Skip to content Skip to sidebar Skip to footer

9 Tipps für eine sichere Firmen-Webseite

In den letzten Jahren haben sich die Werkzeuge zur Entwicklung von Webseiten rasend weiterentwickelt und dadurch eine enorme Verbreitung gewonnen. Leider sind mit der Beliebtheit auch die Angriffe auf Webseiten exponentiell angestiegen.

In diesem Artikel zeige ich Ihnen die Grundlegenden Anforderungen an die Sicherheit Ihrer Webseite, um diese vor Hacker-Angriffen zu schützen und so zu verhindern, dass fremde Inhalte Ihre Webseite verunreinigen.

Webseiten sind keine statischen Gebilde mehr, die einmal erstellt, monate- oder jahrelang ausser acht gelassen werden können. Wie ein Auto oder Haus muss auch Ihre Webseite regelmässig gewartet und gepflegt werden.

Was passiert, wenn man eine Webseite sich selbst überlasst?

Jede Software ist angreifbar und jede Software braucht Updates. Die Software, welche den Motor Ihrer Webseite bildet, ist da keine Ausnahme. – Ihre Konkurrenz ist aufgewacht und geht voran mit neuen Webseiten und Online Strategien. Die Welt wird immer kleiner, jedes Geschäft ist im Internet vertreten und so wird es immer schwieriger dranzubleiben, oder sogar an die Spitze zu kommen. Immer mehr Webseiten werden gehackt und attackiert, sogar die großen Player wie Twitter oder Facebook, sowie jeden Tag Millionen von kleinen Unternehmen. So ist die Welt in der wir leben, und leider sind Webseiten ein leichtes Ziel.

So eine Webseite läuft doch einfach, oder?

Moderne Webseiten können nach dem Launch nicht alleingelassen werden im World-Wide-Web. Ihr Auto braucht Ölwechsel und gelegentlich frisches  Scheibenputz-Wasser. Ihr Handy und Ihr PC schreien laufend nach Updates und Ihre Webseite ist leider keine Ausnahme.

Ohne regelmäßige und sauber ausgeführte Updates kann es z.B. passieren, dass Ihre Webseite gehackt wird und als Spam-Schleuder missbraucht wird. Solche Webseiten werden in der Regel schnell vom Hosting-Anbieter gesperrt und sind nicht mehr erreichbar. Oder Links auf Ihrer Webseite funktionieren nicht mehr, Bilder werden nicht angezeigt oder noch schlimmer Anfragen über Ihr Kontaktformular kommen nicht bei Ihnen an.

9 Maßnahmen um Ihre Webseite vor Hackern zu schützen

1. Aktualisieren, aktualisieren, aktualisieren

Unzählige Webseiten werden jeden Tag aufgrund veralteter Software angegriffen.
Automatisierte Hacker-Bots durchforsten ständig das Internet nach veralteter Software und Sicherheitslücken. Darum reicht es nicht mehr aus Ihre Webseite einmal pro Monat zu aktualisieren. Wenn Sie WordPress nutzen, empfehle ich Ihnen das Plugin ‚WP Updates Notifier‘ – es sendet E-Mails, damit Sie wissen, wann ein Plugin oder WordPress Update verfügbar ist. Sie können auch @sucuri_security auf Twitter folgen, um über wichtige Updates und Sicherheitswarnungen informiert zu werden.

2. Passwörter

Benutzername: Admin und Passwort: Admin oder 1234 sind keine sichere Passwort-Kombination. 😉 Die bösen Hacker-Buben haben eine riesige Liste der häufigsten Benutzernamen / Passwort Kombinationen. Ist Ihres mit dabei, ist das fast eine Garantie, dass Sie eines Tages, fremde hässliche Inhalte auf Ihrer Webseite finden.

Es gibt 3 Schlüsselanforderungen an ein Passwort, welche immer beachtet werden sollten.

CLU = Complex, Long, Unique

KOMPLEX: Passwörter sollten zufällig angeordnet sein. Lassen Sie nicht zu, dass jemand Ihr Onlinekonto angreifen kann, nur weil er Ihr Geburtsdatum oder Lieblingssportteam herausgefunden hat. Passwort-Checker-Programme können Millionen von Passwörtern in wenigen Minuten erraten. Wenn man echte Worte in seinem Passwort hat, dann ist es nicht zufällig! Sie könnten denken, dass Sie besonders clever sind, wenn die sogenannte Leetspeak Schreibweise verwenden (Buchstaben ersetzt durch Zahlen oder Zeichen z.B. BE55ERW!55ER) aber auch diese sind nicht so sicher wie eine völlig zufällige Zeichenfolge. Hacker haben einige ernsthaft eindrucksvolle Wortlisten für das „cracken“ von Passwörtern zusammengestellt.

