Oct 14, 2022 • in 7 Min gelesen

0 Kommentare

Bauen Sie Sicherheit vom ersten Tag an in Ihre Website ein, um Hacking zu verhindern

Die Sicherheit einer Website sollte für jeden Website-Betreiber ein Hauptthema sein. Es ist nicht wichtig, ob Ihre Website groß oder klein ist – wenn sie für Ihr Business wichtig ist, müssen Sie sie sicher und geschützt halten. Als Website-Besitzer – und vor allem als WordPress-Site Besitzer – habe ich mir eine Checkliste ausgedacht, die ich jedes Mal durchgehe, wenn ich eine neue Website für mich oder einen Kunden einrichte. Ich möchte sie mit Ihnen teilen, in der Hoffnung, dass Sie ein paar neue Ideen aufgreifen können. Wir werden sehen, was es braucht, um eine Website zu sichern.

Auswahl eines sicheren Webhosts

Es sollte selbstverständlich sein, aber Sicherheit beginnt bei Ihrem Webhosting. Ich habe alles genutzt, vom ‘Do-it-yourself-Webhosting’ bis zum ‘Concierge-Level-Hosting’. Der Trick ist, die Funktionen zu finden, die Sie brauchen, und den Support, mit dem Sie zufrieden sind.

Zugriffs-E-Mail gesendet!

Anmelden für
mehr fantastischen Inhalt!

Abonnieren Sie unseren monatlichen Newsletter mit den neuesten hilfreichen Inhalten und Angeboten von SiteGround.

Vielen Dank!

Bitte überprüfen Sie Ihre E-Mails, um Ihr Abonnement zu bestätigen.

Prüfen Sie die Unterstützung

Wenn ich einen neuen Webhoster in Erwägung ziehe, prüfe ich als Erstes den Support und die Reaktionszeit. Ich melde mich für eine kostenlose Testversion an, richte eine Website ein und rufe dann den Support an, um eine Frage zu stellen. Wie schnell sie antworten und wie gut sie die Frage verstehen, gibt mir Anhaltspunkte dafür, was ich von ihnen erwarten kann, wenn ich meine Website bei ihnen hosten.

Überprüfen Sie ihre Sicherheitsmerkmale

Dann prüfe ich die Website und die Hosting-Angebote, um zu sehen, welche Sicherheitstools und -funktionen sie anbieten. Ich achte auf wichtige Dinge wie ein SSL-Zertifikat, um die Daten meiner Website zu verschlüsseln und zu schützen. Domain ID Protect, um meine persönlichen Daten vor öffentlichen Whois-Datenbanken zu verbergen, 2-Faktor-Authentifizierung, um meine Website vor unbefugtem Zugriff zu schützen, geografisch verteilte Backups, um eine sichere Kopie meiner Website zu haben, falls etwas schiefgeht.

Weitere wichtige Sicherheitsmaßnahmen, die ich mir von meinem Hosting-Anbieter wünsche, sind eine Web Application Firewall – eine Software, die vor meiner Website sitzt und sie vor bekannten bösem Datenverkehr schützt -, um meinen Host-Server vor Software-Exploits, DDOS- und Brute-Force-Angriffen zu schützen, und die Option für automatische Updates auf die neuesten PHP- und WordPress-Versionen, um Ihre Website vor Malware zu schützen.

Wenn der Hoster noch mehr Sicherheitstools anbietet, wäre das sogar noch besser. Zusätzlich zu all diesen Funktionen, die auf der SiteGround-Plattform verfügbar sind, bieten sie zum Beispiel auch einen intern entwickelten Site-Scanner-Service und ein kostenloses, intern entwickeltes SiteGround WordPress Security Plugin, um sicherzustellen, dass Ihre Website so sicher wie möglich ist.

Lesen Sie ihren Blog

Schritt 3 bei der Auswahl eines Webhosters ist immer, die letzten 5 Einträge in seinem Blog zu lesen. 

  • Sind sie aktuell?
  • Sind sie über Sicherheit?
  • Sind die Blogbeiträge hilfreich?

Nein, nicht alle Blog-Beiträge werden sich mit Sicherheit befassen, aber ich sollte besser in der Lage sein, einen aktuellen Beitrag zu finden. Die Sicherheitskonzepte ändern sich schnell, daher müssen sie regelmäßig veröffentlicht werden.

Prüfen Sie den Preis

Schließlich überprüfe ich die Preisstufen und finde heraus, in welche Kategorie meine Website fallen wird. Der Preis ist das Letzte, das ich überprüfe, denn wenn die ersten beiden Kästchen nicht angekreuzt sind, spielt der Preis keine Rolle. Sie könnten das Hosting kostenlos anbieten und ich würde es nicht nutzen.

