Systemsicherheit

Information ist alles:

Das Wichtigste ist zunächst: Information ist alles. Wer die Methoden kennt, mit denen Attacken auf Systeme durchgeführt werden, kann sich sinnvoll gegen diese absichern. Daher gibt es weiter unten einen kleinen Exkurs in die Kryptographie. Grundsätzlich ist wichtig zu wissen, welche Dateien besonders große Zugriffsrechte im verwendeten Content Management System (CMS) haben. Diese Dateien werden vermutlich beliebte Angriffsziele sein und müssen daher mit besonderer Aufmerksamkeit abgesichert werden.


 

Studie für CMS Sicherheit:

Das «Bundesamt für Sicherheit in der Informationstechnik» hat in seiner Studie «Sicherheitsstudie Content Management Systeme (CMS)» verschiedene Content Management Systeme analysiert. Das Ziel der Studie war es, weit verbreitete Open Source Systeme auf gängige Gefahren in der Systemsicherheit hin zu untersuchen.

WordPress kommt dabei eigentlich gut weg, Zitat:

FAKT: Die konsequente Reduktion des Systems WordPress auf wesentliche Blogging-Funktionalität ist das herausragende Merkmal gegenüber allen anderen hier betrachteten Systemen.

(BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK, 2015: Sicherheitsstudie Content Management Systeme (CMS), Version 1.0, Seite 20 f.)

Die gesamte Studie herunterladen »


 

WordPress stets aktualisieren:

Wie auf der Seite Backups ohne Stress im Detail zu lesen ist, kann WordPress sich selbst aktualisieren. Egal ob durch automatische Hintergrund-Updates oder durch manuelle Updates, das System sollte stets auf die neueste Version aktualisiert werden, um mögliche Sicherheitslücken zu schließen. Ebenso sollte ein Update immer fest mit einem vorher angefertigten Backup in Verbindung stehen.


 

Verwenden von sicheren Passwörtern:

Heutzutage ist es bereits mit haushaltsüblichen Computern (3 GHz) möglich, Passwörter mit einer Länge von acht Zeichen binnen eines Wochenendes zu ermitteln. Die Anzahl möglicher Passwörter ergibt sich durch die Formel: Mögliche Zeichen ^ Anzahl Stellen des Passworts

Werden im Passwort also nur kleingeschriebene Buchstaben und Zahlen verwendet, so gibt es 36 mögliche Zeichen. Mit einem achtstelligen Passwort wären daher 36 ^ 8 = 2.821.109.907.456 Kombinationen möglich (2 Billionen, 821 Milliarden, 109 Millionen, 109 Tausend 456 Stück), was ca. 21 Stunden Rechenzeit benötigt (geteilt durch 86.400 Sekunden pro Tag und ca. 1.500.000 effektive Rechenoperationen pro Sekunde bei einem 3 GHz Prozessor).
Davon ausgehend, dass die Passwortlänge auf 10 Stellen erhöht wird, ergeben sich ca. 28.211 Stunden Rechenzeit, das sind etwa 3,2 Jahre. Für 12 Stellen ergeben sich 36.561.584 Stunden, das entspricht 4.173 Jahren. Mit Großbuchstaben erhöht sich die Zeichenmenge von „26 + 10“ auf „52 + 10“ = 62 Stück.
Ein achtstelliges Passwort mit diesem erweiterten Zeichen-Pool würde daher statt 21 Stunden Rechenzeit etwa 1.684 Stunden = 70 Tage Rechenaufwand erforderlich machen.

Diese Rechenbeispiele gelten für normale Brute-Force-Attacken, welche ohne weitere Logik jegliche Zeichenkombination von „aaaaaaaa“ über „aaaaaaab“ und „aaaaaaac“ bis „00000000“ durchprobieren. Heutzutage ist allerdings von intelligenteren Attacken auszugehen, sodass bei einer Attacke Passwortlisten hinterlegt sind, welche zahlreiche Kombinationen, die tatsächlich häufiger genutzt werden, vorne anstellen und somit deutlich früher zum Ziel führen können.


 

Der Webserver ist ebenso stets zu aktualisieren:

Nicht nur innerhalb der eingesetzten Web-Applikation, sondern auch auf der zugrunde liegenden Plattform (Webserver) können Sicherheitslücken auftreten. Durch Aktualisierungen der auf dem Webserver eingesetzten Software wird diese ebenfalls durch sicherere und stabilere Versionen ersetzt. Wenn der Webserver durch einen sog. Hosting-Provider bereitgestellt wird, was zumeist der Fall ist, so sollte regelmäßig geprüft werden, ob dieser seiner Pflicht, die Webserver stets aktuell zu halten, auch nachkommt.


 

Wie berücksichtigt NeoDesign das Thema Systemsicherheit?

Wir von NeoDesign nehmen uns die nötige Zeit, das WordPress-System nach Fertigstellung von Design und gewünschten Erweiterungen durch zusätzliche Eingriffe gegen unerwünschte Attacken abzusichern. Eine 100 %ige Sicherheit kann dabei nie ausgesprochen werden, doch die Systemsicherheit wird durch die Veränderung der Schreibrechte von relevanten Dateien, die Maskierung diverser Systemkomponenten und die Verwendung von sicheren Passwörtern sinnvoll und realistisch erhöht werden. Innerhalb der Schulung nach Fertigstellung eines Projekts geben wir ebenfalls Empfehlungen zur Generierung von sicheren Passwörtern und der Erstellung von Backups.