Warum professionell entwickelte Webseiten einen Unterschied machen

Hände weg vom Selbermachen - wußten auch schon andere

Hände weg vom Selbermachen – das wußten auch schon andere vor mir, hier das Elektrohandwerk!

Webseiten aus Instant-Themes (0€-99€ z.b. Themeforest) sind günstig und trumpfen mit einer Flut an Features. Plattformen wie Squarespace werben mit Einfachheit und sind im Monatsabo ultragünstig. Wieso also eine Seite vom Profi entwickeln lassen, dabei viel mehr bezahlen und vielleicht sogar auf Features oder Komfort verzichten?

Trauen Sie sich, diesen kurzen Artikel zu lesen! Da Sie vermutlich sowieso bei mir Kunde sind (oder es gerne wären), verspreche ich: Es lohnt sich für Sie und Wehklagen über die Ungerechtigkeit der Welt kommt darin ebenso wenig vor wie Ikea-Küchen-Vergleiche.

“Manche meiner Kunden betreiben ihre professionell entwickelte Seite seit fast 10 Jahren – ohne einmal gehackt worden zu sein, 99,9% frei von Update-Problemen. Pflege, Anpassung und Weiterentwicklung gehen problemlos und preisgünstig.”

In 10 Jahren Webentwicklung und Hosting wurde nur eine einzige meiner Webseiten jemals gehackt. Welche Seite das war, wie sie gehackt wurde und warum ich im vorherigen Abschnitt nicht gelogen habe, erfahren Sie weiter unten. Weit gekommen sind die Bots übrigens nicht, dank serverseitiger Vorkehrungen. Das ist allerdings nicht die Regel.

WordPress im Sicherheitstest

Ich habe mich in den letzten 6 Monaten sehr intensiv und erfolgreich mit dem Thema Sicherheit ausseinander gesetzt. Im Zuge dessen habe ich unter anderem probeweise eine lokale WordPress-Installation auf meinem Rasperry Pi einem Pentest unterzogen. Hier also ein paar Fakten, die Sie sicher interessant finden:

Obwohl ein Raspi nicht einmal annähernd der Leistung eines aktuellen Webservers das Wasser reichen kann, konnte ich problemlos über 100 Logins pro Sekunde durchprobieren. Das heißt, in nur 10 Minuten hatte ich eine Wordlist mit knapp 100.000 Passwörtern durchprobiert.

Über spezielle Such-Tools findet man mit einer einfachen Suche zum Thema WordPress viele Treffer. Treffer heißt in diesem Fall: Tatsächlich ausnutzbare Sicherheitslücken. Die Suche dauert nur ein paar Sekunden. Die wenigsten Treffer findet man zu WordPress selbst, also dem Core. Grenzt man die Suche auf die aktuelle WordPress-Version ein, geht die Menge gegen null. Hunderte, aktive Treffer findet man allerdings bei WordPress Themes und Plugins, und das sind nur bereits bekannte Lücken (für die es Exploits gibt), Zero-Days nicht mitgezählt.

Warum aktuelle Updates im Web sehr wichtig sind

Es ist ein ewiger Kreislauf, und glauben Sie mir bitte, ich bin davon genauso genervt wie Sie. Aber spätestens seit das Ausnutzen von Sicherheitslücken nicht nur Kriminelle in finanzieller Form motiviert, sondern auch staatliche „Cyber-Truppen“ hacken, spähen und abhören, was das Zeug hält, sollte man den Bereich „IT-Sicherheit“ als ebenso selbstverständlich ansehen, wie den Webentwickler oder den System-Administrator.  Das bedeutet, überall auf der Welt sitzen in diesem Moment Menschen, Angestellte, Freiberufler und freie Sicherheitsforscher, die aktiv hacken, weil es ihr Job ist. Die „Guten“ (White-Hats) unterscheidet von den „Bösen“ (Black-Hats) vorallem, dass Sicherheitslücken nach dem Fund an Entwickler und Hersteller gemeldet werden, damit diese wiederum die Lücken schließen können, bevor sie öffentlich, oder in Hacker-Kreisen als Zero-Day, ausgenutzt werden können. Und hier kommt es, das nächste Sicherheitsupdate, zumindest wenn Sie einen guten Hersteller erwischt haben.

