20 Sicherheitstipps für Ihre Website

Cyber Security

Hier finden Sie Tipps, wie Sie Ihre WordPress-Website vor Cyberangriffen durch Hacker schützen können.

Ist meine Webseite sicher vor Cyberangriffe durch Hacker?

Eine Frage, die immer eine gewisse Aktualität hat, in der momentanen Situation noch mehr in den Fokus geraten ist. Dies zeigt sich auch dadurch, dass der Begriff “Cyber Security” bei Google aktuell ein häufiger Suchbegriff ist.

Dies Thema beschäftigt viele mittelständische Unternehmen, Selbstständige und …, trifft sie aber gleichzeitig oft zu einem völlig unerwarteten Zeitpunkt.

 

Bin ich betroffen?

Ohne Panik verbreiten zu wollen – treffen kann es jedes Unternehmen, da ihre Webseiten der öffentlichste Teil sind und jeder jederzeit und von jeden Ort Schwachstellen ausnutzen kann.

So kann Firmensoftware durch Schadsoftware (“Ransomware”) verschlüsselt werden und erst nach der Zahlung von finanziellen Forderungen werden diese wieder entschlüsselt. Der Schaden der hierbei entstehen kann betrifft oft nicht nur die internen Unternehmensnetzwerke sondern daneben auch sensible Kundendaten.

 

Welche Möglichkeiten gibt es mich vor einem Cyberangriff zu schützen?

Verschiedene Sicherheitsmöglichkeiten sind oft schon leicht selbst umsetzbar. Sie müssen nur gemacht werden.

So einfach gehts!

Hier finden Sie eine Übersicht, mit welchen Möglichkeiten Sie (oder Ihre Marketing Agentur) Ihre Website sicherer machen können.

Updates

Die einfachste Möglichkeit Ihre Website zu schützen, halten Sie WordPress und alle eingesetzten Plugins immer auf dem neuesten Stand. Damit schließen Sie mögliche Sicherheitslücken (ähnlich wie bei Ihrem Betriebssystem auf dem Computer oder am Handy)

Standard Datenbank-Prefix ändern

Alles, was "Standard" ist, ist nicht sicher. Wenn der Standard Prefix der WordPress Installation "wp-" ist, nehmen Sie doch einen individuellen, z.B. "sh6W-". Damit machen Sie es Bots schwieriger, über die gängigen Einfallstore in Ihr System zu gelangen.

HTTPS und SSL-Zertifikat

Stellen Sie sicher, dass Ihre Website eine gesicherte Verbindung zum Besucher aufbaut und die Daten auf diesem Weg bestmöglich geschützt sind (z.B. mit einem Kontaktformular oder die Zahlungsinformationen im Web-Shop)

Bearbeiten PHP-Dateien über das Backend deaktivieren

Standardmäßig ist der Datei-Editor aktiviert. Wir empfehlen, den Datei-Editor zu deaktivieren. Ein Hacker oder unbedarfter Benutzer würde hierdurch wesentlich mehr Zugriffsrechte erhalten, um Veränderungen an den PHP-Dateien vornehmen zu können und ggf. Schadware (Malware) zu integrieren.

Firewall aktivieren

Eine Firewall hilft Ihnen dabei, Ihre WordPress Webseite vor diversen Angriffen aus dem Internet zu schützen. Hierzu gibt es bereits einige fortschrittliche Plugins, die Ihre Webseite sicher halten. Diese beinhalten u.a. eine Absicherung gegen Brute-Force-Attacken, Viren- und Malware Scanner, Blacklists für IP Blockierung, Schutz gegen Datei-Veränderungen (File-Scanner), Schutz gegen aggressive Bots, crawlers, web scrapers und HTTP Attacken und vieles mehr...

Kontakformular mit Honeypot schützen (Spam-Protect)

Schützen Sie Ihre Formulare mit dem Einsatz von sogenannten Honeypots. Diese helfen Ihnen dabei, die Formulare von Spambots zu schützen. Alternativ können sie ihre Formulare auch mit dem Google ReCaptcha ausstatten. Hier gibt es jedoch die DSGVO-Richtlinien zu beachten.

Kommunikation von Plugins deaktivieren

Deaktivieren Sie alle Plugins, die sie nicht benötigen. Je mehr Plugins sie aktivieren, desto größer wird die Angriffsfläche auf ihre Webseite. Dies können Sicherheitslücken oder veraltete Plugins sein. Daher ist es wichtig, nur Plugins zu aktivieren und im Einsatz zu haben, die tatsächlich benötigt werden. Außerdem ist es sehr wichtig, alle Plugins und Module immer auf dem neuesten Stand durch Updates zu halten.

Kommentarfunktion deaktivieren

In WordPress ist z.B. standardmäßig die Kommentarfunktion aktiviert. Dies ist eine beliebte Lücke, um mit Links zu anderen Websites zu verweisen. Deswegen sollten Sie diese Funktion deaktivieren oder extra absichern, damit Sie hier keine Probleme bekommen.

Login-Pfad ändern

Der Pfad zum Adminbereich ist zu 95% der, der vom System vorgegeben ist. Machen Sie es den Hackern nicht zu einfach und ändern Sie diesen Pfad. Statt /wp-login.php oder /wp-admin.php nehmen Sie etwas Ausgefallenes, wie z.B. /eingang-zu-meiner-website-715.php

Admin Benutzernamen um Sonderzeichen erweitern

Statt "admin" oder "administrator" sollten Sie schon einen sicheren Benutzernamen wählen, ähnlich wie Ihr Passwort. Wenn Sie Ihre Zugangsdaten mit einem Passwortmanager (z.B. 1Password oder BitWarden) verwalten, dann brauchen Sie sich weder den Namen, noch das Passwort merken, von daher muss es ja auch kein leicht merkbarer Benutzername sein.

