Jeden Tag werden über 200’000 Websites gehackt – und das betrifft längst nicht nur grosse, bekannte Unternehmen. Tatsächlich machen Hacker oft gar keinen Unterschied, ob es sich um eine kleine persönliche Homepage oder eine grosse Firmenwebsite handelt. Viele Angriffe sind automatisiert und zielen auf Sicherheitslücken ab.
Stell dir Hacker wie Einbrecher vor, die durch ein Quartier ziehen und nach unverschlossenen Türen suchen. Websites ohne ausreichenden Schutz sind wie offene Haustüren – sie laden förmlich zu einem Angriff ein.
Damit deine Website nicht dazu gehört, ist es wichtig, aktiv etwas für die Cyber-Security zu tun.
Das machen Hacker mit deiner Website
Hacker greifen oft nicht gezielt bestimmte Seiten an. Stattdessen suchen sie nach Schwachstellen – und das kann jede Website betreffen. Wenn sie eine Sicherheitslücke finden, übernehmen sie den Server, auf dem die Website liegt, und missbrauchen ihn für ihre Zwecke.
Zombie-Server
Fremdgesteuerte Server, sogenannte Zombie-Server, werden oft für kriminelle Aktivitäten genutzt. Sie können Millionen von Spam-Mails verschicken oder für Phishing-Attacken verwendet werden.
Die Folgen eines Hackerangriffs
Wenn du entdeckst, dass deine Website gehackt wurde, ist das ein Schock, du fühlst dich wie gelähmt. Denn du weisst ja nicht, was der Hacker damit alles angestellt hat. Zudem hat das meistens gravierende Auswirkungen:
- Du verlierst Kunden: Bei einem Shop ist das besonders augenfällig, aber auch wenn du eine Dienstleistung anbietest, können Kunden dein Angebot nicht sehen und kaufen dann woanders.
- Der Imageverlust: Eine Website, die nicht ordnungsgemäss funktioniert, bedeutet einen massiven Vertrauensverlust bei Kunden und Interessenten. Stell dir vor, du klickst in den Suchergebnissen auf die Website einer Steuerberaterin und landest auf einer dubiosen Website eines Spielcasinos.
- Kundendaten können in falsche Hände geraten: Wenn der Hacker die Website einfach weiterlaufen lässt, kann er auch auf die Bestellungen und oft auch auf die Mails zugreifen. Diese Daten, die dein Kunde dir anvertraut hat, kann er für seine Machenschaften verwenden.
- Auf der schwarzen Liste: Nicht nur die Kunden bekommen mit, wenn etwas nicht gut läuft. Google merkt es meistens noch viel früher. Gerade, wenn deine Website zu einer Spamschleuder verkommt, landet sie blitzschnell auf einer schwarzen Liste. Und dort wieder wegzukommen, ist sehr schwierig.
- Viren und betrügerische Websites
Durch eine unsichere Website besteht die Gefahr, dass deine Besucher unwissentlich Schadsoftware herunterladen. - Es kostet dich viel Arbeit: Alles zu reparieren oder die Website komplett neu aufzusetzen ist immer mit viel Arbeit verbunden. Und auch wenn das alles klappt, sind oft Mails und Bestellungen, die in der Zwischenzeit gemacht wurden, verloren.
Cyber Sicherheit deine Website
Wenn du folgende Tipps beachtest, schützt du deine Website effektiv:
- Verwende ein starkes Passwort
Einer der einfachsten, aber effektivsten Schritte, um deine Webseite zu schützen, ist die Wahl eines sicheren Passworts. Es mag verlockend sein, ein einfaches Passwort zu wählen, dass du dir leicht merken kannst, aber das macht deine Webseite anfällig für Angriffe.
Von Nord Pass wurden die beliebtesten Passwörter zusammengestellt. Du kannst sie dir sogar nach deinem Land anzeigen lassen. Schau dir die Liste an. Sie ist erschreckend.
Ein sicheres Passwort sollte:
- Mindestens 14 Zeichen lang sein und so kryptisch wie möglich.
- Eine Mischung aus Buchstaben (Gross- und Kleinbuchstaben), Zahlen und Sonderzeichen enthalten.
- Kein leicht zu erratendes Wort oder Datum wie “Passwort123” oder “DeinName2025” und enthält auch keine Namen oder Orte.
Verwende deinen Passwort-Manager oder einen Passwort-Generator wie https://www.datenschutz.org/passwort-generator/, um sichere Passwörter zu erstellen.
Verwende kein Passwort mehrfach
Es ist verlockend, ein Passwort mehrfach zu nutzen. LASS ES!
Sobald ein Hacker eins deiner Passwörter herausbekommen hat, wird er es überall ausprobieren. Stell dir vor, du hast nur einen Schlüssel für dein Haus/Wohnung, dein Auto, dein Büro. Wenn du den verlierst, hat ein Einbrecher leichtes Spiel.
So ist es auch, wenn du nur ein Passwort hast.
Verschicke nie deine Zugangsdaten (Benutzername und Passwort) per Mail, sondern nutze ein spezielles Tool.
Falls du keinen Passwortmanager nutzt oder er diese Funktion nicht anbietet, gibt es andere Tools. Zum Beispiel: https://nordpass.com/de/password-sharer/
2. Installiere ein SSL-Zertifikat
Ein SSL-Zertifikat sorgt dafür, dass die Verbindung zwischen deiner Webseite und den Besuchern sicher ist. Wenn deine Webseite ein SSL-Zertifikat hat, wird die Adresse in der Adressleiste deines Browsers mit einem kleinen Schloss-Symbol angezeigt und beginnt mit „https“ anstatt „http“. Dies zeigt deinen Besuchern, dass ihre Daten verschlüsselt übertragen werden, was vor allem bei Kontaktformularen oder der Erfassung sensibler Informationen sehr wichtig ist.
Ein SSL-Zertifikat sollte mittlerweile Standard sein.
3. Halte deine Software immer aktuell
Ob du WordPress, Contao oder ein anderes System verwendest, es ist wichtig, dass du regelmässig Updates durchführst. Software-Updates enthalten oft Sicherheitsverbesserungen, die dazu beitragen, bekannte Sicherheitslücken zu schliessen. Bei den meisten Baukasten-Websites hast du leider keine Kontrolle über die Aktualisierung.
4. Nutze eine Firewall für deine Webseite
Eine Web Application Firewall (WAF) ist wie ein Sicherheitsschutzschild für deine Webseite. Sie hilft dabei, schädlichen Datenverkehr zu blockieren, bevor er deine Webseite erreichen kann. Es gibt verschiedene WAF-Anbieter, und einige CMS-Plattformen bieten sogar eigene Lösungen an, die du mit wenigen Klicks aktivieren kannst.
Indem du eine Firewall verwendest, kannst du viele gängige Angriffsarten wie SQL-Injektionen und Cross-Site Scripting (XSS) verhindern.
Mit WIX, Jimdo oder anderen Baukastensystemen musst du darauf vertrauen, dass sich die Anbieter um die Firewall kümmern.
5. Eine Sicherheitskopie für deine Website
Stell dir vor, deine Webseite stürzt ab oder wird gehackt – dann ist es wichtig, dass du eine Sicherungskopie (Backup) hast, auf die du zurückgreifen kannst. Du solltest regelmässig Backups deiner gesamten Webseite machen, sowohl der Dateien als auch der Datenbank.
- Nutze ein Plugin, um täglich oder wöchentlich ein Backup deiner WordPress-Website zu erstellen.
- Speichere die Backups nicht auf dem gleichen Server wie die Website.
- Kontrolliere hin und wieder, ob die Backups funktionieren.
Solltest du ein Baukastensystem wie Jimdo, WIX oder ähnliches verwenden, ist es leider oft nicht möglich ein Backup zu machen.
Zusätzliche Sicherheitstipps für deine WordPress-Website
Bei einer WordPress-Website bist du selbst dafür verantwortlich, deine Website zu sichern.
1. Bei WordPress: Vermeide die Nutzung unsicherer Plugins und Themes
Die Wahl der richtigen Plugins und Themes ist entscheidend für die Sicherheit deiner Webseite.
Achte darauf, dass du nur Plugins und Themes von vertrauenswürdigen Anbietern installierst. Ungeprüfte und veraltete Plugins können Sicherheitslücken enthalten, die Hacker ausnutzen können.
Vermeide es, Plugins und Themes aus zweifelhaften Quellen herunterzuladen, und achte darauf, dass sie regelmässig aktualisiert werden.
Bitte vergiss nicht deine Website nach Updates zu überprüfen. Denn nicht immer verlaufen Aktualisierungen problemlos.
Lösche alle Plugins, Themes die du nicht brauchst. Da du sie nicht weiter pflegst, sind sie ideale Einfalltore für Hacker.
Schau dir auch den Server an und lösche alte Testversionen, die du nicht mehr pflegst. Auch sie ermöglichen es sonst einem Hacker einzudringen.
Nutze ein gutes Plugin (ich nutze iThemes Security), um deiner Website eine Firewall und weitere Sicherheitsmassnahmen zu spendieren. Arbeite dich in die Einstellungen ein und stelle alles korrekt ein.
2. Verwende die aktuelle PHP-Version
PHP ist die Programmiersprache, mit der deine WordPress-Website aufgebaut ist. Auch bei PHP gibt es immer wieder neue Versionen.
Die älteren Versionen werden irgendwann nicht mehr mit Sicherheitsupdates versehen. Das heisst, auch da haben Hacker die Möglichkeit, auf deine Website zu gelangen.
Deshalb ist es so wichtig, auch die PHP-Version auf dem aktuellen Stand zu halten. Das muss nicht immer die neuste Version sein, aber sicher eine, die noch mit Sicherheitsupdates unterstützt wird.
Die PHP-Version kannst du bei deinem Hoster einstellen.
Hier bekommst du einen Überblick, welche Versionen noch mit Sicherheitsupdates unterstützt werden:
3. Schütze deine Admin-Seite
Die Admin-Seite deiner Webseite ist der Ort, an dem du dich einloggst. Um diese noch sicherer zu machen, solltest du den Zugang beschränken. Eine Möglichkeit ist, die URL deiner Admin-Seite zu ändern, um es Hackern schwieriger zu machen, darauf zuzugreifen.
Es kann auch hilfreich sein, die Anmeldung mit einer Zwei-Faktor-Authentifizierung (2FA) zu schützen. Dadurch musst du neben deinem Passwort noch einen weiteren Code eingeben, den du auf deinem Handy erhältst. Das erhöht die Sicherheit enorm.
Menschen als Risiko
Weitere kritische Faktoren können die Benutzer selbst sein. Stell dir deshalb diese Fragen:
- Wer braucht überhaupt Zugriff auf die Website?
- Welche Rechte muss diese Person haben? Auf jeden Fall sollte es nicht zu viele Administratoren geben.
- Wenn viele Personen auf die Website Zugriff haben, lohnt sich möglicherweise ein Schreiben, indem auf den Umgang mit Passwörtern etc. hingewiesen wird.
Vollständige Sicherheit gibt es leider weder für deine Website noch für deine Wohnung.
Wir können niemanden daran hindern, zu versuchen, bei uns einzubrechen, aber wir können es ihnen so schwer wie möglich machen.
Wurde deine Website schon einmal gehackt?
