„Hilfe, meine Webseite wurde gehackt!“ Warum?

Die grundsätzlichste Gefahr für jeden Homepage-Besitzer ist Hacking. Beim Hacking verschafft sich jemand Zugang zu Ihrer Seite über das verwendete CMS-System und nutzt die Homepage für seine eigenen Zwecke. Um aufzuzeigen was dahintersteckt, hier einige Möglichkeiten der Verwendung einer Webseite, sobald sich der Hacker einmal Zugang verschafft hat:

1. Phishing

Phishing beschreibt das „Angeln“ nach persönlichen Daten oder Bankverbindungen von Webseitenbesuchern und Kunden. Hierfür schleust der Hacker beispielsweise eine Zwischenseite auf der Homepage ein, auf der persönliche Details des Besuchers abgefragt werden. Die gewonnenen Daten kann er dann, in grosser Zahl, gewinnbringend im Internet verkaufen. Zum Beispiel an Firmen, die sich um die Werbetätigkeiten grosser Unternehmen kümmern. Manchmal wird sogar direkt aufgefordert, die Bankdaten und diverse Passwörter einzugeben! Phishing ist die beliebteste Variante, um gehackte Seiten für eigene Zwecke zu missbrauchen.

2. Viren & Trojaner

Wie auch beim Phishing wird hier ein ähnliches Ziel verfolgt: Gewinn für den Hacker. Um einen Computer mit Viren und Trojanern zu infizieren, muss eine mit einem Virus oder Trojaner verseuchte Datei installiert werden. Der Hacker kann dann diesen infizierten Computer beeinflussen, Dateien stehlen oder seine Kapazitäten nutzen. Selbst Erpressungen sind möglich. Damit Webseitenbesucher Viren & Trojaner auf ihrem Computer installieren, mit denen man sie ausspähen oder die Kontrolle über den Computer übernehmen kann, versucht der Hacker hier alle Besucher der Homepage zum Download von verseuchten Dateien zu verleiten. Besucher Ihrer Webseite werden beispielsweise aufgefordert, vermeintlich harmlose Dinge wie einen aktuellen Produktkatalog oder eine Info-Broschüre herunterzuladen. Gelingt dies, hat der Hacker sein vorläufiges Ziel erreicht und Einfluss auf den Computer des Besuchers Ihrer Webseite.

3. Spamming

Auch Spamming stellt eine Gefahr für die eigene Webseite dar. Sollte sich jemand Zugang zur Homepage verschaffen, kann er diese missbrauchen um Spam-Mails, beispielsweise an alle Kunden, zu versenden. Das können Werbe-Mails sein, bei denen der Hacker Kommission kassiert, oder es handelt sich bei den E-Mails wiederum um Phishing-Methoden um an personenbezogene Daten zu gelangen. Die Internetadresse der eigenen Webseite landet so blitzschnell auf einer sogenannten „Blacklist“ und wird gesperrt – vorläufiger Totalschaden für den Webseitenbesitzer und im schlimmsten Fall wochenlange Ausfälle. Denken Sie dabei immer daran: ein Ausfall Ihrer Homepage bedeutet im schlimmsten Fall auch hohe finanzielle Verluste.

Schutz der eigenen Webseite – Massnahmen für volle Sicherheit

Um sich vor solchen Gefahren zu schützen, gibt es einige Tipps und Tricks. Webagenturen bauen umfängliche Schutzmassnahmen ein, beispielsweise im Rahmen eines WordPress Sicherheitspakets. Solange diese regelmässig aktualisiert und Sicherheitsstandards, beispielsweise bei der Passwortauswahl, eingehalten werden, bietet die eigene Webseite wenig Angriffsfläche.

Der beste Schutz vor Hacking ist ein System aus verschiedenen Sicherheitsstandards. Über eine Kombination aus verschiedenen sogenannten Plug-Ins stellt man sicher, dass niemand Unbefugtes sich Zugang zur Webseite verschaffen kann.

1. Zugangsdaten des Besitzers einer Homepage

Um die Kontrolle über eine Webseite zu erlangen, muss mindestens das Passwort zum Einloggen bekannt sein. Heutzutage ist es möglich, dass Computerprogramme pro Sekunde Tausende von Passwortvarianten durchspielen – bis das richtige gefunden ist. Umso stärker die Rechner werden, umso schneller können auch schwierige Passwörter dabei erraten werden.

Sogenannte Passwort-Cracker funktionieren allerdings nicht mehr, wenn man sich vor diesen Computerprogrammen angemessen schützt. Zum einen wird ein sogenanntes „captcha“ verwendet, das zwischen Mensch und Computer unterscheiden kann.  Hierbei handelt es sich beispielsweise um kleine Fotos von Nummern, die von Computern unlesbar sind und nur mit dem menschlichen Auge identifiziert werden können. Ein Computerprogramm kann sich so unmöglich ohne menschliches Zutun einloggen, massenhaften Versuchen zum Erraten des Passworts wird also ein Riegel vorgeschoben.

Sicheres Einloggen durch Captcha mit hhomepage

Captcha-Überprüfung beim Login

Zum anderen sperrt ein Login-Zähler alle Computer, die sich mehr als 5 Mal mit einem falschen Passwort versuchen einzuloggen. Aber keine Sorge: Wer als Webseiten-Besitzer fünf Mal sein Passwort falsch eingibt, der hat nach einer Stunde wieder die Möglichkeit Zugang zu seiner Homepage zu erlangen. Für Computerprogramme, die Passwörter erraten wollen, ist das aber viel zu lange.

