Websites zuverlässig gegen Hackerangriffe sichern
Für Websites drohen von Hackern gleich mehrere Gefahren, die von den Administratoren und Programmierern konsequent bekämpft werden sollen. Die Risiken reichen vom Ausspionieren der Nutzerdaten bis hin zur Veröffentlichung unerwünschter Inhalte. Auch können Eingriffe in die Programmcodes dazu führen, dass sich komplette Websites überhaupt nicht mehr aufrufen lassen, was wiederum Trafficverluste und bei einem Onlineshop erhebliche Umsatzverluste nach sich ziehen kann. Auch bei der Suchmaschinenoptimierung hat selbst eine zeitweise fehlende Erreichbarkeit der Websites deutliche Nachteile. Deshalb stellen wir Ihnen nachfolgend einige Möglichkeiten zu effizienten Schutz Ihrer Internetpräsenz vor:
Maßnahme 1: Sichern Sie den Admin-Zugang optimal!
Content Management Systeme wie beispielsweise WordPress richten für den Administrator automatisch die Kennung „admin“ ein. Das ist den Hacker natürlich auch bekannt. Deshalb sollte man diese Account-Bezeichnung auf seinen Websites keinesfalls so lassen. Die reine Kombination oder komplette Umstellung auf den Namen des Website-Inhabers macht keinen Sinn, denn dieser Name lässt sich aus den nach dem Telemediengesetz vorgeschriebenen Angaben aus dem Impressum auslesen. Experten geben den Tipp, nach dem Aufsetzen eines WordPress-Blogs einen vollständig neuen Nutzer mit neutralem Namen einzurichten und diesem die Admin-Rechte für die Websites zuzuweisen. Danach sollte der eigentliche Admin-Zugang sicherheitshalber gelöscht werden.
Maßnahme 2: Verhindern Sie maschinelle Anmeldeversuche!
Die meisten Hackergruppen machen sich natürlich nicht die Mühe, sich stundenlang vor den PC zu setzen und ein mögliches Passwort nach dem Anderen zu testen. In der Regel kommt eigens dafür entwickelte Software zum Einsatz, die nach bestimmten Algorithmen die verschiedensten Buchstaben- und Ziffernkombinationen testet. Diese Software lässt sich bei Websites mit dem Content Management System WordPress sehr einfach aussperren, indem das Plugin Captcha installiert und aktiviert wird. Dieses Plugin sorgt dafür, dass der Nutzer bei der Anmeldung eine Rechenaufgabe korrekt lösen muss. Dabei sind die Rechenarten Addition, Subtraktion und Multiplikation möglich. Wer auf Nummer sicher gehen möchte, wählt beim Komplexitätsgrad von Captcha alle angebotenen Varianten für den Login auf seinen Websites aus.
Maßnahme 3: Hinterlegen Sie Passwörter immer verschlüsselt!
Vor allem Blogs haben den Nachteil, dass von Haus aus die Mailadressen und Passwörter der Abonnenten der Inhalte der Websites als Klartext hinterlegt werden. Verschafft sich ein Hacker erfolgreich Zugang zum Admin-Panel der Websites , kann er sie problemlos auslesen und für kriminelle Zwecke verwenden. Um das zu verhindern, kann bei WordPress über die config.php eine MD5-Verschlüsselung manuell eingerichtet werden. Mustercodes lassen sich beispielsweise über das deutsche WordPress-Forum abrufen. Außerdem steht dafür ein kostenloser MD5 Hash Generator zur Verfügung.
Maßnahme 4: Nutzen Sie nur sichere Passwörter auf Ihren Websites!
Wie ein sicheres Passwort generiert werden kann, hängt immer auch davon ab, welche Zeichensätze bei der jeweiligen Programmierung der Websites zulässig sind. Kombinationen aus Buchstaben und Ziffern werden in der Regel überall akzeptiert. Auch die grundlegenden Satzzeichen wie Punkt, Komma und Ausrufezeichen lassen sich in den meisten Fällen einsetzen. Die verfügbare Palette der Zeichen sollte bei der Generierung von Passwörtern immer komplett ausgenutzt werden. Ideal sind rein zufällig gewählte Zeichenkombinationen. Sie haben allerdings den Nachteil, dass sie sich schlecht einprägen und deshalb meistens auf dem Rechner gespeichert werden. Dadurch ergibt sich ein zusätzliches Risiko. Wer ein sicheres Passwort bauen möchte, nimmt beispielsweise seinen (nicht im Impressum eingetragenen) Lieblingsnamen und streut nach einem nur ihm bekannten Muster die Ziffern der Vorwahl eines ehemaligen Wohnorts oder einer Postleitzahl ein. Diese sollten allerdings nicht 1 zu 1 übernommen, sondern abgewandelt werden. Möglich ist das im einfachsten Fall, indem zu jeder sich daraus ergebenden Zahl ein bestimmter Betrag addiert oder davon subtrahiert wird. So lässt sich im Übrigen auch eine PIN sicher speichern, wenn die vorgenommene Änderung nur dem Inhaber des damit geschützten Kontos oder Handys bekannt ist.
Maßnahme 5: Verhindern Sie unerwünschte Kommentare auf den Websites!
Die Kommentarfunktion der Content Management Systeme hat Vorteile und Risiken zugleich. Auch wenn diese Vorgehensweise bei der Suchmaschinenoptimierung längst überholt ist, nutzen viele Inhaber die Kommentarfunktion, um sich Links von Drittseiten zu holen. Das geschieht teilweise sogar automatisiert, was an den nicht zum Inhalt der Website passenden Formulierungen der Kommentare zu erkennen ist. Deshalb lohnt sich die Mühe, jeden einzelnen Kommentar von Hand freizugeben, weil so kontrolliert werden kann, welche Links in den Kommentaren enthalten sind. Im ungünstigsten Fall können sie zu Seiten mit rechtswidrigen Inhalten oder zu Websites führen, über die Schadcodes verteilt werden. Auf jeden Fall sollten Kommentare von einer Anmeldung als Nutzer abhängig gemacht werden. Content Management Systeme bieten außerdem die Möglichkeit, individuell festzulegen, über welchen Zeitraum hinweg Kommentare überhaupt hinterlassen werden dürfen. Hier empfiehlt sich die Einstellung kurzer Zeiträume. Für einzelne Artikel oder Seiten lässt sich die Kommentarfunktion sogar komplett ausgeblenden.
Maßnahme 6: Verwalten Sie Mailaccounts getrennt von den Websites!
Bei den meisten Providern können (je nach individuellem Vertrag) Server für Websites auch gleichzeitig als Mailserver verwendet werden. Das bietet zwar praktische Vorteile, erweist sich aber andererseits als Sicherheitsrisiko. Die Verwaltung der Mailadressen der Website-Betreiber sollte deshalb besser an anderer Stelle erfolgen. Dafür bieten die Hosts spezielle eigene Mailserver an, deren Sicherheit permanent überwacht wird. Oftmals ist es dabei sogar möglich, die eigene Domain als Bestandteil der Mailadresse zu nutzen, wenn die Domain beim gleichen Provider gehostet wird. So sorgt der Betreiber einer Website dafür, dass bei einem erfolgreich gehakten Admin-Zugang seine Mailadresse nicht zum Versand von Spam oder gar Schadcode verwendet kann.
Maßnahme 7: Sorgen Sie auf Ihren Websites für regelmäßige Updates!
Immer wieder werden von den IT-Experten Sicherheitslücken nicht nur in den Betriebssystemen gefunden, sondern auch in der Programmierung von Content Management Systemen entdeckt. Sie sollten so schnell wie möglich geschlossen werden. Das bedeutet, dass Sie als Nutzer eines Servers und Betreiber von Websites die komplette Software immer auf dem aktuellen Stand halten müssen. Beim Betriebssystem und auch bei den meisten Content Management Systemen ist das inzwischen automatisiert möglich. Bitte bedenken Sie bei den Updates Ihrer Websites aber auch die Plugins mit Aufmerksamkeit. Das dient nicht nur der Sicherheit Ihrer Websites, sondern bringt sogar Vorteile bei der Suchmaschinenoptimierung mit sich. Bei den meisten Updates (vor allem bei den Plugins) werden bei den Updates mit steter Regelmäßigkeit auch Programmierfehler behoben. Das senkt die Anzahl der W3C-Fehler, die von den Algorithmen der Suchmaschinen bei der Bewertung der technischen Umsetzung einer Website mit berücksichtigt werden.
Wenn Sie weitere Fragen zur Sicherheit Ihrer Websites haben oder sich die Hilfe erfahrener Experten beim Schutz Ihrer Internetpräsenz vor dem Zugriff durch unbefugte Dritte wünschen, nehmen Sie telefonisch oder per Mail Kontakt mit den Experten von Baseplus DIGITAL MEDIA GmbH auf.