LANG: Passwörter sollten mind. 12 Zeichen oder länger sein. Wenn sie zusätzlich die möglichen Login-Versuche begrenzen, schränkt dies die Möglichkeiten der Hacker ein.

EINZIGARTIG: Passwörter nicht wiederverwenden! Jedes einzelne Passwort muss einmalig sein. Diese einfache Regel beschränkt drastisch das Enträtseln eines Passworts. Nachdem jemand Ihr FTP-Passwort herausgefunden hat, sollte sich die Person nicht automatisch auch mit dem Passwort in Ihrem E-Mail oder Internet-Banking-Konto anmelden können. Im Gegensatz zum Volksglauben sind wir nicht so einzigartig wie wir oft glauben; je zufälliger das Passwort, desto besser.

Sie fragen sich bestimmt: „Wie soll ich mich an 10 zufällige Passwörter erinnern, die alle 12 Zeichen lang sind?“ Die gute Nachricht ist, dass man sich nicht an alle erinnern muss, und es auch gar nicht erst versuchen soll. Die Antwort ist, einen Passwort-Manager wie „LastPass“ (online) und „KeePass 2“ (offline) zu verwenden. Diese brillanten Werkzeuge speichern alle Ihre Passwörter in einem verschlüsselten Format und können problemlos zufällige Passwörter auf Knopfdruck generieren. Passwort-Manager vereinfachen es, starke Passwörter zu verwenden, anstatt sich ein paar mittelstarke Passwörter zu merken.

Ja, auch diese Passwort-Manager können angegriffen werden und Schwachstellen haben. Aber das Risiko ist um ein Vielfaches geringer, als wenn Sie überall dasselbe, leicht zu entschlüsselnde Passwort einsetzen.

3 – Eine Seite – Ein Paket

Viele kleinere Firmen-Webseiten leben auf einem sog. Shared Hosting Server. Wenn Sie Pech haben, steckt eine infizierte Webseite alle anderen an. Fragen Sie bei Ihrem Webhoster nach Sicherheitsmaßnahmen oder alternativen Möglichkeiten zum Shared Hosting.

4 – Angepasste Zugriffsrechte

Diese Regel gilt nur für Websites mit mehreren Benutzern. Es ist wichtig, dass jeder Benutzer die entsprechende Erlaubnis hat, die er benötigt, um seine Arbeit zu erledigen. Wenn Berechtigungen kurzfristig erweitert werden müssen, gewähren Sie es temporär, und schränken es wieder ein, sobald der Job abgeschlossen ist. Dies ist ein Konzept, das als „Least Privileged“ bekannt ist.

Wenn Sie einen Freund haben, der einen Gastbeitrag für Sie schreiben möchte, stellen Sie sicher, dass sein Konto keine vollständigen Administratorrechte hat. Das Konto Ihres Freundes sollte nur in der Lage sein, neue Beiträge zu erstellen und eigene Beiträge zu bearbeiten, da es nicht nötig ist, dass er Webseiten-Einstellungen ändern muss.

5 – Erweiterungen & Plugins

Eines der schönen Dinge von modernen CMS-Anwendungen ist die schier unendliche Erweiterbarkeit.Es gibt eine riesige Anzahl von Plugins, Add-ons und Erweiterungen, die praktisch jede Funktionalität bietet, die Sie sich vorstellen können. Und gleichzeitig ist dies die größte Schwachstelle. Achten Sie darauf, dass Sie nur Erweiterungen auf Ihrer Webseite nutzen, welche regelmäßig aktualisiert werden. Achten Sie auch darauf, dass Sie alle Ihre Erweiterungen und Themen aus legitimen Quellen herunterladen. Es gibt viele Websites, die „kostenlose“ Versionen von zahlungspflichtigen Premium-Pluigns anbieten. Diese „freien“ Versionen sind raubkopiert und häufig mit Malware infiziert. Die Webseiten, die diese „freien“ Versionen anbieten, sind mit nur einem Ziel eingerichtet: so viele Webseiten wie möglich mit ihrer Malware zu infizieren.

6 – Sicherungskopien

Wie alles in der digitalen Welt können auch Ihre Webseiten-Daten verloren gehen. Manche Web-Hoster erstellen tägliche Backups. Erstellen Sie selbst zusätzliche Backups auf einem externen Speicherort. z.B. in der Dropbox.

