Webflow CMS

Sind Webflow Webseiten sicher?

Level:

Ich habe in der Vergangenheit tatsächlich schon von Kunden, sowie auch von anderen Webdesignern gehört, dass ihre Wordpress Website gehackt wurde. Es wurden beispielsweise auf einmal bestimmte Wörter auf der Seite zu Links umgewandelt, das komplette Aussehen der Seite verändert oder die Performance der Website total lahm gelegt. Das können Anzeichen für Website-Hacks sein.

Wie geht Webflow mit dem Thema Sicherheit um?

Genau damit habe ich mich eine Stunde beschäftigt und ein paar Learnings für dich festgehalten. Trotzdem gilt: Ich bin kein Sicherheitsexperte wenn es um Webseiten geht.

Ich habe mir dazu dieses Video von Finsweet angeschaut. Hier ist eine Liste der Stichpunkte über die ich im Video spreche:

Was heißt es, eine Webflow-Website sicher zu machen?

Man hört immer wieder von Schwachstellen bei dem Open-Source CMS Wordpress. Gilt das gleiche auch für Webflow? Wo sind die Unterschiede?

  • Webflow mach allgemein einen guten Job was das Thema Website-Sicherheit und Server angeht. Mehr Informationen von Webflow selber findest du hier: https://webflow.com/security.
  • Hier kannst du zu jederzeit den Status der Webflow Server abrufen: https://status.webflow.com.
  • Ein großer Unterschied zu Wordpress: Es gibt bei Webflow keine Möglichkeit vom Frontend auf das Backend zuzugreifen.
  • Es gibt keine Möglichkeit den Server von Webflow von außen zu erreichen. Es ist also nicht wie beispielsweise bei Wordpress möglich, den Login zu einem Wordpress Backend zu hacken und eine Seite oder den Server dahinter mit Schadsoftware zu infizieren.
  • Die Hosting-Infrastruktur von Webflow läuft über AWS-Server (Amazon Web Services) welche an für sich auch schon einige Sicherheitsfunktionen bieten.
  • Webflow ist von Haus aus sicherer als Wordpress aufgebaut. Trotzdem muss man immer dann aufpassen, wenn man aus der Webflow-Infrastruktur raus geht und beispielsweise externe Erweiterungen einbindet oder baut, die über eine API-Schnittstelle mit Webflow kommunizieren.
  • Wordpress ist weitaus mehr verbreitet als Webflow und deshalb auch ein beliebteres Angriffsziel von Hackern (Vergleich Windows vs. Mac OS). Das kann sich in Zukunft natürlich auch ändern und dann könnte es auch mehr Schwierigkeiten bei Webflow geben.

Was sind Webflow-Schwachstellen und wann kann es zu Problemen mit deiner Website kommen?

  • Immer dann, wenn du ein externes Script in deine Webflow Website einbindest, kann es zu Sicherheitsproblemen kommen.
  • Manche Skripte fügen nur interessante Animationen hinzu, viele Erweiterungen verarbeiten aber auch persönliche Eingaben oder Formulardaten. Das könnten Funktionen für Mitgliederbereiche (Memberstack), Job-Boards für Bewerbungen oder Ähnliches sein.
  • Immer wenn wir die Funktionalität von Webflow mit anderen Skripten mixen, KANN etwas passieren. Du solltest diesen Skripten und den Entwicklern dahinter also auf jeden fall  vertrauen.

Was kann passieren, wenn eine Webflow Website gehackt wird?

Wenn eine dritte Partei versucht sich Zugriff auf deine Webflow Seite zu verschaffen, könnte sich das in folgenden Probleme zeigen:

  • Seitenbesucher werden einfach wo anders hin weitergeleitet.
  • Deine Seite sieht auf einmal anders aus, als du sie gestaltet hast.
  • Ein Login Button den du integriert hast, wird versteckt und stattdessen wird ein Login Button von einer dritten Partei angezeigt.
  • Ein Link zu einer anderen Seite leitet nicht zu der Seite weiter, die du eigentlich verlinken wolltest.

Wie sollte man mit API-Schnittstellen umgehen?

Den vom Webflow CMS erstellten API-Schlüssel solltest du NUR an wirklich vertrauenswürdige Personen / Unternehmen / Software herausgeben!

Was können andere mit deinem Webflow CMS API-Schlüssel machen?

  • Eine Liste mit allen deinen Projekten auslesen.
  • Sie können alle deine Domains lesen.
  • Sie könnten alle deine CMS Collections lesen und verändern.
  • Bilder zu deinem Asset Manager hochladen.
  • Alle deine E-Commerce Produkte oder Kategorien verändern und auslesen.
  • Alle Webflow E-Commerce Bestellungen verändern oder Rückerstattungen anfordern.
  • Alle Webhooks sehen oder neue generieren (könnte dazu genutzt werden, um Daten an Drittanbieter zu senden).

Skripte über externe Server (CDN) oder über deinen eigenen Webflow Server einbinden

Willst du z.B. eine Java Script Slideshow in deiner Webflow Website verwenden, musst du den JS-Code, den ein anderer Entwickler geschrieben hat, in deine Seite einbinden. Viele solcher Erweiterungen empfehlen eine schnelle JS-File Einbindung über einen externen CDN Server. Der Vorteil ist, dass du dadurch immer den aktuellen Stand / Code in deiner Website eingebunden hast. Der Nachteil ist, dass dieses File eben auch manipuliert werden könnte.

Java Script Files in Webflow selber hosten

Es gibt in Webflow nicht direkt die Möglichkeit, JS-Files in den Asset Ordner hochzuladen. Trotzdem kannst du den Code in einer Textdatei (Endung .txt) speichern und dann in den Dokumenten-Ordner von Webflow uploaden. Dann wie gewohnt über den Script Code in den Seiteneinstellungen einbinden:

<script src="link-zu-deiner-datei.txt"></script>

Das .txt File kann genauso vom Browser ausgelesen und verarbeitet werden. Wie das genau geht zeige ich dir in folgendem Video: