3 einfache Schritte um deine Website sicherer zu machen

Artikel auf Deutsch.Tips & Tricks.Work

(Dieser Artikel ist nur auf Deutsch verfügbar)

Nur 3? Das ist ja easy!

Eine sichere Website ist ein komplexes Thema. Aber niemand kann alles im Blick haben, außer es ist sein Job. Darum gibt es hier 3 Tipps wie du deine eigene Website ein kleines bisschen sicherer machen kannst.

Vielleicht hostest du deine Seite selbst oder hast noch einen „Partner in crime“ der dich unterstützt. Doch egal ob du deine Seite selbst aufgesetzt hast oder jemand anderes darum kümmert: Schau dass du ein paar Punkte im Blick hast und du kannst wieder ein klein bisschen beruhigter schlafen 🙂

ABOUT LAST NIGHT

Letzte Nacht konnte ich unter anderem dank eines Freundes sehen, das sich viel im Internet getan hat. Diverse Webseiten hatten Probleme, waren kurz offline und dann wieder zurück. Meine eigenen Monitoringsysteme haben ebenfalls angeschlagen und zwischendurch gab es einen Netzausfall bei der Telekom.

Solche großflächigen, generellen Probleme kann man als einzelner nicht verhindern. Aber neben diesen Ereignissen gibt es auch noch die „üblichen Verdächtigen“ die Tag für Tag unterwegs sind und vor denen man sich Schützen kann, bzw. es den Angreifern etwas schwerer machen kann.

Ich setze nun einfach mal voraus dass du deine Website soweit konform aufgesetzt hast oder aufsetzen gelassen hast (mit allem PiPaPo) und sie läuft rund. Legen wir also los:

1. SCHRITT

  • Der Benutzername und deine Passwörter für den Adminbereich anpassen

Oh ja, mein ernst. Denn offensichtlich kann man es nicht oft genug sagen. Erst kürzlich habe ich wieder festgestellt dass die Passwortvergabe nicht unbedingt die Stärke der großen Masse ist. So wurde unter anderem der Email-Account eines jungen US-Amerikanischen Punk-Musikers gehackt, in dem ein Jugendlicher einfach mal das Passwort erraten hat. Beim ersten Versuch!

Und dazu kommt noch, dass Standardmäßig der Benutzername „Admin“ sehr oft verwendet wird. Dadurch wird es Angreifern an den Eingangstoren zu deinem Allerheiligsten, dem Backend ¹ , sehr leicht gemacht.

Ein anderer Benutzername und ein gutes Passwort sind also der erste Schritt um deine Webseite sicherer zu machen. Hier meine Empfehlungen:

  • Nimm als Benutzernamen nicht „Admin“ und auch nicht deinen Namen, sondern irgendwas anderes. Etwas das du dir gut merken kannst. Mach es nicht zu kompliziert aber auch nicht zu einfach. Es kann der Spitzname sein den du in der Grundschule hattest. Den kennen nur wenige und du kannst ihn dir gut merken.
  • Das Passwort muss auch nicht kompliziert sein. Aber lang ist Vorteilhaft. Während für ein 6 stelliges Passwort mit etwas Pech nur 0,6 Sekunden benötigt werden, dauert es bei einem 10 stelligen Passwort zwischen 100 und 150 Tagen. Macht doch schonmal einen Unterschied. Nimm auch hier gerne etwas was du dir merken kannst. Zum Beispiel deine Lieblingsserie.–> DieLindenStrasse ist ein 16 stelliges Passwort mit Groß- und Kleinbuchstaben und kann schon sicherer sein als gL8*z
    –> Setze jetzt noch ein Sonderzeichen an den Anfang und das Ende zum Beispiel ein + und du hast ein wunderbares Passwort das wesentlich sicherer ist als dein Geburtsdatum oder Name deines Haustieres: +DieLindenStrasse+

Wenn du jetzt noch alle 3 bis 4 Monate das Passwort wechselst, bist du vorerst gut aufgestellt.

2. SCHRITT

  • Überflüssige Themes und Plugins löschen

Egal ob WordPress, Drupal, Shopify, Moodle, Weebly, Joomla und wie sie alle heißen, checke dass du nicht übermäßig viele inaktive Themes installiert hast, die als Datenleichen im Hintergrund vor sich hin dümpeln. Ein Standard Theme zu deinem aktiven Theme genügt und dient als Sicherheit für den Fall dass das aktive Theme mal ausfällt.