Ein Herausfinden Ihrer Zugangsdaten und ein Hacking Ihrer Internetseite ist in dieser Kombination extrem erschwert. Die Verwendung eines sicheren Passworts aus Buchstaben, Zahlen und Sonderzeichen ist in Kombination mit unterschiedlichen Plug-Ins ein sehr guter Schutz. Doch auch wenn man alles unternimmt, um Webseiten so sicher wie möglich zu gestalten, bleibt die Gefahr von Datendieben im Internet immer bestehen. Da ihr eigener Computer oder mobiles Endgerät Angriffsfläche bietet, spielen das eigene Surfverhalten und ein aktuelles Virenprogramm wie Avira Antivirus weiterhin eine wichtige Rolle.

2. Schutz vor Datenverlust

Eine der grössten Ängste der meisten Homepage-Besitzer ist der Verlust aller Daten, der einen riesigen Arbeitsaufwand und wochenlange Ausfälle der Webseite zur Folge hat. Hier kann richtig Geld verloren gehen! Um dem vorzubeugen, bieten professionelle Anbieter Webseiten mit Backup-Funktion an, wenn Sie sich ihre Webpräsenz designen lassen. Die gesamte Seite kann per CMS-System stets auf einem weiteren Server abgesichert werden, um bei diversen Serverausfällen auf der (daten-)sicheren Seite zu sein. Der zweite Server ist dabei weit genug vom ersten entfernt, um sogar vor Naturkatastrophen und Stromausfällen zu schützen. Führt man regelmässig BackUps durch, kann im Falle irgendwelcher Probleme die gesamte Seite einfach wiederhergestellt werden – und nichts ist verloren.

3. Updates

Des Weiteren spielt das Thema Updates eine wichtige Rolle. Tagesaktueller Schutz ist nur gegeben, wenn alle Sicherheitsmassnahmen und verwendete Algorithmen auf dem neuesten Stand sind. Hier kommt der Vorteil des von uns verwendeten WordPress-Systems zum Tragen, bei dem Hunderte von Entwicklern täglich die Sicherheitsstandards überprüfen, aktuell halten und etwaige Lücken sofort schliessen.

WordPress aktualisiert dies von ganz alleine im Hintergrund und ohne, dass sich die Besitzer einer Webseite über Sicherheitsstandards Kopfzerbrechen bereiten müssten. Wer vollen Service in puncto Schutz für seine Webseitenbesitzer anbieten möchte, der arbeitet hier immer mit den neuesten Standards und Versionen.

Best Practice – So funktioniert der Schutz der eigenen Homepage in der Praxis

Allgemein gilt, dass Webseiten regelmässig per Backup gesichert und alle Plug-Ins aktualisiert werden sollten. Um die eigenen Login-Daten aus Benutzername und Passwort zu schützen, sollten sowohl ein sicherer Name als auch ein sicheres Passwort gewählt werden. Das bedeutet, dass neben Buchstaben auch Zahlen und Sonderzeichen verwendet werden sollten und beide aus mindestens 8 Zeichen bestehen. Auch beim Benutzernamen sollte man darauf achten, dass dieser nicht einfach zu erraten ist. Der Benutzername „Admin“ mit dem Passwort „123456“ kann in puncto Sicherheit als grob fahrlässig bezeichnet werden.

Bevor man die eigene Homepage aktualisiert oder anpasst, ist es immer angeraten ein Backup durchzuführen. Sollte das Resultat der Anpassungen nicht den Vorstellungen entsprechen, kann die vorherige Version in Sekundenschnelle wiederhergestellt werden. Eingebaute Plug-Ins und Funktionen können unter dem Reiter „Aktualisierungen“ auf den neuesten Stand gebracht werden – es muss nur kurz überprüft werden, ob die neue Version des Plug-Ins mit der eigenen WordPress-Version kompatibel ist. Wenn nicht, dann behält man besser die vorherige Version bei.

Soll die gesamte Designvorlage, die das grundsätzliche Aussehen der eigenen Homepage definiert, abgeändert werden, dann sollte man das mit einem Fachmann aus dem Bereich der Webgestaltung und des Webdesigns besprechen, der den Wechsel schnell auf Realisierbarkeit überprüft. Diese Theme-Wechsel sind allerdings äusserst selten gewünscht.

Sicher unterwegs – keine Gefahren aus dem Internet

Durch eine Kombination dieser Massnahmen können die Besitzer einer Internetseite aufatmen, denn es gibt in Sachen Sicherheit und Schutz der eigenen Homepage wenig zu befürchten. Das gilt übrigens für alle Instanzen des Responsive Designs, denn neben der Computer-Version sind auch Tablet- oder Smartphone-Varianten abgesichert. Höchste Sicherheitsstandards in Sachen Schutz sind unverzichtbar und sollten niemals fehlen! Unsere Angebote umfassen alle ein solches WordPress-Sicherheitspaket.

Diese Schutzmassnahmen zu verstehen, ist ein wichtiger Schritt auf dem Weg zur sicheren Webseite. Sollten zu einigen Punkten noch weitere Fragen bestehen, können wir Ihnen gerne weiterhelfen.

Teilen Sie diesen Beitrag in Ihren Netzwerken