Sicherheitscheck: So testest du die Sicherheit deiner Webseiten

SecurityKategorie
6 min lesen
Wolf-Dieter Fiege

Es ist eine Selbstverständlichkeit: Wir alle benutzen bei unseren Anwendungen und Apps Passwörter. Auch die Website ist mit Passwörtern geschützt. „Stopp!“ Wir denken, dass ein Passwort im Backend ausreicht, um kriminelle Hackern abzuhalten, unseren Internetauftritt zu crashen. Fachleute sind sich allerdings einig: Es ist keine Frage, ob deine Website gehackt wird, es ist eher eine Frage, wann das passiert. In unserem Sicherheitscheck stellen wir dir 10 Tipps vor, mit denen du die Sicherheit deiner Webseiten prüfen kannst.

Wird die Website gehackt, ist gleichzeitig das Unternehmens-Netzwerk infiltriert, Daten werden gestohlen und deine Website eventuell für schändliche Zwecke missbraucht. So ein Homepage-Hack kann dein gesamtes Business ruinieren! – Triftige Gründe für eine umfassende Sicherheitsprüfung deiner Website.

10 Tipps für deinen Website Sicherheitscheck

Basierend auf unserem Know-how und viel Recherche stellen wir dir die aus unserer Sicht wichtigsten Sicherheits-Maßnahmen vor

1. Nutze das https:// Protokoll!

Es ist das S in https, um das es geht. Das früher als Secure Socket Layer (SSL) benannte hybride Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet, heute als Transport Layer Security (TLS) bezeichnet, verschlüsselt den Datenverkehr zwischen dem Browser eines Nutzers und der Website. Dies ist mittlerweile so wichtig, dass Google die Existenz eines SSL in seine SEO-Formel einbezieht. Die Suchmaschine markiert gleichzeitig jede Website, die kein https verwendet, als potenziell unsicher.

2. Halte deine Website und Plugins auf dem Laufenden!

Wenn du deine Website auf WordPress.com, Blogger.com oder einem Website-Builder wie GoDaddy GoCentral betreibst, musst du dich um diesen Part der Sicherheitsüberprüfung deiner Website nicht kümmern. Wenn du jedoch eine Website auf deinem eigenen Server oder einem eines Drittanbieters selbst hostest, bist du für die Updates verantwortlich, um die Sicherheit der Website zu gewähren.

Halte deine Content-Management-Software, wie WordPress, auf dem neuesten Stand sowie alle Plugins, die du verwendest. Regelmäßig sind Plugin-Updates verfügbar, um Schwachstellen zu beheben, die Hacker möglicherweise ausnutzen. Ältere Plugin-Versionen sind anfällig für bösartige Angriffe.

3. Entferne überflüssige Plugins!

Lösche alle Plugins, die du nicht verwendest, insbesondere, wenn die Ersteller sie seit mehreren Monaten nicht aktualisiert haben. Das Risiko besteht darin, dass Hacker ein veraltetes Plugin kaufen, es aktualisieren und einen eigenen bösartigen Code hinzufügen. Wenn du dann dein Plugin aktualisierst, lädst du dir die neue und kompromittierte Version auf deine Seite, die dem Hacker eine geheime Hintertür in deinen Server öffnet.

4. Mache von allem Backups!

Es gibt Horrorgeschichten darüber, dass ganze Webseiten von kriminellen Hackern zerstört wurden, die nichts Anderes wollten, als die ganze Arbeit eines Unternehmens zu zerstören. Jahrelang produzierte Blog-Beiträge und Inhalte können durch Datenvernichtung oder durch Einschleusen von bösartigem Code verloren gehen. Dies kann vermieden werden, wenn du regelmäßig Sicherungskopien deiner Website erstellst, die an einem separaten Standort eines Drittanbieters gehostet werden – also nicht auf dem Server deiner Website.

Arbeite mit einem separaten Backup-Service-Provider und halte alle Web-Daten, Firmendaten und Finanzen sicher und geschützt von deiner Website fern – für den Fall, falls etwas schiefgeht.

5. Überwache die Dateiintegrität!

Achte auf zusätzliche Dateien, die du auf deiner Website veröffentlichst, und füge sie in deine Website-Sicherheitsprüfung ein. Bilddateien sowie Excel- und Word-Dokumente und sogar PDFs können von Cyber-Kriminellen beschädigt werden. Verwende einen Malware-Checker wie GoDaddy Website Security, der von Sucuri unterstützt wird, um eine Basis für den Status deiner Dateien zu erstellen, der dann mit zukünftigen Scans verglichen wird, um die Sicherheit der Website zu überprüfen.

