Wenn es darum geht, das Beste aus deiner Website herauszuholen, wird ein Aspekt viel zu oft vernachlässigt: die Sicherheit. Du würdest dein physisches Geschäft wohl kaum über Nacht unverschlossen lassen, und du solltest auch nicht riskieren, deine Website ungeschützt zu lassen.
Cyberbedrohungen sind ein ernsthaftes und allgegenwärtiges Problem – egal, ob du eine Einzelperson, ein kleines Unternehmen oder ein globales Unternehmen bist.
Malware, Datendiebstahl und andere Formen von Cyberkriminalität werden von Jahr zu Jahr mehr. Einer Studie zufolge haben Cyberangriffe im Jahr 2022 um 38 % zugenommen. Und dieser Trend zeigt keine Anzeichen einer Umkehr.
Um dich vor den Cyberbedrohungen zu schützen, musst du zunächst wissen, wogegen du kämpfst. Von grundlegenden Verteidigungsstrategien bis hin zu Diensten wie Jetpack Security, die den Prozess automatisieren, findest du in diesem Beitrag alles, was du brauchst, um deine harte Arbeit zu schützen.
Warum Website-Sicherheit wichtig ist
Stell dir vor, du wachst auf und findest ein albtraumhaftes Szenario vor: Jemand hat deine Website gehackt.
Vielleicht wurde sie schrecklich entstellt, mit Spam oder Malware infiziert. Vielleicht ist sie komplett verschwunden und dort, wo sie einmal war, sind jetzt nur noch leere Seiten und ein leerer Server.
Das Ergebnis ist immer das gleiche, ganz egal, ob deine Website deine Lebensgrundlage, deine Einnahmequelle oder ein persönliches Projekt ist, in das du dein ganzes Herzblut gesteckt hast.
Wenn du ein großes Publikum hast, können die persönlichen Daten deiner Kunden oder Follower gefährdet sein, oder ihre Computer können mit Malware infiziert sein, ohne dass sie wissen, warum.
Für Geschäftsinhaber ist es noch schlimmer. Ein Angriff kann sich katastrophal auf das Image deiner Marke auswirken, Verkäufe komplett zum Stillstand bringen, das Vertrauen deiner Kunden sowie alle Zukunftsaussichten, die du mit ihnen hattest, zerstören oder sogar zu Klagen und rechtlichen Schritten gegen dich führen.
Leider glauben die meisten Menschen, dass ihnen so etwas nie passieren würde, und ergreifen keine Maßnahmen, um ihre Website zu schützen. Aber die Wahrheit ist, dass die meisten Cyberangriffe nicht gezielt sind. Sie stammen von Bots, die das Web durchsuchen und nach Schwachstellen in der Sicherheit von Websites suchen.
Einer Studie zufolge werden 57 % aller E-Commerce-Cyberangriffe von Bots verursacht. Und diese Zahl nimmt ständig zu, da sich die Cyberbedrohungen weiterentwickeln. Eine Datenverletzung kostet im Durchschnitt 9,48 Millionen US-Dollar (wenn du sensible Daten speicherst), daher kannst du es dir nicht leisten, nichts zu tun.
Wenn du verstehst, wie diese Bedrohungen funktionieren, und Maßnahmen ergreifst, kannst du mögliche Schäden begrenzen oder Probleme von vornherein verhindern.
Gängige Bedrohungen für die Website-Sicherheit
Von Ransomware über Spam bis hin zu DDoS-Angriffen gibt es viele Möglichkeiten, wie Angreifer deine Website ins Visier nehmen können.
Ihre Motivationen sind vielfältig – vielleicht möchten sie Benutzeranmeldeinformationen stehlen, kostenlose Backlinks zu ihren Spam-Websites erhalten oder deine Website aus purer Bosheit zum Absturz bringen. Wichtig ist, die verwendeten Methoden zu verstehen und zu wissen, wie du sie stoppen kannst.
1. Malware und Ransomware
Malware – der kurze, allgemeine Begriff für eine Sammlung schädlicher Programme – ist eine ernsthafte Bedrohung. Von vielen dieser Programme wie Viren, Würmern, Trojanern und Spyware hast du sicher schon gehört. Und genauso wie dein persönlicher Computer müssen auch die Server, die deine Website hosten und deine Daten speichern, geschützt werden.
Andernfalls könnten deine Daten beschädigt, gelöscht oder veröffentlicht werden und deine Website zu einer Malware-Schleuder werden, die sich auf Tausende von Menschen negativ auswirkt.
Eine besonders gefährliche Art von Malware wird als Ransomware bezeichnet. Diese verschlüsselt die Dateien deiner Website und verlangt Geld für ihre Freigabe. Wenn du nicht innerhalb weniger Tage bezahlst, werden die Daten in der Regel gelöscht. Und leider zahlen viele Menschen. Dies ist die häufigste Art von Cyberangriff weltweit (68 % der Cyberangriffe allein im Jahr 2022).
Malware und Ransomware können auf verschiedene Arten in deine Website eindringen und sie infizieren, aber zu den häufigsten Eintrittspforten zählen verwundbare Plugins, Themes und veraltete Software.
