Betriebssicherheit Ihrer Website
Ihre Webseite ist im Normalfall überall im Internet verfügbar. Somit kann auch jede Person mit Zugang zum Internet sie auf Schwachstellen untersuchen. Heutzutage ist es technisch ohne große Hürden möglich, ganze Netzbereiche automatisiert zu scannen und anzugreifen. Werden Schwachstellen auf Ihrem Webserver gefunden und ausgenutzt, spricht man davon, dass Ihr Webserver kompromittiert wurde. Dies kann sich z.B. dadurch bemerkbar machen, dass über Ihren Webserver Spam-Mails versendet werden, Schadcode verteilt wird oder Inhalte des Webauftritts verändert werden.
Das LRZ kümmert sich um die Sicherheit der Maschinen sowie der Betriebsumgebung, auf denen Ihr Webauftritt läuft. Beides wird regelmäßig mit Updates versorgt und gegen Eindringlinge abgesichert. Für die Sicherheit Ihrer Webseite können wir allerdings nicht allein sorgen, sondern wir erwarten bei der Nutzung unserer Dienste, dass auch Sie zum ordnungsgemäßen Funktionieren der Dienste beitragen – in Ihrem Sinne wie im Sinne der anderen Nutzer.
Ihre Pflichten als Webserver-Betreiber
Im Rahmen des Webhostings am LRZ können Sie in Ihrem Speicherbereich eine beliebige Software installieren. Joomla oder Wordpress sind Beispiele für häufig bei uns eingesetzte Content-Management-Systeme. Da Sie die Software selbst installieren, sind Sie auch für deren Wartung verantwortlich.
Meist werden Webserver über folgende Wege angreifbar:
- Veraltete Software: In der Dokumentation zu Ihrer Software finden Sie Hinweise zur Sicherheit, die Sie unbedingt beachten sollten. Darüber hinaus ist es mit dem einmaligen Einrichten der Webpräsenz nie getan – es werden ständig neue Sicherheitslücken bekannt und Updates zur Verfügung gestellt, die diese wieder beheben. Angreifer scannen das Internet systematisch nach veralteter Software und greifen unsichere Webauftritte automatisiert an. Achten Sie also darauf, die Aktualität Ihrer Software regelmäßig zu überprüfen und Updates einzuspielen, sobald sie verfügbar sind.
Lesen Sie dazu auch unsere unten aufgeführten Sicherheitstipps für häufig verwendete Software. - Bekannt gewordene Passwörter: Seltener geschieht es, dass das Passwort der Funktionskennung Angreifern bekannt wird und damit direkter Zugriff auf Ihren Speicherbereich über FTP oder SSH möglich wird. Ein Angreifer verfügt dann über alle Möglichkeiten, die Sie als Kennungsverantwortlicher oder Kennungsbesitzer haben. Passwörter können beispielsweise über einen mit Malware infizierten Arbeitsplatzrechner oder unsichere (d.h. unverschlüsselte) Netze ausgespäht werden.
Das Risiko erfolgreicher Angriffe senken Sie also erheblich, wenn Sie Ihre Software regelmäßig aktualisieren und auf Passwortsicherheit achten. Dazu gehört beispielsweise, die Software auf Ihrem Desktop-Rechner aktuell zu halten und das Passwort in unsicheren Netzen möglichst nur verschlüsselt zu übertragen.
Falls Ihr Webauftritt nicht mehr aktualisiert wird und nur noch zu Dokumentationszwecken weiter besteht, empfehlen wir, das Dateisystem komplett auf read-only zu setzen. Dies können Sie von einer Zugangsmaschine aus selbst und sofort erledigen. Wenn es damit Probleme gibt, kontaktieren Sie uns bitte über das Servicedesk.
Wir benötigen keine Passwörter
Einige Kund:innen teilen uns von sich aus Informationen zu einem Vorgang mit; sie wollen uns damit bei der Behebung eines Problems oder beim Finden eines Fehlers aktiv helfen. Damit spart man Zeit und dem Webhosting-Team Arbeit: Wir müssen Sie nämlich nicht um die betreffenden Informationen bitten.
Manchmal erhalten wir in diesem Rahmen ein Passwort zu einer persönlichen oder einer Funktionskennung. Wir benötigen aber keine Passwörter und das Passwort wird dadurch leider dem Webhosting-Team und weiteren Kolleg:innen bekannt; im Hinblick auf Ihre Sicherheit bzw. die Sicherheit Ihres Webauftritts ist dies aber bedenklich (s.u.).
Deshalb empfehlen wir in diesen Fällen immer, das Passwort zur eigenen Sicherheit zeitnah zu ändern.
Ein paar Hinweise als Hintergrundinformation zur Problematik:
- Abgesehen von extrem seltenen Sonderfällen benötigen wir im LRZ keine Kunden-Passwörter bei der Erbringung der LRZ-Dienste. Die Kolleg:innen besitzen nämlich die erforderlichen Admin-Privilegien für den Zugriff auf alle Daten und Informationen, die zu demjenigen LRZ-Dienst gehören, den man selbst betreut.
Das Webhosting-Team hat z.B. den uneingeschränkten Zugriff auf alle Daten, die spezifisch zu den Websites gehören (d.h. die Web-Daten der Funktionskennung und die optionale Web-Datenbank). Andererseits hat das Webhosting-Team keinen Zugriff auf die Daten des LRZ-Dienstes "E-Mail". - Wegen des vorhergehenden Punkts wird eine seriöse Einrichtung/Organisation/Firma (mit einer fähigen IT-Abteilung/-Gruppe) Sie nicht auffordern, ein Passwort per E-Mail zu schicken.
