Vor wenigen Wochen hat die Melde- und Analysestelle des Bundes MELANI in ihrem Halbjahresbericht aufgezeigt, wie schlecht es um die Sicherheit von Schweizer Webseiten bestellt ist. Grund genug, im folgenden Beitrag die wichtigsten Massnahmen aufzuzeigen, die für eine sichere Webseite sorgen.

Aktualisiere Deine Software regelmässig!
Wo gehobelt wird, fallen Späne. Und darum werden auch immer wieder neue Sicherheitslücken entdeckt, welche die Entwickler der Software mittels Updates ausmerzen. Wer also nachlässig mit der Installation von Softwareaktualisierungen umgeht, öffnet Hackern damit Tür und Tor. Denn für Cyberkriminelle ist es ein leichtes, automatisiert und mit wenig Aufwand verwundbare Installationen im Internet zu finden.

Verwendest Du ein CMS wie WordPress, Joomla oder Typo3, solltest Du sicherstellen, dass stets die neuste Version installiert ist. Zwar installiert etwa WordPress auch automatisch Sicherheitsupdates, für grössere Versionssprünge musst Du im Verwaltungsteil der Software aber immer noch Dein OK (oder eben einen Mausklick) geben. Wer ganz auf Nummer Sicher gehen will, aktiviert auch die automatische Installation von grösseren Versionssprüngen. Wie das funktioniert, wird hier bei WordPress erklärt. Vergiss nicht, auch Plugins oder Design-Vorlagen regelmässig zu aktualisieren.

Nutze Sicherheitstools
Für einen ersten kurzen Test, ob die eigene Webseite bereits von Hackern missbraucht wird, eignet sich zum Beispiel der kostenlose „Website Malware and Security Scanner“ von Sucuri. Es empfiehlt sich aber so oder so, die Aktivitäten auf der eigenen Webseite im Auge zu behalten. Für WordPress eignen sich dafür Plugins wie Sucuri Security oder Wordfence. Beide überwachen Dateien, melden notwendige Updates und bieten weitere, sicherheitsrelevante Features – auch in den kostenlosen Varianten.

Simpel aber effizient: Starke Passwörter
Hand aufs Herz: Wie schwierig ist Dein Passwort fürs Admin-Panel Deines CMS zu erraten? Hat ein Hacker erst mal Zugriff auf die Administrationsseiten Deiner Software, kann er tun und lassen, was er will. Eine der simpelsten Vorsichtsmassnahmen ist es deshalb, ein starkes Passwort zu wählen. Es sollte Buchstaben, Zahlen und vielleicht sogar das eine oder andere Sonderzeichen enthalten. Es kann auch nicht schaden, das Passwort alle paar Monate zu ändern. Zum Thema Passwörter haben wir uns hier im Blog übrigens schon vor einiger Zeit mehrfach Gedanken gemacht.

Regelmässige Backups
Jeder spricht davon, aber die meisten machen es aus Beqemlichkeit dann doch nicht. Kunststück, denn meist weiss man erst, wie wertvoll eine Datensicherung ist, wenn man sie braucht. Und wenn man im entscheidenen Moment keine hat, ist der Ärger riesig.

Dabei ist es gerade mit den Plugin-Architekturen von modernen CMS kein Problem, die lästige aber notwenige Backup-Pflicht zu automatisieren. Bei WordPress übernehmen Plugins wie BackWPup oder VaultPress, bei Joomla Easy Joomla Backup diesen Task und erstellen in regelmässigen Abständen Datensicherungen der Installationen.

Lösche ungenutzte Installationen und Plugins
Jedes Stück Code auf Deinem Webserver kann eine potentielle Sicherheitslücke sein. Das gilt insbesondere für Dateien oder Plugins, die Du bereits länger nicht mehr nutzt, zum Beispiel eine verwaiste Testinstallation. Lösche sie komplett. Nichts wär ärgerlicher, als wenn eine nutzlos auf dem Server herumliegende Installation dazu führt, dass Du gehackt wirst!

Sind die entsprechenden Sicherheitsmassnahmen erst mal getroffen, ist es ein leichtes, die eigene Softwareinstallation auf dem aktuellsten Stand zu halten. Und man schläft damit auch einiges besser!

Noch mehr zum Thema Sicherheit, speziell für WordPress, findest Du übrigens im 2×2 der WordPress-Sicherheit!

So sorgst Du für sichere Websites

Thomas Brühwiler

Tom Brühwiler ist bei Hostpoint Head of Communication und zudem verantwortlich für die Aktivitäten im Social-Media-Bereich. Er tippte schon als Jugendlicher auf einem Commodore 64 und schrieb seitenweise Basic-Code aus Heften ab. Meist aber nur, um danach festzustellen, dass sich im Zeichensalat ein Fehler eingeschlichen hat – und das Programm gar nicht läuft. Trotzdem kann er sich heute ein Leben ohne Computer nicht mehr vorstellen.

0