Sie sollten Ihre Web-Server-Konfigurationsdateien wirklich kennenlernen. Apache-Webserver verwenden die .htaccess-Datei, Nginx-Server verwenden nginx.conf und Microsoft IIS-Server verwenden web.config. Am häufigsten im Root-Web-Verzeichnis gefunden, sind diese Dateien sehr mächtig. Mit diesen Dateien können Sie Serverregeln ausführen, einschließlich Richtlinien, die Ihre Website-Sicherheit verbessern.

Wenn Sie nicht sicher sind, welchen Webserver Sie verwenden, können Sie Ihre Website über „Sitecheck“ ausführen und auf die Registerkarte Website Details klicken.

Hier sind ein paar Regeln, die ich Ihnen empfehle für die Forschung und das Einfügen Ihrer speziellen Web-Server:

Verhindern Sie das Durchsuchen von Verzeichnissen: Dadurch wird verhindert, dass böswillige Benutzer den Inhalt jedes Verzeichnisses auf der Website anzeigen. Die Begrenzung der für Angreifer verfügbaren Informationen ist immer eine nützliche Sicherheitsvorkehrung.

Verhindern Sie Image-Hotlinking: Während dies nicht unbedingt eine Sicherheitsverbesserung ist, verhindert es, dass andere Websites, die auf Ihrem Webserver gehosteten Bilder anzeigen. Wenn Leute anfangen, Bilder von Ihrem Server zu verknüpfen, könnte die Bandbreitenauslastung Ihres Hosting-Plans schnell erschöpft sein, dass Bilder für eine Seite dargestellt werden.

Schützen Sie sensible Dateien: Sie können Regeln festlegen, um bestimmte Dateien und Ordner zu schützen. CMS-Konfigurationsdateien sind eine der sensibelsten Dateien, die auf dem Webserver gespeichert sind, da sie die Datenbank-Anmeldedaten im Klartext enthalten. Es kann auch andere Orte geben, die wie Admin-Bereiche gesperrt werden können. Sie können die PHP-Ausführung auch in Verzeichnissen einschränken, die Bilder enthalten oder Uploads zulassen.

Es gibt viele weitere Regeln und Optionen, die Sie für Ihre Web-Server-Konfigurationsdatei suchen können. Sie können nach dem Namen Ihres CMS, Ihres Webservers und „Sicherheit“ suchen, aber stellen Sie sicher, dass Sie Ihre Ergebnisse bestätigen müssen, wenn Sie etwas implementieren. Einige Leute posten schlechte Informationen online mit böswilliger Absicht.

7 – Server Konfigurationsdateien

Diese leben im sog. root-Verzeichnis und sind sehr mächtig. Apache-Webserver verwenden die .htaccess-Datei, Nginx-Server verwenden nginx.conf und Microsoft IIS-Server verwenden web.config. hier sind ein paar Regeln, die ich Ihnen empfehle, um die Sicherheit Ihrer Webseite zu erhöhen.

Verhindern Sie das Durchsuchen von Verzeichnissen: Dadurch wird verhindert, dass böswillige Benutzer den Inhalt Ihres Verzeichnisses auf der Website sehen können. Die Begrenzung, der für Angreifer verfügbaren Informationen ist immer eine nützliche Sicherheitsvorkehrung.

Schützen Sie sensible Dateien: Sie können Regeln festlegen, um bestimmte Dateien und Ordner zu schützen. CMS-Konfigurationsdateien sind die sensibelsten Dateien, die auf dem Webserver gespeichert sind, da sie die Datenbank-Anmeldedaten im Klartext enthalten. Es kann auch andere Orte geben, die wie Admin-Bereiche gesperrt werden können. Sie können die PHP-Ausführung auch in Verzeichnissen einschränken, die Bilder enthalten oder Uploads zulassen.

Es gibt viele weitere Regeln und Optionen, die Sie für Ihre Web-Server-Konfigurationsdatei suchen können. Sie können nach dem Namen Ihres CMS, Ihres Webservers und „Sicherheit“ suchen, aber achten Sie darauf, dass Sie Ihre Ergebnisse mit mehreren Quellen bestätigen, bevor Sie etwas implementieren.

8 – SSL Installation

Ich war mir nicht ganz sicher ob ich diesen Punkt anbringen soll, weil es so viele Artikel gibt, die fälschlicherweise die Installation von SSL als die Lösung der Sicherheitsprobleme darstellen. SSL tut nichts, um Ihre Website vor irgendwelchen bösartigen Angriffen zu schützen oder sie davon abzuhalten, Malware zu verteilen. SSL verschlüsselt die Kommunikation zwischen Punkt A und Punkt B – dem Webserver und dem Browser. Diese Verschlüsselung ist aus einem bestimmten Grund wichtig: Sie verhindert, dass jemand in der Lage ist, diesen Verkehr abzufangen, der als „Man in the Middle“ (MITM) Angriff bekannt ist.