Sicheres Passwort wählen

Wer heute noch leicht merkbare Passwörter verwendet, der braucht seine Daten gleich gar nicht schützen. Auf www.checkdeinpasswort.de können Sie z.B. selber testen, wie sicher Ihr Passwort ist. Im Internet finden Sie auch Passwort-Generatoren, mit denen Sie ganz sichere Passwörter erstellen können, wie z.B. https://www.datenschutz.org/passwort-generator

(Aus Sicherheitsgründen sollten Sie hier keine echten Passwörter eingeben)

https://checkdeinpasswort.de

2FA aktivieren

Die 2-Faktor-Authentifizierung fragt beim Login auf der Website z.B. über das Handy nach einem extra generierter Pin-Code, das macht es für Angreifer fast unmöglich sich über den Login in das System zu schummeln. Dazu müsste er auch schon Zugriff auf dieses zweite Gerät haben

Loginbereich überwachen

Versuchen sich Hacker über den Login-Bereich Zugang zu Ihrem System zu verschaffen? Protokollieren Sie diesen Bereich und je nach Sicherheitseinstellung werden Sie informiert, wenn hier ungewöhnliche Anfragen auftreten. Gerade bei Shop-System sollten Sie dafür sorgen, dass der Loginversuch nicht endlos oft wiederholt werden kann. Das würde es einem Angreifer ermöglichen, automatisiert Logins auszutesten und so nach einer Weile Zugriff zu bekommen. Dieses Vorgehen nennt man “Bruteforcing”.

Bleiben Sie auf dem Laufenden

Informieren Sie sich über seriöse Quellen zu den Sicherheits-Themen, wie z.B. die Seite von IT-Spezialisten oder vom Bundesamt für Sicherheit:

https://www.bsi.bund.de/DE/Home/home_node.html

Analyse der Website

Kontrollieren Sie die Besucheranalyse Ihrer Website. Bekommen Sie viele Web-Besucher aus St. Petersburg? Dann herzlichen Glückwunsch! Viele Hacker kommen aus dieser Region und haben vermutlich auch Ihre Website schon entdeckt.

Bereiche auf der Website sperren

Mit einer .htaccess Datei können Sie bestimmte Bereiche auf der Website für Besucher extra verschlüsseln. So können Sie z.B. den Login-Bereich mit einem weiteren Passwort absichern.

Cyber Versicherung(en)

Viele Versicherungen haben für dieses Thema schon extra Angebote, mit denen Sie im Schadensfall Unterstützung bekommen. Sprechen Sie doch einfach mal mit Ihrem Versicherungsvertreter.

Backup (Datensicherung)

Sichern Sie Ihre Daten regelmäßig nach der 3-2-1 Backup Regel:

Drei Datenkopien: Dazu gehören die Originaldaten und mindestens zwei Backups.

Zwei verschiedene Speichertypen: Beide Kopien der gesicherten Daten sollten auf zwei getrennten Speichertypen aufbewahrt werden, um die Wahrscheinlichkeit eines Ausfalls zu minimieren. Zu den Speichertypen könnten eine interne Festplatte, eine externe Festplatte, ein Wechselspeicherlaufwerk oder eine Cloud-Backup-Umgebung gehören.

Eine Offsite-Kopie: Mindestens eine Datenkopie sollte an einem externen oder entfernten Ort aufbewahrt werden, um sicherzustellen, dass Naturkatastrophen oder geografische Katastrophen nicht alle Datenkopien beeinträchtigen können

Zugriff auf debug.log blockieren

Durch den Zugriff auf das debug.log, erhält man wichtige Informationen auf das Troubleshooting der aktuellen Webseite. Diese dienen dazu, Fehler und Probleme zu erkennen und zu beheben. Durch das Blockieren der debug.log verhindern Sie, dass unbefugte Benutzer oder Hacker diese einsehen können, um an wichtige Informationen über den aktuellen Zustand ihrer Webseite zu kommen.

Informationen vom Bundesamt für Sicherheit in der Informationstechnik

Der Aufgabenbereich des BSI wird durch das “Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes” (BSI-Gesetz) festgelegt. Ziel des BSI ist die präventive Förderung der Informations- und Cyber-Sicherheit, um den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben. Mit Unterstützung des BSI soll IT-Sicherheit in Verwaltung, Wirtschaft und Gesellschaft als wichtiges Thema wahrgenommen und eigenverantwortlich umgesetzt werden.

So erarbeitet das BSI beispielsweise praxisorientierte Mindeststandards und zielgruppengerechte Handlungsempfehlungen zur IT- und Internet-Sicherheit, um Anwender bei der Vermeidung von Risiken zu unterstützen.

Das BSI ist auch für den Schutz der IT-Systeme des Bundes verantwortlich. Hierbei geht es um die Abwehr von Viren, Trojanern und anderen technischen Bedrohungen gegen die Computer und Netze der Bundesverwaltung. Das BSI berichtet dem Innenausschuss des Deutschen Bundestages hierzu einmal jährlich.

Ein starkes Team

Wir sind Partner von erecht24, IONOS und gehörten zu der Kreativwirtschaft Inn-Salzach. Gemeinsam mit unserem Netzwerk machen wir die Welt durch Marketing interessanter und bunter.