Hallo
ich habe eine Frage zum Thema Sicherheit von Internetseiten: wer ist eurer Meinung nach dafür verantwortlich, dass Websites sicher im Bezug auf Pluginsaktualisierungen und Schließung von Sicherheitslücken (Versionsupdates) sind?
Wenn ich technisch versiert bin und viel selbst mache, dann gut - kann ich es ja selbst aktualisieren.
Aber: muss ich mich selbst drum kümmern, auch wenn ich die Website nur mit einem CMS-System "warte"?
Wo ist da die Grenze? Oder ist das von Hoster zu Hoster unterschiedlich? Wie seht ihr das?

Die Frage verwirrt mich grad ein wenig

strichpunkt hat geschrieben:Wenn ich technisch versiert bin und viel selbst mache, dann gut - kann ich es ja selbst aktualisieren.
Aber: muss ich mich selbst drum kümmern, auch wenn ich die Website nur mit einem CMS-System "warte"?
Wo ist da die Grenze? Oder ist das von Hoster zu Hoster unterschiedlich? Wie seht ihr das?

Was genau meinst du mit CMS? Wenn du dir irgendwo Webspace besorgst und dort selbst Wordpress installierst bist du auch selbst dafür verantwortlich - der Hoster stellt im Prinzip nur die Büchse auf der deine Sachen laufen.

Anders ist es vielleicht bei Anbietern, die CMS als SAAS anbieten. Da steht es dann im Vertrag. Wir machen z.B. für unsere Kunden Updates mit, eben weil wir das als Leistung verkaufen.

Danke!
Ein Beispiel:
Ich lasse mir als Kunde eine Website mit Wordpress erstellen (Design, Inhalt, Bilder - eine fertige Seite). Die laufende Wartung des Content und der Bilder (z.B. Preise ändern, Text aktualisieren) mache ich selbst. Ansonsten habe ich aber keinen Zugriff auf den Server oder Ähnliches - sprich: ich könnte die Updates technisch gar nicht ausführen, weil ich keine Berechtigungen dafür habe.

Wenn Du keinen Zugriff auf den Webspace hast - gehört dann wenigstens die Domain Dir?

Im Ernst - wem gehört der Webspace, auf dem das CMS läuft? Wem gehört die Domain?

Was passiert, wenn Du Dich von der Agentur trennen möchtest? Ist dann alle bisherige Arbeit umsonst gewesen, weil nur sie die Daten haben und womöglich Eigentümer der Domain sind?

Wenn Du tatsächlich nur den Content einstellen kannst, dann würde ich erwarten, dass der Betreiber auch für die Updates sorgt.

Wenn Du Dich "nur" um Content/Inhalte kümmerst, sonst keinen Zugriff hast und die Agentur oder derjenige der den Shop/die Seite erstellt hat kümmert sich um die ganze "Technik", dann muss die/der auch zeitnah Updates einpflegen ...zumindest wenn das im Vertrag steht, was es sollte. Oft zahlst Du im Gegensatz zu reinen Hostern dafür ja auch stattliche Aufpreise und diverse Servicepauschalen.

Das böse Erwachen kann nur kommen wenn, was leider immer wieder passiert, jemand in den Core Files oder Theme/Framework Files direkt rumwurschtelt, statt ordnungsgemäß Plugins zu schreiben, Child Themes zu erstellen oder ganz generell Änderungen/Anpassungen "auszulagern". Mit diesem Problem war ich schon bei einigen unser Kunden mit Seiten auf Wordpress Basis konfrontiert, irgendjemand hat mal alles hardcoded reingepfuscht und damit ist das CMS ohne alles rauszufieseln und auszulagern nicht mehr updatefähig.

Guten Morgen
nein - die Domain gehört uns! Der Webspace liegt bei der Agentur.
Zumindest von uns wurde nichts an den Core Files gebastelt - wenn dann von der Agentur selbst. Ich füge bei dieser Seite höchstens im Wordpress neue Seiten ein und befülle sie mit Content und Bildern.

Ich hab mich gestern nur so geärgert, weil ich bei der Kontrolle der Zugriffe gesehen habe, dass Freitag plötzlich alle Adwordszugriffe eingebrochen sind. Die Seite wurde aufgrund von Malware von Google gesperrt. Durch nicht aktualisierte Plugins (speziell Fancybox) und veraltetes Wordpress (die Seite ist zwei Jahre alt) hat sich Schadsoftware installiert. Als ich gesehen habe, dass Anfang Februar davor gewarnt wurde und Google Ende Februar Mails in den WMT bzgl. dessen ausgeschickt hat, habe ich mich schon gefragt, ob der Webspacebetreiber das dann nicht von selbst aktualisieren hätte sollen.
Vertraglich ist meines Wissens nach zu diesem Punkt nichts geregelt. Wir sitzen jetzt auf den Ausfällen und der Rechnung der Agentur für die Behebung. Das bedeutet wohl, dass ich mich in Zukunft selbst um solche Infos kümmer muss. Die Arbeiten muss ja dann eh wieder die Agentur machen

strichpunkt hat geschrieben: Die Seite wurde aufgrund von Malware von Google gesperrt. Durch nicht aktualisierte Plugins (speziell Fancybox) und veraltetes Wordpress (die Seite ist zwei Jahre alt) hat sich Schadsoftware installiert. Als ich gesehen habe, dass Anfang Februar davor gewarnt wurde und Google Ende Februar Mails in den WMT bzgl. dessen ausgeschickt hat, habe ich mich schon gefragt, ob der Webspacebetreiber das dann nicht von selbst aktualisieren hätte sollen.

