Security umfasst bei SEYBOLD alle Maßnahmen, die für den Betrieb der Website notwendig sind. Das sind sowohl wiederkehrende Updates als auch das Beseitigen von Malware- oder sonstigen Angriffen. Der technische Bereich gliedert sich als Maintenance unterhalb des Sichtbarkeitsmanagements ein und bildet die Grundlage für die technische Funktionalität der Sichtbarkeit

Abstrafung durch Google ruiniert das Unternehmen (Google Strafe, Penalty)

, , , ,

Fallstudie:

Wie Google durch eine Abstrafung beinahe ein Unternehmen ruinierte

Für viele kleinste, kleine und viele mittelständischen Unternehmen ist Sichtbarkeit wichtig. Zumindest, wenn man sie danach fragt. Gleichzeitig ärgert die Unternehmer aber, aufgrund der Wichtigkeit von Google und anderen Kanälen praktisch gezwungen zu sein, Geld auszugeben.

Noch schlimmer: Die Wertigkeit der Ausgaben wird nicht erkannt. Die Ausgaben zeigen sich zwar in erzielten Klicks, Personen auf der Webseite - in manchen Unternehmen ist möglicherweise sogar das Reporting soweit, dass die Besucher auch bestimmten Handlungen zugeordnet werden können. Allerdings lässt sich selten exakt einschätzen, wie viel die Werbeausgaben jetzt gebracht haben oder wohin Mehrausgaben führen. Zumal: Bei 1.600 Updates im Google-Algorithmus pro Jahr ist einfach schwierig zu sehen, wohin SEO führt.

Kurzum: Eigentlich interessieren sich die Unternehmen für SEO und Link Building oder gar Link Risk Management gar nicht.

Kein Interesse an SEO und Link Management

"Ich habe eine gute Seite und Google muss dafür sorgen, dass man uns auch auffindet. Wir sind nämlich wichtig für die Kunden."

"Wir haben keine Links gesetzt? Es ist doch die Aufgabe von Google, die schlechten Links zu erkennen und diese ungültig zu machen."

 

Die Crux des kleinen Gewerbes

Kleine Unternehmen mit "einer Hand voll Mitarbeiter" sind schwer von der Wichtigkeit von SEO oder Link Risk Management zu überzeugen. Gleichwohl ist ihnen bewusst, wie wichtig eine Sichtbarkeit in den Suchergebnissen ist.

In der Regel übernimmt der Geschäftsführer die Verantwortung für die Website, nicht selten wird diese aber von extern betreut (zudem in sehr vielen Fällen nicht einmal semi-professionell). Investitionen in AdWords, in der Regel Zielort + 15 km Radius werden mit kleinstem Budget realisiert. Facebook als Social Media-Applikation wird entweder über einen persönlichen Account oder sogar schon über eine Fan-Page betrieben. Link-Aufbau gibt es nicht oder wird durch gekaufte Links betrieben.

Die Gestaltung der Webseiten ist seltenst von einem Grafik Designer, der die Gestaltung extra studiert hat. Die Webseiten sind zusammengeschustert von aus dem Boden sprießenden Miniunternehmen und jeder der schon mal einen Baukasten betrieben hat oder WordPress schreiben kann, macht sich als Internet Marketing Unternehmen selbständig. Hauptsache billig. Hauptsache vorhanden.

Wenn ein Content Management System (CMS) verwendet wird, dann ist es in den häufigsten Fällen veraltet.

Fazit: Kleine Unternehmen bieten bei hohem Wettbewerb eine enorme Angriffsfläche sowohl für Negative-SEO, als auch für Hackerangriffe auf mangelhaft gewarteten Webseiten. Gleichzeitig sind dort die Budgets sehr gering und die Notwendigkeit für sauberes SEO erst dann erkennbar, wenn die Sichtbarkeit nicht (oder kaum) mehr vorhanden ist.

Wenn bei einem solchen Unternehmen der Supergau eintritt, dann wird es richtig schwierig.

Wo sind meine Kunden? Nach Google-Abstrafung ist der Laden leer.

 

Wo sind die Kunden?

Wie wichtig das wird, zeigt folgendes Beispiel: Ein Copyshop in Stuttgart hat eine Hand voll Stammkundschaft und jede Menge Kundschaft, die genau dann kommt, wenn sie den Copyshop braucht: Zum Druck und Binden der Diplomarbeit, für Geburtstagskarten, für Fotokopien und so weiter. Was macht der Kunde? Er sucht z.B. in Google nach einem Copyshop. Wichtig ist es also, in Google Maps und in der lokalen Such von Google gefunden zu werden, wenn eingegeben wird: „Copyshop Stuttgart“, „Fotokopien“ und verschiedene andere, sehr lokale Anfragen in Google.de und auch Google.de (Stuttgart).

Wenn man weitestgehend ohne AdWords auskommen möchte (weil das ja Geld kostet), dann sind Top Positionen unabdingbar.
Das Unternehmen profitiert von den guten Ergebnissen und einer ordentlichen Lage in der Stuttgarter Kernstadt.

Plötzlich stellt die Inhaberin fest, dass die Suchergebnisse von Google direkt aus den Suchergebnisseiten ein Gewinnspiel öffnen und auf eine Webseite in der Ukraine verweisen. Die Besucher aus Google kommen nicht mehr auf die Webseiten des Copyshops. Zudem gibt es Hinweise auf Trojaner.

Die Auswirkungen auf das kleine Unternehmen sind dramatisch: Kein Telefon klingelt und im besten Fall findet noch ein Stammkunde in den Laden.

 

Vorhandene Informationen nicht ausreichend für Lösung

Detaillierte Listen oder Information über Zugriffsmöglichkeiten auf Website, Hosting mittels FTP, Datenbank und anderes ist nur rudimentär vorhanden. Die „Administration“ und "Programmierung" hat ein Student oder „befreundeter Sohn“ früher übernommen. Dieser ist jetzt aber nicht mehr verfügbar. Eine Dokumentation der wichtigsten Zugriffsdaten und Passwörter oder der Systemumgebungen? Fehlanzeige. Wie kämpft man sich in einer solchen Situation zur Lösung?

 

Zugriff auf Website

Zunächst versucht man Zugriff auf die Website (in diesem Fall WordPress) zu erhalten. Das ist nicht möglich, weil sowohl Gestaltung als auch das Hosting beim "Student" liegen, der nicht greifbar ist. Lediglich ein Zugriff auf die Domain ist möglich, so dass wenigstens die Domain umgeleitet werden kann.

 

Backup vorheriger Versionen

Ohne Zugriff auf den Webspace ist es unmöglich, eine ältere, nicht angegriffene Version des Webspaces zu aktivieren.

 

Zugriff auf WordPress

Ein vorhandener Benutzer konnte lediglich als Redakteur innerhalb von WordPress verwendet werden. Dieser ermöglicht leider keine Tätigkeiten als Administrator (z.B. zum Sichern der Seite oder zur Ergänzung von Sicherheitsrelevanten Plugins, die dabei helfen können, die geänderten Inhalte zu identifizieren). Aufgrund fehlender Zugriffe auf die Datenbank konnten wir auch keinen Administrator-Benutzer direkt in die Datenbank integrieren, um so die WordPress-Installation zu übernehmen.

 

 

Kontrolle über Website zurück erlangen

Die Inhaberin entschied sich aufgrund der vorgenannten Umstände dafür, eine neue Internetpräsenz auf einer neuen Domain zu erstellen. Diese sollte - zumindest temporär - schnell wieder ermöglichen, dass Besucher Inhalte vorfinden, die nicht auf die ukrainische Gewinnspielseite verweisen.

Die Webinhalte wurden anschließend von uns grundoptimiert für ein mögliches Ranking in Google. Gleichzeitig erfolgte eine Anbindung der üblichen Überwachungstools Google Analytics und Google Search Console für die neue Website.

Durch die Weiterleitung der alten Seite war zumindest das ursprüngliche Problem behoben, dass Besucher die Inhalte des Unternehmens nicht mehr anklicken konnten. Welches Ausmaß der Schaden für Domain, Backlinks etc. erreicht hat und wie dieser zu beseitigen ist, zeigte sich im Anschluss.

 

Ausmaß des Schadens überprüfen

Eine Überprüfung der Sichtbarkeit brachte die vollständige Unsichtbarkeit der alten Domain.

Sichtbarkeit der Domain abfallend

Da für die alte Domain keinerlei Zugriffe auf Google Search Console Daten vorhanden war, konnten die Besuche nicht genauer qualifiziert werden. Es musste ein neues Property erstellt werden, also die Möglichkeit, dass Google die Suchanfragen, Impressionen und Rankings erfassen und aufbereiten könnte.

Absturz in den Google Suchergebnissen

War am 25. März die durchschnittliche Position in den Suchergebnissen bei Google bei 2,4, so lag die Suchanfrage zum 6. April durch den Absturz bedingt auf durchschnittlich Position 39,8. Und auch die neue Domain konnte sich - vermutlich aufgrund schlechter Links - nicht in den Top 10 etablieren.

 

Überprüfung nach toxischen Links

Eine Überprüfung der Backlinks nach toxischen oder potenziell schädlichen Verlinkungen in Xovi erwies sich als nicht ausreichend.

Backlink-Prüfung in Xovi erwies sich als fehlerhaft und zu wenig ausreichend

Da wir als LinkResearchTools Certified Xpert natürlich nicht auf die Daten einer Quelle verlassen, überprüften wir die potenziell toxischen Inhalte mit LRT. Und siehe da:

Mitbewerbervergleich toxische Backlinks

Im Vergleich zu den Mitbewerbern um die vorderen Plätze in Google ist das Linkprofil überdurchschnittlich stark mit schlechten Verlinkungen behaftet.

