Zu meinen täglichen Ritualen gehört es, alle relevanten Security Mails der letzten 24 Stunden auf Relevanz zu prüfen, sortieren und zu bewerten. Gegebenenfalls ergeben sich auf Grundlage einer Email, Wartungsarbeiten auf unseren Systemen und Mitteilungen an unsere Kunden. Zum Glück ist aber heute nichts Relevantes dabei gewesen und ich konnte mir erstmal in Ruhe den morgendlichen Kaffee gönnen. Während dessen klapperte ich einige Webseiten ab stieß dabei auf einen Artikel von Hanno Böck. Der Artikel beschreibt, wie „einfach“ es doch ist, fremde Webseiten zu kapern. Dabei musste ich direkt an WordPress, Joomla, Drupal und die anderen CMS Systeme denken.
Der Segen eines CMS Systems
Gerade was die Sicherheit angeht, haben sich die aktuellen CMS Systeme ziemlich gemausert. Mittlerweile gibt es Möglichkeiten der automatischen Softwareaktualisierung, eine einfache Übersicht der noch zu pflegenden Plugins und Vieles mehr. Eigentlich bietet das ein Schlaraffenland für jedermann, da mittlerweile jeder auf Grundlage eines CMS auf einfach Weise eine eigene Webseite gestalten kann. Das war nicht immer so, hier kann das Joomla Projekt ein geplagtes Lied von singen. Joomla ist nämlich eine Abspaltung des alten CMS Systems Mambo, welches aufgrund extrem vieler und schwerer Sicherheitslücken in der Kritik stand. Joomla hatte Anfangs die gleiche Codebasis und hat sich erst im Laufe der Entwicklung dazu entschlossen, die Codebasis über den Haufen zu werfen und komplett von vorn anzufangen. Joomla konnte sich somit zu dem entwickelt, was es heute ist.
Der Fluch eines CMS Systems
Darin liegt nun leider auch der Fluch der aktuellen Systeme – damit meine ich nicht nur die CMS Systeme, sondern alle Arten von Software – dass sich die Leute keine Gedanken mehr darüber machen, was sie eigentlich einsetzen. Man installiert einfach mal ein Plugin und hofft, dass alles automatisch aktualisiert wird. Nehmen wir mal WordPress als Beispiel: WordPress selbst wird kontinuierlich aktualisiert und reagiert zügig auf Sicherheitslücken und fixt diese, so dass sie über den automatischen Prozess auch zeitnahe auf allen Systemen eingespielt werden können. Viele vergessen aber, das Plugins ebenfalls Sicherheitslücken enthalten können; wenn deren Entwickler nun nur sehr langsam oder gar nicht darauf reagieren, kann es schnell zu einem gehackten Account führen. Schlimmer wird es noch, wenn man Plugins aus fremden Quellen installiert, welche gar nicht erst im Aktualisierungsprozess eingebunden sind. Daher sollte man immer ein Auge darauf haben, welche Plugins man installiert und ob die Plugins auch noch aktiv weiterentwickelt oder zumindest gepflegt werden. An dieser Stelle gilt wirklich immer: „weniger ist mehr.“
Viele Anwender vergessen leider bei der Nutzung so einer Software, dass diese gepflegt werden muss. Eine Joomla-Installation (oder die Installation jeglicher Software) muss genau so gewartet, gepflegt und betreut werden, wie ein Auto. Vernachlässigt man die Pflege, kann es schnell gefährlich werden. Man sollte immer daran denken, dass der Webseiten-Betreiber voll umfänglich für den Inhalt seiner Webseite verantwortlich ist, auch wenn diese gehackt wurde.
Daher empfehle ich:
- Nutzen sie nur Software welche auch aktiv gepflegt wird.
- Kontrollieren sie regelmäßig die Aktualität ihrer Installation
- Aktualisieren/Ersetzen sie Software, welche nicht mehr weiterentwickelt wird
- Informieren Sie sich regelmäßig beim Entwickler, ob Sicherheitslücken bekannt sind und geschlossen wurden
- Verlassen sie sich niemals auf Automatismen, auch diese kann man außer Gefecht setzen.