Immer wieder wurde mir in der Vergangenheit gesagt, dass Themen wie Sicherheit und Suchmaschinenoptimierung einfach nicht sexy - und deshalb nicht als Produkte verkaufbar - sind. Das mag stimmen. Trotzdem liegen mir diese Themen am Herzen, weil ich sie als Basis einer Webseite betrachte.
Auch wenn dich diese Themen auf den ersten Blick nicht ansprechen und du vielleicht Angst davor hast, erspart dir das Informieren darüber langfristig viel Geld, Nerven und Zeit. Du hast die Verantwortung für deine Webseite. Deshalb bin ich der Ansicht, dass du über die Grundlagen deiner Webseite Bescheid wissen solltest. Nein, du musst nicht alles im Detail kennen, aber die Basis solltest du beherrschen. Schon alleine deswegen, damit du die richtigen Fragen stellen kannst.
In diesem Blogartikel möchte ich dir ein paar Bilder und Argumente mitgeben, die dir die Wichtigkeit des Themas "Sicherheit für deine Webseite" etwas anschaulicher machen.
Schließ' deine virtuelle Haustür ab!
Ein kleiner Vergleich, damit du weißt, wie ich das meine: Das Abschließen deiner Haustüre, wenn du weggehst ich auch nicht sexy, sondern schlicht eine Notwendigkeit. Du wirst deine Haustüre absperren, damit du Fremden keine Einladung dazu gibst, deine Privatsphäre zu verletzen.
Genauso solltest du auch deine virtuelle Haustür, also deine Webseite, abschließen. Bevor ich jetzt aber auf die Möglichkeiten eingehe wie du das machen kannst, ein kleiner Ausflug in die Konsequenzen, wenn du es nicht machst.
Was sind die Konsequenzen eines Hacks?
Wie ein Einbruch in einem Gebäude, hat auch ein Einbruch in deine Webseite Konsequenzen. Bei solch einem Einbruch besteht der finanzielle Schaden meist darin, dass etwas gestohlen wird. Aber nicht nur das. Die langfristigen Konsequenzen sind meist psychischer Natur und äußern sich beispielsweise in Schlafstörungen oder Ängsten, wie es dieser Artikel sehr gut beschreibt. Ähnlich wie bei einem Einbruch in ein Haus ist es auch mit deiner Webseite.
Die psychische und emotionale Komponente eines Webseiten-Hacks
Panik. Die erste - verständliche - Reaktion, wenn man Virenbefall bemerkt, ist Stress. Es ist eine komplett neue Situation und dein System hat noch keine Erfahrung damit. Du weißt nicht, wie du reagieren sollst. Das schränkt unser Denken ein und wir machen in diesen Minuten meist genau das, was wir auf keinen Fall machen sollten.
Der 1. Schritt, wenn dir ein Virus begegnet ist also: Atmen. Tief durchatmen. Ja, sehr schwer in dieser Situation, bewahrt dich aber vor übereilten Entscheidungen.
Der 2. Schritt ist, dass du um Hilfe fragst, wenn du dir selbst das Bereinigen des Virus nicht zutraust oder du es nicht kannst. Sei wirklich ehrlich zu dir selbst und kenne deine Grenzen. Wenn du es nicht kannst: LASS DIE FINGER VON DEINER WEBSEITE und übergib' sie einem Experten. Meistens wird es bei eigenem Rumgefrickel nicht besser, sondern noch mehr kaputt gemacht.
Frage um Hilfe
Falls du in deinem Netzwerk keinen Experten parat hast, dann ist diese Facebook-Gruppe ein guter Tipp für dich. Dort tummeln sich viele Expert*innen, die wirklich Ahnung und auch Erfahrung im Bereich der Virenbeseitigung haben.
Ein paar kleine Tipps für diese Gruppe (und so generell für Anfragen):
- Sei freundlich und höflich.
- Formuliere dein Anliegen so konkret wie möglich. Erkläre, genau wo dein Problem liegt und wo du dir Hilfe wünschst.
