In diesem dritten Beitrag zum Thema Web-Sicherheit lesen Sie, wie Sie mit wenigen einfachen Schritten Ihre Website schützen können. In den beiden vorherigen Artikeln hatten wir allgemein über potentielle Sicherheitslücken („Wie Sicher ist Ihre Website?“) und über die damit verbundenen Gefahren („Welche Schäden können entstehen?“) geschrieben.

Artikel Serie zu
Web-Sicherheit

  1. Wie sicher ist Ihre Website?
  2. Was kann passieren, wenn eine Website „gehackt“ wird?
  3. So schützen Sie Ihre Website!
Lesen Sie, wie Sie mit 4 Schritten die Sicherheit Ihrer Website erheblich verbessern können.

  • Nutzen Sie SSL Verschlüsselung – „https://ihredomain.com“ statt „http://ihredomain.com“.
  • Schließen Sie mögliche Sicherheitslücken durch regelmäßige Updates.
  • Setzen Sie Security Software ein, um Angriffe abzuwehren und eventuelle Schäden früh zu erkennen.
  • Last but not least, machen Sie regelmäßige BackUps.

Web-Sicherheit Schritt 1: SSL Verschlüsselung

SSL Zertifikat für die Web-Sicherheit
SSL Technologie (Secure Socket Layer) wird genutzt, um Informationen zwischen dem Rechner eines Besuchers Ihrer Website und Ihrem Webserver gesichert zu übertragen. Hierzu werden alle übertragenen Daten mit Hilfe des HTTPS Protokolls verschlüsselt und geschützt. SSL verhindert, dass ihre Daten von Dritten ausgelesen werden können und erhöht so die Web-Sicherheit.

Ob Sie einen Online-Shop nutzen oder auf Ihrer Website ein Kontaktformular anbieten: immer wenn Kundendaten zu und von Ihrem Webserver übertragen werden, sollten Sie SSL Verschlüsselung nutzen. Übrigens: SSL schützt auch die Übertragung Ihrer Login-Daten, wenn Sie sich in das Backend Ihres CMS einloggen.

Um SSL Verschlüsselung zu nutzen wird ein SSL Zertifikat bei Ihrem Webhosting-Provider beantragt und eingerichtet und Ihr Content Management System entsprechend umgestellt (Kosten beim Provider ca. 8-10 € im Monat).

Web-Sicherheit Schritt 2: Website Updates

Auf die Frage, warum CMS-Updates wichtig für die Web-Sicherheit sind, bin ich in dem Artikel „Wie sicher ist Ihre Website“ eingegangen. Hier geht es um die Frage „Wie führe ich Updates durch?“.

Abhängig von dem verwendeten CMS können Sie oft die Updates ohne HTML-Kenntnisse selber durchführen. Wie es geht erläutere ich am Beispiel WordPress.

Sobald Sie sich im Backend einloggen bekommen Sie angezeigt, welche Updates anstehen: Ein Update der WordPress Version, Ihres Themes, Ihrer Plugins, eventuelle Updates von Übersetzungen. Führen Sie die Updates nacheinander nach folgendem Prinzip durch:

  1. Erstellen Sie ein BackUp Ihrer Website.
  2. Führen Sie das erste Update durch.
  3. Testen Sie Ihre Website.

Falls Ihre Website nach dem ersten Update wie gewohnt funktioniert, fahren Sie mit dem nächsten Update fort. Falls nicht, wissen Sie, dass es an diesem einen Update liegt und Sie können den alten Stand wieder herstellen.

Content Management System Updates für die Web-Sicherheit

Web-Sicherheit Schritt 3: Security Software

Sicherheits-Software für Web-Sicherheit
Security Software übernimmt in der Regel 2 Hauptaufgaben:

  1. Sie verhindert, das Websites gehackt werden.
  2. Sie scanned Ihre Website auf Hacks.

1. WordPress und viele andere CMS erlauben von Haus aus z.B. beliebig viele Login-Versuche. Mit Security Software können Sie „Brute Force Attacks“ verhindern, in dem sie die Anzahl der Login-Versuche limitieren, die Anzahl der „Passwort vergessen“-Nutzungen limitieren, Sie können komplexe Passwörter fordern und IPs mit vermutlichen Security Verletzungen sperren.

2. Ihre Website wird auf Malware, gefälschte URLs, installierten Schadcode, Backdoors und DNS-Änderungen geprüft. Es gibt viele Stellen, an denen sich Hacker verstecken können. Die Provider von Security Software unterhalten Cluster von High Performance Servern, die Ihre Website scannen und mit dem Original-Code der CMS Hersteller vergleichen.

Web-Sicherheit Schritt 4: Website BackUps

Wie oft Sie ein BackUp machen sollten, hängt von verschiedenen Faktoren ab. Von einer Website, deren Inhalte nur selten geändert werden, muss nicht so oft ein BackUp gemacht werden, wie von einem gut gehenden Forum oder einem Online-Shop mit mehreren Bestellungen pro Stunde.

Unabhängig von diesen regelmäßigen zyklischen BackUps sollten Sie zusätzliche BackUps machen bevor Sie

  1. Inhalte updaten,
  2. Neue CMS Komponenten installieren,
  3. Das CMS oder CMS Komponenten updaten.

BackUps sollten nicht auf dem selben Server gespeichert werden wie Ihre Website – damit Ihr BackUp auch sicher ist, falls Ihrem Web-Server einmal etwas passiert. Sie können Ihre BackUps entweder herunterladen und bei sich lokal speichern, Sie können Services der Webhosting-Provider in Anspruch nehmen, die für wenige Euro externen Speicherplatz zur Verfügung stellen oder Cloud Services wie DropBox, Google Drive oder Amazon S3 nutzen.

BackUps als Teil der Strategie für Web-Sicherheit

Web-Sicherheit: Words of Caution

Risikominimierung für die Web-Sicherheit – ohne Garantie
Die hier beschriebenen Schritte werden Ihre Web-Sicherheit ganz erheblich erhöhen – und hier findet die Metapher von den beiden Gazellen, die von einem Geparden gejagt werden, Anwendung. Hier sagt die eine Gazelle zur anderen: „Ich muss nicht schneller laufen als der Gepard. Ich muss nur schneller laufen als Du!“ Auch Hacker haben es gerne einfach und bevorzugen ungeschützte Websites.

Und dann: es gibt keine Garantie! Keine Garantie, dass Ihre Website nicht gehackt wird, wenn Sie diese Maßnahmen durchführen. Sie können aber das Risiko erheblich reduzieren. Und es gibt auch keine Garantie, dass sich Ihre Website aus Ihrem BackUp verlustfrei wieder herstellen läßt. Allerdings steigen die Chancen ganz erheblich, wenn es überhaupt ein BackUp gibt!