2. Brute-Force-Angriffe
Brute-Force-Angriffe sind eine sehr plumpe und oft effektive Methode, Benutzerpasswörter zu „erraten“ und sich unbefugten Zugriff auf eine Website zu verschaffen. Diese Art von Cyberangriff erfolgt in der Regel durch die Verwendung eines Botnetzes (eines automatisierten Programms), das systematisch Passwörter eingibt oder „rät“, bis das richtige gefunden wird.
Sobald ein Hacker dein einzigartiges Passwort knackt und sich Zugang zu deiner Website verschafft, kann er Chaos anrichten. Egal, ob er Daten stiehlt, deine Website entstellt, Dateien löscht oder seine Administratorrechte nutzt, um dich auszusperren und die volle Kontrolle zu übernehmen – das Spiel ist vorbei.
Und nicht nur Administratorkonten sind gefährdet. Selbst Benutzer mit niedrigeren Berechtigungen können einem Hacker genügend Kontrolle geben, um das zu tun, was er will. Oder ein Exploit kann es dem Hacker ermöglichen, über andere kompromittierte Systeme Zugriff auf ein Admin-Konto zu erlangen („Pivoting“).
Solche Angriffe nutzen oft schwache, standardmäßig verwendete oder leicht zu erratende Passwörter aus. Mit genügend Zeit und der richtigen Angriffsmethode kann ein Passwort – egal wie sicher es ist – letztendlich geknackt werden.
Es sei denn, du ergreifst Sicherheitsmaßnahmen, die Brute-Force-Angriffe verhindern. Techniken wie Zwei-Faktor-Authentifizierung, Begrenzung der Anmeldeversuche und die Verwendung von extrem sicheren Passwörtern können Wunder bewirken, um Hacker fernzuhalten.
3. SQL-Injection
SQL-Injection ist eine seit Jahren weit verbreitete Bedrohung für die WordPress-Sicherheit. Diese Art von Angriff kann Datenbankabfragen von einer Website, die eine SQL-Datenbank verwendet, manipulieren, sodass Hacker auf Informationen zugreifen können, für die sie keine Berechtigung haben. Anschließend kann der Hacker diese Informationen nach Belieben einfügen, ändern oder löschen.
Nehmen wir zum Beispiel ein Kontaktformular auf deiner Website. Wenn eine Seite oder ein Skript Eingaben nicht ordnungsgemäß bereinigt und jedem erlaubt, Eingaben auf deiner Website zu ändern, können Hacker darüber Code senden, um SQL in deine Datenbank einzufügen. Das Ergebnis? Alles von Datenlecks über Datenänderungen bis hin zu einer vollständigen Übernahme der Datenbank.
Die beste Art, eine SQL-Injection zu verhindern, besteht darin, Eingaben aus Formularen und Datei-Uploads zu bereinigen. Aber selbst wenn Hacker Konten über diesen Vektor kompromittieren können, helfen Abwehrmaßnahmen über Zugriffskontrollen und die Benutzerverwaltung, die Auswirkungen dieser Angriffe zu begrenzen.
4. Cross-Site-Scripting (XSS)
Cross-Site-Scripting (XSS) ist eine ständige Bedrohung der Cybersicherheit, die sowohl für Website-Besucher als auch für Website-Betreiber ein Risiko darstellt. XSS ermöglicht es Hackern, bösartige Skripte direkt in eine Webseite einzubetten. Skripte können auf clientseitige (Browser-)Informationen zugreifen und eine Vielzahl anderer Angriffe durchführen.
Diese Skripte können Benutzersitzungen übernehmen, sensible Informationen und Benutzeranmeldedaten stehlen oder einfach deine Website entstellen.
Trotz großer Fortschritte im Bereich der Online-Sicherheit bestehen XSS-Schwachstellen weiterhin, hauptsächlich aufgrund unsicherer Programmierpraktiken und fehlender Eingabevalidierung.
Um dich vor Angriffen dieser Art zu schützen, musst du gute Programmierpraktiken anwenden und darfst nur Plugins installieren, die diese ebenfalls umsetzen. Du möchtest dich nicht mit Code beschäftigen? Du kannst ein Sicherheitsplugin installieren, das sich um alles kümmert.
5. Distributed Denial of Service (DDoS)
Im Gegensatz zu gewöhnlicher Malware sind DDoS-Angriffe besonders hinterhältig, weil sie nicht in deine Website eindringen müssen, um Chaos anzurichten.
Jeder, der über die entsprechenden Ressourcen verfügt, kann einen DDoS-Angriff auf deine Website starten, indem er deinen Server oder dein Netzwerk mit einer Flut an gefälschtem Traffic überfordert, sodass der Server oder das Netzwerk innerhalb weniger Millisekunden nicht mehr erreichbar ist.
Bei einem DDoS-Angriff startet ein Netzwerk von kompromittierten Geräten, auch „Botnet“ genannt, einen Angriff auf ein bestimmtes Ziel: deine Website. Indem sie sie mit mehr Traffic bombardieren, als der Server verarbeiten kann, belasten sie deinen Server immens, verlangsamen ihn oder bringen ihn vollständig zum Absturz.
Ihre Motivationen können vielfältig sein. Vielleicht wollen sie ein Lösegeld verlangen, um den Angriff zu stoppen, oder vielleicht mögen sie dich einfach nicht. Glücklicherweise erfordern DDoS-Angriffe, obwohl sie kostengünstig und einfach gestartet werden können, bei längerer Ausführung auch viel Geld und Ressourcen. Daher sind sie selten und dauern in der Regel nicht länger als ein paar Tage bis eine Woche.
