Website-Sicherheit & SSL

SSL-Zertifikate und HTTPS

SSL steht für Secure Sockets Layer und bezeichnet ein Protokoll zur verschlüsselten Datenübertragung zwischen Browser und Server. Heute wird eigentlich TLS (Transport Layer Security) verwendet, aber der Begriff SSL hat sich gehalten. Websites mit SSL-Zertifikat erkennen Sie am https:// in der Adresszeile und am Schloss-Symbol.

Warum ist SSL wichtig?

Ohne SSL werden alle Daten unverschlüsselt übertragen. Das bedeutet, dass Dritte den Datenverkehr mitlesen können – besonders problematisch bei Passwörtern, Kreditkartendaten oder persönlichen Informationen. Mit SSL sind diese Daten verschlüsselt und für Angreifer unlesbar.

Darüber hinaus ist SSL heute Pflicht für fast jede Website. Die DSGVO verlangt technische Maßnahmen zum Schutz personenbezogener Daten, und SSL gehört dazu. Google bevorzugt HTTPS-Seiten im Ranking. Browser wie Chrome markieren HTTP-Seiten als unsicher, was Besucher abschreckt. Für Online-Shops und Kontaktformulare ist SSL sowieso unverzichtbar.

Arten von SSL-Zertifikaten

Es gibt verschiedene Arten von SSL-Zertifikaten mit unterschiedlichem Validierungslevel. Domain Validated (DV) Zertifikate prüfen nur, ob Sie die Domain kontrollieren, und sind am günstigsten oder sogar kostenlos. Organization Validated (OV) Zertifikate prüfen zusätzlich die Organisation, und Extended Validation (EV) Zertifikate bieten die höchste Validierungsstufe mit umfangreicher Unternehmensprüfung.

Für die meisten Websites reichen DV-Zertifikate völlig aus. Let's Encrypt bietet kostenlose DV-Zertifikate, die bei vielen Hostern automatisch eingebunden werden. Nur bei besonders sensiblen Anwendungen wie Online-Banking oder E-Commerce mit hohem Volumen lohnen sich höherwertige Zertifikate.

Regelmäßige Updates

Die häufigste Ursache für gehackte Websites sind veraltete Software-Versionen. WordPress, Joomla, Plugins und Themes enthalten regelmäßig Sicherheitslücken, die durch Updates geschlossen werden. Wer Updates ignoriert, lässt die Haustür offen stehen.

Was muss aktualisiert werden?

Bei WordPress-Websites müssen mehrere Komponenten aktuell gehalten werden: der WordPress-Core selbst, alle installierten Themes, alle Plugins sowie die PHP-Version auf dem Server. Bei Joomla gilt Entsprechendes für Core, Templates und Extensions.

Wie oft updaten?

Sicherheitsupdates sollten zeitnah eingespielt werden, idealerweise innerhalb weniger Tage. Bei kritischen Sicherheitslücken auch sofort. Funktionale Updates können etwas warten, sollten aber mindestens monatlich geprüft werden. Wichtig: Vor jedem Update ein Backup erstellen, falls etwas schiefgeht.

Automatische Updates

WordPress bietet automatische Updates für kleinere Releases und Sicherheitsupdates. Für Plugins und Themes können automatische Updates aktiviert werden, bergen aber das Risiko von Inkompatibilitäten. Bei geschäftskritischen Websites empfehle ich manuelle Updates nach Test in einer Staging-Umgebung.

Sichere Passwörter

Schwache Passwörter sind ein Einfallstor für Hacker. Brute-Force-Angriffe probieren systematisch Passwörter durch, und einfache Kombinationen wie admin123 werden in Sekunden geknackt.

Was macht ein sicheres Passwort aus?

Ein sicheres Passwort ist mindestens 12 Zeichen lang, enthält Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, ist keine Variation von Wörtern aus dem Wörterbuch, wird nicht für mehrere Accounts verwendet und ist nicht leicht zu erraten, wie Geburtsdaten oder Namen.

