Eine aussagekräftige Domain, ein stabiles System und starker Content – daran denken wir oft, wenn wir eine Idee für ein neues Webprojekt haben. All das sind kreative Wege, um das eigene Projekt mehrere Schritte weiterzubringen. Was dabei gerne verdrängt wird: Menschen mit krimineller Energie sind ebenso kreativ im Finden von Sicherheitslücken. Diese Lücken können dafür sorgen, dass deine Website übernommen, zerstört oder anderweitig missbraucht wird. Auch wenn es nicht unbedingt gleich Grund zur Sorge ist: Es ist ein Grund, die Sicherheit deiner Website zu verbessern.
Im Folgenden haben wir für dich einige Tipps zusammengefasst, die dir dabei helfen sollen, die Sicherheit deiner Website einfach, schnell und nachhaltig zu verbessern.
Geh sorgsam mit deinen Passwörtern um
Das Wichtigste zuerst: Denk immer mit.
Wurdest du schon mal Opfer eines gehackten Passworts? Bestimmt hast du bereits E-Mails von sozialen Medien oder Service-Anbietenden erhalten, in denen du auf einen Login-Versuch durch eine unbekannte Person hingewiesen wurdest. Hierbei handelt es sich häufig um Versuche, unerlaubterweise an deine Daten zu gelangen, Bestellungen durchzuführen oder anderen Schaden anzurichten.
Trickreiche Betrüger:innen versuchen hier, einzelne Benutzer:innen durch gezielte Aktionen wie Phishing-Mails oder dem Versand von Schadsoftware angreifbar zu machen. Sei daher vorsichtig mit E-Mails, welche Links mit Passwort-Abfragen beinhalten. Am besten ist es, wenn du URLs direkt in die Adressleiste eingibst. So bist du sicher, dass du in deiner vertrauten, sicheren Umgebung einsteigst.
Oft werden Passwörter über die Brute-Force-Methode in zahlreichen Kombinationen einfach ausprobiert. In sehr vielen Fällen werden Passwörter jedoch durch Passwort-Leaks bekannt. Dabei stoßen Angreifer:innen auf Kombinationen aus Mailadresse sowie Klartextpasswort und versuchen damit, sich in andere Services einzuloggen. Die Wahrscheinlichkeit steigt dadurch, dass gleich auf mehreren Plattformen erfolgreich attackiert wird.
Verwende starke Passwörter
Der Vorname deiner Ehepartnerin oder deines Ehepartners ist bei der Passwort-Wahl genauso unpassend wie dein eigenes Geburtsdatum, denn diese Daten sind durch eine Recherche zu deiner Person oft schnell herausgefunden. Und bitte, verwende nicht 1234 oder Password.
Wenn du das Passwort für den Backend-Bereich deiner Website setzt, solltest du auf mehrere Faktoren achten:
- Allgemein gilt: Je länger das Passwort, desto schwieriger ist es, dein Passwort aus allen Kombinationen zu erraten. Die Passwortlänge ist der bedeutendste Faktor – bleib bei deinem Passwort am besten nicht unter 14 Zeichen.
- Bleib außerdem unberechenbar: Mische Buchstaben, Nummern und Symbole.
- Verwende keine Zeichenfolgen auf deiner Tastatur: QWERTZ, ASDFGH oder GHJKL sind beliebt, werden häufig verwendet und sind damit ein gefundenes Fressen für Hacker.
- Verwende dein Passwort möglichst nur einmal. Falls dein Passwort auf einer Plattform geleak oder gehacked werden sollte, sind ansonsten gleich mehrere deiner Accounts angreifbar!
Alternativ kannst du auch andere Möglichkeiten ausprobieren, Passwörter zu erstellen. Einige Personen nutzen hierbei eine Passphrase: Ein Satz, der für dich Sinn hat und für andere zufällig wirkt. Bonuspunkte für Sicherheit erhältst du, wenn du dabei Symbole oder Zahlen einbaust und Groß- und Kleinschreibung verwendest. Eine andere Methode ist die Bruce Schneier Methode: Dabei denkst du an einen Satz und verwendest dabei nur die ersten ein, zwei oder drei Buchstaben für dein Passwort. Dadurch wird “Mein Lieblingsverein ist der FC Blau-Weiß Linz!” zu MeLiisdeFCBlWeLi!
Nutze einen Passwort-Safe
Falls du dein Passwort auf einem Zettel auf deinem Bildschirm kleben hast: Lass das bitte sein. Wir alle benötigen für unsere Services zahlreiche Zugänge und somit auch Passwörter. Dabei hat es wenig Sinn, immer das gleiche Kennwort zu verwenden.