Wenn Sie sich fragen, was denn passiert, wenn Sie einfach keine Updates mehr einspielen? Zunächst vielleicht garnichts. Aber die Menge an Sicherheitslücken in Ihrer Webseite, Ihrem Handy oder Betriebssystem wird ab dem Zeitpunkt mit jedem Tag größer. Man ließt in der Presse von Cross-Site-Scripting hier oder Buffer Overflow dort und fragt sich vielleicht: ist das wirklich so schlimm? Ja, jede dieser Sicherheitslücken kann von einem Hacker genutzt werden, um in ein System einzubrechen – und das passiert tatsächlich, zum Teil auch automatisiert. Sie sollten davon ausgehen, dass es ohne Updates es nur eine Frage der Zeit und des Zufalls ist. Das war früher anders, aber jetzt ist es so.

Warum Webseiten von ARTunchained etwas sicherer sind

Auch ich mache Fehler beim Programmieren und kenne sicher nicht jede mögliche Sicherheitslücke, meine Webseiten sind keineswegs „unhackbar“. Aber ich behaupte, sie sind deutlich sicherer, als Webseiten aus Fertig-Themes mit zwei dutzend wahlloser Plugins, zusammengewürfelt von Hobby-Entwicklern. Zum einen sind meine Themes überhaupt nicht in dem Pool der Theme-bezogenen Sicherheitslücken von bekannten Suchtools (Obscurity, but it works). Bei der Theme-Entwicklung kenne ich ausserdem die Top-5 der gröbsten, am häufigsten ausgenutzen Fehler aus meiner Arbeit als Web-Administrator und bemühe mich, sie nicht zu begehen. Bei der Pluginauswahl werfe ich inzwischen tatsächlich die erwähnten Sicherheits-Suchtools an, um die Sicherheit des Plugins zu verifizieren. Obendrein bilde ich mich regelmäßig fort und beziehe Sicherheitsmeldungen zu WordPress per Newsletter – das ist eigentlich seit DSGVO Pflicht für Entwickler.

Ausserdem ist, laut dem Wordfence Team, eine der größten Quellen für WordPress-Attacken inzwischen die heimliche Übernahme von ganzen Themes oder Plugins durch Hacker. That’s right, in dem WordPress Plugin-Verzeichnis liegen inzwischen ein Haufen Plugins, bei denen einfach der Hersteller gehackt wurde. Sie installieren sich den „Virus“ also in dem Moment sogar freiwillig. Quelle: s.u.

Warum es immer Sicherheitslücken geben wird…

..und das nicht nur an schlechten Programmierern liegt.

Haben Sie sich schonmal verrechnet? Heute bereits einmal vertippt? Vergessen, was Sie gestern zu Mittag gegessen haben? Tja, Entwickler sind auch nur Menschen und Code ist getippter Text in sehr komplizierten, abstrakten Sprachen, der unzähliche Komponenten miteinander verbinden soll, dabei immer größer, schneller, besser sein soll. Auf der Sicherheitsseite ist es inzwischen ein weltweites Wettrennen. Hacken ist teils staatlich organisiert und gesponsort. Und die Jagd auf die Sicherheitslücken selbst betreiben nicht nur die „Bösen“, sondern beide Seiten, die Liste der CVEs (öffentlich bekannte Sicherheitslücken) wird jeden Tag immer länger. Mit ungepatchen, alten Versionen hat man keine Chance, wenn ein durchschnittlicher Angreifer es darauf anlegt, Sie zu hacken. Dazu kommt, unsere Technik ist derart komplex geworden, dass selbst ein Team aus Spitzenprogrammierern und unbegrenzt Zeit kaum eine Chance hat, nicht das eine oder andere zu übersehen. Wir wollen Vernetzung, Microservices, Nutzerinteraktion  – und das ist noch der Idealfall. In der Realität heißt es: Bitte billiger, bitte gestern fertig sein.