SSL ist besonders wichtig für die E-Commerce-Website-Sicherheit und jede Website, die Formular-Einreichungen mit sensiblen Benutzerdaten oder persönlich identifizierbare Informationen (PII) akzeptiert.

9 – Ordner Zugriffe
Dateizugriffsberechtigungen definieren, wer was mit einer Datei machen kann.

Jede Datei hat 3 Berechtigungen und jede Berechtigung wird durch eine Zahl dargestellt:

Lesen ‚Read‘ (4): Den Inhalt der Datei ansehen
Schreiben ‚Write‘ (2): Ändern Sie den Dateiinhalt.
Ausführen ‚Execute‘ (1): Führen Sie die Programmdatei oder das Skript aus

Wenn Sie mehrere Berechtigungen erlauben möchten, müssen Sie nur die Zahlen zusammenfügen, z. B. Um zu lesen (4) und schreiben (2) legen Sie die Benutzerberechtigung auf 6. Wenn Sie einem Benutzer erlauben möchten, zu lesen (4), zu schreiben (2) und auszuführen (1), dann setzen Sie die Benutzerberechtigung auf 7.

Es gibt auch 3 Benutzertypen:

Besitzer „Owner“ – In der Regel der Ersteller der Datei, aber das kann geändert werden. Nur ein Benutzer kann der Besitzer sein.

Gruppe „Group“ – Jede Datei wird einer Gruppe zu gewiesen, und jeder Benutzer, der Teil dieser Gruppe ist, erhält diese Berechtigungen.

Öffentlichkeit „Public“ – alle anderen.

Also, wenn Sie möchten, dass der Besitzer Lese- und Schreibzugriff hat, muss die Gruppe nur Lesezugriff haben, und öffentlich, um keinen Zugriff zu haben, sollten die Berechtigungseinstellungen der Datei sein:

Die meisten CMS-Installationen haben alle Berechtigungen standardmäßig richtig konfiguriert, also warum habe ich nun so viel Zeit damit verbracht, Ihnen zu erklären wie Berechtigungen funktionieren? Bei der Suche nach Lösungen für Berechtigungsfehler, finden Sie online Personen, die berichten, dass Sie die Dateiberechtigungen auf 666 ändern sollen oder die Ordner-Berechtigungen auf 777. Dieser Rat wird in der Regel alle Berechtigungsfehler beheben, aber es ist ein schrecklicher Rat aus Sicht der Sicherheitsperspektive. Denn wenn man eine Datei-Berechtigung auf 666 oder Ordner-Berechtigung auf 777 geändert hat, dann hat erlaubt man damit den Zugriff für „jedermann“, einen schädlichen Code einzusetzen oder die Dateien zu löschen! Also Achtung.

Schlussfolgerung

So, wir haben es geschafft, zehn relativ einfache Schritte, die Sie ergreifen können, um die Sicherheit Ihrer Website drastisch zu erhöhen. Während diese Schritte allein natürlich nicht garantieren, dass Ihre Webseite niemals angegriffen oder gehackt wird, sollen die Tipps Ihnen helfen, es der Mehrheit der automatisierten Angriffe zu erschweren, erfolgreich zu sein und das gesamte Risiko zu verringern.

Was wäre, wenn…

…Sie diesen Artikel über Social Media teilen?
…Sie diesen Artikel kommentieren?

Sie bewirken damit zwei Dinge:

  1. Ein freudiges Lächeln auf meinem Gesicht für jedes Teilen.
  2. Sie machen diesen Beitrag noch besser mit Ihrer Anmerkung oder Frage.

Oder wie wir Schweizer sagen: DANKE VIELMALS!

1 Comment

  • ONMA Hannover
    Posted 19. April 2018 8:39 0Likes

    Klasse Beitrag! Vielen Dank für diese vielen hilfreichen Tipps!

Leave a comment

Jetzt gratis Webdesign-Beratung holen:

Kostenlose & unverbindliche Erstberatung: Holen Sie sich alle Information die Sie brauchen für Ihre neue Website.

Fine-Webdesign Späni
Neuheimstrasse 18a
CH-8853 Lachen

TEL: +41 78 737 90 49
E-MAIL: info@fine-webdesign.ch