Wenn man Sie dennoch dazu auffordert, liegt vermutlich eine der folgenden Situationen vor:- Es handelt sich in den meisten Fällen um einen Angreifer, der versucht, Ihre Kennungs-Informationen zu stehlen.
- Es handelt sich um eine seriöse Einrichtung.
Diese Einrichtung besitzt aber eine "unfähige" IT, oder die Einrichtung achtet nicht auf die Sicherheit Ihrer Daten.
Beide Fälle sind aus Kundensicht bedenklich.
- Wenn man Sie per E-Mail dazu auffordert, sich bei einer Webseite mit Ihrer Kennung anzumelden, handelt es sich meist um einen Phishing-Versuch eines Angreifers.
Deshalb sollte man in diesen Fällen misstrauisch sein; man sollte keinesfalls einfach auf einen Link klicken:- Zumindest sollte man sich den URL hinter dem Link ganz genau ansehen.
Aber Achtung: Der URL eines Angreifers unterscheidet sich oft nur minimal vom URL der seriösen Einrichtung. - Wenn es sich möglicherweise doch um eine seriöse E-Mail handelt, sollte man immer das gewohnte (Anmelde-)Formular nutzen, dessen URL meist in den eigenen Bookmarks steht.
Oder man geht von der Homepage der Einrichtung aus (wie z.B. "https://www.lrz.de/" oder "https://doku.lrz.de/") und sucht von dort aus die gewünschte Seite auf.
Beispiel: https://www.lrz.de/ → Link "Support (Beratung & Unterstützung)" → Link "Support-Anfrage (Online-Formular)"
- Zumindest sollte man sich den URL hinter dem Link ganz genau ansehen.
Wenn Ihr Webserver kompromittiert wurde
Falls uns ein kompromittierter Webserver bekannt wird, werden wir diesen darum sofort deaktivieren. Wir werden Sie dann kontaktieren und das Vorgehen mit Ihnen besprechen.
Darum bitten wir Sie: Falls Ihnen ein Webauftritt, der am LRZ gehostet wird, kompromittiert erscheint, geben Sie uns bitte so schnell wie möglich über das Servicedesk Bescheid – egal, ob Sie den Webserver selbst betreiben oder nicht.
Auf der Seite System- und Internet-Sicherheit finden Sie noch mehr Tipps zum Thema.
Sicherheitstipps für häufig verwendete Software (WordPress, Joomla! usw.)
Viele unserer Kunden nutzen für ihre Webserver etablierte Software wie WordPress oder andere Content-Management-Systeme. Aus diesem Grund haben wir für Sie im Folgenden einige Links zusammengestellt, die es Ihnen erleichtern sollen, die Betriebssicherheit Ihres Webservers sicherzustellen. Fügen Sie diese Links z.B. als Lesezeichen in Ihrem Browser hinzu, um sich regelmäßig über bekannt gewordene Sicherheitslücken und dafür veröffentliche Software-Patches zu informieren.
Bitte beachten Sie, dass diese Links auf externe Seiten außerhalb des LRZ-Webauftritts verweisen und wir darum auf deren Inhalte keinen Einfluss haben.
WordPress
Weblinks
- WordPress.org: Security-Veröffentlichungen
- wpbeginner.com: The Ultimate WordPress Security Guide – Step by Step (2019)
Verwundbarkeit durch Angriff auf XML-RPC-Schnittstelle
Die XML-RPC-Schnittstelle kann u.a. dazu verwendet werden, Artikel mithilfe der WordPress-Apps für den Desktop oder für mobile Geräte zu verfassen. Außerdem stellt sie die Pingback-Funktion zur Verfügung. Leider ist sie bei Angreifern jedoch ein beliebtes Ziel, um viele Login-Versuche gleichzeitig abzusenden oder DOS-Attacken durchzuführen (DOS: Denial of Service, d.h., der Server wird durch zu viele Anfragen innerhalb kurzer Zeit in die Knie gezwungen). Wenn Sie die XML-RPC-Schnittstelle nicht benötigen, weil Sie Ihre Artikel ohnehin über die WordPress-Weboberfläche verfassen, gibt es eine einfache Möglichkeit, die Schnittstelle effektiv abzuschalten und sich so vor dieser Art von Angriffen zu schützen.
Dazu nehmen Sie folgende Änderungen in der Datei functions.php des von Ihnen verwendeten WordPress-Themes vor:
<?php
/* Die XMLRPC-Schnittstelle komplett abschalten */
add_filter( 'xmlrpc_enabled', '__return_false' );
/* Den HTTP-Header vom XMLRPC-Eintrag bereinigen */
add_filter( 'wp_headers', 'AH_remove_x_pingback' );
function AH_remove_x_pingback( $headers )
{
unset( $headers['X-Pingback'] );
return $headers;
}
(Quelle: https://gist.github.com/anonymous/02cfcb73c70a64925752)
Außerdem blockieren Sie den Zugriff in der Datei .htaccess (wenn Sie noch keine .htaccess-Datei haben, müssen Sie diese erst anlegen; siehe Konfigurationsmöglichkeiten für Ihre Website):
#XML-RPC Schnittstelle abschalten
<Files xmlrpc.php>
Require all denied
</Files>
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
(Quelle: https://gist.github.com/anonymous/61f3e4f75436532a50eb)
Joomla!
- Joomla Release News
- Joomla Security Checklist
- Joomla Security: Announcements (RSS-Feed zum Abonnieren)
- Joomla Security: Vulnerable Extensions (RSS-Feed zum Abonnieren)