Als Websitebetreiber sind Sie grundsätzlich für Ihre Webanwendungen selbst verantwortlich. Wird Ihr System als gehackt gemeldet, müssen Sie die Sicherheitslücken umgehend schließen. Reagieren Sie nicht oder zu spät, kann Ihre Webseite aus Sicherheitsgründen von Ihrem Hosting–Anbieter gesperrt werden. Schützen Sie sich und machen Sie Ihre Webpräsenz sicherer – wir zeigen Ihnen wie es geht!

Die Zeiten, in denen Internetpräsenzen aufwendig programmiert werden musste, sind schon lange vorbei. Die meisten Webseiten basieren heute auf Webanwendungen, in die man einfach Inhalt einfügen kann. Diese Programme – allgemein auch Web-Apps genannt – sind für bestimmte Anwendungsbereiche zugeschnitten: Es gibt Content-Management-Systeme, Blog- und Forensoftware, E-Commerce-Lösungen, Bildergalerien, Wikis, Groupware, Kalender, Social Networking und vieles mehr. Durch Erweiterungsoptionen wie zum Beispiel Plug-Ins oder Komponenten lässt sich der Funktionsumfang der jeweiligen Web-App individuell erweitern.

Seite geblockt wegen Hacking

Viele Web-Apps und Erweiterungsoptionen sind zudem als kostenlose Open-Source-Lösungen verfügbar und millionenfach im Einsatz. Doch gerade diese Beliebtheit macht sie zu einem bevorzugten Ziel für Hackerangriffe, die dabei gezielt Schwachstellen ausnutzen. Zum Beispiel um:

  • Phishing-Seiten einzuschleusen, über die man Zugangsdaten/Bankdaten erlangen möchte
  • Webseitenbesucher zum Download von versteckten Viren und Trojaner zu verleiten (drive-by download)
  • eine Seite zum Spamversand zu missbrauchen, mit der Folge, dass die IP diese Seite auf einer Blacklist landen könnte
  • Uvm.

Die Entwickler steuern gegen und veröffentlichen regelmäßig Updates, um bekannte Schwachstellen sofort schließen zu können.

Tipp 1: Halten Sie Ihre Webapplikationen immer aktuell

Zwei der beliebtesten Open-Source-Anwendungen sind WordPress und Joomla. Schaut man sich einmal die Installationen an, sind die Zahlen alarmierend. So sind zum Beispiel 3 von 4 WordPress-Installationen überaltert. Bei Joomla sieht es noch dramatischer aus: Teilweise laufen über 90 % aller Joomla-Webseiten mit einer veralteten Joomla-Version.

Halten Sie Ihre Webapplikationen deshalb aktuell! Ab WordPress 3.7. gibt es die Möglichkeit, Updates automatisiert im Hintergrund ausführen zu lassen. Wenn Sie diese Funktion deaktiviert haben, sollten Sie Ihre WordPress-Version kontinuierlich manuell überprüfen und aktualisieren.

Tipp 2: Regelmäßig Updates von Plug-Ins und Erweiterungskomponenten

Plug-Ins und sonstige Erweiterungsmodule sind in der Regel eigenständige Programme. Das heißt: Durch ein Update der Web-Anwendung werden diese nicht automatisch mitaktualisiert. Hacker wissen das und nutzen für ihre Angriffe oft gezielt Sicherheitslücken in Plug-Ins und Erweiterungsmodulen.

Mitte des Jahres war davon zum Beispiel das beliebte WordPress-Plug-In All in One SEO betroffen. Diese und weitere Schwachstellen wurden zwischenzeitlich selbstverständlich beseitigt.

Aber All One SEO ist bei weitem nicht das einzige WordPress-Plug-In, das schon einmal zum Sicherheitsrisiko geworden ist: ob Kontaktformulare, Kommentarfunktionen, Newsletter etc., praktisches jedes Plug-In kann zum Ziel für Hacker werden.

Auch bei dem ebenfalls weitverbreiteten Content-Management-System Joomla sind die Erweiterungen – Components genannt –beliebte Angriffsstellen. In der Vergangenheit mussten durch Updates zum Beispiel Sicherheitslücken des File Managers eXtplorer und des Content-Editor JCE geschlossen werden. Die Liste der betroffenen Joomla-Components ließe sich beliebig erweitern.

Aktualisieren Sie deshalb Ihrer Plug-Ins und Erweiterungskompontenten regelmäßig! Bei WordPress und Joomla können Sie diese Updates bequem über das Dashboard ausführen.

Tipp 3: Sichern Sie Daten, Datenbanken und Systemdateien

Wenn Ihre Webseite gehackt wurde, ist es meist zu spät. Wichtige Daten und Einstellungen, die sich auf dem betroffenen System befunden haben, können dadurch unwiederbringlich zerstört sein. Auch Systemdateien werden teilweise durch Updates überschrieben. Das ist besonders ärgerlich, wenn Sie zum Beispiel individuelle Theme- oder Template-Anpassungen vorgenommen haben. Bei WordPress betrifft das hauptsächlich die folgenden Dateien: index.php, style.css und wp-config.php, während bei Joomla-Template-Änderungen vor allem die Dateien index.php, template.css und template_rtl.css angepasst werden.

