Mehr Sicherheit für Blogs und PHP

Effektive Sicherheitsvorkehrungen sind für die Betreiber eines Blogs besonders wichtig: Die Wahrscheinlichkeit, einen Angriff auf das eigene Blog zu verhindern, steigt mit einfachen Sicherheitsmaßnahmen. Dazu hat Kaspersky Lab den PDF-Ratgeber „Sicherheit für Blogs und PHP – Wordpress und Co. vor Hackern schützen“ herausgebracht, der auch Checklisten enthält.

Seit seiner Erstveröffentlichung im Jahr 2004 wurden für Wordpress über 200 Schwachstellen und 43 fertige Exploit-Attacken entdeckt. Sie ermöglichen es Angreifern, eigenen Code auf dem System eines Blogs auszuführen. Auch die Blogsysteme Drupal und Typo3 weisen vergleichbare Schwachstellen im dreistelligen Bereich auf. Erst im April 2013 erreichte eine Massenattacke gegen Wordpress-Blogs ihren Höhepunkt, als ein Bot-Netz von 90.000 Rechnern versuchte, an die Administrations-Zugänge von Wordpress-Installationen zu knacken.

„Ob Blog, Forum oder PHP, der Schutz der eigenen Web-Anwendung sollte von Anfang an bei deren Konzeption mit einfließen“, rät Christian Funk, Autor des Whitepapers. „Dabei helfen drei Denkansätze: Minimierung der Zugriffsmöglichkeiten durch richtigen Einsatz von Rechtemanagement, Vermeidung von übermäßigem Einsatz von Plug-ins sowie Schadensbegrenzung im Vorfeld durch Backups und die Aneignung von Know-how.“

Wordpress ist keineswegs unsicherer als vergleichbare Systeme. Wer lieber auf eigene PHP-basierte Systeme setzt, kann sich nicht in Sicherheit wiegen. Zwar sind PHP-Seiten gegen Angriffe auf bekannte Schwachstellen von Blogging-Plug-ins geschützt, dennoch weist auch PHP bislang über 340 gefundene Schachstellen und mindestens 41 Exploits auf.