Optimales Vorgehen für CMS-Betrieb auf einem Managed Server bei nine.ch

Andy Mär 9, 2016

In unserem letzten Blogbeitrag der Bezug nahm auf den Halbjahresbericht von MELANI, der MELDE- UND ANALYSESTELLE INFORMATIONSSICHERUNG der Schweiz war eines der Hauptthemen die Verwundbarkeit von CMS-Systemen, respektive deren Plugins.

In diesem Beitrag möchte ich diese Thematik nochmals aufgreifen und etwas weiter ausholen.

Wir haben bei nine.ch, im Segment der Managed Server, eine klare Trennung zwischen den Verantwortlichkeiten, was die Sicherheitsupdates der verschiedenen beteiligten Technologien angeht. nine.ch kümmert sich um die Hardware, das Betriebssystem sowie die Managed Services wie MySQL oder Apache, der Kunde ist zuständig für die Applikation die darauf aufbaut.

Sicherheitsupdates für die durch nine.ch verwalteten Komponenten finden praktisch täglich statt, bei kritischen Sicherheitslücken auch öfter bei Bedarf. Unser Update- und Patching-Regime wurde in den letzten Jahren ständig verbessert und optimiert und kann mittels unserem Konfigurationsmanagement-System zeitnah mit minimalem Aufwand auf tausende Server angewendet werden.

Wir gehen also von einer sehr sicheren Basis für die Applikationen unserer Kunden aus.

Trotzdem bekommen wir immer wieder von den verschiedenen Stellen Meldungen über Server unter unserer Kontrolle, die gehackt wurden und für verschiedene illegale Aktivitäten missbraucht werden. Die Ursache ist in den meisten Fällen ein CMS, welches nicht auf dem aktuellsten Stand und somit angreifbar ist.

Aus unserer Sicht sind solche Vorfälle aus verschiedenen Gründen ärgerlich: Einerseits können wir in einem solchen Fall nicht ideal unterstützen, weil wir die jeweiligen CMS nicht im Detail kennen, andererseits können je nach Setup auch andere Kunden in Mitleidenschaft gezogen werden.

Aus der Sicht unserer Kunden ist ein solcher Vorfall natürlich noch wesentlich schlimmer weil die Seite nicht oder nur noch eingeschränkt verfügbar ist, Daten verloren gehen können (beispielsweise wenn ein Backup zurückgespielt werden muss), personelle Ressourcen gebunden werden, andere Kosten entstehen können und im schlimmsten Fall sogar Kundendaten kompromittiert werden, was mit Bestimmtheit zu einem Image-Schaden führen wird.

Aktuelles Beispiel eines besonders bösartigen Trojaners ist der sogenannte CTB-Locker Erpressungs-Trojaner. Dieser kommt via nicht abgesicherte CMS-Systeme auf den Server und beginnt dann alle möglichen Dateien so zu verschlüsseln, dass diese nur gegen Bezahlung eines Lösegeldes wieder entschlüsselt werden können. Sollte dies auf einem Managed Server der nine.ch passieren, kann selbstverständlich ein Backup zurückgespielt werden, aber der Server ist anschliessend genau so verwundbar wie zuvor.

Darum also: Bitte halten Sie Ihr CMS auf dem aktuellen Stand. Neben der Sicherheit Ihrer Webseite und der drauf befindlichen Daten, bieten Updates regelmässig weitere Vorteile:

  • Die CMS-Entwickler arbeiten ständig an der Weiterentwicklung des CMS-Codes, sprich bei regelmässigen Updates kommen Sie auch regelmässig in den Genuss von neuen Features.
  • Zusätzlich werden bei den meisten CMS-Upgrades auch Performance-Verbesserungen ausgerollt.
  • Suchmaschinen belohnen häufige Änderungen bei Webseiten mit einem besseren Rating.

Dies sind nur einige der Vorteile eines aktuellen CMS, wobei aus unserer Sicht sicherlich die Sicherheit Ihrer Webseite und deren Daten im Vordergrund steht.

Sie denken nun vielleicht: “Was wenn beim Update etwas kaputt geht an meiner Webseite?”. Dazu kann ich nur sagen, das ist etwas Gutes. Es gibt meistens gute Gründe dafür, wenn ein Feature nicht mehr weiter angeboten wird. Zudem ist es definitiv einfacher die kleinen Schritte von Update zu Update mitzumachen und die entstehenden Fehler zu korrigieren, als nach Jahren einen grossen Versions-Sprung zu machen, oder noch schlimmer: Unter Zeitdruck etwas Neues aus dem Boden stampfen zu müssen.

Wir empfehlen allen unseren Kunden, welche einen technischen Partner für die Applikation an ihrer Seite haben, mit diesem einen Wartungsvertrag für das CMS abzuschliessen. Dies kostet natürlich etwas, aber es sind planbare Kosten zu bekannten Intervallen. Eine Notfall-Übung hingegen, kostet genau dann Zeit und Geld, wenn es am Wenigsten passt. Sollten Sie keinen Partner mehr haben, der dies für Sie übernehmen könnte, melden Sie sich bei uns, wir können Ihnen mit grosser Wahrscheinlichkeit eine unserer geschätzten Partner-Agenturen vermitteln, die auf Ihr vorhandenes CMS spezialisiert ist.

Wenn Sie Ihr CMS selbst managen, achten Sie bitte auf die folgenden Grundregeln:

  • Halten Sie das CMS immer auf dem neusten Stand.
  • Halten Sie auch alle Plugins auf dem neusten Stand.
  • Achten Sie darauf, dass Sie Plugins und CMS-Software verwenden die aktiv weiterentwickelt wird.
  • Verwenden Sie nie die Standard-Passwörter und auch keine Passwörter, die einfach zu erraten sind.
  • Verwenden Sie keine globalen Passwörter.
  • Ändern Sie Ihre Passwörter periodisch.

Für die gängigen CMS-Systeme finden Sie Informationen zu Updates oder Sicherheits-Risiken im Administrationsteil der Applikation oder auf den folgenden Seiten:

Wenn Sie Fragen rund um das Thema Sicherheit und Updates haben, wenden Sie sich jederzeit an unser Support-Team.

Andy Liyanage ist Head of Product Management & Customer Solution Architect bei nine.ch und hilft mit seinem technischen Background bei der Analyse und Konzeption von komplexen Kunden-Setups.