it-swarm.com.de

Hackresistente Hosting-Lösung für gemeinnützige Organisationen?

(Während die Antworten und Kommentare unter Wie gehe ich mit einem kompromittierten Server um? nützlich sind, geht es bei meiner Frage eher um die Verhinderung von Hacking, wenn ich nicht die vollständige (oder viel) Kontrolle über den Server habe Ich habe SSH-Zugriff, aber keine Root-Rechte. Ich kann nichts außer meinem eigenen Benutzerkonto sehen oder ändern.)

Ich melde mich freiwillig für eine gemeinnützige Organisation und pflege ihre Website für sie. Wir sind seit mehreren Jahren auf einer Low-Budget-Shared-Hosting-Plattform (Bluehost). Die Seite wurde auf Wordpress und ich habe mein Bestes getan, um core WP und alle Plugins auf dem neuesten Stand zu halten) aufgebaut.

Aber wir wurden mehrmals gehackt. Manchmal war es böswillig (Verunstaltung der Homepage), manchmal war es Stealth (ich entdeckte versteckte Dateien, die es nur jemandem zu ermöglichen schienen, hineinzukommen und herumzuschnüffeln).

Ich habe WP total losgeworden und die Seite auf Bootstrap neu aufgebaut. Ich habe alle Dateien vom Server entfernt, mehrere Virenscans auf der lokalen Version der neuen Site ausgeführt, nach verdächtigen Informationen gesucht und Laden Sie dann die Dateien auf den Server hoch. Ich war mir fast zu 100% sicher, dass diese neue Codebasis "sauber" war.

Aber innerhalb weniger Tage entdeckte ich (durch Vergleichen des Servers mit meiner lokalen Version) eine gehackte index.php (vor der ersten Zeile wurde ein 'preg-replace'-Code eingefügt) und fand eine "logo-small.png" -Datei in Ein Unterverzeichnis, das eigentlich keine Bilddatei war. Es war ein großes Stück verschleierter PHP, das auf böse Dinge eingestellt zu sein schien (ich habe den Code entschärft und angesehen).

Ich wusste, dass gemeinsam genutzte Hosts, oft mit Hunderten von Websites, anfällig sein können. An diesem Punkt misstraue ich dem Server, auf dem wir uns befinden, total. Aber als ich Bluehost fragte, ob wir auf einem VPS- oder dedizierten Server sicherer wären (wir dachten, unsere "Sandbox" wäre schwieriger zu erreichen), sagten sie, dass dies keinen wirklichen Unterschied machen würde.

Ich bin also in einem Dilemma. Der gemeinnützige Verein, dem ich helfe, hat ein begrenztes Budget. Aber ich möchte auch nicht weiterhin zehn bis hundert Stunden damit verbringen, die Site zu überwachen und zu reparieren. Ich weiß nicht, ob Hacker über das Dateisystem oder einen offenen Port, der nicht geöffnet sein sollte, eindringen.

Gibt es eine kostengünstige Lösung, die eine viel bessere "Härtung" bietet?

47
user249493

Wenn Sie dem Internet nur nicht interaktive Webseiten aussetzen und keine serverseitigen Komponenten ausführen müssen, können Sie Ihre Risiken mithilfe einer statischen Website erheblich senken.

Sie haben dann die Web-Engine selbst und in gewissem Umfang das zugrunde liegende Betriebssystem. Apache oder Nginx sind nicht einfach zu härten, daher können Sie sich Cherokee oder publicfile ansehen.

Sie können noch einen Schritt weiter gehen, indem Sie Ihre statischen Dateien entweder in einer vorhandenen Umgebung hosten, die sie akzeptiert (z. B. Github Pages ), oder zu einer Site wechseln, die Sie mit Blöcken wie Google Sites erstellen = (die sind kostenlos für gemeinnützige Organisationen Organisationen).

61
WoJ

Das Problem beim Shared Hosting ist:

  1. Sie sind darauf angewiesen, dass alle Websites ihren Code auf dem neuesten Stand halten. Möglicherweise ist ein anderes Konto kompromittiert, wodurch ein Angreifer auf Ihren Teil des Webservers zugreifen kann. Es gibt verschiedene Möglichkeiten, dies zu erreichen, insbesondere wenn ein Control Panel wie Direct Admin installiert ist.

  2. Wenn ich als Hacker Webspace auf demselben Server kaufe, auf dem Sie sich befinden, kann ich einfach (in Ihrem Fall) eine PHP Web-Shell) hochladen und (möglicherweise) auf alle Websites zugreifen, auf denen Sie sich befinden Dies ist sogar möglich, wenn die Dateiberechtigungen ordnungsgemäß eingerichtet sind.

Die Lösung besteht nicht darin, Shared Web Hosting zu verwenden.

Ich würde vorschlagen, dass Sie einen VPS kaufen. Ein guter VPS (6 GB RAM - SSD-Festplatten)) kann für 7 USD pro Monat erworben werden. Ich könnte Ihnen den Link geben, wenn Sie möchten, aber ich möchte ihn hier nicht bewerben Wir haben mehr Kontrolle darüber, was passiert.

21
Jeroen

Wechseln Sie zu einem statischen Seitensystem. Auch ich hatte WordPress - aber nachdem ich zweimal von der "Freien Syrischen Armee" gehackt worden war (um ihre Situation zu fördern ...), hatte ich die Nase voll von Wordpress und benutzte Nikola.

Einfach und leicht - statische Webseiten .... keine Konten/Ports/SQL-Schwachstellen usw.

Es gibt andere (Gabeln desselben) - suchen Sie auch nach Pelikan.

9
Tim Seed

Digital Ocean bietet dedizierte virtuelle Maschinen für nur 5 USD/Monat. Dies wäre vergleichbar mit einem dedizierten Server, wenn man die Lösung mit VPS vergleicht.

Das Problem wird jedoch am häufigsten Ihre Softwarelösung sein, die für die eigentliche Bereitstellung von Inhalten verwendet wird. Das Härten der Konfigurationsdateien der von Ihnen ausgewählten Suite ist nicht trivial, es sei denn, Sie haben Erfahrung mit solchen Dingen.

Die Serverhärtung als allgemeines Thema ist massiv. Wenn Sie jedoch einen bestimmten Satz von Programmen ausgewählt haben, die Sie verwenden möchten, haben Google und ServerFault.SE höchstwahrscheinlich viele Tipps, wie Sie diese sperren können.

Oder wie WoJ vorschlägt, können Sie eine vorgefertigte Hosting-Lösung verwenden.

7
Vegard

In der Regel wird nicht der Host gehackt, sondern Ihre Site. Wenn Sie eine sichere Site haben, kann ein einfacher VPS Sie schützen.

Angenommen, Ihre Inhalte müssen nicht unterschiedlich auf unterschiedliche Besucher reagieren, dann funktioniert ein statischer Site-Generator für Sie. Normalerweise sind sie ein bisschen wie wordpress, indem Sie Ihren eigenen benutzerdefinierten Inhalt schreiben und dieser in eine thematische Site umgewandelt wird, aber es unterscheidet sich darin, dass der Generator auf Ihrem Computer (nicht auf dem Webserver) ausgeführt wird ) und das einzige, was auf dem Server ist, ist statisches HTML.

Es gibt also nichts zu hacken. Es lebt nicht. Der Server kann nichts tun . Es ist nur zufrieden.

Wenn Sie dies auf Ihren eigenen VPS setzen möchten, können Sie einen bei Linode oder Digital Ocean erwerben, oder wenn Sie sich mutig fühlen, AWS oder Google Compute. Der Server mit der niedrigsten Stufe an all diesen Orten kostet etwa 5 US-Dollar pro Monat, was für Ihre Anforderungen ausreicht.

Sie können eine solche Site sogar kostenlos unter Github Pages hosten.

5
tylerl

Wenn Sie bereits Erfahrung mit Wordpress haben, nutzen Sie doch einfach die wordpress.com-Cloud. Hoffentlich kümmern sie sich um die Systemadministration einschließlich der Sicherheit. Sie müssen nur das Passwort sicher aufbewahren und Ihre Beiträge regelmäßig exportieren/sichern. Sie sind natürlich der Firma ausgeliefert - mein Blog wurde einmal blockiert, aber ich habe es geschafft, sie davon zu überzeugen, es wieder zu öffnen. Außerdem sind möglicherweise nicht alle benötigten Plugins vorhanden. Es kann auch Datenschutzprobleme geben, das Problem des Domainnamens Ihrer gemeinnützigen Organisation und Anzeigen, die wordpress.com möglicherweise auf Ihrer Homepage platziert.

4

Die Antworten enthalten viele gute Ratschläge. Der wahrscheinlich wichtigste Rat ist jedoch, nur ein Hosting-Unternehmen mit einem guten Ruf zu verwenden. Richten Sie Ihre Entscheidung nicht auf Kosten und entscheiden Sie sich für eine Budget-Website, die ausschließlich auf diesen Kriterien basiert.

Die Realität ist, dass der Betrieb eines Hosting-Unternehmens mit erheblichen Wartungskosten verbunden ist. Um einen ausreichenden Gewinn zu erzielen, müssen irgendwo Kürzungen vorgenommen werden. Leider werden diese Kürzungen häufig auf Risikomanagementprozesse angewendet, da kein offensichtlicher 1: 1-Zusammenhang zwischen Ausgaben und Einnahmen besteht. Das Ergebnis ist, dass die Sicherheit häufig leidet.

Größere Organisationen, bei denen die Wiederverwendung als wichtiger Aspekt ihrer Rentabilität angesehen wird, werden wahrscheinlich mehr in diesen Bereichen ausgeben. Sie haben auch den Vorteil, Skaleneffekte nutzen zu können. Wenn Sie nicht in der Lage sind, die Sicherheitsrisiken selbst zu verwalten, müssen Sie sich auf Ihr Hosting-Unternehmen verlassen.

In mehreren Antworten wurde vorgeschlagen, eine statische Site anstelle von WordPress zu verwenden. Eine statische Site kann helfen, aber wenn der Server kompromittiert wird, macht es natürlich wenig Unterschied. Schlecht gewartete dynamische Frameworks, die nicht aktualisiert werden, sind jedoch bei gleicher Hosting-Sicherheit immer ein größeres Risiko als eine statische Site.

Wordpress ist eine Lösung mit hohem Risiko. Es ist aktiv ausgerichtet und es gibt eine Reihe von Schwachstellen im Plugin-System. Selbst wenn Sie die Plugins auf dem neuesten Stand halten, gibt es keine Garantie. Erst diese Woche gab es einen Bericht über ein beliebtes Plugin, das erhebliche Sicherheitslücken aufweist, die vom neuen Betreuer des Plugins absichtlich hinzugefügt wurden (dies ist ein häufiges Problem bei Plugin-Architekturen - chrome Plugins leiden darunter) Sie suchen nach einigen Funktionen. Sie sind sicherheitsbewusst und überprüfen die Referenzen, den Ruf und die Benutzerberichte auf ein Plugin. Alles sieht gut aus und der Entwickler hat einen guten Ruf, also installieren Sie es. Später der Entwickler geht weiter - entweder das Plugin verkaufen oder an einen anderen übergeben, der möglicherweise nicht so ethisch ist. Es gibt keinen Mechanismus, der Sie auf diese Änderung aufmerksam macht. Der neue Eigentümer gibt ein Update heraus, das schädlichen Code enthält. Sie wenden das Update an (oder vielleicht das Update wird automatisch angewendet). Spiel vorbei).

Wenn Sie nicht einfach eine statische Site verwenden können, sollten Sie möglicherweise etwas anderes als wordpress, das nicht so aktiv ist) verwenden. Dies ist nicht praktisch, da es wahrscheinlich das Erlernen eines neuen Frameworks bedeutet, aber kann einen zusätzlichen Schutz bieten.

Die andere Sache, die Sie ernsthaft in Betracht ziehen sollten, insbesondere wenn das Budget einfach nicht ausreicht, ist der Rückverkauf Ihres gemeinnützigen Web-Rufs. Mit einer Webpräsenz sind Kosten verbunden. Wenn sich der gemeinnützige Verein die Kosten für eine ausreichend sichere Website nicht leisten kann, muss er entweder das Risiko eines Hackings akzeptieren oder seine Webpräsenz auf etwas reduzieren, das er bereit ist zu finanzieren. Im Allgemeinen gibt es nur wenige "billige" Sicherheitslösungen - Sie erhalten das, wofür Sie bezahlen (Sie können zu viel bezahlen - insbesondere, wenn einige der Schlangenölhändler in den lukrativen Sicherheitsbereich gezogen werden. Wenn Sie jedoch nachforschen, suchen Sie nach guten Referenzen/Schiedsrichter, denken Sie daran, dass es kein kostenloses Mittagessen gibt und wenn es zu gut klingt, um wahr zu sein, ist es wahrscheinlich nicht so, bla bla bla, Sie werden im Allgemeinen in Ordnung sein.

2
Tim X

Zuallererst sollte ich beachten, dass ich mit der Prämisse nicht einverstanden bin, verwundbar zu sein, nur weil ich auf einem gemeinsam genutzten Host bin. Wenn Ihr Shared-Hosting-Konto von einem anderen Benutzer kompromittiert wird, liegt Folgendes daran:

  • Das Hosting-Unternehmen hat die Benutzer nicht ordnungsgemäß isoliert
  • Der Benutzer hat etwas Dummes getan (wie 777 Dateien)

Bei einem VPS wird die Isolation durch eine andere Schicht bereitgestellt, die schwerer zu überwinden ist. Und noch mehr mit einem dedizierten Server. Ich bin also nicht einverstanden mit der Antwort, die Bluehost Ihnen gegeben hat.