Wer hatte denn die Idee Wordpress zu nutzen?
Das veraltetete WP-Installationen das interessanteste Ziel für Hacker sein dürfte, ist ja schon seit Jahren klar...
Deine Agentur (und auch du) hätten das wissen müssen und dementsprechen vorbeugen müssen. Wenn das vertraglich nicht geregelt ist, hast du vermutlich Pech.
AIs Webdesigner habe ich mich immer schriftlich abgesichert, das der Kunde die Problemstellung kennt.

strichpunkt hat geschrieben: Vertraglich ist meines Wissens nach zu diesem Punkt nichts geregelt. Wir sitzen jetzt auf den Ausfällen und der Rechnung der Agentur für die Behebung. Das bedeutet wohl, dass ich mich in Zukunft selbst um solche Infos kümmer muss. Die Arbeiten muss ja dann eh wieder die Agentur machen

Sprich doch mal mit deiner Agentur ob du nicht einen Wartungsvertrag o.ä. bekommst, der regelmäßige Updates sichert. Oder du machst es halt selbst, lebst aber mit der Gefahr, dass du Unsinn treibst und der dann wieder (möglicherweise kostenpflichtig durch Dritte) behoben werden muss.

Allerdings kann ich dir nur nahe legen dich darum zu kümmern. Alte Wordpress-Installationen garantieren eigentlich dass erfolgreich angegriffen werden kann.

Generell ist der Anbieter der Seite, also derjenige, der im Impressum steht, für die Sicherheit verantwortlich.
Man kann das selber machen, oder durch einen entsprechenden Vertrag vorsorgen.
Im Falle eines Falles, ist man trotzdem der Verantwortliche und kann die dafür beauftragte Firma in Regress nehmen.

Oder wie anders?

degraf hat geschrieben:Generell ist der Anbieter der Seite, also derjenige, der im Impressum steht, für die Sicherheit verantwortlich.
Man kann das selber machen, oder durch einen entsprechenden Vertrag vorsorgen.
Im Falle eines Falles, ist man trotzdem der Verantwortliche und kann die dafür beauftragte Firma in Regress nehmen.

Oder wie anders?

Stimmt prinzipiell. Kommt im Speziellen aber auf den Vertrag an und funktioniert auch nicht in allen Fällen (eine gewisse Sorgfaltspflicht hat man nämlich trotzdem).

Danke für eure Antworten!

Wordpress wurde uns von der Agentur als die beste Lösung für unsere Anforderungen empfohlen.

Ich denke, dass ein Wartungsvertrag am sinnvollsten wäre, denn woher soll ich wissen, wann etwas veraltet oder gefährdet ist und ein Update braucht? Von alledem einmal abgesehen, weiß ich gar nicht, was da alles installiert ist...
Selbst durchführen würde ich mich nicht trauen, da ich technisch eine Vollnuss bin

Wichtig ist für mich, dass so etwas in Zukunft vermieden werden kann.

Für Wordpress könnte man zum Beispiel Wordfence Security nutzen. Das ist ein sehr gutes und beliebtes Plugin für Wordpress, welches das System relativ gut schützt und gleichzeitig immer Meldungen per E-Mail rausschickt, wenn Plugins ein Update brauchen oder sich Verdächtiges auf dem Webspace tut.

Die Haftung im Falle eines Angriffes wird grundsätzlich nur ein Richter zu 100% feststellen können (und in Deutschland haftet jeder, der nicht bei 3 auf dem Ast sitzt, außer er macht Milliarden oder Politik oder beides).

Grundsätzlich würde ich aber davon abraten, eine Website direkt bei einer Agentur zu hosten, wenn du nicht auch uneingeschränkten Zugriff auf das Filesystem hast. Denn du bist zunächst der Erste, der bei Missbrauch der Dienste, Hacks usw. eine aufn Deckel bekommt. Lediglich dann, wenn die Agentur sich ausdrücklich verantwortlich für die Updates macht - also dir ein immer aktuelles System garantiert - würde ich eine solche Leistung in Anspruch nehmen. Andernfalls Finger weg und lieber - wie im Normalfall - splitten (Website bei einem Webhoster und Agentur kümmert sich nur um Gestaltung usw.).

Was bei von Agenturen oder Anbietern verwalteten Websites/Shops passiert, sehe ich aktuell bei SUPR. Da sind nun ALLE Shops von einer Schwachstelle betroffen und NUR der Betreiber selbst - also Supreme - kann die Schwachstelle für alle User fixen. Wenn nun aber Kunden der Shopbetreiber zum Opfer werden, hat erstmal der Shopbetreiber ein Problem, obwohl er quasi nicht handeln kann, selbst wenn er die Schwachstelle kennt.

...passend zu dem Thema gibt es in der aktuellen c't gerade einen informativen Artikel darüber, welche Hostinganbieter mit "Managed Servers" ihre Server tatsächlich (sicherheitstechnisch) managen. Einige Shops dürften ja auf solchen Systemen laufen.

http://www.heise.de/ct/ausgabe/2015-10- ... 00117.html