diese erst anlegen; siehe Konfigurationsmöglichkeiten für Ihre Website):

#XML-RPC Schnittstelle abschalten
<Files xmlrpc.php>
 Require all denied
</Files>
 
# BEGIN WordPress
<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteBase /
  RewriteRule ^index\.php$ - [L]
  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteRule . /index.php [L]
</IfModule>
# END WordPress

(Quelle: https://gist.github.com/anonymous/61f3e4f75436532a50eb)

Joomla!

• Joomla Release News
• Joomla Security Checklist
• Joomla Security: Announcements (RSS-Feed zum Abonnieren)
• Joomla Security: Vulnerable Extensions (RSS-Feed zum Abonnieren)

Typo3

• Offizielle Typo3-Dokumentation: Security Guidelines
• Typo3 Security Announcements

Drupal

• Drupal.org: Security - Public Service Announcements
• arocom.de: Drupal-Webseiten absichern - Top 10 Security Tipps & Tricks für Entwickler (Drupal 8)

REDCap

• REDCap Frequently Asked Questions (FAQ)
• REDCap Community Site