6. Schütze dich gegen Brute-Force-Angriffe!

Das typische Bild, das wir von Hackern haben, ist das: Sie versuchen, Benutzernamen und Passwörter zu erraten, oder nutzen Software, mit der sie Hunderte von Malen pro Sekunde auf die Login-Box hämmern. Dies kannst du verhindern: Verwende zunächst komplexe Kennwörter, vorzugsweise mit zufälligen Buchstaben und Zahlen oder besser noch mit einer zufälligen Zeichenfolge. Wenn du ein WordPress-Benutzer bist, verwende Plugins wie Limit Login Attempts, um Brute-Force-Angriffe zu blockieren und um entsprechende IP-Adressen zu verbieten.

7. Wechsel den Benutzernamen!

Hacker versuchen immer wieder in das Admin-Konto einzudringen. Wenn du eine neue Website einrichtest, erstelle einen anderen Namen für das Admin-Konto und lösche dann den Benutzer-Admin. Wenn jemand versucht, auf diesen bestimmten Namen zuzugreifen, wird er nie reinkommen, ganz gleich, was passiert.

8. Erstelle automatisch Passwörter!

Wenn wir von Brute-Force-Angriffen sprechen, kannst du ihre Erfolgschancen erheblich reduzieren, indem du extrem komplexe Passwörter verwendest. Versuche dabei nicht, ein eigenes cleveres Passwort zu finden: Wir kennen es selber und nutzen auch die zweiten Vornamen unserer Kinder!

Hol dir lieber ein Passwort-Depot wie 1Password oder LastPass und verwende die Funktion, die Passwörter automatisch generiert, um nahezu unhackbare Sicherheit für deine Webseiten zu schaffen. Sie erstellt Passwörter, die mehrere Wörter aneinanderreiht, die (fast) unknackbar sind.

9. Scanne deine DNS und WHOIS!

Hast du schon einmal daran gedacht, zwischendurch zu überprüfen, ob du noch Besitzer deiner eigenen Domain bist? Hört sich schräg an? Hacker haben dafür eine ganz einfache Methode: Sie nutzen deine E-Mail-Adresse und benutzen bei deinem Domain-Registrar die Funktion „Passwort vergessen".

Überwache deine DNS- und WHOIS-Einträge! Ganz gleich, ob du sie wöchentlich manuell überprüfst oder ob du ein Plugin dafür verwendest, zum Beispiel trackt das Sucuri Sicherheits-Plugin diese Infos.

10. Führe eine Online-Sicherheitsprüfung deiner Website durch!

Es gibt mehrere Malware-Checker für Websites, einschließlich einiger WordPress-Plugins. Wir empfehlen Sucuri für diese Funktion, aber es gibt auch andere Websites, die deine Website scannen. Sucuri ist kostenlos und gibt dir nach jedem Scan einen Bericht über die Sicherheit deiner Website. Es steht auch eine kostenpflichtige Version mit mehr Funktionen zur Verfügung. Vermeide es bei anderen Websites irgendwelchen zufälligen Popup-Boxen zu erlauben, deine Festplatte zu scannen! Es ist wahrscheinlich Malware.

Fazit:

Es gibt buchstäblich Dutzende, wenn nicht Hunderte von Dingen, die du tun musst, um deine Website vor Hackern zu schützen. Viele von diesen sind in Web-Software sowie beim Web-Hosting von GoDaddy integriert. Aber wenn du ein echter Heimwerker bist, deinen eigenen Webserver hast und die Website von Grund auf neu erstellst, benötigst du einen professionellen Webentwickler und Sicherheitsspezialisten, um die Sicherheit deiner Website zu überprüfen.

Unabhängig davon gibt es, wie unser Sicherheitscheck zeigt, einige grundlegende Schritte, um die Sicherheit der Website zu überprüfen, die jeder befolgen sollte, unabhängig davon, wo deine Website gehostet wird oder welche Art von Web-Software du verwendest.

Suchst du nach mehr Rat zur Verwaltung und Sicherheit deiner Website? Frage andere GoDaddy-Kunden in der Community!

Quelle:

Checklist: How to perform a website safety check

Products Used