Die Detailanalyse bestätigte, dass über das Gewinnspiel (möglicherweise auch Negativ-SEO) angereicherte Backlinks durchgängig Viagra-, TlD-CC- oder sonstiger Spam waren.

In diesem Zuge wurden jetzt alle (!!) Backlinks manuell gesichtet, um einzuschätzen, ob diese abgewertet werden müssen. Das ist die umfangreichste Aufgabe im Link Audit. Gleichzeitig ist hier Erfahrung und Einschätzung hinsichtlich der Bewertung gefragt, weil zu diesem Zeitpunkt gleich das komplette Linkprofil bereinigt werden kann (und sollte).

Viele Backlinks, die Xovi nicht erkannte, zeigten sich als Malware.

Schlechte Links: Maleware-Attacke

 

Sichtbarkeit zurück nach 3 Tagen.

Im Anschluß erstellten wir ein Disavow-File, das in der Google Search Console platziert wurde. 48 Stunden später wurde der Google-Bot dazu animiert, die Backlinks neu zu crawlen, damit die Sichtbarkeit innerhalb weniger Tage wieder gegeben ist.

180 Top 10 Platzierungen in einer Woche

Das Ergebnis zeigte sofort eine Verbesserung in der durchschnittlichen Positionierung um mehr als 10 Positionen und fast 180 Top 10 Links innerhalb der ersten Woche. Nach der Säuberung ist der durchschnittliche toxische Wert auf ein unterdurchschnittliches Niveau gesunken, das noch unter den Mitbewerbern liegt.

Knapp 180 Top 10 Positionen innerhalb einer Woche

 

Doch der beste Effekt daran war die Rückmeldung des Kunden, dass durch die Sichtbarkeit in Google die Laufkundschaft wieder in das Ladengeschäft fand.

 

Gewonnen Erkenntnisse zur Bestandssicherung

Damit die bestehende Arbeit qualitativ weiterentwickelt werden kann, sind jetzt die folgenden Maßnahmen notwendig.

  1. Link Risk Management + Link Alerts
    Zukünftig sollen die bestehenden Backlinks regelmäßig analyisiert werden, so dass schon frühzeitig auf Veränderungen reagiert werden kann.
  2. Link Building
    Aufbau von Backlinks: Verlinkungen der Mitbewerber, die noch nicht auf die Unternehmenswebseite zeigen, werden identifiziert. Die Links mit dem besten Link Velocity Trend (Trend an Linkzuwachs) sollen als Verlinkung auf die Unternehmensseite gewonnen werden. Indirekte Linkmaßnahmen sorgen dafür, von den Mitbewerbern Backlinks zu erhalten.
  3. LocalSEO für Reichweite
    Einträge in Google Maps haben dafür gesorgt, dass wenigstens etwas Besucher kamen. Jetzt wird in lokale Verzeichnisse investiert, um die Reichweite zu erhöhen.
  4. Regelmäßige Pflege
    Regelmäßig sollen Backups und Überarbeitungen der Seite erfolgen.

Die Wichtigkeit des digitalen Auftritts nicht unterschätzen - Schutz ist notwendig

Fazit: Erkennbar wird die Wichtigkeit einer Internetpräsenz in der heutigen Zeit sogar für kleine Unternehmen. Während sich "Kleinstunternehmen" bislang sehr wenig Gedanken um ihre Sichtbarkeit gemacht haben, weil schlichtweg die Budgets dafür nicht kalkuliert wurden, so macht dieses Beispiel klar: Budgets für SEO und Link Risk Management sind existenziell (!!)

Insgesamt muss dem digitalen Auftritt eine hohe Wertigkeit und Aufmerksamkeit entgegengebracht werden. Ein Verlust der Sichtbarkeit führt in kürzester Zeit zu bedrohlichen Einbrüchen, die eine Existenz an den Rande des machbaren bringen und den Ruin begünstigen.

 

Die Ausführliche Case-Study ist erschienen bei Link Research Tools.

 

Weiterführende Links:

WordPress Security: Dringendes Update auf 4.7.2 empfohlen

, ,

Ein Sicherheitsrelease, empfohlen für alle vorherigen Versionen, ist die Version WordPress 4.7.2, die ab sofort verfügbar ist.

WordPress-Versionen 4.7.1 und früher sind von drei Sicherheitsproblemen betroffen:

  • Der Zugriff auf Taxonomiebegriffe wird selbst Benutzern zur Verfügung gestellt, die dazu keine Berechtigung haben. Nutzen Sie Taxonomiebegriffe für SEO, sind darüber Begriffe platzierbar, die Negatives SEO erlauben.
  • WP_Query ist anfällig für eine SQL-Injection (SQLi), wenn Sie unsichere Daten übergeben. Zwar ist der WordPress-Kern nicht direkt anfällig für dieses Problem, aber gerade jetzt sollten nur Themes aus vertrauenswürdigen Quellen verwendet werden. Viele Theme-Hersteller haben auf dieses Problem nicht reagiert (!!). Plugins und Themes könnten daher versehentlich Sicherheitsanfälligkeiten verursachen.
  • Eine Cross-Site-Scripting-Sicherheitsanfälligkeit (XSS) wurde in der Posts-List-Tabelle entdeckt.

Klicken Sie auf “jetzt aktualisieren”, um die automatische Hintergrundaktualisierung von WordPress zu nutzen, wenn Sie sicher sind, dass alle Plugins und Themes mit dieser Version kompatibel sind. Alternativ sprechen Sie Ihren Dienstleister an, damit dieser die Kompatibilitäten prüfen kann.

Gerne übernimmt dies auch unser “Technical Department” von BeeHosted für Sie.

WordPress 4.7.2 (bzw. die jeweils aktuellste Version) finden Sie hier.

 

Weitere Informationen:

Problemloses Upgrade für WordPress

34 Tipps für optimierte WordPress Security

Was Google über Sie weiß: Prüfen Sie Ihren digiralen Fußabdruck

, ,

Google Dashboard: Der Gesamtüberblick über Ihr Google-Konto

Einen Einblick in alle Informationen, die Google über Sie gespeichert hat, finden Sie im Dashboard.

Google Dashboard - Das weiß Google über Sie

Google weiß dabei nicht nur, welche Konten und Webseiten mit Ihrem Profil verbunden sind, sondern auch, wie viele Musiktitel Sie in Play Musik gespeichert haben und welche Titel Sie wie oft anhören. Oder wie viele Apps aus dem Playstore installiert wurden und welche die neueste App ist. Wo Sie wann waren und wie lange.

 

Google Preferences:
In diese Kategorien steckt Google Ihr Profil

Das Grundprofil, das Google von Ihnen hat beinhaltet zahlreiche Informationen wie z.B. das Alter, Geschlecht und Ihre Interessen. Mit diesen gesammelten Daten werden für Sie relevante Anzeigen in den Suchergebnissen und Apps ausgespielt. Google Preferences finden Sie hier.

 

Google Search History:
ALLE Suchbegriffe, nach denen Sie je gesucht haben

Jede einzelne Suche, ob via Voice oder via Browser, speichert Google an. Dazu werden die Anzeigen addiert, auf die Sie geklickt haben. Die Google Search History finden Sie hier.

Google Activity:
ALLE Geräte, die Sie mit Google nutzen

Google kennt jedes Gerät und jede IP-Adresse, von der aus Sie angemeldet sind. Über diese Funktion findet man auch einfach Missbrauch, wenn plötzlich eine Nutzung aus dem Ausland auftaucht, daher ist es empfehlenswert sich diese Informationen anzuschauen.

 

Google Permissions:
Diesen Add-Ons haben Sie den Zugriff auf Ihr Konto erlaubt

Berechtigungen für Dritt-Produkte und Apps können hier eingesehen werden. Jede Berechtigung kann an dieser Stelle leicht widerrufen werden. Die Liste zeigt alle Erweiterungen, die einen Zugriff auf Ihre Daten haben.

 

Google Location History:
Alle Orte, die Sie bereist haben

Wer ein Android-Smartphone nutzt, übermittelt seine Standortdaten an Google. Google weiß so sehr genau, wo Sie sind, wie lange Sie sich dort aufhalten und kann entsprechende Rückschlüsse ziehen. Wer sich zwei Stunden in einem Restaurant aufhält, hat dort vermutlich gegessen. Diese Einstellung kann unterbunden werden.

Sämtliche Standorte können in der Google Location History eingesehen und exportiert werden.

 

Google Takeout:
Alle persönlichen Daten kopieren und sichern

Die große Datenkrake Google bietet die Möglichkeit, alle persönlichen Daten von den Google-Servern zu kopieren. Dazu gehören Emails, Bookmarks (Lesezeichen), Kontakte, You-Tube-Videos, Fotos, Kontakte und zahlreiche weitere Google lässt euch alle persönlichen Daten von den Servern kopieren: Lesezeichen, E-Mails, Kontakte, Profilinformationen, YouTube-Videos, Fotos, Fitnessdaten, Bücher, Musik und vieles mehr.

Die Daten können hier heruntergeladen werden.

 

Google Support:
Daten aus Google löschen lassen

Wer Daten in Google findet, die dort nicht sein sollen, kann deren Löschung beantragen. Vor allem bei rechtlichen Problemen und persönlichen Gründen ist dies sehr sinnvoll. Eine Löschung von Informationen können Sie hier beantragen.

