Die überraschende Art und Weise, wie Hacker im Jahr 2021 Websites kompromittieren

1 kostenloser einfacher Trick, um sie zu stoppen

5-Minuten-Anleitung

Die Sicherung Ihrer Website besteht aus folgenden Punkten 2 wichtige Funktionen.

Cory Marsh
Cory Marsh
Share:
Cory Marsh has over 20 years Internet security experience. He is a lead developer on the BitFire project and regularly releases PHP security and programming videos on BitFire's you tube channel.
security can be complex
Zu wissen, ob ein Sicherheitswerkzeug tatsächlich funktioniert, kann schwierig sein...

1 Sie haben keine Sicherheitsschwachstellen.

Ihre Website kann nur gehackt werden, wenn sie bekannte oder erkennbare Sicherheitslücken aufweist. Nur sehr wenige Menschen erstellen Websites oder installieren Plugins, von denen sie wissen, dass sie einen Website-Hack verursachen werden. Die wenigsten Entwickler erstellen wissentlich Sicherheitslücken. Wie also können Sicherheitslücken auf unseren Websites auftauchen?

Sicherheit ist ein Katz- und Mausspiel. Millionen von Softwareentwicklern erstellen jeden Tag neuen Code. Ein Teil dieses Codes hat Sicherheitslücken, und ein Teil davon gelangt auf Produktionsserver. Irgendwann entdeckt jemand eine Schwachstelle. Dann beginnt ein Wettlauf zwischen dem zufälligen Angriff auf Ihre Website und der Entwicklung und Installation eines Patches auf Ihrem Server.

Bei über 350 Millionen aktiven Websites wäre es unmöglich, jede anfällige Website zu finden und zu hacken. Die meisten Websites sind viel zu klein, um jemals angegriffen zu werden. Deshalb schreiben Hacker Programme, die diese Aufgabe für sie übernehmen. Ein einziger Server kann 350 Millionen Websites in etwa zwei Monaten scannen. Und der Betrieb von 60 Servern in der Cloud ist so einfach, dass jeder Hacker, der will, das gesamte Internet durchsuchen und jedes anfällige System an einem einzigen Tag kompromittieren könnte.

Patchen ist ein verlorenes Spiel.

Um eine bekannte Sicherheitslücke auf Ihrer Website auszunutzen, muss ein Hacker dieses Rennen nur einmal gewinnen. Um Ihre Website sicher zu halten, müssen Sie dieses Rennen jedes Mal gewinnen. Letztendlich werden sogar Websites, die automatisch gepatcht werden, dieses Rennen verlieren, da Hacker unbekannte und nicht gemeldete Sicherheitslücken ausnutzen.

  • Es dauert eine Weile, bis die Firewall-Unternehmen die Schwachstelle bemerken, die aktiv ausgenutzt wird, die Schwachstelle untersuchen und eine Firewall-Regel entwickeln.

  • Ihre Website ist angreifbar, bis neue Regeln entwickelt und dann auf Ihre Website hochgeladen werden.

  • Die meisten PHP-Firewalls verzögern neue Regeln für ihre kostenlosen Kunden um mindestens 30 Tage und geben ihnen so ein falsches Gefühl von Sicherheit.

2 Erkennen Sie Hacking-Versuche und blockieren Sie sie.

Website-Sicherheitssoftware versucht, Hackerangriffe zu erkennen. Das ist schwierig, weil viele Angriffe, wie das Hochladen bösartiger Dateien, legitime Webfunktionen nutzen - nur eben von unbefugten Benutzern. Für Firewalls kann es fast unmöglich sein, den Unterschied festzustellen. Daher erstellen Website-Firewalls Signaturen für jede neu erkannte Sicherheitslücke. Damit befinden wir uns in demselben Wettlauf mit der Zeit wie beim Patching.

Es ist fast unmöglich, den gesamten "bösen" Internetverkehr zu identifizieren. Aus diesem Grund leiden so viele Websites, auf denen Sicherheitssoftware installiert ist, weiterhin unter verheerenden Website-Hacks und Umleitungsangriffen.

Itentify good traffic, block the rest
Bot-Schutz


Lösung - Identifizieren Sie guten Verkehr

99% aller Webhacks verwenden automatisierte Tools, die auf beliebige Websites im Internet abzielen. Durch die korrekte Identifizierung automatisierter Anfragen kann fast jeder Website-Hack verhindert werden.

Es gibt 2 Arten von Traffic, die wir zulassen müssen. Webbrowser (Besucher, die Chrome, Firefox, Safari usw. verwenden) und Webcrawler wie Google-Bot, Bing-Bot, SEO-Moz und andere hilfreiche Robots. Jede Anfrage hat einen eindeutigen User-Agent, der sie identifiziert. Dieser User-Agent kann leicht auf irgendetwas eingestellt werden und ist niemals auf "böser Hacker-Roboter" eingestellt.

Wir brauchen eine Möglichkeit, den User-Agent zu verifizieren. Tools wie BitFire BitFire kann dies für Sie tun. BitFire sendet einen komplizierten JavaScript-Code, den nur ein echter Browser ausführen kann, um echte Webbrowser zu verifizieren. BitFire verifiziert auch Web-Roboter anhand ihres Quellnetzwerks, z. B., GoogleBot von google.com, BingBot, von microsoft.com, etc.

Diese beiden Schutzmaßnahmen ermöglichen allen unseren mobilen und Desktop-Kunden sowie guten Robotern den Zugang zu unserer Website. Indem wir nur verifizierte Kunden zulassen, verhindern wir den Zugriff von Hacking-Tools auf die Website.

Security Guide

Find out the best tricks and tips to secure your website.

Cory Marsh
Cory Marsh
Share:
Cory Marsh has over 20 years Internet security experience. He is a lead developer on the BitFire project and regularly releases PHP security and programming videos on BitFire's you tube channel.

Get WebSite Security Notifications

From us to your inbox weekly.