Um sicherzustellen, dass du deine Passwörter nicht vergisst, kannst du einen Passwort-Safe nutzen. Passwort-Safes speichern deine Passwörter nicht nur verschlüsselt ab, sondern helfen auch bei der Erzeugung sicherer Passwörter.
Gesichert wird der Passwort-Safe mit einem Master-Passwort, weshalb dieser Tipp ein zweischneidiges Schwert ist: Wenn du einen Passwort-Safe verwenden möchtest, achte bitte immer darauf, ein sicheres, starkes Passwort zu verwenden.
Aktiviere die Zwei-Faktor-Authentifizierung (2FA)
Wenn man lange genug alle Kombinationen durchprobiert, wird man auch ein langes, starkes Passwort irgendwann durch Durchprobieren erraten können. Der einzige Faktor ist hier die Zeit, die man sich dafür nimmt, alle Kombinationen durchzuprobieren – man nennt das auch Brute Force. Und eine Software, die nur darauf ausgelegt ist, dein Passwort mittels Durchprobieren zu erraten, kann dabei früher zum Ziel kommen als erwartet.
Aus diesem Grund empfehlen wir, um die Sicherheit deiner Website zu verbessern, auch immer die Aktivierung eines zweiten Faktors. Mit der Zwei-Faktor-Authentifizierung (2FA) identifizierst du dich nicht nur mit Passwort, sondern auch einer weiteren, unabhängigen Komponente. Beispiele hierfür sind Bankkarte + PIN oder ein Fingerabdruck + Zugangscode. Für die 2FA für Onlineservices verwendet man meist das Smartphone. Hierfür wird eine entsprechende App verwendet, die mit dem Konto (z.B. deiner WordPress-Seite) verknüpft wird – jedes Mal, wenn du dich einloggen möchtest, musst du dann zusätzlich einen Zahlencode, den du auf deinem Smartphone findest, eingeben. Das bedeutet, dass jemand, der dein Passwort weiß, trotzdem nicht weit kommt, da für den Zugang auch dein Smartphone benötigt wird.
Wusstest du, dass wir für die Zwei-Faktor-Authentifizierung eine eigene world4you-App anbieten? Mehr erfahren.
Nutze vertrauenswürdige Software
Hier und da sehen wir bei world4you, dass Kundinnen und Kunden sich das Leben schwer machen, indem sie versuchen, selber Systeme zusammenzubauen. Viele unserer Kundinnen und Kunden wissen dabei zwar sehr genau, was sie tun. Doch in der Regel empfehlen wir die Installation einer starken Websoftware wie WordPress, Joomla oder zahlreiche andere Optionen, die du bei world4you über den One-Click-Installer Easy.Install einrichten kannst.
Es lohnt sich fast immer, auf bewährte Software zu setzen, die von einem Team an Expertinnen sowie Experten erstellt und stets aktuell gehalten wird. So verpasst du nichts – auch wenn sich neue Sicherheitsstandards ergeben. Dadurch kannst du langfristig und nachhaltig die Sicherheit deiner Website verbessern.
Ebenso können Plugins für deine WordPress- oder Joomla-Installation ein Sicherheitsrisiko darstellen. Meist werden diese Erweiterungen von Drittanbietenden veröffentlicht und aktuell gehalten. Dabei gilt: Auch wenn ein Plugin zunächst nützlich erscheint, solltest du dich über die Erweiterung im Internet informieren, bevor du die Installation durchführst. Ein guter Ratgeber sind hierbei die Bewertungen – achte darauf, dass dein Wunsch-Plugin viele sehr gute Bewertungen und somit einen entsprechenden Ruf genießt. So kannst du sicherstellen, dass du ein stabiles Stück Software nutzt.
Halte deine Website-Software aktuell
Updates kommen immer genau dann, wenn man eigentlich gerade etwas ganz anderes vorhat. Sie sind aber wichtig für die Sicherheit deiner Website. Auch wenn es manchmal lästig ist, darauf zu warten, bis das Update deiner Website-Installation oder eines deiner Plugins abgeschlossen ist – es lohnt sich, die Website-Software aktuell zu halten.
Der Grund: Software-Updates werden unter anderem auch deswegen veröffentlicht, um gravierende Sicherheitslücken zu schließen und die Sicherheit deiner Website zu verbessern. Und obendrein erhältst du vielleicht das ein oder andere neue Feature.