Sichern Sie Ihre Website von Anfang an

Sobald Sie ein sicheres Fundament für Ihre Website gelegt haben, ist es an der Zeit, mit der Gestaltung und dem Ausbau der Website zu beginnen. Bei jedem Schritt müssen Sie darauf achten, dass die Sicherheit “baked in” und nicht “bolted on” wird.

Die Sicherheit ist bereits “baked in”, wenn Sie vor der Erstellung Ihrer Website darüber nachdenken. Sicherheit wird “bolted on”, wenn Sie Ihre gesamte Website aufbauen und dann beschließen, nur ein sicherheitsorientiertes Plugin hinzuzufügen, um Ihre Grundlagen abzudecken.

“Baked in” ist immer besser.

Was bedeutet “Baked in” Sicherheit?

Installieren Sie ein SSL-Zertifikat, sobald Sie die Website eingerichtet haben.

Warten Sie nicht, bis Sie bereit sind, Ihre Website einzurichten, bevor Sie daran denken, Ihr SSL-Zertifikat zu installieren. Heutzutage ist eine sichere Website nur ein paar Mausklicks entfernt. Nehmen Sie sich die Zeit, dies jetzt zu tun, und stellen Sie dann sicher, dass Sie den gesamten Datenverkehr nach der Installation auf https umstellen. Für Benutzer, die bei SiteGround hosten, machen Ihre Site Tools die Einrichtung und Durchsetzung von SSL einfach. Nur ein paar Klicks und Sie sind fertig. 

Legen Sie ein sicheres Passwort fest, bevor Sie mit dem Hinzufügen von Benutzern beginnen

Passwörter sind das Schloss an der Eingangstür zu Ihrer Website. Wenn Sie Ihre Website einrichten, sollten Sie ein starkes Schloss an der Eingangstür anbringen, indem Sie von allen Benutzern verlangen, dass sie sichere Passwörter verwenden. Wenn Sie dies tun, bevor die Benutzer auf Ihre Website zugreifen können, stellen Sie sicher, dass keine Benutzer schwache Passwörter einrichten. 

Erfordern Sie eine Zwei-Faktor-Authentifizierung (2FA) für alle Benutzer, die über Administratorrechte im System verfügen.

Die Zwei-Faktor-Authentifizierung ist das Schloss Ihrer Website. Ja, ein sicheres Passwort ist wichtig, damit jeder auf die Website zugreifen kann, aber um an Dinge wie Finanzinformationen oder die Benutzerverwaltung zu gelangen, brauchen Sie auch ein sicheres Schloss. Halten Sie Ihr System sicher, indem Sie 2FA für alle Ihre Admins einrichten. Das SiteGround Security Plugin macht die Einrichtung von 2FA sehr einfach.

Richten Sie ein Backup-System ein, das regelmäßig Ihre gesamte Website sichert und diese Backups sicher aufbewahrt.

Sie brauchen ein 30-Tage-Sicherungssystem, das vom ersten Tag an eingeführt wird. Nicht 1 Tag, nicht 7 Tage, 30 Tage. Denn wenn Ihre Website gehackt wird, merken Sie das möglicherweise nicht sofort. Sobald Sie dies bemerken, sollten Sie Ihre Website bereinigen, und eine der besten Möglichkeiten dazu ist die Wiederherstellung Ihrer Website von einer Backup. 

Die Site Tools von SiteGround bieten ein intuitives Tool für die Planung von nächtlichen Backups und die Wiederherstellung bei Bedarf. 

Wo wir gerade von Backups sprechen. Vergessen Sie nicht, vor einem Upgrade, einer größeren Umgestaltung der Website oder der Installation eines neuen Plugins ein Backup zu erstellen. Es schadet nie, ein frisches Backup zu haben, falls etwas schief geht.

Erinnern Sie sich an den Grundsatz der geringsten Privilegierung 

Bevor Sie Benutzern Zugang zu Ihrem System gewähren, sollten Sie sich überlegen, welche Rolle sie spielen werden. Eine Rolle ist eine Reihe von Berechtigungen oder Privilegien, und Sie möchten jedem Benutzer das absolute Minimum an Privilegien geben, das er zur Nutzung Ihrer Website benötigt.

Es gibt mehrere gute Rollen Editoren für WordPress, und ich schlage vor, dass Sie einen davon installieren und lernen, wie man ihn benutzt. Überprüfen Sie dann die Rollen, die Sie auf Ihrer Website haben, um sicherzustellen, dass sie nur die Privilegien haben, die sie zur Nutzung Ihrer Website benötigen. 

Überprüfen Sie diese Berechtigungen regelmäßig – mindestens einmal im Jahr -, um sicherzustellen, dass sie noch gültig sind und dass keine Rolle eine Berechtigung erhalten hat, die sie nicht benötigt. 

Die meisten Benutzer versuchen nicht, böse Dinge zu tun, aber wir müssen davon ausgehen, dass sie es tun würden, wenn sie könnten. Die Einhaltung des Prinzips der geringsten Privilegien trägt dazu bei, dass böse oder neugierige Benutzer keine Dinge auf Ihrer Website tun können, die sie nicht tun sollten.

Verwenden Sie nur Software aus einer vertrauenswürdigen Quelle

Bei der Softwareentwicklung – wie auch beim Bau eines Hauses – ist der Ruf Ihres Lieferanten entscheidend für den Erfolg Ihres Projekts. Wenn Sie einen Billiganbieter für den Rohbau Ihres Hauses wählen, wird das gesamte Projekt darunter leiden. Noch schlimmer ist, dass es Sie später mehr kosten wird, diese Probleme zu beheben, als wenn Sie von Anfang an nur gute Materialien kaufen würden.

Der Aufbau Ihrer Website mit Qualitätsmaterialien wie Plugins und Themes von seriösen Anbietern wird Sie in der Regel kurzfristig Geld kosten. Aber die Gewissheit, dass die Unternehmen hinter ihren Produkten stehen und sie aktualisieren, wenn Probleme auftreten, ist das Geld wert.

Ja, Sie können ein kostenloses Plugin oder Theme wählen, um eine wichtige Funktion Ihrer Website darauf aufzubauen. Doch was tun Sie, wenn Sie eine Sicherheitslücke entdecken? Schlimmer noch, was tun Sie, wenn Sie diese Schwachstelle entdecken und dann feststellen, dass der Autor das Projekt aufgegeben hat? An diesem Punkt haben Sie 2 Möglichkeiten, die beide nicht gut sind.

  1. Beauftragen Sie einen Entwickler mit der Behebung der Sicherheitslücke
  2. Löschen Sie das Plugin, finden Sie ein anderes, das dasselbe tut, implementieren Sie es und nehmen Sie alle notwendigen Änderungen an Ihrem Prozess vor.

Beides kann teuer werden, was durch eine kluge Entscheidung am Anfang vermieden werden könnte.

SiteGround untersuchte kürzlich die Daten von vielen kompromittierten Websites. Sie fanden heraus, dass die Mehrheit der Websites kompromittiert wurde, weil sie nicht gepatchte Plugins mit Sicherheitslücken enthielten. In den meisten Fällen handelte es sich dabei um die kostenlosen Versionen kostenpflichtiger Plugins, die aus nicht vertrauenswürdigen Quellen heruntergeladen wurden. Laden Sie Plugins und Themes nur von vertrauenswürdigen Websites wie WordPress.org oder von Anbietern herunter, denen Sie vertrauen.

Das WordPress Plugin Repo ist eine sichere Quelle. WordPress.org hat einen Überprüfungsprozess implementiert – sowohl von Menschen als auch von Scansoftware – um Plugins herauszufiltern, die potenzielle Sicherheitsprobleme haben oder anderweitig gegen die WordPress-Richtlinien verstoßen.

Scannen Sie regelmäßig Ihre Website

Genauso wie Sie ein Sicherheitssystem in Ihr Haus einbauen, sollten Sie auch einen Sicherheitsscanner für Ihre Website einrichten, sobald Sie sie erstellt haben. Sicherheitsscanner untersuchen Ihre Website sowohl intern als auch extern, um sicherzustellen, dass es keine bekannten Schwachstellen gibt. Er überprüft auch Ihre Website auf Viren. Kein Sicherheitsscanner ist perfekt, genauso wenig wie ein Sicherheitssystem für zu Hause perfekt ist. Aber Ihre Website ist mit einem solchen System sicherer.

Ein guter Scanner sucht unter anderem nach Schwachstellen wie Cross Site Scripting. Diese Schwachstellen können dazu führen, dass Ihre Website für Angriffe auf andere Websites oder Angriffe auf den Endbenutzer selbst genutzt wird.

SiteGround verfügt über ein hervorragendes Scanning-System. Ich erhalte regelmäßig E-Mails, in denen mir mitgeteilt wird, welche Websites gescannt wurden und dass entweder alles in Ordnung ist oder dass es ein Problem gibt, das ich sofort beheben muss.

Hüten Sie sich vor Phishing-Betrug in Bezug auf Ihre Website

Wenn man ein neues Haus gebaut hat, gibt man nicht jedem einen Schlüssel, auch wenn er behauptet, einen guten Grund zu haben, um hineinzukommen. Ebenso sollten Sie darauf achten, dass Sie nicht automatisch auf den Link klicken, wenn Sie eine E-Mail erhalten, in der steht, dass sie von Ihrer Website stammt.

Sie sollten jede E-Mail kennen, die Ihr System versenden kann. Wenn Sie eine E-Mail erhalten, an deren Einrichtung Sie sich nicht erinnern können, müssen Sie nachforschen. Klicken Sie nicht, sondern sehen Sie es sich an. Überprüfen Sie die Kopfzeilen, schauen Sie sich die genaue URL an, zu der die Links führen. Am wichtigsten ist, dass Sie die E-Mail mit Ihrer Antivirensoftware unter Quarantäne stellen.

Unbekannte E-Mails, die vorgeben, von Ihrer Website zu stammen, sind nur eine weitere Methode, mit der böswillige Nutzer versuchen, auf Ihre Website zu gelangen. Diese Phishing-Angriffe kommen von Servern, die nicht unter Ihrer Kontrolle stehen, sodass Sie sie nicht verhindern können. Sie können jedoch darauf achten, dass Sie sie löschen, wenn Sie sie erhalten. In fast allen Fällen kann die E-Mail keinen Schaden anrichten, wenn Sie sie nicht anklicken.

Tools, die ich regelmäßig verwende, um mehr Sicherheitseinstellungen auf meinen Websites zu implementieren

Eine WordPress-Website sicher zu halten, muss kein Vollzeitjob sein, wenn Sie von Anfang an Sicherheit in die Website einbauen. Dazu gibt es einige Tools, die ich auf fast jeder meiner WordPress-Websites verwende.

Das SiteGround Security Plugin ist das erste Plugin, das ich auf jeder neuen Website, die ich einrichte, installiere. Ich installiere das Plugin, das SSL-Zertifikat und konfiguriere alles so, dass es sicher ist, bevor ich etwas anderes tue. Wenn ich diesen Teil richtig mache, ist alles andere einfacher. 

Das SiteGround Optimizer-Plugin ist eine großartige Möglichkeit, meine Website schneller zu machen, aber es ist auch wo, ich die “Checkbox HTTPS Enforce” ankreuze. Auf diese Weise läuft der gesamte Datenverkehr auf meiner Website über HTTPS, auch wenn das ursprünglich nicht der Fall war. Ein SSL-Zertifikat zu haben ist wichtig, es für den gesamten Datenverkehr durchzusetzen ist ebenso wichtig. 

Die Site Tools von SiteGround bieten viele großartige Optionen, die die Verwaltung einer Website erleichtern. Das einzige Tool, das ich bei der Einrichtung verwende, ist das Backup-Tool. Nachdem ich SiteGround Security und SiteGround Optimizer eingerichtet und konfiguriert habe, habe ich mein Fundament gelegt – ich erstelle ein Backup. Das ist meine Notlösung für den Fall, dass ich beim Aufbau meiner Website etwas vermassle.

Dann erstelle ich vor der Installation jedes Plugins oder Themes ein neues. Ich nenne diese Backups “BEFORE” + den Namen des Plugins oder Themes. Auf diese Weise kann ich ein Backup an jedem beliebigen Punkt des Prozesses wiederherstellen.

Zusammenfassung

Wenn Sie ein sicheres Fundament für Ihre Website legen und bei jedem Schritt an die Sicherheit denken, können Sie nachts ruhig schlafen, denn Sie wissen, dass Ihre Website so sicher wie möglich ist. Keine Website ist jedoch kugelsicher. Der letzte Schritt besteht daher darin, einen Plan für die Notfallwiederherstellung zu erstellen. Welche Schritte unternehmen Sie, wenn Ihre Website gehackt wurde?

Das SiteGround Security Plugin bietet eine Reihe von Schritten, die Sie genau für diese Situation ergreifen können. Es handelt sich nicht um einen vollständigen Notfallplan, aber wenn Sie ihn mit 30-tägigen Backups kombinieren, können Sie sicher sein, dass Sie einen Notfallplan haben.

Autoren-Avatar
Cal Evans

PHP-Evangelist

Einer der am meisten bewunderten Menschen in der PHP-Community, der sich seit mehr als 16 Jahren dem Aufbau der fantastischen PHP-Community und der Betreuung der nächsten Generation von Entwicklern widmet. Wir fühlen uns sehr geehrt, dass er auch ein ganz besonderer Freund von SiteGround ist.

Starten Sie die Diskussion

Ähnliche Posts