- Schreibe vollständige Sätze.
- Ein "Bitte" und "Danke" ist an keiner Stelle verkehrt und kann manchmal Wunder bewirken.
Das Beseitigen eines Virus
Damit du einen kleinen Einblick bekommst und dir ein Bild davon machen kannst, wie umfangreich es ist einen Virus wieder loszuwerden und welche Schritte dazu nötig sind, findest du hier eine Schritt-für-Schritt-Anleitung zur Virenbeseitigung von Damian.
Die materielle und finanzielle Komponente
Den Virus wieder zu beseitigen, ist meist eine aufwändige und kostspielige Angelegenheit, weil du dafür einen Experten mit Erfahrung brauchst. Nur so kannst du sichergehen, dass die Sicherheitslücke identifiziert und beseitigt wird. Es hilft dir nämlich nichts, wenn zwar die infizierten Dateien gelöscht sind, die Sicherheitslücke aber nicht geschlossen wird. So kann immer wieder durch die gleiche Lücke ein Virenangriff erfolgreich stattfinden.
Aber nicht nur das Beseitigen kostet Geld, sondern auch, dass deine Webseite für einige Zeit nicht verfügbar ist. Gerade wenn du ein Online-Business hast, wird deine Webseite einen zentralen Stellenwert in deinem Marketing einnehmen. Du brauchst sie für die Kundengewinnung. Wenn sie dann tagelang nicht erreichbar ist, ist das - ich sage es mal mit einem etwas sarkastischem Unterton - ein bisschen ungünstig.
Auch wenn du ein Backup deiner Webseite hast, kann es sein, dass eines eingespielt werden muss, das 14 Tage oder älter ist. Bei Backups, die älter sind als 14 Tage ist es nämlich recht unwahrscheinlich, dass der Virus schon ausgebrochen ist.
Wenn du wöchentlich bloggst, dann bist du mit deiner Webseite also - bestenfalls - auf dem Stand von vor zwei Wochen und hast 2 Blogartikel verloren.
Deshalb hier ein Tipp am Rande: Speichere deine Blogartikel immer auch zusätzlich in einer Textdatei ab, damit du im Zweifelsfall die Inhalte wieder einpflegen kannst.
Auswirkungen auf dein Google Ranking
Erkennt Google, dass eine Webseite Malware oder Viren verbreitet, ist es sehr wahrscheinlich, dass die Webseite aus der Google-Suche ausgeschlossen wird. Das heißt es wird eine Strafe (Penalty) verhängt und die Webseite wird einfach nicht mehr über Google gefunden.
Deshalb ist es wichtig, dass du bei einem Virenbefall so schnell wie möglich reagierst und die Webseite bereinigen lässt. Denn bist du erst mal raus aus der Google-Suche, wird es mühsam, dass du wieder hinein kommst. Und wer weiß auf welchem Platz du dann landest. Reagierst du nicht oder zu langsam kannst du dir so zuverlässig innerhalb von Tagen die Aufbauarbeit deiner Suchmaschinenoptimierung von Jahren kaputt machen oder verschlechtern.
Auswirkungen für deine Nutzer*innen
Auch Besucher*innen, die sich eine infizierte Webseite nur ansehen, können sich dadurch einen Computervirus einfangen. Dies kann beispielsweise durch einen Drive-By-Download passieren. Und das merkt die Nutzer*in nicht mal, weil es versteckt im Hintergrund passiert.
Also ist es nicht nur für dich kosten-, zeit- und nervenaufwändig, wenn du deine Webseite einen Virus hat, sondern es kann ganz nebenbei auch noch zu einem Risiko für deine Besucher*innen werden.
So 🙂 Jetzt habe ich dir aber genug von den Konsequenzen erzählt. Ich hoffe du hast die Wichtigkeit des Themas verstanden. Nun ab zum Praxisteil: Was kannst du konkret tun, damit deine Webseite sicher(er) wird?
