BEE Digital Growth Blog | BEE

Webseiten-Sicherheit | WordPress vs. HubSpot | BEE

Geschrieben von Ergün Kayis | 15 Okt 2020

Alle, die im Netz eine eigene Website anbieten, sollten für deren Sicherheit sorgen. Doch viele Webseiten sind gerade dies nicht: sicher. Ganz im Gegenteil – sie sind anfällig für Cyberattacken, Informationsdiebstahl, Malware, Spam und weitere kriminelle oder betrügerische Angriffe.

Eines haben alle Hacker gemeinsam: Sie zielen darauf ab, einen Vorteil aus dem Angriff ziehen zu können, und sei es nur, sich mit einem überraschenden Coup zu profilieren und der Welt zu zeigen, dass keine Website wirklich 100% sicher ist. Meistens geht es jedoch um sensitive Informationen, bspw. aus Datenbanken, die an Dritte weiterverkauft werden.

Zwei der beliebtesten Hacker-Strategien

Ein sehr beliebtes Vorgehen der Cyberkriminellen besteht darin, auf die .htaccess-Datei zuzugreifen und diese so umzuprogrammieren, dass die Seite auf eine andere (meist Spam) Seite weitergeleitet wird. Eine weitere Strategie: Es werden Scripts im Code platziert, die dann Analytics-Daten abgreifen.

Die Kreativität der Angreifer scheint grenzenlos zu sein – immer mehr Sicherheitslücken von Webseiten werden ausgemacht und ausgenutzt. Abhängig vom Ziel des Angreifers, wird meist eine Kombination von Techniken eingesetzt, um sich Zugang zum Website-Server oder zur Datenbank zu verschaffen und dort Ihr Unwesen zu treiben, oft für länger Zeit auch ganz unbemerkt.

Was macht eine Webseite anfällig für Hackerangriffe?

Wie schaffen es die Hacker, die virtuelle Tür oder zumindest ein kleines Fenster zu einer Website gewaltsam zu öffnen? Das meistverbreitete Verfahren basiert auf sogenannten Injection-Schwachstellen. Gleichzeitig bildet die Injection auch den ersten Schritt für einen Webangriff. Hierbei werden Code-Stellen im Backend der Webseite be- und umgeschrieben, zu denen die Hacker durch Sicherheitslücken vordringen.

Immer durch die Hintertür

Als Front-End bezeichnet man den Teil der Webseite, auf die der Besucher Zugriff hat. Es dient hauptsächlich dazu, die Webseiteninhalte im Browserfenster darzustellen. Das Backend hingegen ist derjenige Part der Webseite, der auf den Website-Servern liegt und der es technisch ermöglicht, das Front-End der Webseite für den Benutzer sichtbar zu machen. Hierbei ist es wichtig zu verstehen, dass der Code im Front-End nicht gleich dem Code im Back-End ist.

Wie oben erwähnt, kann sich der Angreifer durch Sicherheitslücken im Front-End (bspw. mit Hilfe von Plugins oder unsicher geschriebenem Code) Zugriff auf das Backend verschaffen und dort Dateien und Informationen stehlen oder ändern.

Weitere Kriterien, die Hackerangriffe erleichtern:

System Downtime

Wenn eine Webseite oder ein Webseitensystem “down” ist oder während sich das System aufgrund einer Wartung im Maintenance-Modus befindet, ist es für Angreifer meist einfacher, Zugriff zur Webseite zu erlangen.

Unsichere Konfiguration der Webseite – Stichwort: Passwort: 12345678

Bevor eine Webseite veröffentlicht wird, sollten alle gängigen Vorsichtsmassnahmen bezüglich der Konfiguration der Webseite getroffen sein.

Unsichere Objektreferenzierung

Hierbei werden Besuchereingaben genutzt, um sich direkten Zugriff zu serverseitigen Objekten zu verschaffen.

Wie sieht es mit der Sicherheit von WordPress-Seiten aus?

Die Strategie der Injection ist für Hacker oft die einfachste Methode, unrechtmässig auf eine Website zuzugreifen. Folglich sind diejenigen Websites, die in diesem Bereich entsprechende Sicherheitsdefizite aufweisen, besonders anfällig für Cyberattacken.