Webseiten mit verdächtigen Inhalten, wie z.B. Malware können bei Google mit diesem Formular gemeldet werden.

Problemloses Upgrade für WordPress

, ,
Wordpress-Logo

Quelle: wordpress.org

WordPress ist einerseits das beliebteste, durch die weite Verbreitung aber auch das am meisten angegriffene CMS.

Regelmäßige Updates sind deshalb nicht nur Pflicht, sondern erleichtern auch ein Upgrade, das umso problematischer wird, je mehr Abstand zwischen den Versionen liegt.

wordpress-1415678_1920

Die größten Probleme bei WordPress-Migrationen sind von Version 2.x auf 3.x bzw 4.x zu erwarten – auch im Hinblick auf das Webhosting.

Ab Version 3.5.2 empfiehlt sich die Verwendung des DUPLICATOR Plugins für WordPress, um eine komplette Kopie der Website herzustellen, die dann auf einem separatem System installiert werden kann.

Bei Versionen kleiner 3.5.2 sollte die Datenbank gesichert werden (z.B. über PHPMyAdmin einen entsprechenden SQL-Dump zu erstellen (Schritt für Schritt Anleitung findet sich auf Youtube, zum Beispiel hier) und die Dateien mittels FTP auf die Testumgebung zu übertragen.

Für den Ablauf des Upgrades sollte ein Standard-Theme eingeschaltet werden, also ein Thema, das in der Regel mit der bestehenden Version ausgeliefert wird und damit sicher kompatibel ist. Ebenfalls sollten alle Plugins deaktiviert werden.

Wurde das Thema nicht speziell für das Unternehmen angefertigt, sondern ein vorhandenes Thema umgestaltet, dann müssen die Änderungen gesichert werden, so dass diese nach der Aktualisierung des Themas wieder Verwendung finden.

Gerade die Vielzahl von Plugins für etablierte Systeme wie Joomla, Drupal oder WordPress führen oft zu einer extremen Häufung verwendeter Erweiterungen. Es müssen also alle Erweiterung daraufhin überprüft werden, in welcher Version sie verwendet werden dürfen. Bei WordPress ist das mittlerweile kein Problem mehr, da auf der Pluginseite bereits die Kompatibilität angezeigt wird.

WordPress Compatibility

WordPress zeigt die Kompatibilität zwischen den Versionen für Programm und Plugin an.

Die kompatible Version des Plugins sollte heruntergeladen werden, um sie zu einem späteren Zeitpunkt für die Aktualisierung bereitzuhalten.

Sofern nicht die neueste WordPress-Version verwendet werden kann, bietet das Archiv auch ältere Versionen an.

Nach diesen Vorbereitungen können auf dem Kopie-System die folgenden Dateien und Verzeichnisse gelöscht werden:

Verzeichnisse: wp-admin, wp-includes (aber nicht das Verzeichnis wp-content, da sich hier die Inhalte befinden)

Dateien: alle außer wp-config.php und .htaccess (und natürlich die sitemap.xml und robots.txt auch nicht löschen)

Sicherheitsschlüssel

Bevor die neue Version installiert werden kann, sollte geprüft werden, ob die Anzahl der Sicherheitsschlüssel in der wp-config.php exakt der Anzahl der Sicherheitsschlüssel der neuen Version entspricht. Wenn nicht, müssen die acht Zeilen aus der wp-config-sample.php in die wp-config.php eingefügt werden. Noch besser wäre es, eigene Schlüssel zu generieren.

Bei einem Upgrade von 2.x auf 4.x empfehlen sich gegebenfalls Zwischenschritte (von 2.8.4 auf 2.9, dann auf 3.0.4, dann auf 3.1.3 etc.), um einen Stand zu erreichen, von dem aus problemlos ein Upgrade durchgeführt werden kann.

Dann wird die neue Version installiert indem die Systemdateien via FTP auf den Webspace geladen werden. Eine Aktualisierung der WordPress-Datenbank wird über http://www.namedersite.de/wp-admin/upgrade.php vorgenommen.

wordpress

Im Idealfall ist das Backend jetzt erreichbar und es können die einzelnen Plugins hochgeladen und anschließend eines nach dem anderen aktiviert werden. Nach jeder Aktivierung sollte geprüft werden, ob WordPress noch funktioniert oder Fehlermeldungen ausgibt. Inkompatibilitäten zwischen den Plugins können nicht ausgeschlossen werden.

Erst wenn alle Plugins funktionieren, wird zuletzt das Theme aktualisiert und aktiviert – jetzt wird erkennbar, ob am Theme noch wichtige Änderungen vorgenommen werden müssen oder ob das fertig für den produktiven Einsatz ist.

Das fertige System kann wieder via Duplicator auf das Produktivsystem transferiert werden.

Sicherheitslücke in xtCommerce – Dringendes Hotfix für Online Shop

,

Die Shopsoftware xt:Commerce/Veyton ist wieder einmal mit einer Sicherheitslücke in den Nachrichten.

Jedes Jahr mindestens einmal gibt es eine größere Sicherheitslücke bei diesem System.

2012 konnten beliebige Scripte in den Code eingeschossen werden.2013 war es eine persistente XSS Lücke und ein CSRF-Problem, mit dem ein Angreifer den Shop kapern konnte. Anfang 2014 waren 230.000 Kunden vor allem aus Deutschland und Österreich betroffen, als Kundendaten geklaut wurden, die aufgrund einer SQL-Injection-Schwäche in der Sofortkauffunktion abgegriffen werden konnten.

2015 ein weiterer Sicherheitshinweis auf ein schwerwiegendes Security-Problem mit der Version 4.1.00, das über einen Hotfix geschlossen werden musste (mit zahlreichen Problemen beim fixen, wie z.B. weißen Seiten nach dem Update und so weiter).

Jetzt 2016 hat xtCommerce in der Version 4.x wieder mal ein großes Sicherheitsrisiko, das in Verbindung mit einer möglichen Übernahme des Systems einhergeht. Spekulationen zufolge hängt das zusammen mit der Anforderung eines neuen Passworts über das System.

Details werden aus Sicherheitsgründen derzeit nicht veröffentlicht, aber alle Anwender sind angehalten bei den Versionen 4.1.00, 4.1.10 und 4.2.00 entsprechende Updates vorzunehmen.
Dieser Patch hat sehr hohe Priorität und sollte dringend von jedem xt:Commerce Anwender eingespielt werden:
Version 4.2.0
Version 4.1.1
Version 4.1.0

 

sicherheitsluecke-in-xtcommerce-veyton

WordPress – Stored XSS – Dringende Sicherheitsupdates – jetzt durchführen

,

Administratoren des Content Management Systems WordPress sind derzeit im Dauerstress. Die Updates geben sich im Moment die Klinke in die Hand. Gerade erst kam das Update auf WordPress 4.2, das wichtige Sicherheitsupdates enthielt, kaum kommt wenige Tage später das Update auf 4.2.1, das weitere Sicherheitslöcher stopft.

Welche Gefahren drohen bei WordPress derzeit?

WordPress ist mit über 6 Millionen Installationen weltweit das meistgenutzte Content Management System. Das bringt mit sich, dass zahlreiche Angriffsversuche auf dieses System unternommen werden.

Eine neu entdeckte Sicherheitslücke ermöglicht das Einschleußen von JavaScript-Code über die Kommentarfunktion mit Hilfe von Stored Cross Site Scripting (Stored XSS). Darunter versteht man eine HTML-Injektion, mit deren Hilfe Daten verändert werden können.

Die am weitesten verbreitete Angriffspunkte bieten Kommentarfunktionen und Eingabeformulare einer Website.

Wenn sich nun ein Administrator in das System einloggt und sich eine mit schadhaftem Code versehene Nachricht außerhalb des Administrations-Backends anzeigen lässt, kann das Administrationskonto übernommen werden – ein Angreifer erhält die komplette (!!) Kontrolle über die WordPress Installation.

 

 

Das Update auf 4.2 wurde gemacht. Bin ich sicher?

Nein. Das Update auf 4.2.1 muss separat eingespielt werden.

 

Welche Möglichkeiten gibt es, solche Gefahren schnell in den Griff zu bekommen?

Gerade für kleine und mittelständische Unternehmen bedeutet die permanente Pflege der Seiten einen großen (vor allem zeitlichen) Aufwand. Mit entsprechenden Serviceverträgen, wie auch wir diese anbieten, kann schnell auf solche Updates reagiert werden. Das ist vor allem immer dann sinnvoll (und wichtig), wenn eine Vielzahl von Plugins und AddOns verwendet werden. Der zeitliche Faktor ist immens wichtig, denn eine übernommene Website kostet mehr (Geld, Reputation).

 

Ist nur das CMS von solchen Problemen betroffen?

Prinzipiell ist der KERN des Content Managementsystems noch die sicherste Komponente. Je nachdem, wie viele AddOns, Plugins oder spezielle Themes installiert sind, können vermehrt weitere Sicherheitslücken auftreten. Daher ist es ratsam, nicht jedes Theme zu verwenden, sondern sich ein professionell genutztes Theme entweder programmieren zu lassen (kleinere Verbreitungsmenge, kleinere Angriffsfläche) oder aber auf professionell erstellte Frameworks zurück zu greifen, die den Vorteil bieten, dass solche Angriffsflächen schnell (durch den Anbieter) repariert sind und zur Verfügung gestellt werden.

Für Dauersparer eher schwierig… denn plötzlich kostet Website Geld… und Sicherheit ist nicht umsonst.

 

Bitte reagieren Sie schnell und dringend auf die Updates. Auch ein Update der Theme-Hersteller, die bereits per E-Mail ihre Kunden informieren, ist wichtig.

 

 

 

Website gehacked? So werden sie wieder sichtbar

,

Gerade über den Zeitraum einer längeren Ferienzeit werden Internetseiten gerne gehacked oder aber für die Verbreitung von Viren und Spam “freigeschaltet” mit der Absicht, die übernommene Website möglichst lange nutzen zu können (z.B. Weihnachtszeit: Hier wird oft erst nach dem 7. Januar bemerkt, dass eine Website bereits vor Heiligabend übernommen wurde, siehe auch diesen Artikel über Website-Hacking).

 

Wie weiß man, ob eine Website gehackt wurde?

Wenn im Zusammenhang mit der Website einer dieser Punkte auffällt, ist die Wahrscheinlichkeit, dass die Unternehmensseite gehackt wurde, sehr hoch.

Ihre Website wurde gehackt, Quelle Google

Ihre Website wurde gehackt. Quelle Google: http://www.google.com/webmasters/hacked/

Meist kann man selbst nicht erkennen, dass die Website von Cyber-Kriminellen manipuliert wurde, doch jeder, der die betreffende Website besucht, kann infiziert und geschädigt werden. Wenn ein Hacker eine solche Seite infiziert hat, kann diese zur Versendung von Spam genutzt werden. “Wenn Hacker beispielsweise eine Website mit Schadcode infiziert haben, der Tastenanschläge auf den Computern der Website-Besucher aufzeichnen kann, und der Website-Inhaber hat diese Aktion nicht bemerkt, können die Hacker Anmeldedaten für Online-Banking oder finanzielle Transaktionen stehlen.” (Quelle: Google)

Was soll man tun, wenn eine Seite gehackt wurde?

Zunächst gilt es herauszufinden, wie und warum die Website gehackt wurde.  Das ist ausschlaggebend, um herauszufinden, wie die Vorgehensweise zur Wiederherstellung der Website und Entfernung der Warnung für die Nutzer in Google & Co beseitigt werden kann.

Wie umfangreich die Wiederherstellungszeit ist, hängt vom Ausmaß des Schadens ab. Viele Hoster bieten einen Backup-Service an. Möglicherweise gilt dieser Punkt als erster Ansatz für die Wiederherstellung.

Website offline nehmen und Hoster kontaktieren

Nehmen Sie Website vom Netz (temporarily offline) mit einem entsprechenden Hinweis. Dies kann z.B. der Maintenance-Modus des CMS sein oder – besser noch – eine Manuell erstellte Warnung. Sämtliche Verbindungen zum verseuchten Inhalt sollte unterbunden werden. Informieren Sie dann unbedingt Ihren Hoster, damit dieser geeignete Maßnahmen ergreifen kann.

Identifizieren der Schwachstelle

Grundsätzlich ist es wichtig, festzustellen, wie und wo der Hacker die Seite infizieren konnte. Hat der Hacker die FTP-Daten? Nutzte er eine Schwachstelle, weil das Unternehmen eine mega-veraltete Version des CMS benutzt? Aus der Analyse dieses Punktes ergibt sich der Plan zur Wiederherstellung.

Möglicherweise haben Sie aber auch eine Warnmeldung in Google Webmaster Tools erhalten, dann sind dort oft die betroffenen Bereiche bereits identifiziert.

Prüfen, ob es unverseuchte Backups gibt

Gibt es Datensicherungen? Sind diese Virenfrei bzw. bei welchem Stand kann “sicher” gesagt werden, dass es sich um einen schadfreien Stand der Website handelt?

Achtung! Es ist notwendig sowohl die Dateien, als auch die Datenbank zu prüfen. Möglicherweise wurde schadhafter Code in die Datenbank injiziert. Das ist sehr aufwändig, aber unbedingt notwendig, um Schwachstellen zu beseitigen.

Viren- oder Trojaner-Befall der eigenen Systeme beseitigen

Scannen Sie alle in Frage kommenden Systeme mit einem neuen, bislang noch nicht genutzten Anti-Virus-Software-Produkt. Ihre bisherige Antivirus-Software konnte nicht warnen, deshalb eine neue Software. Ein Scan sollte auf allen Systemen durchgeführt werden. Besonders die Systeme mit Online-Zugang, Banking, Bedienungsterminals für die Website und so weiter, sollten ganz besonders berücksichtigt werden.

