Ein gutes CMS (Content Management System) wird regelmässig mit Sicherheitsupdates und Aktualisierungen versorgt. Die Sicherheitsupdates sollten jeweils schnellstmöglich auf der Webseite eingespielt werden, da sie bekannte Sicherheitslücken stopfen. Folgende 5 Gründe zeigen auf, warum es wichtig ist, die Webseite regelmässig zu aktualisieren:
Schutz vor Hacker-Angriffen
Veraltete Versionen eines CMS Systems können über bekannte Sicherheitslücken durch Hacker einfach gehackt werden. Solche Seiten können teilweise sehr einfach über Google oder dafür spezialisierte Suchmaschinen gefunden werden. Dabei werden meist mehrere PHP Dateien manipuliert, Zugänge in der Datenbank angelegt, allenfalls ein Defacement der Seite gemacht (die Startseite wird abgeändert und zeigt einen anderen Inhalt), oder noch schlimmer, Ihre Webseitenbesucher können mit Viren/Trojaner infiziert werden, welche Schwachstellen auf dem PC des Besuchers ausnutzen. Sollte dies von Google bemerkt werden, dann sperren Browser wie Firefox, Safari und Chrome den Zugriff auf die Seite.
Falls es von Switch bemerkt wird (falls es sich um eine .ch/.li Domain handelt), muss die Seite innerhalb von 48 Stunden gesäubert werden, sonst wird gleich die ganze Domain deaktiviert (davon sind dann auch E-Mails betroffen). Zudem wird die Webseite vom Webhostig-Provider gesperrt, sobald dieser davon Kenntnis hat. Ein Hack kann also für das Image einer Webseite bzw. der Firma dahinter sehr negative Konsequenzen haben.
Technische Fehler / Bugs
Jede Software weisst Fehler in der Programmierung oder dem Software-Design auf. Solche Fehler können auch über ein Zusammenspiel von CMS und Plugins (Erweiterungen) entstehen. Sicherheitslücken oder Fehler (Bugs) werden oft durch Spezialisten entdeckt, welche diese den Programmierern des CMS melden, damit diese den Fehler beheben.
Die Behebung dieser Fehler und Sicherheitslücken werden anschliessend in Form eines Updates herausgebracht. Im sogenannten Changelog (Änderungsprotokoll) kann eingesehen werden, ob das Update sicherheitsrelevant ist.
Aktualisierung und Weiterentwicklung
Wie jede andere Software auch, gibt es kein perfektes CMS. Jedes CMS besteht aus mehreren Bausteinen, die im Laufe der Zeit aktualisiert, nachoptimiert, bzw. nachgebessert und weiterentwickelt werden müssen. Werden Fehler in einem CMS entdeckt, so werden diese durch die Entwickler behoben. Je nach Update-Rhythmus sowie ob es sich bei den Fehlern um Sicherheitslücken handelt, erscheint nach kürzerer oder längerer Zeit ein Update des CMS Systems. Im Changelog (Änderungsprotokoll) werden jeweils die verschiedenen Bugfixes sowie Weiterentwicklungen aufgelistet.
Kosten Aktualisierung vs. gehackte Webseite
Es ist in den meisten Fällen einiges günstiger präventiv ein CMS zu aktualisieren und damit bestmöglich vor Hackerangriffen zu schützen, als ein CMS oder Onlineshop nach erfolgreichem Hackerangriff wiederherzustellen, resp. komplett neu aufzusetzen. Durch einen Hack werden oft Dateien verändert oder zusätzliche Dateien auf den Server geladen, welche in aufwändiger Kleinarbeit bereinigt werden müssen.
Das bereinigen einer Webseite nach einen erfolgreichen Hack bedeutet auch immer, dass die betreffende Webseite während dieser Arbeit «Offline» ist. Sie ist nicht durch den Besucher erreichbar was zu Umsatzverlusten führen kann.
Was passiert, wenn ich nie Updates installiere?
Mit jeder Sicherheitslücke welche zum CMS bekannt wird, steigt die Wahrscheinlichkeit, dass die Webseite Opfer eines Hackingangriffs wird. Je verbreiteter ein CMS ist, desto höher auch die Wahrscheinlichkeit, dass bestehende Sicherheitslücken ausgenutzt werden. CMS System wie WordPress, Joomla, Drupal und TYPO3, welche eine grosse Verbreitung haben, sind davon besonders gefährdet. Folgende Auswirkungen kann ein erfolgreicher Hackerangriff auf eine nicht aktualisierte Webseite haben:
- Die Webseite wird verunstaltet und zeigt nicht mehr den ursprünglichen Inhalt an.
- Die Webseite für für sogenanntes Google-Bombing verwendet. Dabei wird auf der Webseite für Google ein anderer Text angezeigt. Damit verliert die Seite an Wert und wird bei Google nicht mehr in den Suchresultaten angezeigt.
- Kunden von Ihnen werden über Sicherheitslücken in Browser oder weiterer Software durch sogenannte Drive-By Infektionen mit Viren und Trojanern infiziert.
Auf der Seite wp-wartung24.de wurde ein guter Artikel zum Thema Warum wird meine Seite gehackt?» veröffentlicht.