Gibt es als Website-Besitzer etwas Furchterregenderes als den Gedanken, dass alle Ihre Arbeiten von einem gewissenlosen Hacker verändert oder ganz ausgelöscht werden?

Sie haben hart an Ihrer Website (und Ihrer Marke) gearbeitet – deshalb ist es wichtig, sich die Zeit zu nehmen, die folgenden grundlegenden Tipps zum Schutz vor Hackern zu lesen. Dieser Artikel wird Ihnen auch zeigen, wie Sie überprüfen können, ob eine Website sicher ist und was Sie tun können, um sicherzustellen, dass Ihre Website vollständig vor Hackern geschützt ist.

Zusätzlich zu regelmäßigen Sicherung Ihrer Dateien (was Sie aus verschiedenen Gründen bereits tun sollten), können Sie mit den sieben einfachen Schritten Ihre Website vor Hackern schützen:

Schritt 1: Installieren Sie Sicherheits-PlugIns.

Sobald Sie alles aktualisiert haben, verbessern Sie Ihre Websitesicherheit weiter mit PlugIns, die aktiv Hacking-Versuche auf Webseiten verhindern.

Auch hier gilt: Bei WordPress sollten Sie sich mit kostenlosen Sicherheits-PlugIns wie iThemes Security und Bulletproof Security (oder ähnlichen Tools, die für Websites auf anderen Content-Management-Systemen verfügbar sind) beschäftigen. Diese Produkte beheben die Sicherheitsschwachstellen, die jeder Plattform innewohnen und verhindern zusätzliche Arten von Hacking-Versuchen, die ihre Website gefährden könnten.

Schritt 2: HTTPs verwenden.

Als User wissen Sie vielleicht schon, dass Sie die Adresszeile etwas genauer unter die Lupe nehmen sollten, wenn Sie einer Website sensible Informationen zur Verfügung stellen. Die meisten User wissen, dass diese fünf kleinen Buchstaben als wichtige Abkürzung für die Hacker-Sicherheit gelten: Sie signalisieren, dass es sicher ist, Finanzinformationen auf dieser speziellen Webseite bereitzustellen.

Im Juli 2018 veröffentlichte Google Chrome ein Sicherheitsupdate, das die Besucher der Website warnt, wenn auf Ihrer Website kein SSL-Zertifikat installiert ist. Ein SSL-Zertifikat ist wichtig, da es die Übertragung von Informationen – wie Kreditkarten, persönliche Daten und Kontaktinformationen – zwischen Ihrer Website und dem Server sichert. Suchmaschinen nehmen die Sicherheit von Webseiten ernster denn je, weil sie wollen, dass die User sicher im Internet surfen. Eine Suchmaschine kann Ihre Website in den Suchergebnissen schlechter einstufen, wenn Sie kein SSL-Zertifikat besitzen.

Was bedeutet das für Sie? Wenn Sie einen Online-Shop haben oder wenn ein Teil Ihrer Website von Besuchern verlangt, sensible Informationen wie eine Kreditkartennummer zu übermitteln, müssen Sie in ein Ssl-Zertifikat investieren. Die Kosten für ein SSL-Zertifikat sind minimal, aber die zusätzliche Verschlüsselungsstufe, die es Ihren Kunden bietet, trägt wesentlich dazu bei, Ihre Website sicherer und vertrauenswürdiger zu machen.

Schritt 3: Halten Sie Ihre Website-Plattform und Software auf dem neuesten Stand.

Eines der besten Dinge, die Sie tun können, um Ihre Website vor Hackern zu schützen, ist, sicherzustellen, dass Ihr Content-Management-System, Ihre Plugins, Apps und Skripte, die Sie installiert haben, auf dem neuesten Stand sind. Da viele dieser Tools als Open-Source-Softwareprogramme erstellt werden, ist ihr Code leicht zugänglich – sowohl für gut gemeinte Entwickler als auch für böswillige Hacker. Hacker können diesen Code ausnutzen und nach Sicherheitsschwachstellen suchen, die es Ihnen ermöglichen, die Kontrolle über Ihre Website zu übernehmen, indem sie Plattform- oder Skript-Schwachstellen ausnutzen.

Wenn Sie beispielsweise eine Website betreiben, die auf WordPress basiert, sind sowohl Ihre Basis-WordPress-Installation als auch alle Plugins von Drittanbietern, die Sie installiert haben, potenziell anfällig für diese Art von Cyberangriffen. Wenn Sie sicherstellen, dass Sie immer die neuesten Versionen Ihrer Plattform und Ihrer Skripte installiert haben, minimiert dies das Risiko, dass Sie auf diese Weise gehackt werden und dauert in der Regel sehr kurz.

