Online-Shops, Informationsportale und andere Ressourcen basieren h\u00e4ufig auf Plattformen, die Entwicklern eine Reihe gebrauchsfertiger Tools zur Verf\u00fcgung stellen. Unser Blog funktioniert \u00e4hnlich. Funktionen und Features werden in der Regel in Form von Plug-ins zur Verf\u00fcgung gestellt, die dann von Nutzern bei Bedarf und nach Belieben hinzugef\u00fcgt werden k\u00f6nnen. Einerseits ist dies ein durchaus praktisches System, das verhindert, dass Entwickler das Rad sprichw\u00f6rtlich jedes Mal neu erfinden m\u00fcssen, wenn sie ein bestimmtes Tool oder eine bestimmte Funktion ben\u00f6tigen. Andererseits bedeuten mehr Drittanbieter-Entwicklungen auf Ihrer Website gleichzeitig auch eine gr\u00f6\u00dfere Gefahr, dass etwas schief gehen k\u00f6nnte.<\/p>\n
Bei einem Plug-in handelt es sich um ein kleines Software-Modul, das die Funktionalit\u00e4t einer Website entweder erg\u00e4nzt oder verbessert. Plug-ins gibt es wie Sand am Meer; einige von ihnen zeigen die Widgets sozialer Netzwerke an, w\u00e4hrend andere Module Statistiken erfassen und Umfragen oder \u00e4hnlichen Content erstellen \u2013 die M\u00f6glichkeiten sind hier wirklich grenzenlos.<\/p>\n
Wenn Sie ein Plug-in mit der Engine Ihrer Website verkn\u00fcpfen, wird dieses automatisch ausgef\u00fchrt und erfordert nur dann Ihre Aufmerksamkeit, wenn ein Betriebsfehler auftritt \u2013 bzw. dann, wenn jemand den Fehler bemerkt. Und darin lauert die Gefahr solcher Module: Wenn Entwickler Plug-ins nicht mehr l\u00e4nger unterst\u00fctzen oder weiterverkaufen, kriegen Nutzer dies oftmals gar nicht mit.<\/p>\n
Plug-ins, die seit Jahren nicht aktualisiert wurden, enthalten m\u00f6glicherweise nicht gepatchte Schwachstellen, die ausgenutzt werden k\u00f6nnen, um die vollst\u00e4ndige Kontrolle \u00fcber eine Website zu \u00fcbernehmen oder die Seite mit einem Keylogger<\/a>, Krypto-Miner oder sonstiger Schadsoftware zu best\u00fccken.<\/p>\n Selbst wenn Updates zur Verf\u00fcgung stehen, schenken viele Websitebetreiber diesen nur wenig bis gar keine Beachtung, und gef\u00e4hrdete Module k\u00f6nnen auch noch Jahre, nachdem ihr Support eingestellt wurde, aktiv bleiben.<\/p>\n Selbst wenn Plug-in-Entwickler m\u00f6gliche Schwachstellen patchen, kann es sein, dass die Patches aus irgendeinem Grund nicht automatisch installiert werden. In einigen F\u00e4llen vergessen Modul-Autoren beispielsweise ganz einfach, die Versionsnummer im Update zu \u00e4ndern. Kunden, die sich auf automatische Updates verlassen, anstatt manuell nach verf\u00fcgbaren Aktualisierungen zu suchen, bleiben dann auf veralteten Plug-ins sitzen.<\/p>\n Einige Website-Content-Management-Plattformen blockieren den Download von Modulen, die nicht l\u00e4nger unterst\u00fctzt werden, automatisch. Dennoch k\u00f6nnen Entwickler und Plattformen keine anf\u00e4lligen Plug-ins von den Webseiten der Nutzer l\u00f6schen<\/a>; denn das k\u00f6nnte zu St\u00f6rungen oder schlimmeren Sch\u00e4den oder Beeintr\u00e4chtigungen f\u00fchren.<\/p>\n Hinzu kommt, dass veraltete Plug-ins m\u00f6glicherweise nicht auf der Plattform selbst, sondern auf \u00f6ffentlich verf\u00fcgbaren Diensten gespeichert werden. L\u00f6scht der Entwickler ein Modul oder stellt dessen Support ein, greift Ihre Website trotzdem weiterhin auf den jeweiligen Container zu, in dem das Plug-in einst gespeichert wurde. Cyberkriminelle k\u00f6nnen diesen Container ganz einfach klonen oder zu ihren Gunsten nutzen und die Ressource dazu zwingen, Malware anstelle des Plug-ins herunterzuladen.<\/p>\n Genau das ist mit dem Tweet-Z\u00e4hler \u201eNew Share Counts\u201c<\/a> passiert, der im Cloud-Speicher Amazon S3 gehostet wurde. Nachdem der Support des fraglichen Plug-ins eingestellt wurde, ver\u00f6ffentlichte der Entwickler eine Nachricht diesbez\u00fcglich auf der dazugeh\u00f6rigen Website. Das Problem? Mehr als 800 Kunden hatten die Message schlichtweg nicht gelesen.<\/p>\n Kurze Zeit sp\u00e4ter schloss der Plug-in-Autor den in Amazon S3 gespeicherten Container und Cyberkriminelle nutzten die Gunst der Stunde. Sie erstellten einen Speicher mit demselben Namen und platzierten darin ein b\u00f6sartiges Skript. Webseiten, die das Plug-in weiterhin verwendeten, fingen an, den neuen Code zu laden, der Nutzer direkt zu einer Phishing-Seite umleitete, die, anstelle des Tweet-Z\u00e4hlers, eine nette Pr\u00e4mie f\u00fcr die Teilnahme an einer Umfrage versprach.<\/p>\n Anstatt ihre Kreationen einfach aufzugeben, entscheiden sich einige Entwickler dazu, diese lieber zu verkaufen \u2013 und nicht alle sind besonders w\u00e4hlerisch, wenn es um einen potenziellen K\u00e4ufer geht. Das bedeutet, dass auch Cyberkriminelle ein Modul im Handumdrehen legal erwerben k\u00f6nnen. In solchen F\u00e4llen kann das n\u00e4chste Update m\u00f6glicherweise Malware auf Ihrer Website bereitstellen.<\/p>\n Derartige Plug-ins zu entdecken ist leider keine leichte Aufgabe und in den meisten F\u00e4llen tats\u00e4chlich eine Frage des Zufalls.<\/p>\n Wie Sie sehen, gibt es zahlreiche M\u00f6glichkeiten eine Website \u00fcber die darauf installierten Plug-ins zu infizieren. Aus diesem Grund empfehlen wir Ihnen, die Sicherheit der Plug-ins auf Ihrer Website stets im Auge zu behalten.<\/p>\nPlug-in-Ersatz<\/h3>\n
Wenn Plug-ins den Besitzer wechseln<\/h3>\n
Behalten Sie die Plug-ins auf Ihrer Website im Auge<\/h3>\n
\n
\n