freie Scripte und weshalb regelmäßige Scriptupdates unumgänglich sind

Der Markt an freien Skripten ist sehr groß. Ob nun CMS, Foren, Gästebücher, Umfragen, Bilder Galerien, Verzeichnisse oder andere Dienste - jeder Interessent findet, was er benötigt. Immer wieder werden von diversen Webseiten aber auch von IT Magazinen unterschiedliche Scripte einer Kategorie getestet und bewertet.

Scripte, welche in diesen Tests auf Sicherheit getestet wurden und hierbei sehr gut abgeschnitten haben, stehen natürlich hoch im Kurs.

Kommerzielle oder kostenlose Scripte sind nur so lange sicher, bis ein Angreifer eine Sicherheitslücke im Script bzw. in der Entwickungsumgebung findet. Diese Sicherheitslücken ermöglichen einem potentiellen Angreifer, vertrauliche Inhalte der Webseite auszulesen, Schädlinge, wie Malware, Spamscrips und andere Schadsoftware auf den Webspace einzuspielen oder gar den kompletten Webspace zu löschen.

Bereits mit einer gezielten Goolge-Suche lassen sich unzählige PHP Scripte ausfindig machen, welche nicht auf dem aktuellen Stand sind. Die Betreiber haben das System aufgesetzt, bzw. durch einen Dienstleister einrichten lassen und nicht an die Wartung und Pflege des bestehenden Systemes gedacht.

Manchmal sind es nicht einmal die Sicherheitslücken im System, welche einer unbefugten Person Zugriff gewähren. So werden beispielsweise als Default ausgegebene Passwörter nicht geändert, Setupdateien nicht vom Server entfernt und vieles mehr.

Wie sichere ich meine Scripte ab?

Spielen Sie zeitnah Updates Ihrer Scripte ein.
Jedes Update einspielen, welches bereitgestellt wird. Sofern Sie ein Update nicht einspielen besteht die Gefahr, dass das nächste Update nicht reibungslos eingespielt werden kann.
Module, Plugins und Konsorten
Auch wenn das Basissystem als sicher eingestuft ist, ein Plugin/ Erweiterung kann aufgrund schlechter Programmierung diese Sicherheitsmechanismen aushebeln. Achten Sie neben der Bewertung des Plugins auch auf hinterlassene Kommentare. Hin und wieder findet man hier auch verwertbare Informationen über Sicherheitsrisiken.
Zugangsdaten
Administrative Bereiche stellen die zentrale Oberfläche eines Systemes dar. Mit dem Admin-Bereich eines Content Management Systemes wird die komplette Webpräsenz gesteuert. Ist der Zugriff auf den Admin-Bereich verlinkt, was beispielsweise in manchen WordPress Themes der Fall ist, steht der Angreifer 3 Schritte dem geschützten Bereich - Benutzername, Passwort und Okay. Wie häufig nutzen die Betreiber von WordPress den Benutzernamen admin? Sehr häufig, da dieser mit der Einrichtung von WordPress angelegt wird. Wie häufig nutzen die Anwender das durch WordPress generierte Passwort? Selten bis Nie, da es nur ein weiteres Passwort ist, welches man sich merken muß. So werden häufig die einfachsten Passwörter vergeben. Ein sicheres Passwort besteht aus Buchstaben (Groß- und Kleinschreibweise), Zahlen und Sonderzeichen. Diese sollten nach Möglichkeit gemischt angeordnet sein und eine Mindestlänge von 7 Zeichen haben.
Datensicherung
Weshalb Daten sichern? Wozu benötige ich ein Backup,mein Webhoster macht doch regelmäßige Backups! Schon einmal die AGB gelesen? Verursacht man selbst einen Datencrash, d. h. wurde eine Sicherheitslücke in einem Script ausgenutzt und in diesem Zusammenhang Daten gelöscht, ist der Webhoster nicht dazu verpflichtet eine Backup bereitzustellen. Denken Sie daran, viele Seiten bestehen nicht nur aus Speicherplatz für Dateien, sondern werden auch mit Informationen aus einer Datenbank versorgt. Wir empfehlen diese Backups in kontinuierlichen Abständen selbst durchzuführen evtl. auch Cronjob gesteuert.
Setup
Script schnell installiert und in Betrieb genommen. Wurde die Setup Datei auch tatsächlich gelöscht oder hat man dies durch die Inbetriebnahme des neuen Systems verdrängt/ vergessen? Vergessene Setup-Dateien oder Verzeichnisse sind ebenso ein einfacher Angriffspunkt. Schnell sich dadurch Konfigurationsinformationen überschrieben und die Seite funktioniert nicht mehr. Immer Setup/ Installationdateien nach den Anweisungen löschen. Dies wird bei manchen Scripten lediglich in den Readme Dateien beschrieben.

Artikel kommentieren

Kommentar schreiben

Bitte orientiere Deinen Kommentar am Thema des Beitrages. Persönliche Angriffe und/oder Diffamierungen werden gelöscht. Das Benutzen der Kommentarfunktion für Werbezwecke ist nicht gestattet. Entsprechende Kommentare werden gelöscht. Bei Fehleingaben lade diese Seite bitte neu, damit ein neuer Sicherheitscode generiert werden kann. Erst dann klicke bitte auf den 'Senden' Button. Der vorgenannte Schritt ist nur erforderlich, wenn Sie einen falschen Sicherheitscode eingegeben haben.
Name:
e-mail
BBCode:
Kommentar:
Sicherheitscode:*
	Ich möchte NICHT per e-Mail über weitere Kommentare zu diesem Artikel informiert werden.