Deine Passwörter
Wie schnell ein Passwort geknackt werden kann, hängt hauptsächlich davon ab wie viele Zeichen es hat. Generell gilt die Regel je länger ein Passwort, desto geringer ist die Gefahr, dass es entschlüsselt wird.
Wenn du beispielsweise dein Geburtsdatum als 8-stelliges Passwort verwendest - also nur die Zahlen (TTMMJJJJ) - dann ist das ungefähr so sicher, wie wenn du auf dein Fahrrad einen Zettel klebst mit "bitte nicht klauen", anstatt es mit einem Fahrradschloss zu sichern. Danke an dieser Stelle an Susanne Speer für die tolle Illustration <3
Ein Computer kann ein Passwort, das nur aus 8 Ziffern besteht, innerhalb von 0,05 Sekunden knacken. Besteht das Passwort aus 8 Kleinbuchstaben erhöht sich die Zeit auf 1,62 Minuten. Ich lasse das mal kurz sickern. Nein, das sind nicht Stunden oder Tage. Es sind Sekunden und Minuten. Ein krasser Augenöffner oder?
Auf dieser Seite, über den Zusammenhang von Passwortlängen und Brute-Force-Angriffen, kannst du die mathematische Berechnung dieser Zeiten in allen Einzelschritten nachvollziehen.
Wie wähle ich ein gutes Passwort aus?
Ein sicheres Passwort hat mehr als 16 Zeichen. Wenn du diese Grundregel beachtest, dann bist du in Zukunft schon mal sehr viel sicherer unterwegs.
Bitte nimm kein Passwort, das Namen und Daten von dir, deinen Bekannten oder Freunden enthält. Und nein, auch das Geburtsdatum deines Onkels, deiner Lebensgefährt*in, deines Schwagers, der Name deiner Katze, deiner Mutter oder deine alte Telefonnummer sind KEIN sicheres Passwort. Also verwende solche Daten einfach nicht.
Am besten ist ein vollständiger (sinnloser, aber leicht zu merkender) Satz inkl. Leerzeichen und Punkt dahinter z.B. "Mein Goldfisch war heute verwirrt und fiel aus dem Glas." 56 Zeichen, die du dir wirklich ganz einfach merken kannst oder?
Und nein, ich verwende dieses Passwort nicht wirklich und ich hab weder Goldfisch noch ein Aquarium... Das ist einfach ein zusammengebastelter Satz, den ich mir leicht merken könnte.
Dieses Auswahlverfahren von Passwörtern gilt übrigens nicht nur für deine Webseite, sondern auch für alle anderen Dienste, wo du Passwörter nutzt. *hust* Facebook *hust* dein E-Mail-Account *hust*.
Wem verrate ich mein Passwort?
Niemandem.
Ja, so einfach ist das. Gib Passwörter einfach nicht weiter.
Wem verrate ich mein Passwort? Niemandem. #Sicherheit
"Aber, wie gebe ich dir dann Zugang zu meiner Webseite, wenn ich dir mein Passwort nicht sagen darf?"
Sehr viele Systeme - auch deine WordPress-Webseite - haben mittlerweile eine Nutzer*innen-Verwaltung, bitte benutze sie! Es ist nicht notwendig ein WordPress-Passwort per E-Mail zu verschicken.
Es ist auch möglich Passwörter beispielsweise über LastPass zu teilen, ohne, dass die andere Partei, das Passwort als Text sieht.
Und wenn du jemandem wirklich mal dein Passwort weitergeben solltest, dann ändere es bitte danach auf alle Fälle.
Updates deiner WordPress-Installation, deines Themes und deiner Plugins
Die häufigste Ursache für eine Vireninfektion von WordPress-Webseite ist, dass Plugins, Themes oder WordPress selbst nicht gewartet worden ist.
Achte also darauf, dass du deine Plugins mindestens einmal pro Woche auf den neuesten Stand bringst.