WordPress-User können dies schnell überprüfen, wenn sie sich in Ihrem WordPress-Dashboard anmelden. Achten Sie auf das Aktualisierungssymbol in der linken oberen Ecke neben Ihrem Seitennamen. Klicken Sie auf die Nummer, um auf Ihre WordPress Updates zuzugreifen.

Schritt 4: Stellen Sie sicher, dass Ihre Passwörter sicher sind.

Dieser Tipp ist einfach, aber dafür auch besonders wichtig.

Es ist verlockend, ein Passwort zu verwenden, von dem Sie wissen, dass es für Sie immer leicht zu merken sein wird. Deshalb ist das gebräuchlichste Passwort Nr. 1 immer noch 123456. Sie müssen sich besser anstellen – viel besser, um Anmeldeversuche von Hackern und anderen Außenstehenden zu verhindern.

Bemühen Sie sich, ein wirklich sicheres Passwort zu generieren. Es sollte lang sein. Zudem sollten Sie eine Mischung aus Sonderzahlen, Zahlen und Buchstaben verwenden. Und halten Sie sich von potenziell leicht zu erratenden Keywörtern wie Ihrem Geburtstag oder dem Namen Ihres Kindes fern. Wenn ein Hacker irgendwie Zugang zu anderen Informationen über Sie erhält, weiß er, dass er diese zuerst erraten muss.

Sie sollten auch sicherstellen, dass jeder, der Zugang zu Ihrer Website hat, ähnlich sichere Passwörter verwendet. Die Erstellung sicherer Passwörter kann verhindern, dass ein Hacker Zugriff auf ihre Konten erhält.

Ein schwaches Passwort in ihrem Team kann Ihre Website anfällig für Datenschutzverletzungen machen, also setzen Sie Erwartungen an jeden, der einen Zugang hat und sich and den gleichen hohen Standard hält.

Schritt 5: Parametrisierte Abfragen.

Einer der häufigsten Website-Hacks, denen viele Webseiten zum Opfer fallen, sind SQL-Injections.

SQL-Injections sind von Bedeutung, wenn Sie ein Webformular oder einen URL-Parameter haben, der es externen Usern ermöglicht, Informationen bereitzustellen. Wenn Sie die Parameter des Feldes zu offen lassen, könnte jemand Code in sie einfügen, der den Zugriff auf Ihre Datenbank ermöglicht. Es ist wichtig, Ihre Website davor zu schützen, da die Menge an sensiblen Kundeninformationen in Ihrer Datenbank gespeichert werden kann.

Es gibt eine Reihe von Schritte, die Sie unternehmen können, um Ihre Website vor SQL-Injection-Hacks zu schützen. Einer der wichtigsten und am einfachsten zu implementierenden ist die Verwendung von parametrisierten Abfragen. Die Verwendung von parametrisierten Abfragen stellt sicher, dass Ihr Code über genügend spezifische Parameter verfügt, so dass es keinen Platz für einen Hacker gibt, sich mit ihnen zu beschäftigen.

Schritt 6: Nutzen Sie CSP.

Ähnlich wie bei SQL-Injections sind Cross-Site-Scripting-(XSS)-Angriffe eine weitere häufige Bedrohung, nach der Website-Besitzer Ausschau halten müssen. Sie treten auf, wenn Hacker einen Weg finden, bösartigen JavaScript-Code auf Ihre Seiten zu übertragen, der dann die Seiten aller Besucher Ihrer Website infizieren kann, die dem Code ausgesetzt sind.

Ein Teil Ihrer Bemühungen zum Schutz Ihrer Website vor XSS-Angriffen ist vergleichbar mit den parametrisierten Abfragen, die Sie für SQL-Injections verwenden. Sie sollten sicherstellen, dass jeder Code, den Sie auf Ihrer Website für Funktionen oder Felder verwenden, die Eingaben zulassen, so explizit wie möglich in dem ist, was erlaubt ist, damit Sie keinen Raum lassen, in dem etwas hineinrutschen kann.

Ein weiteres praktisches Tool, das Ihnen helfen kann, Ihre Website vor XSS zu schützen, ist die Content Security Policy (CSP). CSP ermöglicht es Ihnen, die Domain anzugeben, die ein Browser als gültige Quellen für ausführbare Skripte betrachten soll, wenn er sich auf ihrer befindet, so dass der Browser weiß, dass dieser nicht auf bösartige Skriprte oder Malware achten muss, die den Computer Ihres Seitenbesuchers infizieren könnten.