Pass Zugriffsrechte an
Oft geht es bei den Zugriffsrechten um Eitelkeiten: Die Führungskraft wünscht sich einen Admin-Zugang, für den CEO legt man auch einen an und weil noch zwei, drei andere an der Website mitarbeiten, vergibt man gleich die vollen Rechte, sodass sich niemand auf den Schlips getreten fühlt.
Das kann jedoch zu einer Sicherheitslücke führen, denn grundsätzlich muss nur ein einziger Admin sein Passwort schlecht gesetzt oder geschützt haben, um die ganze Website und somit dein Projekt zu gefährden. Überprüfe aus diesem Grund, ob wirklich alle deine User volle Rechte benötigen: Jeder Administrations-Account mehr ist eine potenzielle Angriffsfläche.
Auf den zahlreichen Systemen ist es fast immer möglich, die Rechte von Benutzerinnen und Benutzern recht genau zu bestimmen. Wir empfehlen dir, davon Gebrauch zu machen und deine Kolleginnen und Kollegen, Mitarbeiter:innen und auch Vorgesetzten auf ein entsprechendes Rechtemanagement, aber auch auf das Thema Passwortschutz zu sensibilisieren.
Mach regelmäßige Backups
Manchmal passt man auf, sichert alles ab – und dann geht trotzdem etwas kaputt. Das passiert zwar selten, doch wenn alle Stricke reißen, kannst du mit Backups einen früheren Datenstatus wiederherstellen. Führe regelmäßige Backups – für WordPress, deine Website oder deine Serverdaten. Damit hast du eine Versicherung, falls doch etwas passiert.
Zur Einrichtung von Backups gibt es, je nach Software, mehrere Möglichkeiten und Anbieter:innen in Form nützlicher Plugins. Eine einfache Suchanfrage liefert dir schnell wertvolle Ergebnisse rund um das Thema Backup bei WordPress, Joomla und anderen.
Achte auf deine Gerätesicherheit
Das beste Passwort und die Zwei-Faktor-Authentifizierung helfen nichts, wenn dein Gerät kompromittiert ist und deine Passwörter ganz einfach ausgelesen werden können. Das passiert vor allem dann, wenn du bei deinen Endgeräten vollständig auf Sicherheitsmaßnahmen verzichtest. Regelmäßige Updates sowie die Verwendung von Virenschutz-Software halten dein Betriebssystem aktuell und sicher.
Denk aber auch daran, dein Endgerät regelmäßig zu versperren. Tatsächlich werden viele unerlaubte Zugriffe dadurch verschuldet, dass Personen ihre Notebooks und Smartphones nicht mit PIN-Code, Gesichtserkennung oder Fingerabdruck schützen und anschließend offen liegen lassen.
Gib auch deinen Usern Sicherheit
Auch deine Besucher:innen möchten so sicher wie möglich im Internet unterwegs sein. Verwende daher unbedingt ein SSL-Zertifikat – hier gibt es von der kostenlosen bis zur Business-Version genügend Auswahl. Auch world4you bietet eine Reihe von SSL-Zertifikaten an.
Deine User sind glücklich? Frag nach einer Bewertung! Gute Ratings auf Trustpilot und Google steigern das Sicherheitsgefühl und Vertrauen potenzieller Kundinnen und Kunden.
Unsere Sicherheits-Checkliste
Neben den obenstehenden Tipps gibt es noch eine Reihe weiterer Maßnahmen, die du zur Verbesserung deiner Website-Sicherheit durchführen kannst. Die genannten sind allerdings weitestgehend einfach umzusetzen und bieten gleichzeitig einen starken Effekt. Es ist auch wichtig, dass du alle Personen, die administrativ auf deine Website zugreifen können, auf das Thema Sicherheit sensibilisierst. Gerne kannst du diesen Beitrag teilen oder als Basis deiner internen Besprechung zu diesem Thema nutzen.
Bist du motiviert, deine Sicherheit zu erhöhen? Auf unserer Checkliste schlagen wir dir Maßnahmen vor, die du jetzt sofort umsetzen kannst, um die Sicherheit deiner Website zu verbessern.
- Informier dich über Passwort-Safes und installiere einen.
- Generier für einen deiner Accounts ein sicheres, langes Passwort.
- Aktualisiere deine Website-Software und alle Plugins.
- Installiere die world4you-App oder eine andere 2FA-Software und sicher deinen my.world4you.com-Zugang.
- Überprüfe, ob der Virenschutz auf deinem Endgerät aktuell ist. Du hast keinen? Dann wird es höchste Zeit!
Fachwissen rund um deine Online-Plattform