Sicherheit bei Webseiten und Onlinepräsenzen ist oft eine stark bewertete Angelegenheit, doch viel zu selten kann ein Seitenbetreiber sicher sagen (als Adaption von Norbert Blüm):

„Die Seite ist sicher!“

Der Grund liegt oft darin, dass die einfachsten Grundregeln für den sicheren Datenaustausch nicht beachtet werden.

 

Mobile Security

 

Dabei sind die Angriffszahlen jedes Jahr deutlich im Anstieg begriffen – 2015 hat es über 59 Millionen registrierte Sicherheitsvorfälle gegeben, für 2016 schätzen Experten die Zahl schon auf knapp 70 Millionen. Die Dunkelziffer wird mindestens um den Faktor drei höher sein. Sicherheit ist also ein essentielles Thema!

Sicherheit ist wichtig. Was können Sie tun?

Da die Sicherheit einer Webseite von verschiedenen Faktoren abhängt, haben wir die allgemeinsten Ansprüche an das Thema WordPress Sicherheit zusammengetragen.

 

1.     Sichern Sie Ihre Eingabegeräte

Oberstes Gebot: Wenn Ihr eigener PC oder Laptop, mit dem Sie die Inhalte Ihrer Webseite bearbeiten, nicht ordentlich abgesichert ist, öffnen Sie Hackern Tür und Tor. Nach einer interessanten Studie aus dem Jahr 2016 sind bei Desktop- & Laptop-Rechnern immerhin knapp 85 Prozent mit einem Anti-Viren-Programm ausgerüstet (wenn auch zumeist mit einer kostenfreien Version).

Ganz anders sieht das hingegen bei Mobiltelefonen und Tablets aus. Nach übereinstimmenden Schätzungen werden 2018 über 12 Milliarden mobile Endgeräte in Benutzung sein – aber nur rund 1,3 Milliarden davon laufen mit einer einigermaßen sinnvollen Antivirensoftware oder Firewall.

 

Mobile Security Software

 

NeoDesign-TIPP: Stellen Sie sicher, dass sämtliche Geräte, die Sie für die Arbeit an der Webseite benutzen, abgesichert und die Schutzprogramme auf dem neuesten Stand sind!

 

Cyber-Kriminalität: Maßnahmen zum Schutz

2.     Achten Sie auf einen zertifizierten Hoster

Der nächste Hauptangriffspunkt ist der technische Betreiber der Webseite, der Hoster. Dabei ist aus Ihrer Sicht darauf zu achten, dass das Rechenzentrum einen hervorragenden Sicherheitsstandard aufweist und Ihre Seite bestenfalls im abgesicherten „https“ läuft, also mit verschlüsseltem SSL Sicherheitszertifikat. Dadurch erringen Sie nicht nur Sicherheit sondern auch Vertrauen beim User, da diese mit einem deutlich besseren Gefühl die Inhalte Ihrer Webseiten genießen kann.

3.     Passwörter – das „A“, „O“ und „de09S$741Qdfakcn“

Auch der Zugang zum Content Management System „WordPress“, mit dem Sie Ihre Webseite pflegen, ist passwortgeschützt. Hier geht Sicherheit vor Faulheit. Passwörter sollten eine gewisse Mindestlänge haben – und damit sind nicht die Standard 8 Zeichen gemeint. Eine Verdoppelung auf 16 Zeichen erhöht Ihr Sicherheitslevel erheblich.

Zweiter Schwerpunkt: Nutzen Sie keine „bekannten“ Buchstabenkombinationen, wie etwa für den Account von Martin Karl „carlos123“. Sonderzeichen und Zahlen sowie kombinierte Groß- und Kleinschreibung optimieren den Schutz. Ein weiterer wichtiger Punkt ist ein gewisser Wechselturnus der Passwörter – einmal pro Monat stellt dabei schon einen guten Richtwert dar.

NeoDesign-TIPP: Nutzen Sie für jeden Login ein anderes Passwort. Sichere Passwörter kann man auf https://passwort-generator.de/ automatisch und kostenfrei generieren lassen. Mit jedem Aufruf kommt ein neuer Satz Passwörter. Wechseln Sie Ihre Passwörter monatlich.

4.     WordPress immer aktuell halten

Das CMS WordPress ist eines der wenigen Content Management Systeme, das einer ständigen Erneuerung, Lückenschließung und Evolution unterworfen ist. Dabei geht es sehr oft auch um das Thema Sicherheit. WordPress gehört weltweit zu den am häufigsten angegriffenen Websoftware-Produkten – was vor allem daran liegt, dass es das am Häufigsten benutzte Programm für Content Management ist.

Die Sicherheitspatches und Software-Aktualisierungen sind ein wichtiger Bestandteil einer funktionierenden Security-Strategie. WordPress ist seit Version 3.8 so konfiguriert, dass es sicherheitsrelevante Aktualisierung selbständig vornimmt. Dies geschieht im Hintergrund und unserer Erfahrung nach Problemlos.

NeoDesign-TIPP: Die Option der automatischen WordPress Security Updates sollte immer aktiviert sein. Für zusätzliche Datensicherheit empfehlen wir ein automatisches Backup-Plugin, welches die Seite täglich sichert. Dann kann im Falle eines Problems immer zurückgestellt werden auf den zuletzt funktionierenden Stand.

5.     Simplifikation schlägt „Webseite-kann-alles“

Und das führt gleich zu einem weiteren Tipp – halten Sie Ihre WordPress-Seite einfach. Je weniger Plug-Ins verwendet werden, desto einfacher ist ein Update oder ein Patch und desto eher können Sie dies selber ohne Mithilfe leisten.

Auf der anderen Seite sind hochgradig erweiterte Präsenzen enorm anfällig, da gerade im Plug-In Bereich viele ungeprüfte Erweiterungen gehandelt und eingebaut werden. Deren Sicherheitskonzepte wurden zumeist weder geprüft, noch an die bestehenden der WordPress-Seite angepasst. Nur weil ein Plug-In kostenfrei ist, sollte man es nicht unbedingt einbauen. Gerade, wenn die mitgelieferten Funktionen nicht wirklich gebraucht oder überhaupt nicht verwendet werden. Man holt sich damit eine unnötige Sicherheitslücke ins Nest!

NeoDesign-TIPP: Eine WordPress-Seite mit mehr als 18 Plug-Ins ist potentiell hochgradig gefährdet. Lassen Sie die Webseite auf die Notwendigkeit der Verwendung aller Erweiterungen prüfen – aus unserer Erfahrung reichen oft zehn Plug-Ins aus!

6.     Kalkulieren Sie mit dem Bereich Security bei Erstellung & Pflege

Sorgen Sie dafür, dass das Thema Sicherheit bei jedem neuen Projekt an der Webseite immer mit im Budget auftaucht. Ein neues Frontend-Design kann zu einem Sicherheitsrisiko werden, genauso wie die Anbindung eines Social Media Accounts. Die Wachsamkeit in puncto Sicherheit muss sich im kompletten Ablauf wiederfinden. Achten Sie auf die entsprechenden Schulungen bei Ihren Mitarbeitern und sorgen Sie für einwandfreie Dokumentation.

NeoDesign-TIPP: Schieben Sie einmal im halben Jahr einen Sicherheitscheck durch eine Agentur ein. Diese kann für sehr überschaubare Preise Ihre Seite testen, und dann Vorschläge und Angebote für die Schließung von Sicherheitslücken abgeben.