Open Source CMS Systeme sind ein tolle Sache um schnell und günstig eine Website zu entwickeln. Die riesige Auswahl an Plugins und Modulen, helfen Webdesignern bei der Entwicklung, indem „das Rad“ nicht immer wieder neu erfunden werden muss.

Die zahlreichen Anbieter von fertigen Templates für WordPress, Joomla, Contao, etc. warten mit den neuesten UI / UX Features für unter 50 Euro auf und werden von vielen Internetagenturen benutzt um für wenige hundert Euro eine schicke und zeitgemäße Website zu realisieren – Responsive Design inklusive.

Es gibt jedoch eine Schattenseite, über die häufiger gesprochen werden sollte – die Sicherheit der Website, insbesondere gegenüber ihren Besuchern.

Sollten Webdesigner ihre Kunden darüber aufklären, dass diese als Webseitenbetreiber grundsätzlich für die Gefahren haften die von ihrer Website ausgehen?

Für mich ist es selbstverständlich meine Kunden darüber aufzuklären, worauf bei einer Website besonders nach der Fertigstellung zu achten ist –nämlich auf die Sicherheit!
Mein Tagesgeschäft zeigt, dass hier dringender Informationsbedarf besteht. Weshalb das in der Regel nur selten passiert, mag sich jeder gerne selbst beantworten.

„Was soll schon passieren, wenn ich keine Sicherheitsupdates einspiele? Ich habe doch automatische Backups bei meinem Webhoster, wenn meine Seite „kaputt“ geht, spiele ich die Version von gestern ein und spare mir das Geld für einen Servicevertrag.“

So argumentieren viele Webseitenbetreiber und ignorieren damit komplett die Gefahren, die für ihre Besucher bestehen könnten. Aus diesem Grund möchte ich einige Szenarien vorstellen, die ich selbst erlebt habe:

• Drive by Download Attacke: Dafür wurde eine Sicherheitslücke in einem WordPress Plugin ausgenutzt, um unbemerkt die Website dahingehend zu manipulieren, dass dem Besucher getarnte Schadsoftware angeboten wird, um diesen mit einem Trojaner zu infizieren.
• Phishing Site: Durch ein veraltetes Magento Modul wurde eine Kopie der Loginseite der Bank of America auf einem Kunden-Webspace installiert. Diese diente dazu durch sogenanntes Skimming die Logindaten der Kunden „abzufischen“.
• Spambot Script: Eine nicht aktuelle Joomla Installation wurde als „Spamschleuder“ missbraucht, um über ein eingeschleustes PHP Script massenhaft Betrugsemails zu versenden.

Welche Auswirkungen ein Trojaner für eine Internetagentur haben kann, habe ich bereits in einem Artikel über das freie FTP Programm Filezilla beschrieben ( http://kaspermedia.de/sicherheitslucke-in-filezilla/ ), durch den die Zugangsdaten sämtlicher Kundenaccounts „abgezogen“ wurden und direkt für die Installation von Skripten zum Spamversand genutzt wurde.

Auch bei Drupal tauchen ab und zu neue Sicherheitslücken auf. Ähnlich wie bei Apple, werden neue Sicherheitsupdates falls notwendig an einem festen Tag in der Woche veröffentlicht (Mittwoch). Das Drupal Security Team ( https://www.drupal.org/security-team ) unterstützt Modulentwickler außerdem dabei, Sicherheitsprobleme bei ihren Veröffentlichungen auf drupal.org zu lösen.

Als Webseitenbetreiber sollten Sie überprüfen welche Maßnahmen Sie gegen die wachsende Gefahr einer Kompromittierung Ihrer Website ergreifen!

Ein Servicevertrag, welcher dafür Sorge trägt, dass auf Ihrer Website immer die aktuellsten Sicherheitsupdates für alle verwendeten Module eingespielt werden, kann hilfreich sein, wenn Sie selbst nicht ausreichend Erfahrung haben. Die Kosten dafür sind im Verhältnisse zu dem potentiellen Risiko, Ihren Besuchern zu schaden eher gering.

Gerne helfen wir Ihnen mit einer Bestandsanalyse dabei, die Sicherheit Ihrer Website zu erhöhen. Ein positiver Nebeneffekt dabei ist oft, dass Sie dadurch sogar Kosten einsparen, indem Ihr Hosting entsprechend an die tatsächlichen Anforderungen angepasst wird.