Die Verwendung von CSP ist einfach eine Frage des Hinzufügens des richtigen HTTP-Headers zu Ihrer Website, die eine Reihe von Anweisungen enthält, die dem Browser mitteilen, welche Domains in Ordnung sind und welche Ausnahmen von der Regel bestehen.

Schritt 7: Sperren Sie Ihre Verzeichnis- und Detailberechtigungen.

Im Folgenden muss ich ein wenig technisch werden, aber keine Sorge, die Komplexität wird sich in Grenzen halten.

Alle Webseiten können auf eine Reihe von Dateien und Ordnern reduziert werden, die auf Ihrem Webhosting-Account gespeichert sind. Neben dem Enthalten aller Skripte und Daten, die benötigt werden, um Ihre Website zum Laufen zu bringen, ist jeder dieser Dateien und Ordner eine Reihe von Berechtigungen zugeordnet, die steuern, wer eine bestimmte Datei oder einen bestimmten Ordner lesen, schreiben und ausführen darf, in Bezug auf den Benutzer, zu dem sie gehören, oder die Gruppe, zu der sie gehören.

Auf dem Linux-Betriebssystem sind die Berechtigungen als dreistelliger Code darstellbar, wobei jede Ziffer eine ganze Zahl zwischen 0 und 7 ist. Die erste Ziffer steht für Berechtigungen für den Eigentümer der Datei, die zweite Zwiffer für Berechtigungen für alle, die der Gruppe zugeordnet sind, der die Datei gehört, und die dritte Ziffer für Berechtigungen für alle anderen. Die Zuordnungen funktionieren wie folgt:

• 4 gleich Lesen
• 2 ist gleich Schreiben
• 1 ist gleich Ausführen
• 0 steht für „keine Berechtigungen“

Als Beispiel sei der Berechtigungscode „644“ genannt. In diesem Fall gibt eine „6“ (oder „4+2“) an erster Stelle dem Eigentümer der Datei die Möglichkeit, die Datei zu lesen oder zu schreiben. Die „4“ an der zweiten und dritten Stelle bedeutet, dass sowohl Gruppenbenutzer als auch Internetnutzer im Allgemeinen die Datei nur lesen können – zum Schutz der Datei vor unerwarteten Manipulationen.

Eine Datei mit „777“ (oder 4+2+1/4+2+1/4+2+1) Berechtigungen würde dann für den Benutzer, die Gruppe und alle anderen auf der Welt lesbar, beschreibbar und ausführbar sein.

Wie Sie vielleicht erwarten, ist eine Datei, der ein Berechtigungscode zugewiesen wird, der jedem im Web die Möglichkeit gibt, sie zu schreiben und auszuführen, viel weniger sicher als eine, die gesperrt wurde, um alle Rechte nur dem Eigentümer zu überlassen. Natürlich gibt es triftige Gründe, den Zugang für andere Benutzergruppen zu öffnen (z.B. anonymen FTP-Upload), aber diese Fälle müssen sorgfältig geprüft werden, um ein Sicherheitsrisiko für die Website zu vermeiden.

Aus diesem Grund ist es eine gute Faustregel, Ihre Berechtigungen wie folgt einzustellen:

• Ordner und Verzeichnisse = 755
• Einzelne Dateien = 644

Um Ihre Dateiberechtigungen festzulegen, melden Sie sich im Datei-Manager Ihres cPanels an oder verbinden Sie sich mit Ihrem Server über FTP. Sobald Sie sich darin befinden, sehen Sie eine Liste Ihrer vorhandenen Dateiberechtigungen.

Die letzte Spalte in diesem Beispiel zeigt die Ordner- und Dateiberechtigungen, die derzeit dem Inhalt der Website zugeordnet sind. Um diese Berechtigungen in Filezilla zu ändern, klicken Sie einfach mit der rechten Maustaste auf den entsprechenden Ordner oder die entsprechende Datei und wählen Sie die Option „Dateiberechtigungen“. Andernfalls wird ein Bildschirm geöffnet, in dem Sie über eine Reihe von Kontrollkästchen verschiedene Berechtigungen zuweisen können:

Obwohl das Backend Ihres Webhosts oder FTP-Programms etwas anders aussehen kann, bleibt der grundlegende Prozess zum Ändern von Berechtigungen derselbe.

Schrecken Sie nicht davor zurück, diesen wichtigen Schritt zu tun. Die Sicherung Ihrer Website vor Hackern ist für die langfristige Entwicklung ihrer Website von enormer Bedeutung.

Vielen Dank für Ihren Besuch.