Cyber Security – So schützen Sie Ihre Website

Eine Frage, die immer eine gewisse Aktualität hat, in der momentanen Situation aber noch mehr in den Fokus geraten ist. Dies zeigt sich auch dadurch, dass der Begriff “Cyber Security”...

Ist meine Webseite sicher vor Cyberangriffe durch Hacker?

Eine Frage, die immer eine gewisse Aktualität hat, in der momentanen Situation aber noch mehr in den Fokus geraten ist. Dies zeigt sich auch dadurch, dass der Begriff “Cyber Security” bei Google aktuell ein häufiger Suchbegriff ist.

Viele mittelständische Unternehmen und Selbstständige beschäftigt dieses Thema, gleichzeitig trifft es sie aber oft zu einem völlig unerwarteten Zeitpunkt.

Bin ich betroffen?

Ohne Panik verbreiten zu wollen – treffen kann es jedes Unternehmen, da ihre Webseiten der öffentlichste Teil sind und jeder jederzeit und von jeden Ort Schwachstellen ausnutzen kann.

So kann Firmensoftware durch Schadsoftware (“Ransomware”) verschlüsselt werden und erst nach der Zahlung von finanziellen Forderungen werden diese wieder entschlüsselt. Der Schaden der hierbei entstehen kann betrifft oft nicht nur die internen Unternehmensnetzwerke sondern daneben auch sensible Kundendaten.

Welche Möglichkeiten gibt es, mich vor einem Cyberangriff zu schützen?

Verschiedene Sicherheitsmöglichkeiten sind oft schon leicht selbst umsetzbar. Sie müssen nur gemacht werden.

In unserer Zusammenstellung finden sich einige Punkte, die Sie allein oder mit Ihrer Internetagentur umsetzen können.

Sicherheitseinstellungen für ihre Website:

1. Updates

Die einfachste Möglichkeit Ihre Website zu schützen, halten Sie WordPress und alle eingesetzten Plugins immer auf dem neuesten Stand. Damit schließen Sie mögliche Sicherheitslücken (ähnlich wie bei Ihrem Betriebssystem auf dem Computer oder am Handy).


2. Standard Datenbank-Prefix ändern

Alles, was “Standard” ist, ist nicht sicher. Wenn der Standard Prefix der WordPress Installation “wp-” ist, nehmen Sie doch einen individuellen, z.B. “sh6W-“. Damit machen Sie es Bots schwieriger, über die gängigen Einfallstore in Ihr System zu gelangen.


3. HTTPS und SSL-Zertifikat

Stellen Sie sicher, dass Ihre Website eine gesicherte Verbindung zum Besucher aufbaut und die Daten auf diesem Weg bestmöglich geschützt sind (z.B. mit einem Kontaktformular oder die Zahlungsinformationen im Web-Shop).


4. Bearbeiten PHP-Dateien über das Backend deaktivieren

Standardmäßig ist der Datei-Editor aktiviert. Wir empfehlen, den Datei-Editor zu deaktivieren. Ein Hacker oder unbedarfter Benutzer würde hierdurch wesentlich mehr Zugriffsrechte erhalten, um Veränderungen an den PHP-Dateien vornehmen zu können und ggf. Schadware (Malware) zu integrieren.


5. Firewall aktivieren

Eine Firewall hilft Ihnen dabei, Ihre WordPress Webseite vor diversen Angriffen aus dem Internet zu schützen. Hierzu gibt es bereits einige fortschrittliche Plugins, die Ihre Webseite sicher halten. Diese beinhalten u.a. eine Absicherung gegen Brute-Force-Attacken, Viren- und Malware Scanner, Blacklists für IP Blockierung, Schutz gegen Datei-Veränderungen (File-Scanner), Schutz gegen aggressive Bots, crawlers, web scrapers und HTTP Attacken und vieles mehr…


6. Kontakformular mit Honeypot schützen (Spam-Protect)

Schützen Sie Ihre Formulare mit dem Einsatz von sogenannten Honeypots. Diese helfen Ihnen dabei, die Formulare von Spambots zu schützen. Alternativ können sie ihre Formulare auch mit dem Google ReCaptcha ausstatten. Hier gibt es jedoch die DSGVO-Richtlinien zu beachten.


7. Kommunikation von Plugins deaktivieren

Deaktivieren Sie alle Plugins, die sie nicht benötigen. Je mehr Plugins sie aktivieren, desto größer wird die Angriffsfläche auf ihre Webseite. Dies können Sicherheitslücken oder veraltete Plugins sein. Daher ist es wichtig, nur Plugins zu aktivieren und im Einsatz zu haben, die tatsächlich benötigt werden. Außerdem ist es sehr wichtig, alle Plugins und Module immer auf dem neuesten Stand durch Updates zu halten.


8. Kommentarfunktion deaktivieren

In WordPress ist z.B. standardmäßig die Kommentarfunktion aktiviert. Dies ist eine beliebte Lücke, um mit Links zu anderen Websites zu verweisen. Deswegen sollten Sie diese Funktion deaktivieren oder extra absichern, damit Sie hier keine Probleme bekommen.


9. Login-Pfad ändern

Der Pfad zum Adminbereich ist zu 95% der, der vom System vorgegeben ist. Machen Sie es den Hackern nicht zu einfach und ändern Sie diesen Pfad. Statt /wp-login.php oder /wp-admin.php nehmen Sie etwas Ausgefallenes, wie z.B. /eingang-zu-meiner-website-715.php


10. Admin Benutzernamen um Sonderzeichen erweitern

Statt “admin” oder “administrator” sollten Sie schon einen sicheren Benutzernamen wählen, ähnlich wie Ihr Passwort. Wenn Sie Ihre Zugangsdaten mit einem Passwortmanager (z.B. 1Password oder BitWarden) verwalten, dann brauchen Sie sich weder den Namen, noch das Passwort merken, von daher muss es ja auch kein leicht merkbarer Benutzername sein.


11. Sicheres Passwort wählen

Wer heute noch leicht merkbare Passwörter verwendet, der braucht seine Daten gleich gar nicht schützen. Auf www.checkdeinpasswort.de können Sie z.B. selber testen, wie sicher Ihr Passwort ist. Im Internet finden Sie auch Passwort-Generatoren, mit denen Sie ganz sichere Passwörter erstellen können, wie z.B. https://www.datenschutz.org/passwort-generator

(Aus Sicherheitsgründen sollten Sie auf checkdeinpasswort.de keine echten Passwörter eingeben)


12. 2FA aktivieren

Die 2-Faktor-Authentifizierung fragt beim Login auf der Website z.B. über das Handy nach einem extra generierter Pin-Code, das macht es für Angreifer fast unmöglich sich über den Login in das System zu schummeln. Dazu müsste er auch schon Zugriff auf dieses zweite Gerät haben.


13. Loginbereich überwachen

Versuchen sich Hacker über den Login-Bereich Zugang zu Ihrem System zu verschaffen? Protokollieren Sie diesen Bereich und je nach Sicherheitseinstellung werden Sie informiert, wenn hier ungewöhnliche Anfragen auftreten. Gerade bei Shop-System sollten Sie dafür sorgen, dass der Loginversuch nicht endlos oft wiederholt werden kann. Das würde es einem Angreifer ermöglichen, automatisiert Logins auszutesten und so nach einer Weile Zugriff zu bekommen. Dieses Vorgehen nennt man “Bruteforcing”.


14. Bleiben Sie auf dem Laufenden

Informieren Sie sich über seriöse Quellen zu den Sicherheits-Themen, wie z.B. die Seite von IT-Spezialisten oder vom Bundesamt für Sicherheit:
https://www.bsi.bund.de/DE/Home/home_node.html


15. Analyse der Website

Kontrollieren Sie die Besucheranalyse Ihrer Website. Bekommen Sie viele Web-Besucher aus St. Petersburg? Dann herzlichen Glückwunsch! Viele Hacker kommen aus dieser Region und haben vermutlich auch Ihre Website schon entdeckt.


16. Bereiche auf der Website sperren

Mit einer .htaccess Datei können Sie bestimmte Bereiche auf der Website für Besucher extra verschlüsseln. So können Sie z.B. den Login-Bereich mit einem weiteren Passwort absichern.


17. Cyber Versicherung(en)

Viele Versicherungen haben für dieses Thema schon extra Angebote, mit denen Sie im Schadensfall Unterstützung bekommen. Sprechen Sie doch einfach mal mit Ihrem Versicherungsvertreter.


18. Backup (Datensicherung)

Sichern Sie Ihre Daten regelmäßig nach der 3-2-1 Backup Regel:

3 – Drei Datenkopien: Dazu gehören die Originaldaten und mindestens zwei Backups.
2 – Zwei verschiedene Speichertypen: Beide Kopien der gesicherten Daten sollten auf zwei getrennten Speichertypen aufbewahrt werden, um die Wahrscheinlichkeit eines Ausfalls zu minimieren. Zu den Speichertypen könnten eine interne Festplatte, eine externe Festplatte, ein Wechselspeicherlaufwerk oder eine Cloud-Backup-Umgebung gehören.
1 – Eine Offsite-Kopie: Mindestens eine Datenkopie sollte an einem externen oder entfernten Ort aufbewahrt werden, um sicherzustellen, dass Naturkatastrophen oder geografische Katastrophen nicht alle Datenkopien beeinträchtigen können.


19. Zugriff auf debug.log blockieren

Durch den Zugriff auf das debug.log, erhält man wichtige Informationen auf das Troubleshooting der aktuellen Webseite. Diese dienen dazu, Fehler und Probleme zu erkennen und zu beheben. Durch das Blockieren der debug.log verhindern Sie, dass unbefugte Benutzer oder Hacker diese einsehen können, um an wichtige Informationen über den aktuellen Zustand ihrer Webseite zu kommen.

Fazit

Setzen Sie sich damit auseinander wie gut Ihre Webseite vor Cyberangriffen geschützt ist. Planen und setzen Sie die dafür notwendigen Schritte um, bevor es zu spät ist.

Veröffentlicht am

Der ultimative Web-Check für deine Website!

NOCH MEHR Wissen

Weitere Blog Beiträge

04. September 2024

Blogst du schon?

Aber eigentlich steht das Thema „Bloggen“ doch noch irgendwo auf Ihrer To-do-Liste? Zwar etwas weiter hinten, doch grundsätzlich würden Sie das schon gern einmal angehen?  Diese Tipps können Ihnen eine Orientierung geben!
23. November 2023

Ehrenamt

Aber auch anspruchsvoll, denn auch bei einem Ehrenamt kann die Erwartungshaltung oft sehr hoch sein. Nicht selten scheitert man hier an dem Anspruch anderer, aber auch am eigenen und in einer Überforderung.
16. März 2023

Suchen Sie auch schon – immer noch – oder schon wieder?

Es ist immer herausfordernder, qualifizierte Mitarbeiter zu finden. Die Möglichkeiten der Personalbeschaffung werden immer umfangreicher. Das Ziel ist dabei immer klar.

Der Kontakt zu uns

Geschäftszeiten

Mo-Fr. 08:00 – 17:30 Uhr