Wenn dir das zu umständlich, langweilig, aufwändig ist, dann lagere diese Aufgabe an einen Diensteister*in aus, die einen Update-Service anbietet. Tu dir einfach selbst den Gefallen, dass du das größte Sicherheitsrisiko einfach von vornherein, so gut es möglich ist, ausschließt.
Das Auslagern hat nicht nur den Vorteil, dass die Updates regelmäßig gemacht werden, sondern auch, dass jemand ein Auge auf deine Webseite hat. Meistens werden in diesen Paketen auch gleich Backups und Monitoring mit angeboten. Das hat nicht nur den Vorteil, dass ein Virenbefall sehr wahrscheinlich früher auffällt, sondern du hast auch gleich eine Ansprechpartner*in, die dir im Ernstfall weiterhelfen kann.
Weitere Tipps zur Verwendung und Auswahl von Plugins findest du in meinen 101+-Tipps für den Erfolg deiner WordPress-Webseite.
Alte Plugins ausmisten
Plugins, die schon seit mehr als 12 Monaten nicht mehr gewartet werden solltest du von deiner Installation löschen. Sie können - müssen aber nicht - Sicherheitsrisiken enthalten.
Gehe deshalb regelmäßig deine Installation durch und kontrolliere, ob die Plugins, die du verwendest, noch gewartet werden.
Admin-Rechte
Gib' nicht jeder Person, die mit dir zusammenarbeitet, einen Benutzer mit Admin-Rechten auf deiner Webseite. Wenn deine VA nur deine Blogartikel schreibt, dann reicht es völlig, wenn du ihr einen Benutzer gibst, der Redakteur-Rechte hat.
Vollzugriff auf deine WordPress-Installation sollten nur dein Webseiten-Admin und du haben. Alle anderen brauchen einen Vollzugriff für ihre Tätigkeiten nicht.
Verwende keinen Programmiercode aus unzuverlässigen Quellen
"Hier mal ein Plugin und oh dieses PHP-Schnipsel für diese Funktion sieht auch toll aus! Ach, das nehm' ich mal."
Falls du diese Einstellung hast, dann überdenke sie bitte. Plugins aus unzuverlässigen Quellen können viel Schaden anrichten. Kostenlose Plugins sind in der WordPress-Bibliothek zu finden. Alle kostenlosen Plugins die dort nicht aufgeführt sind, solltest du nicht verwenden. Denn es hat einen Grund, wieso sie nicht in die Bibliothek aufgenommen oder wieder davon ausgeschlossen wurden.
Auch von Verkaufsaktionen, die zu gut sind um wahr zu sein, solltest du die Finger lassen. Ein Plugin-Bundle mit 25 kostenpflichtigen Plugins um 17,00€ ist einfach keine realistische Kalkulation. In solchen Fällen zahlst du im Endeffekt nicht nur doppelt, sondern vermutlich 100-1000-fach.
Das Gleiche gilt für PHP-Schnipsel. Nutze PHP-Schnipsel nur aus sicheren Quellen, denen du vertraust, lerne zu lesen, wie sie funktionieren oder frag' nach, ob das PHP-Schnipsel in Ordnung ist. Kopiere bitte nicht einfach wahllos drauf los, nur weil du gerade gerne eine Funktion hättest, sondern sei mit deinem Kopf dabei!
Sicherheit ist ein Konzept
Du siehst, dass du ganz schön viel selbst beachten kannst, wenn es um die Sicherheit deiner Webseite geht. Du kannst Sicherheit allerdings nicht mit einem einzelnen Sicherheitsplugin oder hin und wieder mit einem Klick auf den Update-Button erreichen. Es gehört Basiswissen und auch Umsetzung des Wissens dazu.
Und jetzt wünsche ich dir viel Spaß beim Passwort-Bauen 🙂
Herzliche Grüße
Sara
PS: In diesem Blogartikel gibt es noch weitere Sicherheitstipps.