Aber das reicht immer noch aus, um deine Benutzer zu verärgern, deinem guten Ruf zu schaden und dich viel Geld zu kosten.
Um dich gegen DDoS-Angriffe zu verteidigen, solltest du eine zuverlässige Web Application Firewall installieren, die über eine Durchsatzbegrenzung verfügt und mithilfe von KI zwischen gutem und schlechtem Traffic unterscheiden kann. Du solltest auch ein CDN installieren, da CDNs Schutz vor DDoS beinhalten.
6. SEO-Spam
Wenn ein Angreifer in deine Website eindringt, merkst du es normalerweise schnell. Entweder wirst du aus deinem Konto ausgesperrt oder jede Seite ist mit unangenehmen Nachrichten und bösartigem Code verunstaltet.
SEO-Spam ist etwas anders: Angreifer nutzen deine Website, um anderen zu schaden. Sie tun dies mit einem unauffälligen Angriff auf deine Website, mit dem Ziel, Suchrankings zu manipulieren – und sie versuchen aktiv, nicht erkannt zu werden.
Hacker nutzen Sicherheitslücken in deiner Website aus, um versteckte Links, Keywords und andere Inhalte einzufügen. Diese werden verwendet, um deine bestehende SEO-Autorität zu nutzen und die Suchmaschinenrankings bösartiger Websites zu verbessern. Da diese Angriffe oft verdeckt erfolgen, kann es Monate dauern, bis du den Schaden bemerkst.
Aber letztendlich bestraft Google die Websites, die auf diese Weise betrügen, und bald wird auch deine Website bestraft. Du wirst schnell ans Ende der Suchergebnisse geschoben, und wenn Benutzer auf die über deine Website verbreiteten Spam- und Virenlinks klicken, leidet deine Glaubwürdigkeit und Reputation.
Starke Benutzerzugriffskontrollen und eine regelmäßige Überprüfung deiner Website minimieren den Schaden, den SEO-Spammer anrichten können.
Grundlagen der Website-Sicherheit
Wenn du eine Website betreibst, musst du einige grundlegende Sicherheitsvorkehrungen umsetzen. Sehen wir uns die wichtigsten Säulen der Website-Sicherheit an – die zentralen Kernaspekte wie die Auswahl eines sicheren Hosters und die Installation eines CDN.
1. Wähle einen zuverlässigen Hosting-Anbieter
Sicherheit beginnt mit der Wahl eines zuverlässigen Hosting-Anbieters mit sicherer Infrastruktur.
Egal, wie viele Maßnahmen du umsetzt, um deine Website zu schützen – wenn dein Hoster mit schlecht gesicherter Infrastruktur eine Tür offen lässt, bietet er eine große Angriffsfläche für Malware. Dann ist all deine harte Arbeit umsonst.
Sieh dir die Sicherheitsmaßnahmen an, die ein Hosting-Anbieter implementiert hat. Verfügt er über eine integrierte Web Application Firewall zum Schutz vor Angriffen?
Zusätzlich zu den Sicherheitsmaßnahmen des Hosters solltest du dir auch seine Erfolgsbilanz ansehen. Wie oft wurde er gehackt? Welche Schutzmaßnahmen hat er ergriffen, damit es nicht wieder passiert?
Wenn es um Website-Sicherheit geht, musst du bedenken, dass sowohl du als auch dein Hosting-Anbieter dafür verantwortlich sind, deine Website sicher zu halten. Du trägst natürlich selbst eine große Verantwortung, aber auch dein Hosting-Anbieter muss seinen Beitrag leisten.
2. Halte Software und Plugins auf dem neuesten Stand
Das Einfachste, was du für deine WordPress-Website tun kannst, ist, alles auf dem neuesten Stand zu halten.
WordPress, PHP und andere für das Betreiben einer Website erforderliche Softwarekomponenten werden ständig verbessert. Wenn Sicherheitslücken entdeckt werden, liefern Updates Patches, damit die Schwachstellen nicht mehr ausgenutzt werden können.
Der größte Fehler, den du als Website-Betreiber machen kannst, ist, ein Update nicht anzuwenden. Mach es zu einer fortlaufenden Priorität, auf Updates zu prüfen und diese anzuwenden (oder aktiviere automatische Updates). Dies gilt für sämtliche Software, einschließlich:
- WordPress-Kernsoftware
- alle WordPress-Plugins
- WordPress-Themes
- deine PHP-Version und das Betriebssystem deines Servers
Vergiss nicht, dass ein hoher Prozentsatz von Cyberangriffen vollautomatisch erfolgt. Bots scannen Websites wahllos auf bekannte Software-Sicherheitslücken und nutzen alle aus, die nicht gepatcht wurden. Lass das nicht mit dir passieren!
3. Ändere die Standard-Einstellungen deines CMS
Einer der einfachsten (aber oft übersehenen) Schritte zur Verbesserung der Website-Sicherheit besteht darin, die Standard-Einstellungen in deinem CMS zu ändern. Heutzutage ist WordPress standardmäßig gut abgesichert, aber es gibt ein paar Dinge, die du tun könntest:
- Ändere den Standard-Benutzernamen. Ein Faktor, der Brute-Force-Angriffen das Leben leicht macht, ist, dass sie den standardmäßigen Administrator-Benutzernamen nicht erraten müssen – er lautet einfach „admin“. Wenn du ihn änderst (verwende dafür nicht deinen Vornamen, Benutzernamen oder etwas anderes, das erraten werden könnte), dann reduzierst du das Risiko, durch Brute Force gehackt zu werden, erheblich.