Prüfung wie Google

Die www-Version der Website und die nicht-www-Version der Website sollte überprüft werden. Während http://domain.de und http://www.domain.de so scheinen, als wären es die selben Seiten, unterscheidet Google hier zwischen der “Root-Domain” (http://domain.de) und der “Subdomain” (http://www.domain.de).
Eine Überprüfung der Seite, so wie sie durch Google gescannt wird, ist notwendig. Das geht über die Webmaster-Tools (fetch as Google-Tool).

Mit dieser Maßnahme kann der “Aufenthaltsort” des schadhaften Codes auf der Website gefunden werden.

Meist nutzen Hacker die .htaccess Datei, um Besucher von Suchmaschinen kommend, auf bestimmte Inhalte zu lenken. Auffällig könnte der folgende Code in einer .htaccess-Datei sein (Quelle: Beispiele von gehackten Seiten in Google Webmasterblog):

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^([^/]*)/$ /main.php?p=$1 [L]
</IfModule>

Änderung aller Passworte

Alle Zugriffe zur Website sollten verändert werden, ebenso Ihre Zugänge zu allen sonstigen Produkten, wie Banking, Social Media-Sites (Facebook, Twitter, Google) und alle wichtigen internen Passwörter. Änderung Sie auch die Zugriffscodes auf Hardware, wie z.B. interne Rooter oder Proxy-Server.

Entfernung des schadhaften Codes

Gibt es kein Backup, das eingespielt werden kann, muss der schadhafte Code manuell entfernt werden.

Jetzt sollte das Content Management System auf die neueste Version upgedated werden und die Schwachstellen, die dem Hacker Angriffsmöglichkeiten geboten haben, beseitigt werden. Zukünftig MUSS die Website gepflegt und gewartet werden. Meist benötigt es bei vielen Unternehmen genau einen solchen Vorfall, bevor tatsächlich die Notwendigkeit für solche Maßnahmen Geld auszugeben, erkannt wird.

Website zur Überprüfung an Google melden

Wenn Sie eine Benachrichtigung in den Webmaster Tools erhalten haben, kann jetzt über diese eine Prüfung der Website beantragt werden. In der Regel geschieht dies innerhalb weniger Stunden und dann erhalten Sie eine entsprechende Bestätigung von Google.

Phisihing-Prüfungstool

Es ist auch möglich, das entsprechende Tool von Google zu verwenden, mit dem ein Bericht erstellt wird, dass die Webseite wieder sicher besucht werden kann. https://www.google.com/safebrowsing/report_error/

 

Sicherheitsmaßnahmen für die Zukunft

Um künftige Infizierungen vermeiden zu können, sollte entsprechende Maßnahmen getroffen werden.

  • Vermeiden Sie das FTP-Protokoll. Bei diesem wird weder das Passwort verschlüsselt, noch der übertragene Inhalt. Verwenden Sie stattdessen das SFTP-Protokoll.
  • Prüfen Sie die Berechtigungen bei wichtigen Dateien, wie z.B. .htaccess, config.php und anderen. Solche Dateien können immer Anlaufstelle sein für neue Hacks, wenn diese Dateien lesbar oder schreibbar sind.
  • Überprüfen Sie regelmäßig die Benutzer der Administrativen Oberfläche nach seltsamen (oder neuen) Benutzern, die ggf. Ihre Website modifizieren könnten.
  • Gewöhnen Sie sich an den Gedanken, dass eine regelmäßige Pflege Ihrer Website zwar Geld kostet, aber dringend notwendig ist, wie die Hauptuntersuchung Ihres Autos. Nach diesem Vorfall sollten Sie gelernt haben, dass es wesentlich teurer ist, eine gehackte Website wieder zum Laufen zu bringen, ganz geschweige vom Reputationsverlust und den entgangenen Geschäften.

 

Was tun, wenn trotz Bestätigung der Beseitigung schadhaften Codes noch immer in den Suchergebnissen auf eine infizierte Website hingewiesen wird?

Auch Google macht Fehler und hat das sogar selbst festgestellt. John Mueller (Google) schreibt auf seiner Google+ Website, dass es verschiedentlich zu Falschklassifizierungen von Webseiten gekommen ist. (Quelle: Website gehackt? Dokument von Google)

In einem solchen Fall kann über ein Antrag direkt bei Google die Beseitigung dieser Falschklassifizierung beantragt werden. Das entsprechende Dokument findet sich hier: https://docs.google.com/forms/d/11ja4RG490nWbbcHdn-g22l5kBsrRJjn3mbHzjcnHcYY/viewform

 

Anlaufstellen für Hilfe:

 

(Beitragsbild ist eine Montage aus einem Bild von Schorndorf und dem Raumschiff aus ID4, Bildrechte am Raumschiff bei Centropolis Entertainment)

Fernwartung

Für den Fall, dass wir via Fernzugriff Informationen mit Ihnen teilen müssen, starten Sie bitte mit dem Button unten die Fernwartung.

Wir werden Sie im Anschluß nach Ihrer ID-Fragen.