Webseiten werden verstärkt gehackt, stellt Google fest. Ziel der Hackerangriffe ist, Malware zu verbreiten oder Suchergebnisse zu spammen. Beides ist nicht im Sinne der Suchmaschine. Deshalb gibt es einige Hinweise für Webmaster, wie die Sicherheit von Websites überprüft und erhöht werden kann.
Vorsorglich stellt Google fest, die Liste erhebt keinen Anspruch auf Vollständigkeit. Viele Hinweise sind eigentlich Selbstverständlichkeiten. Dennoch, es gibt genügend Gründe, warum die Hinweise in der Praxis nicht ausreichend befolgt werden. Vielleicht stärkt sich das Sicherheitsbewusstsein der Websitebetreiber mit der Aufzählung dieser Hinweise.
1. Serverkonfiguration prüfen.
Dieser Tipp kann nur für Webmaster gelten die eigene Webserver betreiben und konfigurieren.
Die beiden meist verwendente Software für Webserver im Internet sind laut Netcraft Apache und IIS-Server. Google verweist
auf die
– Apache Sicherheitstipps für die Serverkonfiguration und
– Ressourcen für den Internet Information Server (IIS) von Microsoft.
Sicherheitskernpunkte der Serverkonfiguration sind Zugriffsrechte für Verzeichnisse, Server Side Includes, Authentifizierung und Verschlüsselung.
2. Software-Updates aktuell halten
Es werden immer neue Sicherheitslücken für beliebte Software für Foren und Blogs bekannt. Die Software-Entwickler sind bemüht, diese Lücken schnell zu stopfen. Effektiv ist das erst, wenn Webmaster die Sicherheits-Updates zeitnah, so schnell wie möglich, einspielen. Das Problem ist, dass mit automatisierter Software in kurzer Zeit sehr viele Blogs gescannt und auf Sicherheitslücken geprüft werden können. Hacker können diese Lücken sehr schnell ausnützen um Schadcode einzuschleusen. Auf Updates sollten auch die installierten Plug-Ins regelmässig geprüft werden.
3. Regelmässig die Log Files bzw. die daraus erstellten Besucherstatistiken ansehen
Dieser Hinweis bleibt schwammig, weil Google nur von “Überraschungen” spricht, die dort zu finden wären. Hier wäre konkretere Hinweise für Webmaster sicherlich hilfreich. Welche Art von Überraschungen kann erwartet werden?
Wie erkennen ungeübte Webmaster diese in Ihren Server-Statistiken und was können sie tun?
4. Auf Schwachstellen prüfen
Schwachstellen können sein: XSS (Cross-Site-Scripting), SQL-Injections und Zugriffsrechte für Verzeichnisse. Passwörter sollten ausreichend sicher gestaltet werden.
5. Anwendungen von Drittanbietern
Vorsicht ist angebracht, wenn Anwendungen wie Widgets, Zähler, Werbenetzwerke und Webstatistiken von Fremdanbietern genutzt werden. Vorrangig sollten diese Anwendungen von vertrauenswürdigen Anbietern stammen. Jüngste Meldungen belegen jedoch, dass selbst Widgets von grossen Anbietern nicht sicher sind. Es bleibt also zu überlegen, ob Widgets überhaupt eingesetzt werden müssen.
6. Seiten mit dem site: Operator checken
Diese Variante kann sicherlich nur eine kleine Ergänzung sein. Eine Suche mit site:, gefolgt vom Domainnamen listet alle Seiten, die Google von dieser Domain kennt. Sollten in Seitentitel oder Beschreibungstext nicht die selbst formulierten Texte erscheinen, dürfte etwas nicht stimmen.
7. Google Webmaster Tools verwenden
Dieses kostenfreie Angebot liefert Infos über den Status der Website. Hier informiert Google detailliert Webmaster, wenn Google glaubt, eine Site sei gehackt. Es werden URL angezeigt, die nicht mehr in der Ergebnisliste von Google erscheinen. Webmaster können nach einer Überprüfung eine “Neubewertung” beantragen.
8. Sichere Protokolle für die Datenübetragung verwenden.
Das FTP-Protokoll wird zwar von vielen Hostingprovidern noch angeboten, ist aber nicht gerade sicher. Das gilt auch für Telnet. Alternativen sind die verschlüsselten Protokolle SSH und SFTP.
Es wird ein Hinweis zum Besuch von StopBadware.org gegeben.
9. Google Online Security Blog lesen.
10. Unterstützung vom Webhoster
Bei Verdacht den Webhoster um Unterstützung bitten.
Abschliessend ruft Google auf: “Gebt Hackern keine Chance!”
Webmaster-Zentrale Blog: Sicherheits-Checkliste für Webmaster