- Ändere die URL der Anmeldeseite. Brute-Force-Angriffe haben in der Regel Erfolg, weil die Anmeldeseite bei den meisten WordPress-Installationen gleich ist. Wenn es sich um einen automatisierten Versuch handelt, gibt der Bot normalerweise nach einigen offensichtlichen URLs auf. Du könntest auch den Zugriff beschränken und nur deine IP-Adresse oder die IP-Adressen deiner vertrauenswürdigen Mitarbeiter zulassen.
- Aktiviere WordPress-Updates. Automatische WordPress-Updates sind jetzt standardmäßig aktiviert, aber wenn du eine ältere Installation verwendest (was du nicht tun solltest, wenn du immer auf dem aktuellen Stand sein möchtest), stelle sicher, dass Updates für Plugins und die Kernsoftware aktiviert sind.
- Ändere das standardmäßige Tabellenpräfix für WordPress. Dadurch wird es für Angreifer schwieriger, das bekannte Präfix „wp_“ anzugreifen.
- Deaktiviere die Dateibearbeitung im Dashboard. Das Bearbeiten von Dateien im WordPress-Dashboard ist sehr praktisch, aber es macht es Hackern auch viel leichter, deine Website zu ruinieren, wenn es ihnen gelingt, einzudringen.
- Verbirg deine WordPress-Version. Verbirg diese Information, damit Hacker nicht so einfach bekannte Sicherheitslücken in bestimmten Versionen von WordPress ausnutzen können.
- Ändere die Dateiberechtigungen. Wenn du mit Linux-Dateiberechtigungen vertraut bist, solltest du die Berechtigungen deiner Website überprüfen und sicherstellen, dass nichts zu leicht zugänglich ist.
- Deaktiviere die Ausführung von PHP in von Benutzern beschreibbaren Verzeichnissen. Dadurch können deine Plugins weiterhin funktionieren, während gleichzeitig Angreifer, die bösartige Dateien hochladen und ausführen möchten, blockiert werden.
Durch einige kleine Anpassungen bei deinen Einstellungen kannst du das Risiko von Sicherheitsverletzungen erheblich reduzieren.
4. Installiere ein SSL-Zertifikat für die gesamte Website
Ein SSL-Zertifikat verschlüsselt die Daten, die zwischen dem Browser eines Benutzers und dem Server deiner Website übertragen werden, um unbefugte Zugriffe oder Abfangversuche von bösartigen Dritten zu verhindern.
Das Sichern deiner Website mit einem SSL-Zertifikat ist nicht nur ein grundlegender Schritt zum Schutz sensibler Daten (und möglicherweise gesetzlich vorgeschrieben, wenn du mit deiner Website sensible Daten wie Benutzerlogins oder Kreditkartendaten verarbeitest), HTTPS auf deiner Website stellt auch sicher, dass alle Daten (von Anmeldedaten über Zahlungsinformationen bis hin zu persönlichen Daten) während der Übertragung verschlüsselt sind.
Selbst wenn du solche Informationen nicht verarbeitest, ist SSL ein Muss. Die Leute fühlen sich oft unwohl, wenn kein SSL-Zertifikat vorliegt. Browser geben beim Fehlen eines SSL-Zertifikats eine große rote Warnmeldung aus. Und Google bestraft Websites, die kein SSL-Zertifikat haben.
Die Installation ist in der Regel recht einfach, und dein Hosting-Anbieter oder Domain-Registrar wird dir oft ein kostenloses SSL-Zertifikat geben. Nach der Installation musst du nur sicherstellen, dass die URLs deiner Website so konfiguriert sind, dass sie HTTPS anstelle von HTTP verwenden, um sichere Verbindungen auf deiner Website zu erzwingen.
5. Installiere ein CDN
Ein Content Delivery Network (CDN) kann deiner Website einen großen Performance- und Sicherheitsschub geben. CDNs sind Netzwerke von Servern, die auf der ganzen Welt verteilt sind und entwickelt wurden, um Inhalte schneller an deine Benutzer zu liefern.
Das hat Auswirkungen auf die Sicherheit. CDNs sind besonders gut darin, DDoS-Angriffe zu vereiteln, bei denen eine Website durch zu viel Traffic gehackt wird.
CDNs vereiteln diese anhaltenden Cyberangriffe, indem sie die Last auf viele verschiedene Server verteilen, anstatt sie auf nur einer Website zu tragen.
Für deine Website kann ein CDN besonders hilfreich sein, da viele CDNs großartige zusätzliche Sicherheitsfunktionen wie Web Application Firewalls und Bot-Mitigation bieten.
Um ein CDN zu installieren, musst du dich in der Regel nur für den Dienst anmelden und deine DNS-Einstellungen so konfigurieren, dass dein Traffic über das Netzwerk des CDN-Anbieters geleitet wird. Einige Plugins, wie Jetpack, haben sogar ein speziell für WordPress entwickeltes CDN, das du verwenden kannst.
