Die Erneuerung einer Webseite steht an – und Sie sind auf der Suche nach einer guten Agentur. Vergleichbarkeit der angebotenen Leistungen wird dabei zur Krux. Denn neben der schicken Fassade vom Frontend und den programmiertechnischen Highlights im Backend Ihrer Webseite muss der Punkt Sicherheit konsequent hochgehalten werden. Und leider, so bitter muss das Fazit ausfallen, gibt es hier keinerlei durchgängigen Standards. Es gibt wenige Marktteilnehmer, die das Prinzip der stufenweisen Security Level wirklich durchgängig beachten, und dem gegenüber: den großen Rest. Security Level beschreiben bei uns die aufbauenden Arbeiten und Maßnahmen zur Sicherheit und Sicherung der Seite und der Inhalte.

 

Sicherheit Garantiert

Fünf Stufen im Security Level:

  1. Regelmäßige Backups
  2. Regelmäßige Updates
  3. Sichtung und Konfliktklärung zwischen den verwendeten PlugIns
  4. Absicherung der Webseite durch eine Firewall (WordFence)
  5. Permanente Systemüberwachung (Sucuri)

Wichtiger Hinweis: Das alleinige Installieren und Aktivieren der genannten PlugIns hilft bereits, doch kann dies nicht die überwachenden Tätigkeiten und die Erfahrung einer professionellen Agentur ersetzen.

Bei Backups und Updates heißt es bei der Umsetzung, dass Sie auf eine gewisse Planung achten sollten. Je nach Seitennutzung muss ein wöchentliches, möglicherweise aber auch tägliches Backup erfolgen. Das sollte Ihre ausführende Agentur genauso im Blick haben wie die zeitnahe Update-Prüfung. WordPress ist ein sich ständig weiterentwickelndes Content Management System (CMS). Die Updates laufen quasi organisch – eine aktive Pflege muss daher auch Teil des Angebotes sein.

Backups, Updates & Plugin-Sicherheit – absolutes Muss

Und da steht auch gleich die dritte Stufe, die Sichtung und Konfliktklärung zwischen den PlugIns im Raum. Denn bedingt durch die hohe Modernisierungsrate sind Konflikte mit den sich deutlich seltener aktualisierenden PlugIns und Modulen beinahe Normalität. Von Agenturseite kann hier vieles richtig, aber auch einiges falsch gemacht werden. Die schlechteste Wahl ist, gar nicht auf diese Konflikte zu achten. Die Erweiterungen vom eigentlichen Kern, dem Core von WordPress, bilden die größten Angriffsbereiche.

Nach Schätzungen von Kaspersky, einem bekannten Sicherheitsspezialisten, gehen rund 99,8 Prozent aller Angriffe der Hacker auf PlugIns oder DropIns. Der WordPress-Core selbst gilt als enorm sicher. Es ist also ratsam, dass Ihre Agentur da die Augen offen hat.

Automatisierte Absicherung und Überwachung

Der eigentliche Verteidigungsbereich betrifft die sicherheitstechnische Absicherung der Webseite. Unser NeoDesign-Team favorisiert die Firewall-Lösung mit WordFence. Andere Agenturen arbeiten mit vergleichbaren Systemen – Prämisse für Sie: Fragen Sie nach bei der anbietenden Agentur, ob und wie die Absicherung funktioniert, insbesondere auch während der Umsetzungs- und Testphase.
Die übergreifende Systemüberwachung ist die wohl höchste und am seltensten vorliegende Stufe im Bereich Umsetzungs- und Betriebssicherheit. Dadurch werden die unterschiedlichsten Bedrohungen durch ein Cluster an Software-Programmen und digitalen Abläufen gesichtet, dokumentiert und gemeldet. Dies bringt im Zuge von nachgelagerten Sicherungs- und Schadens­fest­stellungs­maß­nahmen zusätzliche Vorteile.

Sucuri – Malware-Schutz, Login-Dokumentation

NeoDesign setzt auf eine zweigeteilte Systemüberwachung mit dem bekannten Anbieter Sucuri. Dabei wird ein laufendes Malware Scanning durchgeführt. Die dabei ablaufenden Hilfsprogramme scannen die Systemdateien Ihrer Webseite und vergleichen diese mit den Stammdaten im WordPress Core Repository. Wenn neue Dateien auftauchen oder bestehende Dateien verändert werden ohne das Zutun unserer Programmierer oder Ihrerseits, schlägt das System Alarm! Ebenfalls mit Warnfunktion ist die Login-Dokumentation konzipiert. Nutzt jemand die Login-Funktion, der entweder nicht verifiziert ist oder nicht der sein kann, der sich namentlich einloggt, gibt es ebenfalls Alarm und die Möglichkeit der Sofortsperre, um mögliche Schäden zu verhindern.

Ganz nebenbei: Moderne Technik schlägt Old-School im Security-Bereich

Last-but-not-least: der System-Komponenten-Check. Die aktuellen Versionen und Komponenten zur Erstellung einer Webseite sollten immer bestmöglich angewendet werden. Das bedeutet beispielsweise, dass die letzte PHP-Version, falls nicht eine andere technische Gegebenheit dagegenspricht, in der Ausführung Pflicht sein muss. Gleiches gilt für Datenbankversionen und neue Systemmodule am Server (gZip, mod_pagespeed). Das ist naturgemäß für Sie als Auftraggeber ziemlich schwierig zu durchschauen, jedoch hilft dabei durchaus die Frage nach den verwendeten Systemen und Komponenten! Obendrein ist es fast überall so, dass die Verwendung der neuen Systemmodule beim Webhoster gar nichts extra kostet, sondern dieser sich im Gegenteil sogar darüber freut, wenn Ihr Account auf den modernsten Komponenten läuft und damit sicherer ist, als viele andere!

Denn nichts spart in puncto Sicherheit mehr Geld, als eine gut strukturierte und modern umgesetzte Webseite.

Was tun, wenn Sie gehackt wurden?

Und was tun, wenn „das Kind schon in den Brunnen gefallen ist“ und sich Hacker Zugang zu Ihrer Webseite oder Ihrem Onlineshop verschafft haben? Erstmal grundsätzlich Ruhe bewahren.

Es gibt ab jetzt zwei Prämissen: Absichern und Schadensumfang feststellen. Das Absichern beginnt bei der kompletten Erneuerung ALLER Passwörter und der Löschung sämtlicher Backend-Accounts, die nicht zwingend für den Betrieb notwendig sind, und endet bei der Veränderung der Seitensicherheit via SSL.