Sollte man Besucher von der Website aussperren?

Seit Anfang 2015 ist die Anmeldung zu meinem Newsletter bereits möglich und bisher gab es leider noch keine einzige Ausgabe.

Ein Grund für die lange Verzögerung ist, dass ich seit Mitte 2015 immer maximal mit Kundenaufträge ausgelastet war und meine Zeit stark priorisieren musste, damit die Entwicklung eigener Produkte nicht zu kurz kommt. Die Entwicklung des Newsletter-Systems war zu diesem Zeitpunkt noch nicht abgeschlossen und es gab nur eine Anmeldemöglichkeit, aber noch keine Funktion zum Versand von Newslettern. Systeme von Drittanbietern kamen nicht in Frage, da ich persönliche Daten wie E-Mail-Adressen auf keinen Fall an Dritte weitergeben möchte.

In den letzten zehn Monaten habe ich mich nun primär auf die Entwicklung meiner Produkte konzentriert und dadurch endlich die Zeit gefunden, die fehlenden Funktionen zu entwickeln, ein Layout für den Newsletter umzusetzen und nun kann es endlich losgehen.

Aufbau des Newsletters

Der Newsletter wird immer mit einem Artikel zu einem Thema aus dem Bereich Websites und Webanwendungen eröffnet. Hin und wieder wird es auch Ausflüge in den Bereich der IT-Sicherheit geben.

Darauf folgt ein kurzer Rückblick und Ausblick zur Entwicklung meiner eigenen Produkte, wie aktuell dem Link-Checker, Sitemap-Generator und der digitalen Visitenkarte.

Ganz zum Schluss findet sich noch eine kleine Linksammlung zu lesenswerten Artikeln und Blog-Posts, sowie wichtigen Neuigkeiten aus dem Bereich der IT-Sicherheit.

Besucher von der Website aussperren

Los geht es mit einem Artikel darüber, ob man Besucher von der eigenen Website aussperren sollte, wenn diese beispielsweise versuchen die Backend-Login-URL aufzurufen.

Über eine Anzeige auf Twitter wurde ich zufällig auf den Artikel WP-Admin verstecken: Beliebt, aufwändig und nicht sonderlich effektiv aufmerksam. Ein Kommentator schlägt als Antwort auf den Artikel zur Absicherung der Website vor, einfach die Backend-Login-URL mit einem Plugin zu ändern und alle Besucher, die versuchen die Standard-Backend-Login-URL aufzurufen, komplett vom Besuch der Website, beispielsweise mit fail2ban, auszusperren.

Ich halte diese Aussage zum einen für falsch und zum anderen sperrt man mit solchen Massnahme auch legitime Besucher aus. Tools wie fail2ban sollte man meiner Meinung nach nur sehr vorsichtig einsetzen, da sie einige Nachteile und Risiken haben:

  1. Angreifer nutzen oft grosse Botnets und dann kommt jeder Login-Versuch von einer anderen IP. Die Sperre bringt in diesen Fällen daher nicht viel, erhöht nur etwas den Aufwand für den Angreifer.
  2. Die genutzten IPs aus Botnets gehören oftmals Privatpersonen oder Unternehmen und diese können auch als legitime Besucher auftreten, diese sperrt man mit fail2ban aber dauerhaft aus.
  3. Viele IP-Adressen werden zudem dynamisch vergeben und man weiss nie, wer sie nach dem Angreifer nutzt. Auch hier sperrt man eventuell legitime Besucher aus.
  4. Zudem stellt jedes zusätzliche Plugin ein nicht unerhebliches Sicherheitsrisiko dar, gerade wenn es sich in einen sensiblen Prozess, wie den Login, einhängt.

Gerade Webmaster, Webdesigner und Webentwickler kennen vielleicht auch die Situation, dass man eine Website sieht, bei der man auf den ersten Blick vermutet, dass Joomla oder WordPress zum Einsatz kommt und diese Vermutung durch einen kurzen Aufruf der Backend-Login-URL überprüfen möchte. Bereits eine solche Überprüfung könnte bei restriktiver Verwendung von fail2ban zur Komplettsperrung führen.

Ich persönlich halte wegen der damit verbundenen Risiken nicht viel vom Aussperren von Besuchern und habe auch noch die eine Angriffswelle erlebt, die so massiv war, dass beispielsweise die Performance der Website beeinträchtigt wurde. Viel nachhaltiger ist es:

Rückblick

Der Rückblick fällt im ersten Newsletter etwas ausführlicher aus, da in den letzten vier Jahren viel passiert ist. Meine Hauptprodukte waren lange Zeit der Sitemap-Generator und Link-Checker. Beide Produkte sind als Online-Tool, WordPress-Plugin und Joomla-Erweiterung verfügbar. Sie sind recht erfolgreich und werden zusammen rund 10'000 Mal pro Monat genutzt.

Ende 2018 und Anfang 2019 habe ich die Webanwendung myFOTOSHOOT für Fotografen entwickelt. Sie erlaubt die Erstellung von Kundengalerien und das Einholen von Feedback und Fotoauswahlen von Kunden. Der Start war leider nicht sonderlich erfolgreich, da ich die Marktgrösse etwas unterschätzt habe und die Mehrheit der Fotografen und Fotografinnen die Fotografie nur im Nebenerwerb betreibt. Ich habe noch einige gute Ideen für eine Neuausrichtung, aber die Weiterentwicklung hat aktuell keine Priorität.

Mitte 2019 habe ich dann mit der Entwicklung der digitalen Visitenkarte begonnen und eine erste Version Mitte Juli veröffentlicht. Der Start ist bisher vielversprechend und täglich registrieren sich neue Nutzer.

Ausblick

In den nächsten ein oder zwei Wochen werde ich mich um die Weiterentwicklung des Sitemap-Generators kümmern. Fürs erste sind die folgenden drei Funktionen geplant:

  1. Unterstützung für Sitemaps mit mehr als 50'000 URLs durch das Aufsplitten der Sitemap in mehrere kleine Sitemaps.
  2. Hosting von Sitemaps direkt auf meinem Server.
  3. Verarbeitung des Last-Modified-Headers und Aufnahme in die Sitemap.

Daraufhin werde ich entweder Zeit in die Weiterentwicklung der digitalen Visitenkarte investieren oder meine Website-Tools ausbauen und öffentlich zugänglich machen.

Die Website-Tools verwende ich bereits intern zur Überwachung von Websites auf Updates und zur täglichen, automatisierten Erstellung von Backups. Zusätzlich möchte ich den Link-Checker und Sitemap-Generator integrieren, sowie weitere Tools, die ich zur technischen Suchmaschinenoptimierung benötige, entwickeln.

Linksammlung