Zugriffskontrolle und Benutzerverwaltung
Eine häufige Schwachstelle, die Hacker auszunutzen versuchen werden, ist eine schlechte Zugriffskontrolle für Benutzer. Selbst wenn das Administrator-Konto gut gesichert ist, kann es ihnen durch das Eindringen in ein Konto mit weniger Berechtigungen gelingen, eine Website zu kapern.
Daher benötigst du starke Richtlinien für Zugriffskontrollen und musst die Benutzerberechtigungen einschränken.
Hier sind fünf Möglichkeiten, die Zugriffskontrollen und Benutzerverwaltung zu verbessern und die Sicherheit zu erhöhen:
1. Implementiere starke Passwortrichtlinien und -praktiken
Die Besucher sind das Fundament deiner Website und sie möchten oft die einfachsten Anmeldedaten verwenden. Wenn du jedoch nicht verlangst, dass sie starke Passwörter verwenden, könnte selbst ein Anfänger-Hacker deine Website lahmlegen. Schwache oder leicht zu erratende Passwörter stellen ein erhebliches Sicherheitsrisiko dar, da sie unbefugten Zugriff auf das Backend deiner Website ermöglichen können.
Insbesondere für Benutzer mit hochrangigen Rollen und Berechtigungen, wie z. B. solche, die deine Website direkt bearbeiten können, solltest du starke, komplexe und schwer zu erratende Passwörter nicht nur empfehlen, sondern vorschreiben. Je komplizierter, desto besser. Vermeide gängige und leicht zu erratende Wörter, Phrasen oder Muster. Verwende eine lange Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen, die nicht auf Informationen basieren, die anderen online zur Verfügung stehen.
Du kannst auch Richtlinien für das Ablaufdatum von Passwörtern festlegen, damit kompromittierte Passwörter schnell geändert werden.
2. Verlange eine Zwei-Faktor-Authentifizierung (2FA)
Die Implementierung einer Zwei-Faktor-Authentifizierung für alle wichtigen Benutzerkonten kann Angriffe stoppen. Selbst wenn ein Angreifer das Passwort eines Benutzers hat, benötigt er immer noch Zugriff auf die sekundäre Authentifizierungsmethode, um Zugang zu erhalten.
Beliebte Zwei-Faktor-Authentifizierungsmethoden verwenden zeitbasierte Codes, die häufig an eine sekundäre E-Mail-Adresse oder Telefonnummer gesendet werden, sowie Authentifizierungs-Apps wie Google Authenticator oder Authy. Einige Dienste erfordern sogar einen Fingerabdruck oder andere biometrische Merkmale.
Jetpacks sichere Authentifizierung ermöglicht es dir, die Anmeldung über ein WordPress.com-Konto zu verlangen und das WordPress.com-Konto zur Verwendung der Zwei-Faktor-Authentifizierung zu verpflichten. Für die richtigen WordPress-Websites ist dies eine bequeme Möglichkeit, diesen Schutz zu vielen WordPress-Websites hinzuzufügen.
3. Gehe vorsichtig mit Benutzerrollen und Berechtigungen um
Innerhalb von WordPress beschränken Benutzerrollen den Zugriff auf verschiedene Funktionen deiner Website, wie z. B. die Möglichkeit, neue Seiten hinzuzufügen oder vorhandene zu bearbeiten.
Indem du bestimmten Benutzern bestimmte Rollen zuweist und ihre Berechtigungen definierst, kannst du sicherstellen, dass jede Person die für ihre Aufgaben angemessenen Zugriffsberechtigungen hat.
WordPress bietet mehrere vordefinierte Benutzerrollen:
- Super-Admin. Hat vollen Administratorzugriff auf alle Websites in einem Netzwerk.
- Administrator. Hat volle Kontrolle über eine einzelne Website.
- Redakteur. Kann Beiträge erstellen, bearbeiten und veröffentlichen.
- Autor. Kann nur eigene Beiträge erstellen, bearbeiten und veröffentlichen.
- Mitarbeiter. Kann eigene Beiträge erstellen und bearbeiten, aber nicht veröffentlichen.
- Abonnent. Kann Kommentare hinterlassen und sein Benutzerprofil ändern.
Zusätzlich kannst du benutzerdefinierte Rollen erstellen oder die vorhandenen Rollen so bearbeiten, dass sie über unterschiedliche Berechtigungen verfügen. Einige Plugins können auch eigene Rollen beinhalten oder neue Funktionen hinzufügen, die du für jede Benutzerrolle aktivieren oder deaktivieren kannst.
Das Zuweisen angemessener Rollen kann den Zugriff auf sensible Daten einschränken und verhindern, dass jemand, der sich Zugriff auf eine Rolle mit niedrigem Berechtigungsniveau verschafft, zu viel Schaden anrichtet.
4. Begrenze die Anzahl der Anmeldeversuche
Indem du begrenzt, wie oft ein Benutzer (erfolglos) versuchen darf, sich anzumelden, kannst du deine Website effektiv schützen.
Letztendlich hast du das letzte Wort darüber, wie lange ein Verbot gilt, wie viele Anfragen durchgeführt werden, wie viele Anfragen erforderlich sind, um eine bestimmte IP-Adresse zu blockieren, und ob ein Verbot für ein bestimmtes Konto nur dann aufgehoben wird, wenn 2FA aktiviert ist – eine Funktion, die in einigen Plugins enthalten ist.