Das selbe gilt für die Plugins. Plugins sind eine saubere Angelegenheit die dir den Umgang und das erweitern deines CMS ² erleichtern. Doch zu viele Plugins und auch inaktive Plugins können eine Sicherheitslücke darstellen.

  • Deinstalliere alle inaktiven Plugins
  • Checke ob du alle aktiven Plugins tatsächlich benötigst oder ob da tatsächlich noch welche aktiv sind, die keine Funktion mehr auf deiner Webseite haben
  • Schaue das alle installierten Themes & Plugins auf dem aktuellen Stand sind

Das ist eine simple aber effektive Maßnahme die Angriffsfläche für Hacker und die Fehleranfälligkeit deiner Seite zu minimieren. Denn unabhängig vom Sicherheitsrisiko durch Angreifer von außen, kann es auch sein dass die Plugins sich untereinander stören oder auch nicht mehr auf die aktuelle WordPress Version angepasst wurden. Auch dadurch können Probleme auf deiner Webseite entstehen. Probleme sind in diesem Fall nicht nur schwerwiegende Dinge, sondern auch einfach Darstellungsfehler, welchem deinem Besucher das Erlebnis auf deiner Webseite etwas vermiesen können.

3. SCHRITT

  • Die Standard-Dateipfade ändern

(etwas fortgeschrittener)

Jedes CMS hat eine bestimmte Dateistruktur. Also der Aufbau in dem festgelegt ist, wo welche Dateien hinterlegt sind. Die Dateien liegen also auf dem Server an bestimmten Orten oder besser gesagt: In bestimmten Ordnern. Die Namen für die Ordner und Dateien im jeweiligen CMS sind immer gleich, es sei denn, man ändert diese manuell ab.

Bei WordPress findet sich der Zugang zum Administrationsbereich zum Beispiel immer unter /wp-admin. Das ist, würde ich ma behaupten, etwas dass ich als allgemein bekannt bezeichnen würde. Also auch unter Hackern. Um den meisten Hackern und Scripten einen Strich durch die Rechnung zu machen, kann man den Dateipfad abändern.

Dies hat den Vorteil das die Zahl der Brute-Force-Angriffe sich verringert. Das entlastet zum einen deine Webseite und die Gefahr dass durch ständige Angriffe irgendwann doch noch jemand dein Passwort (welches du ja nun spätestens alle 3 – 4 Monate änderst 😉 ) herausfindet ist ebenfalls minimiert.

Wie du die Standard-Dateipfade für dein CMS änderst, erfährst du meistens in den Foren oder der Dokumentation des CMS selbst. Es kann hier durchaus sein dass es zu Schwierigkeiten kommt und bestimmte CMS dies nicht zulassen. Ich kenne tatsächlich nicht alle CMS auswendig. Doch wenn du oder dein Administrator dies umsetzen können, lautet meine klare Empfehlung dies auch zu tun.

FERTIG.

Zumindest für heute!

Natürlich gibt es noch gefühlt 5000 andere Punkte die durchzuarbeiten sind. Besonders wenn nun Menschen diesen Artikel lesen die sich bereits auskennen, werden diese hier möglicherweise ein paar Punkte vermissen. Doch mit diesen 3 genannten Maßnahmen, hast du schonmal mehr gemacht als die meisten anderen die ich kenne.

Sei also Stolz auf dich!

Folge diesem Blog und folge mir auf meinen Social Media Kanälen um keine wichtige Information mehr zu verpassen! Teile den Beitrag, wenn du glaubst dass dein Netzwerk davon profitieren kann!

INSTAGRAM

LinkedIn

Cheers,

Andreas

 

EIN KLEINER BONUS

Achte auch darauf dass dein PC / Mac Virenfrei bleibt. All die Sicherheitsmaßnahmen bringen nichts, wenn jemand durch die Installation von Malware deine Zugangsdaten erfährt. Achte auch darauf das du bei der Eingabe deiner Passwörter keine Zuschauer hast. Was nun banal klingt, hat leider schon öfter funktioniert und viel Schaden verursacht.

War dieser Artikel Hilfreich? Lass es mich wissen und schreibe gerne einen Kommentar dazu!

Leave a Reply

Your email address will not be published. Required fields are marked *