Warum Ihre Website stets technisch aktuell gehalten werden sollte
Ein technisch nicht aktuell gehaltenes Websystem kann gefährliche Sicherheitslücken aufweisen, die es Hackern und Spammern ermöglichen, Ihr System zu missbrauchen oder im schlimmsten Fall zu übernehmen oder zu zerstören. Erfahren Sie in diesem Artkel, was Sie tun müssen, um Ihr CMS möglichst sicher zu halten.
Das Internet wird nicht nur immer wichtiger für das Geschäftsleben, einher geht damit auch zwangsläufig, dass es immer attraktiver für Hacker und Spammer wird. Als Kunde mit Service-Vertrag von André Morre Grafik-Design wird Ihr Web-System stets aktuell gehalten und entscheidende Sicherheitseinstellungen werden vorgenommen, um Ihr CMS vor Angriffen besser zu schützen.
Wenn Sie keinen Service-Vertrag haben, lesen Sie bitte unbedingt nachfolgenden Artikel und informieren sich darüber, welche Maßnahmen, dennoch durchgeführt werden müssen oder ob ggf. auch für Sie ein Service-Vertrag die bessere Lösung ist.
Beginnen wir diese Informationsseite mit einer kleinen Quizfrage: Was würden Sie schätzen, wie viele Hacker-Angriffe pro Monat auf Ihren Internetauftritt ausgeübt werden? Machen Sie sich kurz und knapp Gedanken dazu und drücken dann auf „Antwort“.
5.000 bis 10.000 Angriffe auf Ihre Website pro Monat
Diese Zahlen beziehen sich auf ein tatsächliches Systemtracking vom Februar 2019 von regionalen Kundenseiten von André Morre Grafik-Design. Es ist also nicht irgendeine Statistik aus dem Web, sondern gemessene Realtität.
Was bezwecken die Hacker?
- Zerstörung und/oder feindliche Übernahme Ihres Websystems
- Zugriff auf Ihren Server, um von dort aus Massenspam zu versenden
- Zugriff auf Ihr System, um dort Kundendaten und andere Informationen abzugreifen
- Verbreitung von Spam-Werbung in Ihrem Kommentar-Blog, sofern vorhanden
- Verbreitung von Spam-Werbung über Ihr Kontaktformular
- Zugriff auf Ihr eMail-Konto, um mit Ihrem Namen an Ihre Kontakte Spam zu versenden
Wie verschaffen die Hacker sich Zugriff?
- Durch Brute Force Attacken, bei denen in Sekundenbruchteilen tausende von Passwörtern durchprobiert werden
- Durch Schwachstellen im System oder Sicherheitslücken genutzter Plugins/Addons, die durch Updates noch nicht beseitigt wurden
- Durch das Abgreifen unverschlüsselter Daten
- Durch Phishing per Mail oder auf Webseiten
Woran erkenne ich, dass meine Website gehackt wurde?
- Der Inhaber wurde ausgesperrt und hat keinen Zugriff mehr auf seine eigene Website
- Der Aufruf der Domain führt auf eine andere Seite, bspw. auf eine Pornoseite
- Auf den Webseiten befinden sich plötzlich eingefügte Links zu dubiosen Webseiten (häufig Sexseiten)
- Der Webbrowser ruft die Seite nicht mehr auf und zeigt stattdessen eine Warnmeldung an, dass diese Seite gefährliche Inhalte enthält
- Der Provider hat einen extrem starken Traffic auf Ihrer Seite festgestellt und die Seite offline geschaltet
- Ihre Webseite landet auf Spam Blacklists mit der Folge, dass Ihre Website von bestimmten Anbietern (bspw. Google) gesperrt wird, ggf. sind auch Ihre eMails betroffen und werden nicht mehr versandt
Warum ist mir das noch nie passiert?
Entweder, weil auf Ihrem System bereits alle Sicherheitsmaßnahmen durchgeführt wurden und das System stetig aktuell gehalten wird – oder weil Sie bis jetzt Glück hatten und davon gekommen sind.
Aber wahrscheinlich hatten Sie auch noch nie einen schweren Autounfall, bei dem Sie erst Tage später im Krankenhaus wieder zu sich gekommen sind. Vielleicht liegt das daran, dass Sie ein besonnener und umsichtiger Fahrer sind, aber vielleicht hatten Sie auch einfach nur Glück, dass Ihnen nachts auf der Landstraße nicht dieser alkoholisierte Raser in Ihr Auto gefahren ist.
