Immer wieder passiert es, dass Websites in der Form attackiert werden, dass schädlicher Code eingeschleust wird. Jüngst bin ich auf eine Website gestoßen, die – vom Betreiber ungewollt – eine Verbindung zu »greatrow[dot]ru« aufbaute. Bei »Google Safe Browsing« kann man Näheres dazu erfahren.

Es ist nicht immer leicht, die Schwachstelle zu entdecken, über die es dem Angreifer gelungen ist, die Website zu infiltrieren. Man sollte aber, damit es möglichst gar nicht erst so weit kommt, seine Website von vornherein so gut wie möglich absichern:

• Sichere Passwörter zu allen Zugängen vergeben, zum Beispiel: Login ins CMS, FTP-Zugang, Login zur Administrations-Oberfläche (Confixx, Plesk etc.) beim Webhoster. Diese Passwörter sollten mindestens acht bis zehn Zeichen enthalten und aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestehen.
• .htacess-Datei absichern, die den Zweck hat, dem Apache-Webserver bestimmte Anweisungen zu geben. Wie man diese Absicherung vornimmt, kann man bei squatlabs nachlesen. Die empfohlenen Dateiberechtigungen werden aber beim Standardhosting dazu führen, dass die Website nicht mehr erreichbar ist, hier dürfte die Berechtigung 644 die niedrigst mögliche sein.
• Datenbankabfragen absichern: Wenn über Webformulare Benutzereingaben entgegengenommen und in eine Datenbank gespeichert werden, könnte schädlicher Code in die Datenbank eingeschleust werden, falls man die Eingaben ungeprüft/ungefiltert übergibt. Man spricht hier von eine SQL-Injection. Heise Security bietet zu diesem Thema einen älteren, aber immer noch gültigen Artikel an.

Achtung: Diese Maßnahmen allein machen es Angreifern nicht unbedingt unmöglich, in das System einzudringen, sondern sind als unerlässlicher Grundschutz zu verstehen, ohne den ein Einbruch so leicht wäre wie der unerlaubte Eintritt in ein Haus mit offenen Türen.