Aber es gibt an der Stelle auch gute Nachrichten: Wenn Sie brav updaten,  ist die Anzahl an Sicherheitslücken heutzutage deutlich geringer als noch vor 10 oder 20 Jahren. Die noch vorhandenen Lücken sind oft sehr schwierig auszunutzen, dafür wiederum gibt es meist nach kurzer Zeit auf Github ein Proof-Of-Concept oder einen sogenannten Exploit einfach zum Download. Also sein Sie nicht updatefaul und lassen Sie im Zweifelsfall Themes oder Plugins durch mich prüfen. Das kostet nicht viel.

Praxisbeispiel AMP Tracks

Bei meiner Medienwebseite amp-tracks.com habe ich zum ersten Mal in 20 Jahren die freiwillige Ausnahme gemacht und eine Seite aus einem Fertigtheme gebaut. Ich wollte mich bei AMP Tracks primär auf den Content konzentrieren und suchte mir deshalb ein passendes Theme aus, welches optisch schick und technisch nicht zu katastrophal aufgebaut war. Ich musste es allerdings genauso bereuen, wie schon einige Kunden vor mir: Nach nur 6 Monaten war die Seite plötzlich infiziert, trotz meiner sehr hohen, serverseitigen Sicherheitsmaßnahmen. Es war der schlechte, ungeprüfte Code der Seite selbst, durch den eine Sicherheitslücke entstand, welche durch andere Maßnahmen nicht initial abgefangen werden konnte. Glücklicherweise haben die restlichen Maßnahmen auf meinem Server gegriffen und die Infektion konnte sich nicht lateral ausbreiten.

Dazu kam, dass in dem Instant-Theme von den vielen angeprießenen Features nur wenige so funktionierten wie beworben, mit der Zeit wurden immer mehr Mängel in der scheinbar makelosen Frontendprogrammierung sichtbar und ich musste schließlich wieder selbst codeseitig Hand anlegen. Ich habe nun also eine Seite, die am Ende genauso viel „gekostet“ hat, wie eine Custom Made Webseite (also eine 100% Eigenentwicklung), die dafür aber meterweise unnützen Code als Overhead mit sich schleppt, welcher die Seite langsamer macht, sie ist schlecht zu warten  (langfristiger Mehraufwand / -kosten) und in dem Code klaffen vermutlich noch 5 weitere Sicherheitslücken, von denen noch keiner weiß.

Ähnliche Funde des Wordfence Teams

Die auf WordPress-Sicherheit spezialisierte Firma Wordfence hat ähnliche Funde gemacht: Sicherheitslücken klaffen bei WordPress hauptsächlich in 3rd-Party Themes und Plugins. Die Menge an Sicherheitslücken im Core von WordPress ist dagegen sehr überschaubar – und diese werden meist sehr schnell gepatcht, während Plugins und Themes oft monatelang ungepatcht bleiben – oder niemals gepatcht werden. Denn wie das Wordfence Team herausfand, sind ein Großteil der aktuellen WordPress-Infektionen zurückzuführen auf die heimliche „Übernahme“ von Themes und Plugins durch Hacker. Das bedeutet, Hacker suchen sich verweiste Projekte, hacken den Entwicklerzugang z.B. zur WordPress Plugin Registry und verteilen Ihre Schadsoftware ganz offiziell im großen Stil – die Anwender ahnen nichts und installieren sich die Malware freiwillig mit vollen Root- / Admin-Rechten. Hier der Artikel in Kurzform mit angehängtem Whitepaper (Link unten im Artikel, sehr lesenswert!):

https://www.wordfence.com/blog/2019/11/wp-vcd-the-malware-you-install-on-your-own-sites/

Und nur so am Rande

Deutschlands Unternehmen verlieren generell an Gewicht in der Welt: Nur noch SAP auf Rang 49 und Siemens auf 98 schaffen es im Jahr 2019 in die Top 100. […] viele Spitzenkonzerne bewiesen in den vergangenen Jahren ein falsches Gespür für die richtigen Investitionen. […] Die Deutsche Bank griff mit Bankers Trust in den USA komplett daneben und hätte in den vergangenen zehn Jahren besser mehr Geld dafür ausgeben sollen, ihre veralteten IT-Strukturen zu modernisieren.”

Kompletten Artikel im Handelsblatt lesen:

https://app.handelsblatt.com/unternehmen/industrie/ranking-deutsche-unternehmen-verlieren-den-anschluss-nur-zwei-konzerne-unter-den-top-100-weltweit/25362954.html