Ist meine Webseite sicher vor Cyberangriffe durch Hacker?
Eine Frage, die immer eine gewisse Aktualität hat, in der momentanen Situation aber noch mehr in den Fokus geraten ist. Dies zeigt sich auch dadurch, dass der Begriff “Cyber Security” bei Google aktuell ein häufiger Suchbegriff ist.
Viele mittelständische Unternehmen und Selbstständige beschäftigt dieses Thema, gleichzeitig trifft es sie aber oft zu einem völlig unerwarteten Zeitpunkt.
Bin ich betroffen?
Ohne Panik verbreiten zu wollen – treffen kann es jedes Unternehmen, da ihre Webseiten der öffentlichste Teil sind und jeder jederzeit und von jeden Ort Schwachstellen ausnutzen kann.
So kann Firmensoftware durch Schadsoftware (“Ransomware”) verschlüsselt werden und erst nach der Zahlung von finanziellen Forderungen werden diese wieder entschlüsselt. Der Schaden der hierbei entstehen kann betrifft oft nicht nur die internen Unternehmensnetzwerke sondern daneben auch sensible Kundendaten.
Welche Möglichkeiten gibt es, mich vor einem Cyberangriff zu schützen?
Verschiedene Sicherheitsmöglichkeiten sind oft schon leicht selbst umsetzbar. Sie müssen nur gemacht werden.
In unserer Zusammenstellung finden sich einige Punkte, die Sie allein oder mit Ihrer Internetagentur umsetzen können.
Sicherheitseinstellungen für ihre Website:
1. Updates
Die einfachste Möglichkeit Ihre Website zu schützen, halten Sie WordPress und alle eingesetzten Plugins immer auf dem neuesten Stand. Damit schließen Sie mögliche Sicherheitslücken (ähnlich wie bei Ihrem Betriebssystem auf dem Computer oder am Handy).
2. Standard Datenbank-Prefix ändern
Alles, was “Standard” ist, ist nicht sicher. Wenn der Standard Prefix der WordPress Installation “wp-” ist, nehmen Sie doch einen individuellen, z.B. “sh6W-“. Damit machen Sie es Bots schwieriger, über die gängigen Einfallstore in Ihr System zu gelangen.
3. HTTPS und SSL-Zertifikat
Stellen Sie sicher, dass Ihre Website eine gesicherte Verbindung zum Besucher aufbaut und die Daten auf diesem Weg bestmöglich geschützt sind (z.B. mit einem Kontaktformular oder die Zahlungsinformationen im Web-Shop).
4. Bearbeiten PHP-Dateien über das Backend deaktivieren
Standardmäßig ist der Datei-Editor aktiviert. Wir empfehlen, den Datei-Editor zu deaktivieren. Ein Hacker oder unbedarfter Benutzer würde hierdurch wesentlich mehr Zugriffsrechte erhalten, um Veränderungen an den PHP-Dateien vornehmen zu können und ggf. Schadware (Malware) zu integrieren.
5. Firewall aktivieren
Eine Firewall hilft Ihnen dabei, Ihre WordPress Webseite vor diversen Angriffen aus dem Internet zu schützen. Hierzu gibt es bereits einige fortschrittliche Plugins, die Ihre Webseite sicher halten. Diese beinhalten u.a. eine Absicherung gegen Brute-Force-Attacken, Viren- und Malware Scanner, Blacklists für IP Blockierung, Schutz gegen Datei-Veränderungen (File-Scanner), Schutz gegen aggressive Bots, crawlers, web scrapers und HTTP Attacken und vieles mehr…
6. Kontakformular mit Honeypot schützen (Spam-Protect)
Schützen Sie Ihre Formulare mit dem Einsatz von sogenannten Honeypots. Diese helfen Ihnen dabei, die Formulare von Spambots zu schützen. Alternativ können sie ihre Formulare auch mit dem Google ReCaptcha ausstatten. Hier gibt es jedoch die DSGVO-Richtlinien zu beachten.
7. Kommunikation von Plugins deaktivieren
Deaktivieren Sie alle Plugins, die sie nicht benötigen. Je mehr Plugins sie aktivieren, desto größer wird die Angriffsfläche auf ihre Webseite. Dies können Sicherheitslücken oder veraltete Plugins sein. Daher ist es wichtig, nur Plugins zu aktivieren und im Einsatz zu haben, die tatsächlich benötigt werden. Außerdem ist es sehr wichtig, alle Plugins und Module immer auf dem neuesten Stand durch Updates zu halten.
8. Kommentarfunktion deaktivieren
In WordPress ist z.B. standardmäßig die Kommentarfunktion aktiviert. Dies ist eine beliebte Lücke, um mit Links zu anderen Websites zu verweisen. Deswegen sollten Sie diese Funktion deaktivieren oder extra absichern, damit Sie hier keine Probleme bekommen.
9. Login-Pfad ändern
Der Pfad zum Adminbereich ist zu 95% der, der vom System vorgegeben ist. Machen Sie es den Hackern nicht zu einfach und ändern Sie diesen Pfad. Statt /wp-login.php oder /wp-admin.php nehmen Sie etwas Ausgefallenes, wie z.B. /eingang-zu-meiner-website-715.php
10. Admin Benutzernamen um Sonderzeichen erweitern
Statt “admin” oder “administrator” sollten Sie schon einen sicheren Benutzernamen wählen, ähnlich wie Ihr Passwort. Wenn Sie Ihre Zugangsdaten mit einem Passwortmanager (z.B. 1Password oder BitWarden) verwalten, dann brauchen Sie sich weder den Namen, noch das Passwort merken, von daher muss es ja auch kein leicht merkbarer Benutzername sein.
11. Sicheres Passwort wählen
Wer heute noch leicht merkbare Passwörter verwendet, der braucht seine Daten gleich gar nicht schützen. Auf www.checkdeinpasswort.de können Sie z.B. selber testen, wie sicher Ihr Passwort ist. Im Internet finden Sie auch Passwort-Generatoren, mit denen Sie ganz sichere Passwörter erstellen können, wie z.B. https://www.datenschutz.org/passwort-generator
(Aus Sicherheitsgründen sollten Sie auf checkdeinpasswort.de keine echten Passwörter eingeben)
12. 2FA aktivieren
Die 2-Faktor-Authentifizierung fragt beim Login auf der Website z.B. über das Handy nach einem extra generierter Pin-Code, das macht es für Angreifer fast unmöglich sich über den Login in das System zu schummeln. Dazu müsste er auch schon Zugriff auf dieses zweite Gerät haben.
13. Loginbereich überwachen
Versuchen sich Hacker über den Login-Bereich Zugang zu Ihrem System zu verschaffen? Protokollieren Sie diesen Bereich und je nach Sicherheitseinstellung werden Sie informiert, wenn hier ungewöhnliche Anfragen auftreten. Gerade bei Shop-System sollten Sie dafür sorgen, dass der Loginversuch nicht endlos oft wiederholt werden kann. Das würde es einem Angreifer ermöglichen, automatisiert Logins auszutesten und so nach einer Weile Zugriff zu bekommen. Dieses Vorgehen nennt man “Bruteforcing”.
14. Bleiben Sie auf dem Laufenden
Informieren Sie sich über seriöse Quellen zu den Sicherheits-Themen, wie z.B. die Seite von IT-Spezialisten oder vom Bundesamt für Sicherheit:
https://www.bsi.bund.de/DE/Home/home_node.html
15. Analyse der Website
Kontrollieren Sie die Besucheranalyse Ihrer Website. Bekommen Sie viele Web-Besucher aus St. Petersburg? Dann herzlichen Glückwunsch! Viele Hacker kommen aus dieser Region und haben vermutlich auch Ihre Website schon entdeckt.
16. Bereiche auf der Website sperren
Mit einer .htaccess Datei können Sie bestimmte Bereiche auf der Website für Besucher extra verschlüsseln. So können Sie z.B. den Login-Bereich mit einem weiteren Passwort absichern.
17. Cyber Versicherung(en)
Viele Versicherungen haben für dieses Thema schon extra Angebote, mit denen Sie im Schadensfall Unterstützung bekommen. Sprechen Sie doch einfach mal mit Ihrem Versicherungsvertreter.
18. Backup (Datensicherung)
Sichern Sie Ihre Daten regelmäßig nach der 3-2-1 Backup Regel:
3 – Drei Datenkopien: Dazu gehören die Originaldaten und mindestens zwei Backups.
2 – Zwei verschiedene Speichertypen: Beide Kopien der gesicherten Daten sollten auf zwei getrennten Speichertypen aufbewahrt werden, um die Wahrscheinlichkeit eines Ausfalls zu minimieren. Zu den Speichertypen könnten eine interne Festplatte, eine externe Festplatte, ein Wechselspeicherlaufwerk oder eine Cloud-Backup-Umgebung gehören.
1 – Eine Offsite-Kopie: Mindestens eine Datenkopie sollte an einem externen oder entfernten Ort aufbewahrt werden, um sicherzustellen, dass Naturkatastrophen oder geografische Katastrophen nicht alle Datenkopien beeinträchtigen können.
19. Zugriff auf debug.log blockieren
Durch den Zugriff auf das debug.log, erhält man wichtige Informationen auf das Troubleshooting der aktuellen Webseite. Diese dienen dazu, Fehler und Probleme zu erkennen und zu beheben. Durch das Blockieren der debug.log verhindern Sie, dass unbefugte Benutzer oder Hacker diese einsehen können, um an wichtige Informationen über den aktuellen Zustand ihrer Webseite zu kommen.
Fazit
Setzen Sie sich damit auseinander wie gut Ihre Webseite vor Cyberangriffen geschützt ist. Planen und setzen Sie die dafür notwendigen Schritte um, bevor es zu spät ist.