Die Diskussion über Web-Vulnerability kommt oft im Zusammenhang mit dem populärsten open-Source CMS WordPress auf. WordPress baut auf der Programmiersprache PHP und einer einfachen Web-Architektur auf, basierend auf Dateien, die für das Front- und Back-End verwendet werden. Fast alle Webseiteninformationen sind in einer Datenbank abgespeichert.

Zudem bietet WordPress allen Entwicklern Zugriff auf alle genutzten Webseitendateien. Dies verschafft den Entwicklern mehr Kontrolle während der Entwicklung. Beispielsweise können so, auf sehr einfachem Wege, vorgefertigte Plugins und Themes intuitiv installiert werden. Dies klingt nach einem grossen Vorteil. Ist es auch. Doch genau hier entfacht sich auch die Diskussion um die Web-Vulnerability. Denn aufgrund der einfachen Struktur und den Möglichkeiten, Themes und Plugins zu installieren, ist WordPress zum populärsten CMS der heutigen Zeit gewachsen. Das Problem dabei: Alle Themes und Plugins wurden von vielen unterschiedlichen Benutzern des CMS geschaffen und könnten einen unsicheren Code enthalten und somit Sicherheitslücken aufweisen.

Genau diese unsicher programmierten Plugins und Themes machen Wordpress-Seiten zu einem äusserst beliebten Ziel für Web-Angriffe. Dies bedeutet aber nicht, dass alle Wordpress-Seiten anfällig für Cyberattacken sind. Betroffen sind in der Regel Seiten, auf denen nicht versierten WordPress-Nutzer unsichere Plugins installieren, ohne die Möglichkeiten zu haben, die Plugins und Themes auf Sicherheit zu prüfen.

Sind HubSpot-Seiten sicherer?

Webseiten, die mit der All-in-one-Marketing Software HubSpot aufgebaut wurden, werden proaktiv seitens HubSpot durch diverse Massnahmen geschützt. Mehr dazu kannst du hier nachlesen.

Kein Nutzer – einschliesslich Entwickler – ist befugt, auf serverseitigen Code zuzugreifen. Darin liegt der Hauptgrund, warum HubSpot weniger anfällig für Angriffe aus dem Netz ist. Anders als bei WordPress-Webseiten ist es somit viel schwieriger, sich durch Hack-Methoden wie Injection unerlaubten Zugriff auf die Webseite durch die Hintertür zu erschleichen.

Dieser Ansatz macht HubSpot-Webseiten deutlich sicherer – Entwicklern haben jedoch im Gegenzug wesentlich weniger Freiheiten. Dennoch wartet HubSpot mit einer umfassenden Plattform auf, die die Entwicklung von zeitgemässen, starken Websites ermöglicht.

Zudem verweigert HubSpot zwar den echten serverseitigen Zugriff, bietet dafür aber eine eigene Markup Programmiersprache „HubL“ an, mit deren Hilfe sich Inhalte dynamisch beeinflussen lassen. HubL eröffnet ganz ähnliche Möglichkeiten wir eine serverseitige Scriptsprache.

Wie schlägst du Cyberkriminellen die Tür vor der Nase zu?

Auch die durchdachte Sicherheitsstrategie von HubSpot bewirkt leider nicht, dass HubSpot-Seiten 100% sicher vor Webattacken sind. Im Vergleich zu anderen Systemen wie zum Beispiel WordPress muss bei Seiten, die auf HubSpot gehostet sind, die Sorge vor virtuell-kriminellen Angriffen jedoch nicht ganz so gross sein.

Der generelle Anspruch an Webseitenbesitzer lautet folglich: Beschäftige dich mit dem Thema Webseitensicherheit immer sehr bewusst und kritisch. Halte dich immer aktuell auf dem Laufenden und setze neue Schutzmassnahmen sofort um. So kannst du am ehesten vermeiden, dass deine Seiten Opfer eines kleinen oder grossen – wenn auch unblutigen – Hackerangriffes werden. Tür zu!

Du willst deine Webseite auf HubSpot umziehen? Dann sind wir der Partner an deiner Seite: