Website-Sicherheitscheck: 7 Tipps, mit denen Sie die Site Security erhöhen

1. Starkes Passwort für Adminbereich und FTP-Zugang

Das Passwort war, ist, und bleibt eines der Hauptschwachstellen beim Schutz der eigenen Website und dem Zugang zu diversen anderen Onlineangeboten. Ist es kurz und einfach, können die Algorithmen der Hacker es in kürzester Zeit knacken.

Ein Passwort wie „123456789“ ist daher schlecht, ebenso ein Anmeldename wie „admin“, „administrator“ oder „root“. Ändern Sie den Benutzernamen gegebenenfalls umgehend.

Tipp: Um für jeden Online-Account ein anderes Passwort zu verwenden, gibt es Verwaltungsprogramme wie LastPass. Zum Schutz vor Brute-Force-Angriffen ist auch hier ein komplexes Masterpasswort wichtig. Ein gutes Passwort ist mindestens zehn Zeichen lang, enthält Groß- und Kleinbuchstaben, Ziffern und Symbole. Beispiel: §2$93wRE2!)=)§$.

Den Zugang zum Log-in-Bereich können Sie per .htaccess-Passwortschutz zusätzlich sichern. Bevor die Seite zur Log-in-Eingabe angezeigt wird, müssen Sie einen zusätzlichen Benutzernamen mit Passwort korrekt eingeben.

Starke Passwörter für registrierte Nutzer erzwingen

Können sich die Besucher Ihrer Website registrieren? Dann stellen Sie bei der Registrierung sicher, dass nur komplexe Passwörter erlaubt sind. Bei WordPress realisieren Sie dies leicht mit dem Plug-in Wordfence Security, das viele weitere Funktionen, wie etwa eine Firewall, enthält. Erstellen Sie vor der Installation ein Backup und testen Sie die einwandfreie Funktion ausführlich.

2. Regelmäßige Backups durchführen

Sie haben länger oder gar noch nie ein Backup Ihrer Website erstellt? Dann erstellen Sie am besten schnellstmöglich eines. Sollte die Seite gehackt werden, ist der Schaden mit einem Backup innerhalb kurzer Zeit behoben.

Manuelles Backup

Mit einem FTP-Programm wie FileZilla lassen sich alle Daten vom Server lokal speichern. Bei Tausenden Dateien dauert der Vorgang trotz schneller Internetverbindung meist mehrere Stunden. Zusätzlich ist in der Regel ein Backup der Datenbank notwendig. Dafür benötigen Sie den Zugriff auf MySQL über Ihren Website-Hosting-Anbieter.

Automatische Backups mit Plug-ins für CMS

Für Content Management Systeme (CMS) gibt es zahlreiche kostenlose und kostenpflichtige Erweiterungen zur Erstellung von Backups. Ein beliebtes Plug-in für WordPress ist UpdraftPlus mit über zwei Millionen aktiven Installationen und mehr als 2.500 5-Sterne-Bewertungen.

3. SSL-Zertifikat für die HTTPs-Verschlüsselung

Die HTTPS-Verschlüsselung erkennen Sie am Vorhängeschloss-Symbol.

Das Kommunikationsprotokoll HTTPS hat HTTP als Standard-Protokoll für Websites abgelöst. Schauen Sie oben im Browser in die Adresszeile. Am Anfang sehen Sie ein Vorhängeschloss-Symbol, gefolgt von „https“ und der URL (Schaubild 1).

Websites mit HTTPS verfügen über ein SSL-Zertifikat und tauschen Informationen mit dem Client in verschlüsselter Form aus. Integriert Ihre Website ein Eingabeformular, müssen Sie HTTPS statt HTTP verwenden, andernfalls sind die eingegebenen Nutzerdaten nicht sicher.

Browser-Warnmeldung, wenn eine Website ein Eingabeformular und kein SSL Zertifikat verwendet.

Browser zeigen bei Websites mit Eingabeformular/en und ohne HTTPS eine Warnmeldung an (Schaubild 2). Suchmaschinen bewerten die Verwendung mit einem besseren Ranking. Und was viel wichtiger ist: Für den Datenschutz und die Umsetzung der DSGVO ist ein SSL-Zertifikat Pflicht. Deswegen gehören SSL-Zertifikate bei guten Hosting-Anbietern zum Service. In den DomainFactory FAQ erfahren Sie mehr über SSL-Zertifikate und die Einbindung auf Ihrer Website.

Tipp: SSL Labs führt einen kostenlosen und umfassenden Test des verwendeten SSL-Zertifikats durch.

Der Test von SSL Labs ergibt für df.eu eine Bewertung von A+.

4. Regelmäßige Updates durchführen!

Die meisten Websites laufen mit einem Content Management System wie WordPress. Ein veraltetes Core-System, nicht aktualisierte Plug-ins und Themes zählen zu den großen Sicherheitsrisiken. Werden Schwachstellen erkannt, schließen die Anbieter diese meist schnell mit Updates. Stellen Sie daher sicher, dass Ihr CMS, sämtliche Erweiterungen und Themes immer auf dem aktuellen Stand sind.

Tipp: Löschen Sie alle nicht verwendeten Plug-ins und Templates, um das Risiko eines Angriffs zu minimieren. Installieren Sie nur die Erweiterungen, die für den optimalen Betrieb notwendig sind.

5. Niemals ein gecracktes Premium-Plug-in verwenden

Für CMS gibt es kostenlose Erweiterungen mit eingeschränkter Funktion und kostenpflichtige Premiumversionen. Für die Aktivierung der Premiumfunktionen muss ein Aktivierungsschlüssel eingegeben werden. Im Netz kursieren gecrackte/genullte Versionen dieser Premium-Plug-ins. Verwenden Sie diese auf keinen Fall! Die Chance einer Malware-Infektion ist riesig, mit großer Wahrscheinlichkeit wird bei Verwendung eine Backdoor (also eine Hintertür für Datenspione) installiert. Anschließend kann ein Hacker auf Ihren Admin-Bereich zugreifen und die Datenbank manipulieren.

Tipp: Installieren Sie Erweiterungen für WordPress immer nur von WordPress.org und für andere CMS-Systeme von den offiziellen Websites. Prüfen Sie, ob die Erweiterung in letzter Zeit aktualisiert wurde, und lesen Sie sich die Bewertungen (vor allem negative) durch.

Website Sicherheitscheck 1: Datenschutz & Site Security mit Webbkoll pürfen

Webbkoll prüft den Datenschutz einer Website innerhalb von Sekunden.

Zeit für einen ersten umfassenden Test. Das Tool Webbkoll analysiert, wie gut Datenschutzbestimmungen und Sicherheitsmaßnahmen auf der eigenen (oder einer beliebigen anderen) Website umgesetzt wurden. Webbkoll simuliert den Besuch mit einem normalen Browser, ohne Addos und ohne Aktivierung von Do Not Track. Es überprüft unter anderem

• ob HTTPS-Weiterleitungen korrekt funktionieren,
• SSL Zertifikate gültig, HTTP Strict Transport Security (HSTS) und die Content Security Policy (CSP) implementiert sind und
• eine Refferer Policy gesetzt ist.

6. HTTP Security-Header hinzufügen

Wenn ein Client auf eine Website zugreift, stellt der Browser an den Server eine Anfrage. Der Webserver antwortet zusammen mit HTTP-Headern. Diese enthalten Informationen wie Content-Encoding, Status-Code und Cache-Control. HTTP Security-Header teilen dem Browser mit, wie mit dem Seiteninhalt umzugehen ist. Per Strict Transport Security (HSTS) wird der Browser beispielsweise gezwungen, nur über HTTPS zu kommunizieren. Für WordPress fügen Sie mit einem Plug-in wie Security Headers HTTP Security-Header zu Ihrer Website hinzu. Sie erhöhen damit die Sicherheit des Servers und verhindern unter anderem Cross-Site-Scripting. Testen Sie den Erfolg mit einem Tool wie Webbkoll.

Website Sicherheitscheck 2: Prüfung auf Malware und mehr mit Sucuri

Steht Ihre Website auf einer Blacklist oder wurde sie bereits infiltriert und verbreitet Malware? Der Site Security Check von Sucuri gibt Antwort. Weitere Tests:

• Prüft, ob eine Web Application Firewall installiert ist.
• Prüft die Security-Header für XSS Protection zum Verhindern von Content Sniffing und checkt, ob der Strict Transport Security-Header implementiert ist.

7. Website mit Web Application Firewall schützen

Eine Web Application Firewall (WAF) schützt Websites und Webanwendungen, indem alle an den Webserver gesendeten Anfragen und Antworten untersucht werden. Erkennt die Software ein verdächtiges Muster, wird die weitere Kommunikation unterbunden und die anfragende IP-Adresse landet beispielsweise auf einer Blacklist.

Für WordPress gibt es zahlreiche Security-Plug-ins:

• Wordfence Security ist Freemium, die kostenlose Version beinhaltet Web Application Firewall, Malware Scanner und mehr.
• All In One WP Security ist kostenlos und bietet unter anderem eine mehrschichtige Firewall.
• Securi Security ist kostenpflichtig und zählt mit seinen umfangreichen Funktionen zu den besten Site Security Plug-ins für WordPress.
• Sucuri Security ist kostenfrei für alle WordPress-Nutzer und bietet Auditing, Malware Scanner und Security Hardening.

Weitere Tools für einen Website-Sicherheitscheck

Der Web-Inspector-Test hat keine Auffälligkeiten entdeckt.

• Der Website-Sicherheitscheck Observatory der Mozilla Foundation prüft Ihre Website kostenlos innerhalb weniger Sekunden auf Sicherheitsprobleme wie HTTP Public Key Pinning und zahlreiche mehr.
• Scan My Server testet unter anderem auf SQL Injection, Cross-Site-Scripting, PHP Code Injection, HTTP Header Injection und mehr.
• Detectify überprüft die Website auf mehr als 100 Gefahren.
• Web Inspector untersucht die Seite auf Phishing, Malware, Würmer, Backdoors, Trojaner und vieles mehr.
• Sucuri Website Security scanned täglich und sorgt dafür, dass Schadprogramme schnell identifiziert und entfernt werden.

Zusammenfassung

Starke Passwörter, die Verwendung eines SSL-Zertifikats sowie regelmäßige Updates und Backups sind Pflicht für eine sichere Website. Zusätzlichen Schutz erreichen Sie mit einer Web Application Firewall. Für bestmögliche Internetsicherheit sollten Sie sich mit dem Thema HTTP Security-Header auseinandersetzen.

💡 Interessante Informationen über die größten Gefahren für Websites finden Sie auf unserer Websitegefahren-Report-Seite. Laden Sie sich dort auch den "2019 Website Threat Research Report" herunter, eine der wohl umfassendsten Analysen von aktuellen Website-Gefahren.