Wie sicher sind Onlineshops vor Hackern

A

alex72

Angesehenes Mitglied
Hallo zusammen,

ich betreibe jetzt seit ca. einem halben Jahr meinen Onlineshop.

So weit so gut. Spammer habe ich genug, aber nun hat sich bei
mir ein Kunde angemeldet, der sich sogar Hack1 nennt (Türkei, Asien
keine Ahnung woher der kommt). Und kurz davor haben einige
Funktionen verrückt gespielt.
sad.gif


Was kann man machen, um den Shop sicherer zu bekommen?
Schon klar, dass man nie 100%-tig sicher sein kann, aber zumindest
das Mögliche zu probieren.

Hat jemand ein paar Tipps?

Danke.
 
"wie sicher sind Onlineshops vor Hackern"

Antwort:
So sicher, wie der Programmierer gut in Security ist.


Du hast 2 Dinge, die Du schützen musst:
- Kundendaten (am besten in der Datenbank, und dafür sorgen, dass die Zugangscodes sicher sind)
- Kreditkartendaten (am besten Du speicherst keine)
 
QUOTE (alex72 @ Do 18.12.2008, 07:56) Was kann man machen, um den Shop sicherer zu bekommen?
Schon klar, dass man nie 100%-tig sicher sein kann, aber zumindest
das Mögliche zu probieren.


Hallo

Wenn möglich, solltest du die Software immer auf dem aktuellsten Stand halten. Sprich nach verfügbaren Updates suchen und installieren.

Gruss
Lenny
 
Danke euch.

Mich wundert wie mich solche Leute finden, speziell Spammer. So bekannt
ist meine Seite gar nicht. Habe nur einen speziellen Kundenkreis.
sad.gif
 
QUOTE (alex72 @ Fr 19.12.2008, 02:12) Mich wundert wie mich solche Leute finden, speziell Spammer. So bekannt
ist meine Seite gar nicht. Habe nur einen speziellen Kundenkreis.
sad.gif


Die finden dich mit Bots, so wie dich auch Google findet. Wenn du eine bekannte Shop-Software einsetzt, wird die naürlich auch gleich erkannt, und automatisch gespammt...

Evt. kannst du noch phpids einbauen, kommt aber auf deine SW darauf an...
 
Jede Webseite wird früher oder später von bösen Bots gescannt oder hinterlässt ihre Adresse irgendwo, wo die bösen Bots es erkennen. Aber nicht einmal das braucht es: viele Hacker-Angriffe laufen über die Google-Codesuche.

Was Du tun kannst war teilweise ja schon gesagt, ich fasse das nochmal kurz zusammen:

- Sicherheitslücken schließen (vor allem: regelmäßige Sicherheitsupdates)
- System sicher konfigurieren (keine unnötigen Services, keine Schreibrechte für Webserver, Root-Jail für Webserver, "System hardening", Application-Firewall wie modesecurity, usw.)
- System regelmäßig scannen (Traffic und Logs selbst überwachen und automatische Funktionstest mit z.B. Nagios und alles selbst überprüfen, Services wie McAfee Security Web usw.)

Die meisten Webserver machen nichts oder kaum etwas davon und die Hacker haben es sehr leicht. Wenn sie es nicht gezielt auf Dein System abgesehen haben fährst Du dann schon relativ sicher, wenn Du nur ein bisschen tust. Denn die Hacker machen sich nicht die Mühe, einen schwierigen Angriff zu starten, wenn auch leichte Angriffe ausreichen.

Ein Artikel zum Hacking auch in meinem Blog...

Viele Grüße
 
Bots grasen einfach IP-Blöcke ab und prüfen, ob bsp. unter

IP-Nummer/wp-admin/

etwas zu finden ist.

Ich habe bei mir (auf Windows-Servern, die das auch mitteilen) ständig Zugriffsversuche auf PHP-Seiten, so etwas wie

/wiki/modules/coppermine/docs/menu.inc.php
/administrator/templates/joomla_admin/index.php
/business_inc/saveserver.php
/bigace/system/application/util/item_information.php
/administrator/components/com_peoplebook/param.peoplebook.php
/db/pMA2006/main.php

dasselbe läßt sich automatisiert mit jeder Domain / Subdomain machen.

Stichwort 1: Automatisierte, regelmäßige Sicherungen - es können einem selbst auch Fehler passieren, dann gibt es die Sicherung.

Stichwort 2: Fehler passieren - wenn man dann liest, daß sich der LBB-Datenskandal als vertuschter Stollen-Diebstahl entpuppt, bei dem einfach der Paketaufkleber an die Zeitung auf das Paket mit den Daten gepappt wurde, woraus dann 'einer Zeitung wurden sensible Daten zugespielt' wurde, dann zeigt das die ganze Banalität mancher Geschichten.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben