Als ich vor gut 16 Jahren die Webmaster-Akademie besuchte, lernten wir noch die Websites von Hand zu erstellen. Da wurde jede Zeile Code selbst geschrieben. Und so entstanden statische Websites, die heute niemanden mehr beeindrucken würden. Ein Gutes hatten sie jedoch: Sie waren sicher.
Da sie üblicherweise nur in HTML geschrieben wurden, gab es nicht viele Möglichkeiten damit Unfug zu treiben. Heute verwenden wir bei jeder Website Scriptsprachen, die es ermöglichen, dass die Website interaktiv ist. Grundlage dafür ist meistens ein Content Management System (CMS) wie WordPress. Der Code von WordPress ist Open Source, das heisst frei zugänglich. Damit können nicht nur die “Guten” helfen den Code zu verbessern, auch die weniger hilfsbereiten Zeitgenossen können darauf zugreifen. So können sie Schwachstellen finden und auszunutzen.
Eine Website muss unterhalten werden
Wenn du ein Pferd oder Pony hast, kennst du das: Alle 6 – 8 Wochen muss der Hufpfleger kommen, um die Hufe zu bearbeiten. Sie brauchen regelmässige Pflege, damit dein Pferd auf gesunden Hufen stehen kann.
Bei einer Website, die mit einem CMS aufgebaut ist, ist es ähnlich. Damit das CMS und damit die Website sicher ist, braucht sie regelmässige Updates. Dieser Aufwand lohnt sich, denn die Schäden, die durch eine gehackte Website entstehen sind beachtlich.
Website gehackt – Die Konsequenzen
Wenn du entdeckst, dass deine Website gehackt wurde, ist das ein Schock. Denn du weisst ja nicht, was der Hacker damit alles angestellt hat. Zudem hat das meistens gravierende Auswirkungen:
- Du verlierst Kunden: Bei einem Shop ist das besonders augenfällig, aber auch wenn du eine Dienstleistung anbietest, können Kunden dein Angebot nicht sehen und kaufen dann eben bei jemand Anderem.
- Der Imageverlust: Eine Website die nicht ordnungsgemäss funktioniert bedeutet einen massiven Vertrauensverlust bei Kunden und Interessenten. Sie wirkt sehr schnell unseriös. Kürzlich habe ich zum Beispiel die Website eines Pferdezahnarztes gesehen, auf der plötzlich Kleider angeboten werden. Das macht keinen vertauenswürdigen Eindruck.
- Kundendaten können in falsche Hände geraten: Wenn der Hacker die Website einfach weiterlaufen lässt, kann er auch auf die Bestellungen und oft auch auf die Mails zugreifen. Diese Daten, die dein Kunde dir anvertraut hat, kann er für seine Machenschaften verwenden.
- Auf der schwarzen Liste: Nicht nur die Kunden bekommen mit, wenn etwas nicht gut läuft. Google merkt es meistens noch viel früher. Gerade, wenn deine Website zu einer Spamschleuder verkommt, landet sie blitzschnell auf einer schwarzen Liste. Und dort wieder wegzukommen ist sehr schwierig.
- Es kostet dich viel Arbeit: Alles zu reparieren oder die Website komplett neu aufzusetzen ist immer mit viel Arbeit verbunden. Und auch wenn das alles klappt, sind oft Mails und Bestellungen, die in der Zwischenzeit gemacht wurden, verloren.
Sicherheit für deine Website
Es braucht gar nicht so viel, damit deine Website sicher ist. Sobald du einige Regeln beachtest, machst du es den Hackern schwer in dein System einzudringen und sie wenden sich einer weniger gut geschützten Website zu.
- Nutze starke Passwörter: Das bedeutet, Passwörter mit mindestens 12 Zeichen, bestehend aus Gross- und Kleinbuchstaben sowie Zahlen (keine Sonderzeichen).
- Nimm verschiedene Passwörter für den Admin-Zugang, die Datenbank und FTP.
- Dein Benutzername sollte auf keinen Fall Admin lauten.
- Mach regelmässige Updates der WordPress-Installation, des Themes und der Plugins.
- Automatisiere die Backups deiner Website mit einem Plugin. Sodass du einmal täglich eine Sicherung machst. Speichere die Backups nicht auf dem gleichen Server wie die Website.
- Lösch alle Plugins, Themes die du nicht brauchst. Da du sie nicht weiter pflegst, sind sie ideale Einfalltore für Hacker.
- Schau dir auch den Server an und lösche alte Testversionen, die du nicht mehr pflegst. Auch sie ermöglichen es sonst einem Hacker einzudringen.