Mit welchen Maßnahmen kann ich die Sicherheit erhöhen?
- Wenn Sie ein Benutzerkonto in Ihrem Websystem nutzen achten Sie auf ein sicheres Passwort!
- Dies besteht aus 12 Zeichen mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Beispiel: PoskoTat145+
- Eine gute Alternative ist auch ein individueller Satz, den Sie sich gut merken können. Am besten mit Satzzeichen. Beispiel: Ich freue mich auf: Annika!
- Halten Sie die Systemversion Ihres CMS immer möglichst aktuell, denn oft dienen die Updates dem Schließen von Sicherheitslücken.
- Selbiges gilt für alle Systemerweiterungen wie Plugins und Addons.
- Führen Sie Sicherheitsmaßnahmen an Ihrem System durch, die die häufigsten Angriffe abwehren. Hierzu gehören:
- Umändern des Standard-Logins Ihres Systems auf eine individuelle URL
- Festlegen der maximalen Login-Versuche pro Besucher zur Verhinderung von Brute Force Attacken
- Aussperren aller IP-Adressen aus fremden Ländern bei einem Zugriff auf das Backend
- Verschlüsseln Sie die URL per SSH mit SSL-Zertifikat
- Verschlüsseln Sie die angegebenen eMail-Adressen, damit diese nicht von Spam-Bots ausgelesen werden können.
- Schließen Sie im Backend alle Länder aus, außer Ihr eigenes (beachten Sie dies bei Auslandsaufenthalten).
- Schließen Sie auch im Frontend ggf. Länder aus, sofern Sie nicht international tätig sind.
Pro & Contra Länderaussperrung
Der Besitzer eines Internetauftritts hat die Möglichkeit, gezielt bestimmten Ländern den Zugriff auf die Website zu verweigern. Bspw. bringt es einem Tischler aus Hamburg keine Vorteile, wenn ein Anwender aus Sri Lanka seine Webseite besucht. Die Gefahr von Angriffen wird durch das Aussperren hingegen deutlich reduziert. Abgesehen von der Grundsatzfrage, ob das Aussperren gewisser Länder moralisch korrekt ist, hat aber auch alles im Leben zwei Seiten. Um diesbezüglich Ihre Entscheidung zu treffen, wägen Sie bitte nachfolgende Pros und Contras ab:
PRO:
- Sicherheit: Je mehr Länder ausgesperrt werden, desto sicherer wird Ihre Seite
- Weniger Hacker- und Spamangriffe
- Weniger „Ideenklau“ (Stichwort: Produktpiraterie, Plagiate, Ideendiebstahl, etc.)
- Weniger Abfragen, was der Performance zugutekommt (Stichwort: DDos Attacken)
CONTRA:
- Reduzierung der möglichen Bekanntheit Ihrer Marke/Ihres Produkts (Stichwort: Soziale Medien)
- Es steigt die Gefahr, dass „gute“ Bots Ihre Seite nicht mehr aufsuchen können und dies Ihr Ranking in den Suchergebnissen verschlechtert. Bekannte Bots sollten daher von der Sperrung ausgeklammert werden
- Aussperren von gutartigen Bots und Besuchern ohne böse Absichten
- In Einzelfällen könnte es vorkommen, dass Besucher fälschlicherweise einem anderen als dem tatsächlichen Land zugewiesen und somit ausgesperrt werden
- Ausgesperrten Besuchern aus Ländern innerhalb der EU müsste eigentlich Zugang zur Datenschutzerklärung und Impressum gewährt werden (zumal das Aussperren nur über die Auswertung der IP-Adresse möglich ist), was durch das Blocken verhindert wird (Stichwort: rechtliche Grauzone)
Fazit
Mit der obigen kleinen Checkliste können Sie bereits die Sicherheit Ihres Internetauftritts um ein Vielfaches erhöhen. Wenn Sie darüber hinaus Ihr System regelmäßig aktuell halten, verringert sich die Gefahr, dass eins Ihrer Systemkomponenten eine Sicherheitslücke aufweist.