Schutz vor Hackerangriffen: 7 Tipps für die eigene Webseite

Aktualisiert am 10. Mai 2023
von Fabian Auler
IT Sicherheit
Ein Kommentar

Nicht nur wer Anfänger ist und das erste Mal eine Webseite betreibt, sollte diese vor Hackerattacken schützen. Denn jeder ist für seine Webseite persönlich verantwortlich. Wird nun diese Seite gehackt, muss die Sicherheitslücke umgehend geschlossen werden. Wer zu spät reagiert, kann von seinem Hosting Anbieter aus Sicherheitsgründen gesperrt werden. Wir zeigen nachfolgend einige Tipps, wie dies gelingt.

Kontinuierliche Aktualisierung und Prüfung der Webseite erforderlich

Heute ist es nicht mehr schwierig, als Anfänger eine Webseite zu betreiben. Denn diese basieren sehr häufig auf Anwendungen, den sogenannten Web Apps, die intuitiv bedienbar sind und mit denen es möglich ist, kinderleicht Inhalte einzufügen. Der Funktionsumfang lässt sich durch Plugins erweitern und die Web Apps sind mittlerweile für die unterschiedlichsten Anforderungen verfügbar:

Lösungen für den E-Commerce Bereich
Software für Blogs und Foren
Content Managementsysteme
Social-Networking
Bildergalerien
vieles mehr

Zahlreiche Web Apps gibt es inklusive der Erweiterungsoptionen als gratis Open Source Lösungen. Sie befinden sich millionenfach auf der Welt im Einsatz. Diese Beliebtheit hat allerdings auch einen ganz gewaltigen Nachteil: Sie führen dazu, dass solche Seiten ein beliebtes Ziel für Hackerangriffe sind. Dort werden bekannte Schwachstellen ausgenutzt, um beispielsweise Phishing Seiten einzuschleusen, mit denen Cyberkriminelle versuchen, an die Bankdaten zu gelangen.

Möglich ist es auch, dass Besucher der Webseite dazu aufgefordert werden, auf einen Link zu klicken, der dann Trojaner und Viren herunterlädt. Außerdem ist es möglich, eine Webseite dazu zu missbrauchen, um Spam zu versenden. In diesem Fall landet die IP auf eine Blacklist. Dem steuern natürlich die Entwickler der Web Apps entgegen und schließen Sicherheitslücken durch Updates. Voraussetzung ist natürlich, dass diese Updates auch zeitnah heruntergeladen und installiert werden. Die folgenden Tipps helfen ebenfalls dabei, die Webseite von Hacker Attacken zu schützen.

1. Web App regelmäßig aktualisieren

WordPress und Joomla sind die zwei Open Source Anwendungen, die am beliebtesten für Webseiten sind. Allerdings sind zahlreiche Installationen veraltet. Mit jeder neuen Version werden Sicherheitslücken geschlossen. Daher sollten Web Apps regelmäßig auf die neueste Version aktualisiert werden. WordPress erlaubt es, dass Updates automatisiert ablaufen. Mit der richtigen Einstellung werden diese im Hintergrund automatisiert ausgeführt. Wer diese Funktion lieber deaktiviert lässt, sollte seine WP-Version selber kontinuierlich manuell überprüfen und entsprechend aktualisieren.

2. Plugins und Erweiterungen regelmäßig updaten

Was für die Web App selber gilt, gilt natürlich auch für WordPress Plugins und Erweiterungen. Dabei handelt es sich in der Regel um eigenständige Programme, die ebenfalls ein Update benötigen. Wird die Web App aktualisiert, bedeutet dies nicht, dass auch die Plugins und Erweiterungen ebenfalls automatisch mit aktualisiert werden. Dies ist natürlich auch Hackern bekannt und diese nutzen dieses Wissen für Angriffe auf bekannte Sicherheitslücken in Erweiterungsmodulen und Plugins.

Ist solch eine Schwachstelle bekannt, arbeiten die Programmierer daran, mit einem Update dies zu beheben. In der Vergangenheit sind verschiedene WordPress Plugins zu Sicherheitsrisiken geworden, wie zum Beispiel die Kommentarfunktion, Kontaktformulare, Newsletter oder Gästebucheintragungen. Theoretisch kann jedes Plugin zum Ziel der Hacker werden. Beliebte Angriffsstellen sind auch die Erweiterungen der Content Managementsysteme von Joomla. Aus diesem Grund gilt, dass Erweiterungskomponenten und Plugins regelmäßig aktualisiert werden sollten. Diese Updates können bei WordPress und Joomla bequem über das Dashboard ausgeführt werden.

3. Daten, Systemdateien und Datenbanken sichern

Wurde die Webseite bereits gehackt, ist es zu spät und wichtige Einstellungen und Daten, die sich auf dem System befunden haben, sind unwiederbringlich verloren oder zerstört. Durch Updates werden Systemdateien normalerweise überschrieben, wurden Anpassungen beim Template oder Theme vorgenommen, sind diese betroffen. Bei WordPress sollten daher Dateien mit den folgenden Endungen gesichert werden:

wp-config.php
index.php
style.css

Bei Joomla sind es die Dateiendungen:

template.css
template_rtl.css
index.php

Nur wer regelmäßig seine Systemdateien, Datenbanken und Daten in der Webanwendung sichert und ein Back-up erstellt, kann diese wiederherstellen. Für WordPress gibt es hierfür sogar Plugins, die teilweise kostenlos sind, wie zum Beispiel BackupWordPress. Für Joomla werden ebenfalls entsprechende Tools wie beispielsweise LazyDbBackup angeboten.

4. Webseite regelmäßig überprüfen

Es gibt verschiedene Maßnahmen, die durchgeführt werden können, um die Webseite zu schützen. Aber selbst diejenigen, die die besten Vorkehrungen treffen, können sich nicht 100 % vor Hackerangriffen schützen. Oft wird erst zu spät oder auch gar nicht bemerkt, dass die Webseite gehackt worden ist. Daher ist es unabdingbar, dass die Webseite manuell regelmäßig überprüft werden sollte.

Dies gelingt ihnen mit speziellen Virenprogrammen. Dabei sollte man regelmäßig mit einer entsprechenden Software die Datei auf Viren prüfen. So ist es möglich, den Internetauftritt auf Viren und Manipulationen zu checken und gegebenenfalls die Viren in Quarantäne zu schieben. Gleichzeitig überprüft die Virensoftware automatisch alle heruntergeladenen Dateien und kann so Bedrohungen stoppen, bevor sie überhaupt die Webseite erreichen.

5. Sichere Passwörter verwenden

Eigentlich sollte es selbstverständlich sein, komplexe Wörter zu verwenden. Die Verbraucherzentrale empfiehlt, dass ein Passwort aus mindestens acht Zeichen bestehen sollte. Dabei sollte es sich um einen Mix aus Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen handeln. Ist das Passwort länger als 20 Zeichen, kann dieses auch weniger abwechslungsreich gestaltet sein.

In der Praxis sieht es allerdings komplett anders aus, denn viele verwenden nicht nur einfach zu knackende Passwörter, sondern dieses Passwort auch noch für die unterschiedlichsten Konten und Anwendungen. Zur Generierung eines sicheren Passworts können verschiedene Tools verwendet werden, wie zum Beispiel von Google. Außerdem ist es möglich, die Passwörter in einem Passwortmanager zu speichern. Dies ist für all diejenigen interessant, die Probleme haben, sich das Passwort zu merken. Auch in Chrome können Passwörter sicher gespeichert werden.

6. Gästebucheintragungen und Kontaktformulare durch Captcha-Abfragen schützen

Zu den beliebtesten Angriffspunkten zählen auch Kontaktformular und Gästebucheintragungen. Aus diesem Grund sollten diese gesichert sein. Eine einfache Möglichkeit, um sich vor automatisierten Hackerangriffen zu schützen, sind die sogenannten Completely Automated Public Turing test to tell Computers and Humans Apart – kurz Captchas.

7. Sicheren Benutzernamen auswählen

Ähnlich wie bei dem Passwort, sollte auch ein sicherer Benutzername gewählt werden. Standards wie Admin, Administrator oder der Klarname sind einfach zu erraten. Besser ist es auf komplexere Namen zurückzugreifen, wie zum Beispiel mit der Erweiterung um eine Jahreszahl oder einem zusätzlichen Kürzel. So ist es Hackern schwerer, in das System einzudringen.

Fabian Auler

Fabian Auler ist spezialisiert auf die Bereiche Suchmaschinenoptimierung und Content Marketing. Nach seinem Studium an der Hochschule Koblenz gründete er 2014 den Blog „Farbentour.de“. Zunächst als reiner Informationsblog konzipiert, der über die Themenwelt des Online Marketings berichtet, ist aus der Idee eine Agentur hervorgegangen. Mit seinem Team betreut er als Head of SEO die Online-Marketing-Maßnahmen von Kundenprojekten bei Farbentour.

Lust auf mehr?

Wie wichtig ist IT-Sicherheit für dein Unternehmen?

Wer sich mit IT-Systemen befasst, muss auch an IT-Sicherheit, Internet-Security oder Cyberangriffe denken. Denn alle Begriffe führen in dieselbe Richtung, unterscheiden sich jedoch jeweils voneinander. IT ist ein sehr komplexes Thema und sollte daher in keinem Bereich vernachlässigt werden. Stimmt nämlich die Sicherheit, ist in dieser Hinsicht nichts zu befürchten. Doch was ist nötig, um eine gute IT-Sicherheit zu gewährleisten?

Du planst deine eigene Webseite? So vermeidest du häufige Fehler.

Wenn du dir eine eigene Webseite erstellen möchtest, dann denke daran, dass sie quasi eine digitale Visitenkarte für dich ist. Jemand, der diese Seite aufruft, will möglichst alle wichtigen Informationen auf einen Blick finden. Wenn sie gut gemacht ist, kannst du dich oder/und dein Unternehmen damit ins rechte Licht rücken. Die Betonung liegt hier auf dem Wörtchen „wenn“. Es gibt nämlich immer noch den ein oder anderen Fehler, den viele machen, wenn sie dabei sind sich eine eigene Webpräsenz aufzubauen. Und dann kann es schnell passieren, dass sich die eigentlich erhoffte Eigenwerbung ins Gegenteil verkehrt. Hier erfährst du, was die häufigsten Fehler beim Aufbau einer Webseite sind, und wie du sie vermeiden kannst.

Alles, was Sie über die Einhaltung von Sicherheits-Compliance wissen müssen

Zu den gravierendsten Bedrohungen für Unternehmen gehören neben der latenten Bedrohung durch Erpressungstrojaner (in Form von Ransomware) auch die Bedrohung durch Datenpannen. Wenn persönliche und sensible Daten von Kunden an die Öffentlichkeit gelangen, ist der Ruf eines Unternehmens und dessen Glaubwürdigkeit schnell ruiniert.

Eine Antwort

Rainer Zufall sagt:

10. Mai 2023 um 20:18 Uhr

Meine Erfahrungen mit negativen Hacks sind vielfältig und vllt. auch aufgrund der langen Erfahrungszeit seit Erfindung des WWW etwas tiefgründiger.
Die Essenz daraus: Gegen einen echten Cracker gibt es keine Sicherung.
Selbst wenn alles aktuell und abgesichert ist, wenn alle Logins noch so gut sind – die sind in Sekunden drin. V.a. die genannten Standard Apps sind da unsicherer als eine 20 yo Website aus unbekanntem Eigenbau-Code.

Gegen die feigste Form des Angriffs, DDoS, gibt es ohnehin kaum Schutz. Wir mussten auf einer von mir betreuten, großen Mediensite Angriffe abwehren, die sogar Cloudflare nicht mehr allein wegstecken konnte. Zugriffe, welche über 100 Mio. Mal intensiver waren, als jene, von denen man so liest, weil sie gegen bekannte Websites gerichtet waren.
Abhilfe: Sich einen (der sehr wenigen) dagegen spezialisierten Hoster suchen. Ok, das macht aber eher nur für größere, exponiert stehende Projekte Sinn.

Noch ein bisschen Senf zu 1, 2 und 3:
Ja, Aktualisieren ist wichtig und schützt vor den meisten möglichen Problemen, aber nicht vor allem.
Über 75 % der Probleme auf den 21 dzt. betreuten Sites kamen durch Updates von Plugins. Plugins, welche beim Hersteller (z. T. auch mit dessen Wissen!) kompromittiert wurden und dieser Schadcode verteilt sich dann im WP Ökosystem.
Abhilfe: ALLES neue vorher auf Staging/lokaler Entwicklungsumgebung testen!

Backups sind die beste IT-Lebensversicherung, klar. Doch 2 Dinge wären noch wichtig:
A: Die Wiederherstellung üben!!! Letzteres macht leider fast keiner und im Schadensfall „geht das Backup nicht zum zurückkopieren“
B: Backups verteilen. Nicht nur am selben Server lagern, sondern mindestens nochmal lokal und in der Cloud.
(Dazu vllt. auch noch Vollsicherungen und Differentialsicherungen fahren.)

Diese pessimistische Sichtweise eines alten Webworkers soll jetzt nicht dazu verleiten: „dann ist ja eh alles wurst, wenn die dennoch einbrechen können und man sich mit Updates Extra Ärger einhandeln kann“. Nein.
Bitte, all die vom Autor genannten Sachen sind wichtig und sollten Mindeststandard sein! Das hält 95 % der Probleme ab.

Antworten