Meine Homepage wurde gehackt. Was kann ich tun?
Bis vor ein paar Jahren noch war der Fall, dass eine Webseite gehackt wurde, lediglich ein Randphänomen. Heute dagegen ist es zu einer regelrechten Plage geworden. In den meisten Fällen wird die Webseite bzw. der Server auf dem die Webseite liegt, dazu missbraucht, um SPAM eMails zu verschicken. Durch die hohe Auslastung des Servers, die dabei ensteht, schiebt der Webhoster nach kurzer Zeit einen Riegel davor und nimmt die Site vom Netz.
Zu dieser Entwicklung ist es gekommen, dadurch dass sich zur Erstellung von Webseiten Redationssysteme (CMS) etabliert haben, die nichts geringeres als kleine Computerprogramme sind. Wie überall anders auch, kam es zu Konzentrationsprozessen, so dass nur einige wenige – mit großen Marktanteil – übrig geblieben sind; dazu zählen bspw. WordPress, Joomla, Drupal etc.
Das Hacken von Internetseiten ist umso lohnender, je mehr Leute ein System benutzen. Eine schöne Analogie dazu sind herkömmliche Computer-Betriebssysteme: Bei Microsoft Windows mit einem Marktanteil von 90% ist ein Anti-Virusprogramm Pflicht. Nutzer von gering verbreiteten Betriebsystemen wie Linux etwa – der Marktanteil liegt nur bei 2-3% -, kommen auch ohne aus. Durch die geringe Verbreitung stellen sie kein lukratives Ziel dar.
Wie bei jedem Computerprogramm werden im Laufe der Zeit Sicherheitslücken aufgedeckt, die es einem Angreifer möglich machen, die Webseite zu hacken und für seine Zwecke dienstbar zu machen. Je älter die Webseite ist, umso wahrscheinlicher ist es, dass eine Sicherheitslücke gefunden wurde. In der Regel vergehen höchstens zwischen 1 und 3 Jahren bis eine bestimmte Version eines CMS korrumpiert ist.
Wie schützt man die Webseite dauerhaft gegen Hacks und Angriffe?
Es gibt zwei Optionen
1. Durch regelmäßige Updates des CMS und der installierten Plugins
Das Updaten hat jedoch den Nachteil, dass es immer zu Komplikationen kommen kann. Etwa gibt es auf einmal Abweichnungen in der Darstellung der Webseite, Plugins sind inkompatibel mit der neusten Version des CMS oder – Worst Case – ein Fehler in irgendeinem Skript bei Update-Prozess sorgt dafür, dass die Homepage gar nicht mehr funktioniert.
Möchte man sich das ersparen, beauftragt man einen kommerziellen Anbieter damit, was allerdings Geld kostet.
2. Schreibschutz der Datenbank und des Dateisystems
Manche, aber längst noch nicht alle Webhoster, bieten an, dass man die Datenbank und das Dateisystem mit einem Schreibschutz versehen kann. Selbst wenn jemandem gelingt, sich unbefugt Zugang zu verschaffen und Schadcode einschleusen, wird keine der Änderungen, die der Angreifer an der Webseite vorgenommen hat, gespeichert. Damit haben Angreifer, die die Homepage hacken wollen, keine Chance.
Beim setzen des Schreibschutzes am Dateisystem ist zu beachten, dass man ggf. Teile bzw. Plugins, bspw. das Kontaktformular, ausnimmt, da Sie sonst nicht mehr funktionieren.
Der Nachteil dieser Methode ist jedoch, dass damit eine Komforteinbuße einhergeht. Der Schreibschutz muss vor Änderungen immer erst deaktiviert und im Anschluß wieder aktiviert werden. Für Webseiten die mehrfach täglich gepflegt werden, empfiehlt sich der Schreibschutz natürlich nicht. Auf den Großteil der Internetseiten trifft dies allerdings nicht zu.
Unabhängig davon sollte man noch darauf achten, dass der FTP-Zugang blockiert wird.