Als Websitebetreiber sind Sie selbst für die Sicherheit Ihrer Webanwendung verantwortlich. Wird Ihre Website gehackt, sind Sie verpflichtet die Sicherheitslücke zu schließen und ggf. Schadsoftware von Ihrem Webspace zu entfernen.
Leider ist das Hacken von Websites ein lukratives Geschäft. Über Sicherheitslücken verschaffen sich Hacker Zugriff auf den Webspace. Dann sind sie in der Lage über Skripte massenhaft Spam oder Schadcode (Malware) über Ihre Website zu verteilen. Tritt so ein Fall ein, sperrt Ihr Provider in der Regel aus Sicherheitsgründen Ihre Domain. Auch Google hat Algorithmen entwickelt, die nach Sicherheitslecks Ausschau halten. Dies dient dem Schutz der Nutzer.
Viele Content-Management-Systeme, wie WordPress oder Joomla!, sind open source-Lösungen, d.h. der Quellcode ist offen und für jeden potentiellen Hacker einsehbar. Häufig sind zusätzliche Plugins oder Komponenten, wie beispielsweise Bildgalerien, Slider, Kalender und Social Buttons, von Drittanbietern. Diese Erweiterungen stellen ein relativ hohes Sicherheitsrisiko da.
Aus diesem Grund lautet die Regel Nr. 1 in Punkto Sicherheit: Halten Sie Ihre Webanwendungen immer aktuell, d.h. installieren Sie umgehend (!) Updates – sowohl des verwendeten Content-Management-Systems als auch von Plugins und Erweiterungen.
Regel Nr. 2: Sichern Sie Ihre Daten – Erstellen Sie regelmäßig Sicherheitskopien von Datenbanken und Systemdateien.
Regel Nr. 3: Verwenden Sie sichere Passwörter und loggen Sie sich immer aus Ihrem Account aus, wenn Sie Ihre Arbeit beendet haben. Speichern Sie keine Passwörter im Browser (kein automatisches Anmelden). Nutzen Sie für jeden Online-Dienst ein anderes Passwort. Hier helfen Passwort-Manager, wie z.B. Password Safe.
Nutzen Sie den Administrator-Zugang für Ihre Website nur für administrative Tätigkeiten, wie z. B. das Aktualisieren von Komponenten, Modulen oder Plugins, und verfassen Sie neue Beiträge mit einem Zugang mit weniger Rechten (z.B. Autor oder Redakteur).
Prüfen Sie regelmäßig, ob Ihre Website gehackt wurde. Nutzen Sie beispielsweise den kostenlosen Dienst von SIWECOS (früher: Initiative-S) oder den Google Dienst Safe Browsing. Weitere Informationen und ein Infovideo über Website-Hacking finden Sie unter: https://developers.google.com/webmasters/hacked.
Mehr Sicherheit mit einem SSL-Zertifikat für Ihre Domain
Können auf einer Webseite sensible Daten wie z.B. Kundendaten, Bankverbindungen etc. eingegeben werden, sollte die Datenübertragung grundsätzlich verschlüsselt erfolgen. Die europäische Datenschutz-Grundverordnung (DSGVO) fordert eine verschlüsselte Verbindung für jedes eingesetzte Kontaktformular, sowie einen Datenschutz-Hinweis auf der Seite des Kontaktformulars. Eine verschlüsselte Verbindung erkennt man an dem https:// in der Adresszeile des Browsers und einem Schoß. Das „s“ steht für secure, also „sicher“.
Laut Google werden verschlüsselte Websites von Google gegenüber unverschlüsselten Inhalten im Ranking bevorzugt. Google möchte damit dazu beitragen, das das Web insgesamt sicherer wird. Für eine verschlüsselte Website benötigt man ein SSL-Zertifikat, welches vom Browser als gültig erkannt wird. Bisher war die Beantragung über den Provider kompliziert und meist auch kostenpflichtig. Seit Ende 2015 bietet die Initiative Let’s Encrypt, getragen unter anderem von Mozilla, Akamai und Cisco, kostenlose Zertifikate an, die sich ganz einfach abrufen und installieren lassen. SSL-Zertifikate sind immer nur eine begrenzte Zeit lang gültig und müssen regelmäßig aktualisiert werden. Fragen Sie bei Ihrem Provider nach einem SSL-Zertifikat für Ihre Domain. Diese Option ist in vielen Webhosting-Paketen bereits enthalten.