- Nutze ein gutes Plugin (ich nutze Shield) um deiner Website eine Firewall und weitere Sicherheitsmassnahmen zu spendieren. Arbeite dich in die Einstellungen ein und stell alles korrekt ein.
- Kontrolliere auch deinen PC regelmässig auf Schadsoftware.
Mit diesen relativ einfachen Massnahmen ist deine Website bereits viel sicherer als viele andere im Netz.
Weitere kritische Faktoren können die Benutzer selbst sein. Stell dir deshalb diese Fragen:
- Wer braucht überhaupt Zugriff auf die Website?
- Welche Rechte muss diese Person haben? Auf jeden Fall sollte es nicht mehr als einen Administrator geben.
- Wenn viele Personen auf die Website Zugriff haben, lohnt sich möglicherweise ein Schreiben, indem auf den Umgang mit Passwörtern etc. hingewiesen wird.
Kannst du das selbst machen?
Viele der oben erwähnten Punkte kannst du selbst erledigen. Eigentlich alle. Auch die Updates zu machen ist meistens sehr einfach. Du drückst auf “Aktualisieren” und schon wird das Update erledigt.
Leider gibt es hier ein dickes, fettes ABER. Nicht alle Updates verlaufen problemlos. Das kann an verschiedenen Dingen liegen. Je nachdem, was du updatest, kann es zu kleineren und grösseren Darstellungsproblemen kommen. Im schlimmsten Fall siehst nur noch eine weisse Seite.
System-Updates
WordPress selbst ist verbessert worden oder bestimmte Sicherheitslücken wurden gestopft. Je nachdem wie stark sich die Veränderungen auswirken und je nach Plugins/Themes, die installiert wurden, kann es hier zu Problemen kommen. Wenn es nur ein kleiner Sprung ist, klappt meist alles problemlos. Aber ein Sprung wie der von WordPress 3 zu 4 kann schon einiges durcheinanderbringen. Hier lohnt es sich das Update nicht sofort zu machen, sondern erst zu sehen, was Andere für Erfahrungen damit machen.
Theme Updates
Wenn der Entwickler des Themes Updates anbietet, sollten die installiert werden. Wie kompliziert das wird hängt auch immer vom Theme ab.
Auch hier kann es zu grösseren Problemen kommen. Bei meiner eigenen Website wurde beispielsweis nach einem Update plötzlich die ganze Fusszeile nicht mehr angezeigt. Das Problem zu lösen hat mich einige Stunden gekostet.
Update von Plugins
Plugins können meistens wirklich mit einem Knopfdruck ganz leicht auf den neusten Stand gebracht werden. Zum Glück, den von diesen Updates gibt es jede Menge.
Aber auch hier habe ich es schon erlebt, dass statt der Website, plötzlich nur noch eine weisse Seite angezeigt wurde. Und dann können schnell Stunden vergehen, bis alles wieder läuft.
Updates müssen zeitnah aufgeschaltet werden.
Du möchtest die Updates lieber nicht selbst machen?
Wenn dir diese ganz Update-Sache schon beim Lesen unheimlich ist, frag deine Webdesignerin, ob sie das für dich erledigt. Die bieten meist ein Abo für diese Arbeiten an.
Ich biete meinen Kunden zum Beispiel ein Jahresabo an. Sie können damit all die Updates vergessen und haben immer eine sichere Website. Und wenn doch mal was schief geht, kümmere ich mich um das Problem und bringe alles wieder in Ordnung.
Obwohl es heute schwieriger ist, eine Website vor Hackern zu schützen als früher, bin ich doch froh gibt es all die Scriptsprachen und ein CMS wie WordPress. Diese unglaublichen Möglichkeiten mit Webshops, Google Maps und, und, und…. Ich möchte sie auf jeden Fall nicht mehr missen, und wie du siehst, ist es gar nicht so schwierig, die eigene Website zu sichern.
Nutze ein gutes Plugin (ich nutze Shield) um deiner Website eine Firewall und weitere Sicherheitsmassnahmen zu spendieren. Arbeite dich in die Einstellungen ein und stell alles korrekt ein.
Was soll das bitte technisch genau bringen?
Guten Morgen Rene
Mit einem Plugin wie Shield kannst du es Hackern sehr schwer machen sich an deiner Website zu vergreifen. Durch zusätzliche Schutzmechanismen, können mehrfache Loginversuche unterbunden werden und ähnliches. Das hängt auch immer vom Plugin ab, was es genau anbietet.
Herzliche Grüsse
Claudia