Allerdings, wenn der Kompromiss von Ihrem Konto stammt (z. B. ein anfälliges wordpress Plugin)), spielt es sicherlich keine Rolle, welche Hosting-Option Sie verwenden.

Sicherlich sieht Ihre Datei logo-small.png so aus, als ob sie über Ihre Anwendung hochgeladen wurde.

Um Kompromisse zu erkennen, empfehle ich, die Datei in der Versionskontrolle zu belassen. Es ist einfach, ein Skript zu erstellen, das Ihre Website synchronisiert und z. ein Git-Repository.

Dies dient als Backup und hebt auch die Unterschiede beim Ändern von Dateien sehr deutlich hervor.

Mehrere Antworten fördern die Verwendung statischer Dateien. Wenn sich die Dateien nicht remote ändern und vorausgesetzt, Sie sind der einzige, der die Webseiten ändert (oder wenn sie auf demselben "Master" -Computer geändert werden), wird ein einfaches rsync -avz --delete website/ the-server: würde auf die "saubere" Version zurücksetzen, falls ein solcher Kompromiss auftritt. Sie können auf diese Weise sogar automatisch "nur für den Fall" synchronisieren. Wenn die Website jedoch anfällig ist, ist die automatische Wiederherstellung aus dem Backup, obwohl zeiteffektiv, keine echte Lösung.

2
Ángel

PC-Sicherheit

Gemäß dem Kommentarformular AL hat die Sicherheitsanfälligkeit möglicherweise nichts mit Ihrer Website oder dem Hosting zu tun, sondern eher mit dem Diebstahl von Passwörtern, die von einem kompromittierten Computer des Website-Administrators oder ähnlichem gestohlen wurden oder über die der Angreifer möglicherweise die Kontrolle hat Ein Administratorkonto, das seit der ersten Bereinigung nicht zurückgesetzt wurde.

Ditching WordPress vs Upgrade auf einen besseren Host

Die Abkehr von WordPress kann hilfreich sein, aber die Suche nach einem Host mit besseren Sicherheitspraktiken kann eine effektivere Lösung sein.

Ich kümmere mich um ungefähr 50 Websites, die mit einem CMS erstellt wurden, das WordPress] ähnelt, und bin sehr gewissenhaft bei der regelmäßigen Anwendung von Updates. Die Websites auf qualitativ hochwertigen Hosts (z. B. SiteGround) werden selten gehackt. SiteGround wird regelmäßig aktualisiert Die Webanwendungs-Firewall blockiert die häufigsten WordPress-, Joomla- und anderen Sicherheitslücken, obwohl Sie Ihr CMS und alle Add-Ons von Drittanbietern bei Veröffentlichung von Updates umgehend aktualisieren sollten.

Shared Hosting gegen VPS

Der Wechsel zu einem VPS kann das Risiko einer Kontamination durch andere Konten auf demselben Server verringern. Die Sicherheit eines VPS hängt jedoch von den Fähigkeiten der Person oder der Personen ab, die ihn verwalten, genau wie beim Shared Hosting.

Ein gemeinsam genutztes Hosting-Konto auf einem gut gewarteten Server wird mit geringerer Wahrscheinlichkeit gehackt als ein schlecht gewarteter VPS.

Vorsichtsmaßnahmen für die Sicherheit des gesunden Menschenverstandes

Was auch immer Sie tun, nichts im Web ist jemals 100% sicher. Sie können das Risiko eines Datenverlusts minimieren, indem Sie regelmäßige Sicherungen ausführen, die Sicherungen außerhalb des Standorts kopieren und die Sicherungen regelmäßig testen.

Erfahren Sie mehr über andere Sicherheitsvorkehrungen mit gesundem Menschenverstand wie:

  • regelmäßig Updates anwenden
  • Halten Sie die Version PHP Version auf dem neuesten Stand
  • auswahl von Software nur von etablierten und vertrauenswürdigen Entwicklern
  • minimierung der Anzahl der Add-Ons nach Möglichkeit
  • minimierung der Anzahl der Verwaltungskonten
  • implementieren einer Webanwendungs-Firewall zum Schutz der Website und/oder Aktivieren eines Content Delivery Network (CDN), das eine Webanwendungs-Firewall enthält

Fazit

Ich würde sagen, dass die kostengünstigste Lösung in Ihrem Fall, wenn Sie einen budgetbewussten Kunden haben, eine Shared-Hosting-Lösung mit einem qualitativ hochwertigen Hosting-Anbieter ist.

1
Neil Robertson