5. Verwende sichere Verbindungen zur Dateiübertragung (SFTP oder SSH)
Irgendwann musst du wahrscheinlich die Dateien deiner Website bearbeiten. Während FTP (File Transfer Protocol) schnell und einfach ist, bleiben alle übertragenen Daten unverschlüsselt und können von jedem abgefangen werden.
Dazu gehören FTP-Anmeldeinformationen, Website-Dateien und Konfigurationseinstellungen – ein Zugriff darauf würde es Hackern sehr einfach machen, deine Website zu infiltrieren.
Verwende daher beim Verwalten von Dateien in deinem Backend SFTP (Secure File Transfer Protocol) oder SSH (Secure Shell; Befehlszeilenzugriff). Diese Protokolle verschlüsseln Daten während der Übertragung und schützen sie vor unbefugtem Anzeigen oder Abfangen.
Um SFTP oder SSH für Dateiübertragungen zu verwenden, musst du deinen FTP-Client oder Server so konfigurieren, dass diese Protokolle unterstützt werden. Die meisten Webhoster unterstützen dies ebenfalls.
Echtzeit-Scans und Backups
Trotz all deiner Bemühungen kann es passieren, dass sich Malware einschleicht. Wenn etwas schiefgeht, können Echtzeit-Scans Eindringlinge erkennen, während Backups dir eine Möglichkeit zur Wiederherstellung bieten, wenn Malware deine Website beschädigt.
1. Installiere ein Sicherheitsplugin oder ein Überwachungssystem
Du solltest deine Website nicht ohne ein Sicherheitsplugin oder eine Überwachungsplattform betreiben. Sie sollte laufend in Echtzeit auf verdächtige Benutzeraktivitäten, fehlgeschlagene Anmeldeversuche, Malware und andere Risikoindikatoren überwacht werden.
Jetpack Scan überwacht deine Website rund um die Uhr und sendet sofort Benachrichtigungen, wenn etwas nicht stimmt. Mit einem Klick können die meisten Bedrohungen behoben werden. Scan verfügt auch über eine Web Application Firewall und ist entweder alleine oder als Teil des Pakets Jetpack Security erhältlich, das auch Jetpack Backup und Akismet sowie weitere Funktionen umfasst.
Die meisten Webhoster bieten auch eine integrierte Sicherheitsüberwachung an, die Malware auf Serverebene sowie Brute-Force-Angriffe überwacht und die Sicherheitsmaßnahmen auf Anwendungsebene ergänzt.
Sieh häufig in den Protokollen von Sicherheitsüberprüfungen, die du von Tools und Plugins erhältst, nach, ob es Anzeichen von Problemen gibt, die die Automatisierung nicht erkennt.
2. Installiere eine Web Application Firewall (WAF)
Eine Web Application Firewall fungiert als Schutzschild zwischen deiner Website und dem Internet und kann bösartigen Traffic in Echtzeit überwachen und filtern. Dies kann alles von SQL-Injektionsversuchen und Cross-Site-Scripting (XSS)-Angriffen bis hin zu DDoS-Angriffen umfassen.
WAFs sind wie eine Verteidigungslinie, die dich vor vielen der häufigsten Website-Sicherheitsbedrohungen schützen kann. Du kannst sie direkt auf deinen Webserver installieren oder cloudbasierte Dienste wie Jetpacks Web Application Firewall nutzen.
Überprüfe regelmäßig die von der Firewall generierten Protokolle, um mögliche Bedrohungen frühzeitig zu erkennen.
3. Sichere deine Website regelmäßig
Regelmäßige Website-Backups sind deine Absicherung gegen Datenverlust, Kompromittierung und alles andere, was schiefgehen könnte.
Du solltest die Backups in regelmäßigen Intervallen durchführen. Tatsächlich sollten die meisten Websites, außer solchen, die nicht so häufig aktualisiert werden, Echtzeit-Backups verwenden, die jede vorgenommene Änderung speichern.
Diese Backup-Dateien sollten außerhalb des Servers deiner Website gespeichert werden, um sicherzustellen, dass deine Daten im Falle eines Serverausfalls oder einer Sicherheitslücke nicht verloren gehen. Deshalb ist es keine sichere Strategie, sich ausschließlich auf vom Hoster bereitgestellte Backups zu verlassen.
Jetpack VaultPress Backup bietet die robusteste Lösung mit Echtzeit-Backups, die sicher in der Cloud gespeichert werden und dieselbe hochwertige Infrastruktur verwenden wie WordPress VIP.
Das Beste daran ist, dass du deine Website mit nur einem Klick wiederherstellen kannst, falls sie einmal ausfällt. Mit der Jetpack-App oder deinem WordPress.com-Konto kannst du eine Website fast überall auf der Welt wiederherstellen.
Es ist ganz einfach: Du möchtest nicht, dass deine Website offline ist oder deine Daten verloren gehen. Du benötigst eine automatisierte Lösung, die regelmäßige Website- und Datenbank-Backups durchführt, damit du dir keine Gedanken darüber machen musst.
Du brauchst einfach nur Jetpack Backup. Du kannst Backups nur über das eigene VaultPress-Plugin erhalten oder mit einem Jetpack Security-Tarif von einer umfassenderen Lösung profitieren.
Im Fokus: Jetpack Security für WordPress-Websites
Für WordPress-Benutzer, die ein umfassendes Sicherheitspaket suchen, bietet Jetpack Security eine vollständige Suite mit leistungsstarken Tools, die entwickelt wurden, um vor einer Vielzahl von Bedrohungen zu schützen und im Notfall bei der Wiederherstellung zu helfen.
Eine wichtige Funktion ist der Echtzeit-Scan auf Sicherheitslücken, der deine Website rund um die Uhr auf Schwachstellen oder Angriffe überwacht. Die ständig aktive Web Application Firewall ist perfekt darauf abgestimmt, potenzielle Bedrohungen zu erkennen, bevor sie Schaden anrichten.
Zusätzlich bietet Jetpack Security automatische Echtzeit-Backups, die sicher in der Cloud gespeichert werden. Wenn etwas passiert, ist die Wiederherstellung nur einen Klick entfernt.
Zu guter Letzt erkennt und schützt Jetpack Security außerdem vor einer Reihe anderer Bedrohungen, von Brute-Force-Angriffen bis hin zu ausnutzbaren Shell-Schwachstellen.
Das Schützen einer Website ist keine leichte Aufgabe, aber Jetpack Security automatisiert die schwierigsten Teile und nimmt dir die Arbeit ab.
Bonus-Tipp: Vermeide CAPTCHA zum Schutz vor Spam
CAPTCHAs werden seit über zwei Jahrzehnten zur Verhinderung von Spam eingesetzt und du weißt sicher selber, wie lästig es sein kann, sie auszufüllen. Warum willst du das deinen Besuchern antun? Noch dazu können CAPTCHAs zu hohen Absprungraten und schlechten Konversionen führen.
Schlimmer noch, Bots werden immer besser darin, sie zu lösen. In einer Studie konnte eine KI das „robotersichere“ CAPTCHA in fast 100 % der Fälle lösen.
Erwäge die Verwendung von Jetpack Akismet Anti-Spam, einem leistungsstarken Dienst zum Herausfiltern von Spam, der speziell für WordPress entwickelt wurde.
Akismet nutzt die Kraft des maschinellen Lernens, um eingehende Kommentare und Formulareingaben zu analysieren, und schützt deine Website so vor der Veröffentlichung bösartiger Inhalte, ohne dass Benutzer etwas dafür tun müssen.
Indem es Spam automatisch erkennt und blockiert, sorgt Akismet dafür, dass deine Website immer perfekt aussieht und frei von Spam ist, ohne deine Marketingziele zu beeinträchtigen.
Es ist als eigenständiges Plugin oder über einen entsprechenden Jetpack-Tarif (einschließlich Jetpack Security!) verfügbar.
Wie du auf Verletzungen der Website-Sicherheit reagieren solltest
Trotz all dieser proaktiven Maßnahmen kann es schwierig sein, einen Hacker zu stoppen, der wirklich eindringen will. Zu wissen, wie man schnell und effektiv reagiert, ist entscheidend, um die Auswirkungen eines Angriffs zu minimieren.
1. Bereite einen Vorfallreaktionsplan vor
Bevor ein Cyberangriff stattfindet, solltest du einen detaillierten Vorfallreaktionsplan haben. Dieser beschreibt die Vorgehensweisen im Fall verschiedener Sicherheitsverletzungen, um eine schnelle und organisierte Reaktion sicherzustellen.
Wenn dein Unternehmen oder Projekt sehr klein ist oder wenn du die einzige Person bist, die daran arbeitet, kann allein das Erstellen dieses Plans dir helfen, dich durch die unmittelbaren Schritte zu führen, die du unternehmen musst, um deine Website zu reparieren und Eindringlinge abzuwehren.
Hier sind einige Überlegungen für die Erstellung und Verwaltung eines Vorfallreaktionsplans:
- Weise jeder Person oder Gruppe von Personen Rollen und Verantwortlichkeiten zu. Wer wird sofort kontaktiert? Wer stellt die Backups wieder her? Wer kümmert sich um Malware-Entfernung?
- Stelle sicher, dass klare Kommunikationswege vorhanden sind, um mit diesen Personen in Kontakt zu treten, unabhängig von ihrer Position in der Organisation.
- Entwickle einen Schritt-für-Schritt-Reaktionsplan als Leitfaden für verschiedene Arten von Sicherheitsvorfällen, von entstellten Websites bis hin zu DDoS-Angriffen. Du solltest auch Vorgehensweisen definieren, um Sicherheitsverletzungen einzugrenzen, damit in der Panik des Moments kein weiterer Schaden angerichtet wird.
- Überprüfe deinen Vorfallreaktionsplan regelmäßig, um sicherzustellen, dass er noch aktuell ist und bei Bedarf umgesetzt werden kann.
- Teste deinen Vorfallreaktionsplan regelmäßig, genau wie deinen Code, um sicherzustellen, dass er zusammenhängend und leicht zu befolgen ist.
Proaktive Maßnahmen wie diese können Ausfallzeiten drastisch minimieren. Dies kann den Unterschied zwischen einer Website, die tagelang offline ist, und einer, die nur wenige Stunden offline ist, bedeuten.
2. Scanne deine Website
Sobald du von einer Sicherheitsverletzung erfährst, scanne deine Website vollständig mit einem Tool wie Jetpack Scan, um eventuelle verbleibende bösartige Dateien, Hintertüren, abnormale Codes, verdächtige Dateiberechtigungen, unbefugte Benutzer oder andere Anzeichen einer Kompromittierung zu identifizieren.
3. Begrenze und behebe die Sicherheitsverletzung
Sobald du die Quelle und das Ausmaß der Sicherheitsverletzung identifiziert hast, ergreife sofort Maßnahmen, um alle Spuren der Bedrohung zu entfernen.
Wenn du Jetpack Security oder etwas Ähnliches installiert hast, ist dies in der Regel mit einem Klick erledigt. Nicht zuletzt sollte dies den Großteil der Malware entfernen.
Leider kann Malware Rückstände hinterlassen und damit Schwachstellen öffnen, sodass Hacker wieder eindringen können. Automatische Scanner erkennen diese normalerweise ebenfalls, aber es schadet nicht, deine Website manuell zu überprüfen und nachzusehen, ob etwas Ungewöhnliches vorhanden ist.
Hier sind einige mögliche Maßnahmen, die du ergreifen kannst:
- Erwäge, deine Website vorübergehend offline zu nehmen, wenn sie verunstaltet ist oder aktiv Malware und Spam an Besucher verbreitet.
- Ändere sofort alle kompromittierten Passwörter.
- Stelle ein Backup wieder her.
- Überprüfe deinen Website-Code auf bösartige Code-Snippets, die zuvor nicht vorhanden waren.
- Überprüfe deine Website-Dateien auf neue Dateien. Untersuche vorhandene Dateien auf unbefugte Änderungen.
- Überprüfe deine Benutzer auf unbefugte Benutzer, insbesondere solche mit hohen Berechtigungen.
- Behebe die Schwachstelle, die zur Infektion geführt hat. Automatische Scanner sollten das Problem anzeigen können.
Im schlimmsten Fall musst du möglicherweise einen Entwickler engagieren, der deine Website überprüft und alle verbleibenden bösartigen Codes entfernt.
Die Rolle von Website-Backups beim Abmildern von Sicherheitsverletzungen
Wenn es eine Sicherheitsmaßnahme gibt, die du ergreifen solltest, dann ist es die Installation von Backups. Sollte alles schiefgehen, kannst du zumindest deine Website auf einen früheren, nicht kompromittierten Zustand zurücksetzen.
Dies ist keine allumfassende Lösung, da einige Arten von Malware ihre Klauen ausstrecken und deine Website erneut infizieren können. Darüber hinaus werden Probleme wie DDoS-Angriffe oder kompromittierte Passwörter überhaupt nicht gelöst.
Aber wenn du viele Daten verloren hast oder deine Website ruiniert wurde, können Backups definitiv dein Unternehmen retten.
Deshalb ist es wichtig, regelmäßige Backups in der Cloud durchzuführen.
Häufig gestellte Fragen
Wir wollen mit einigen Fragen abschließen, die dir vielleicht noch im Kopf herumschwirren.
Was ist Website-Sicherheit?
Website-Sicherheit sind die verschiedenen Strategien und Protokolle, die implementiert werden, um Websites vor Cyberbedrohungen zu schützen. Sie reicht von der Auswahl eines sicheren Hosters bis zur Einrichtung einer Web Application Firewall.
Welche Risiken birgt es, eine Website nicht abzusichern?
Wenn du deine Website nicht absicherst, ist sie anfällig für Malware, Datenverletzungen, DDoS-Angriffe und sogar die vollständige Löschung deiner Website. Neben der Zerstörung deiner harten Arbeit kann dies auch deine Besucher mit Malware und Spam gefährden. Die Entfernung von Malware kann sich auch sehr schwierig gestalten.
Warum sind Backups wichtig für die Website-Sicherheit?
Backups ermöglichen es dir, deine Website auf einen früheren Zustand zurückzusetzen. Dies ist nützlich bei Malware-Infektionen, Fehlern oder Datenverlust.
Gibt es spezielle Sicherheitsbedenken für WordPress-Websites?
Unsichere Plugins und Themes können Angriffsvektoren darstellen, wobei Software, die in jede Art von Website integrierbar ist, anfällig sein kann, wenn sie nicht auf dem neuesten Stand gehalten wird.
Wie hilft Jetpack Security beim Schutz meiner WordPress-Website?
Jetpack Security bietet umfassenden Website-Schutz, der speziell entwickelt wurde, um WordPress vor verschiedenen Bedrohungen zu schützen. Von Cloud-Backups in Echtzeit bis hin zu einer leistungsstarken Web Application Firewall hilft dir Jetpack Security, häufige Probleme zu vermeiden.
Wie kann ich Jetpack Security auf meiner WordPress-Website einrichten?
Um die Vorteile von Jetpack Security nutzen zu können, musst du das kostenlose Jetpack-Plugin installieren und ein WordPress.com-Konto erstellen, um es damit zu verbinden. Von dort aus kannst du Jetpack Security oder einzelne Komponenten erwerben, um deine WordPress-Website zu schützen.
Wo kann ich mehr über Jetpack Security erfahren?
Wenn du mehr darüber erfahren möchtest, wie du deine Website mit Jetpack, dem ultimativen WordPress-Plugin, schützen und sichern kannst, kannst du alles über Jetpack Security auf der Website lesen. Das Plugin wurde als umfassende Lösung für all deine Sicherheitsbedürfnisse entwickelt.
Jetpack — Essential Security & Performance for WordPress 