Am besten verwenden Sie einen Passwort-Manager, der sichere Passwörter generiert und speichert. So müssen Sie sich nur ein Master-Passwort merken.

Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung (2FA) fügt eine zweite Sicherheitsebene hinzu. Neben dem Passwort benötigen Sie einen Code, der per App oder SMS generiert wird. Selbst wenn ein Angreifer Ihr Passwort kennt, kann er sich ohne den zweiten Faktor nicht einloggen. Für den Admin-Bereich von Websites ist 2FA sehr empfehlenswert.

Backup-Strategien

Backups sind Ihre Versicherung gegen Datenverlust – sei es durch Hackerangriffe, technische Fehler oder versehentliches Löschen. Ohne funktionierendes Backup kann ein Problem zur Katastrophe werden.

Was sollte gesichert werden?

Ein vollständiges Website-Backup umfasst alle Dateien wie WordPress-Core, Themes, Plugins und Uploads sowie die Datenbank mit Inhalten, Einstellungen und Benutzerdaten. Beides zusammen ergibt ein komplettes Abbild Ihrer Website, das im Notfall wiederhergestellt werden kann.

Wie oft sichern?

Die Backup-Häufigkeit hängt davon ab, wie oft sich Ihre Website ändert. Bei Blogs oder News-Seiten mit täglichen Inhalten empfehle ich tägliche Backups. Bei statischen Unternehmensseiten reichen wöchentliche Backups. Wichtig ist, mehrere Backup-Generationen aufzubewahren, falls ein Problem erst später bemerkt wird.

Wo speichern?

Backups sollten nicht nur auf dem gleichen Server liegen wie die Website. Wenn der Server ausfällt oder kompromittiert wird, sind auch die Backups verloren. Externe Speicherorte wie Cloud-Dienste oder ein anderer Server bieten zusätzliche Sicherheit.

WordPress-Sicherheit

Als meistgenutztes CMS ist WordPress ein bevorzugtes Ziel für Angriffe. Mit den richtigen Maßnahmen lässt sich das Risiko jedoch minimieren.

Grundlegende Absicherung

Ändern Sie den Standard-Benutzernamen admin in etwas Individuelles. Begrenzen Sie Login-Versuche, um Brute-Force-Angriffe zu erschweren. Deaktivieren Sie die Dateibearbeitung im Backend. Verstecken Sie die WordPress-Version, um gezielte Angriffe auf bekannte Schwachstellen zu erschweren. Entfernen Sie ungenutzte Themes und Plugins.

Sicherheits-Plugins

Plugins wie Wordfence, Sucuri oder iThemes Security bieten zusätzliche Schutzfunktionen: Firewall, Malware-Scan, Login-Schutz und mehr. Ein solches Plugin ist für jede WordPress-Website empfehlenswert. Aber Vorsicht: Sicherheits-Plugins ersetzen nicht die grundlegenden Maßnahmen wie Updates und sichere Passwörter.

Was tun, wenn die Website gehackt wurde?

Trotz aller Vorsichtsmaßnahmen kann es passieren. Wenn Ihre Website gehackt wurde, ist schnelles Handeln gefragt.

Zunächst sollten Sie die Website offline nehmen oder in den Wartungsmodus setzen, um weiteren Schaden zu verhindern. Ändern Sie alle Passwörter – WordPress, FTP, Datenbank, Hosting. Stellen Sie ein sauberes Backup wieder her, falls vorhanden. Wenn kein sauberes Backup existiert, muss der Schadcode manuell entfernt werden. Aktualisieren Sie alle Software-Komponenten und schließen Sie die Sicherheitslücke, durch die der Angriff erfolgte. Prüfen Sie, ob Google die Seite als gefährlich markiert hat, und beantragen Sie gegebenenfalls eine Überprüfung.

Bei komplexen Hacks oder wenn Sie sich unsicher sind, ziehen Sie einen Experten hinzu. Die Bereinigung einer gehackten Website erfordert Erfahrung, und Reste des Schadcodes können zu erneuten Infektionen führen.