Führen Sie deshalb regelmäßig ein Backup der Daten, Datenbanken und Systemdateien Ihrer Webanwendung durch. Für WordPress-Installationen gibt es dafür beispielsweise das kostenlose Plug-In BackupWordPress bzw.das kostenpflichtige Tool Backwpup-Pro. Beliebte Backup-Tools für Joomla sind: Akeeba Backup, Easy Joomla Backup und – speziell für Joomla Datenbanken – LazyDbBackup.

Host Europe-Kunden mit einem Shared Hosting-Produkt (Webhosting, WebServer) haben zudem die Möglichkeit, über das Administrationstool (Das Kunden-Informations-System – KIS) ein kostenloses Backup durchzuführen.

Tipp 4: Verwenden Sie sichere Passwörter

Über Passwortsicherheit ist bereits so viel geschrieben worden, dass die Verwendung sicherer, komplexer Passwörter eigentlich eine Selbstverständlichkeit sein sollte. Doch praktisch werden häufig immer noch Passwörter verwendet, die von Hackern einfach zu knacken sind. Ein sicheres Passwort sollte mindestens 8 Zeichen oder mehr enthalten. Verwenden Sie Klein- und Großbuchstaben, Zahlen und Sonderzeichen gemischt und vermeiden Sie Ausdrücke, die in einem Wörterbuch zu finden sind. Zur Generierung eines sicheren Passworts können Sie auch ein Tool nutzen, wie z.B. den kostenlosen Passwort-Generator von GaiJin.

Tipp 5: Vermeiden Sie typische Benutzernamen

Neben einem sicheren Passwort sollten Sie auch einen Benutzernamen wählen, der nicht einfach zu erraten ist. Verwenden Sie statt den Standards „Administrator“, „admin“ oder Ihrem Klarnamen lieber komplexere Benutzernamen, z.B. durch Erweiterungen mit Jahreszahlen oder zusätzlichen Kürzeln etc. Auf diese Weise machen Sie es Hackern doppelt schwer, in Ihr System einzudringen.

Tipp 6: Sichern Sie Kontaktformulare und Gästebücher durch Captcha Abfragen

Äußerst beliebte Angriffspunkte für automatisierte Angriffe auf Ihre Webseite sind Kontaktformulare und Gästebücher. Diese sollten Sie daher besonders absichern. Eine einfach und praktische Möglichkeit, um sich vor automatisierten Anfragen zu schützen, sind Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart.) Achten Sie bei der Recherche nach Erweiterungsoptionen am besten direkt darauf, ob diese entweder schon ein Captcha enthält oder ob ein passendes Captcha Plug-In zur Verfügung steht.

Tipp 7.–9: Erweiterte Sicherheitsvorkehrungen für Experten

Neben den vorgestellten Basic-Tipps gibt es natürlich noch weitere Vorkehrungen, die Sie treffen können, um Hacking und das Einschleusen von Schadprogrammen zu unterbinden.

  • Erstellen Sie einen eigenen Zugriffsschutz für den Administrationsbereich mittels .htaccess oder verwenden Sie für die Zugriffsverwaltung ein Administrationstools wie das Kunden-Informations-System (KIS) von Host Europe – nur für Host Europe-Kunden mit einem Shared Hosting-Produkt (Webhosting, WebServer, WebServer, BlogHosting) möglich
  • Optimieren Sie die Rechtevergabe für Ihre Dateien und Verzeichnisse
  • Unterbinden Sie die Ausführung von PHP-Dateien in bestimmten Verzeichnissen

Die Umsetzung dieser Tipps erfordert allerdings einige Vorkenntnisse. Informationen zum speziellen Vorgehen bei Shared Hosting-Produkten von Host Europe finden Sie in folgenden FAQ-Artikeln:

Wie schütze ich meinen WordPress-Blog vor Hacking?
Wie schütze ich meine Joomla Webseite vor Hacking?

10. Prüfen Sie regelmäßig, ob Ihre Seite gehackt wurde

Wie Sie sehen, können Sie sehr viel tun, um Ihre Webseite zu schützen. Aber selbst die besten Vorkehrungen können Ihnen keine 100% Sicherheit vor Hacking bieten. Als Websitebetreiber merken Sie oft gar nicht oder zu spät, dass Ihre Webseite gehackt wurde. Deshalb sollten Sie Ihre Webseite regelmäßig prüfen. Im Netz gibt es eine ganze Reihe kostenloser Tools, mit denen Sie Ihren Webauftritt auf Manipulationen checken lassen können oder Ihre Webseite direkt zu regelmäßigen Überprüfungen anmelden können. Zum Beispiel:

InitiativeS vom Verband der deutschen Internetwirtschaft e.V. (eco)
Oder der freie Online-Service virustotal

Seite gehackt? Was tun?

Ihre Seite wurde gehackt? Dann sollten Sie schnell handeln, sonst riskieren Sie, dass Ihre Webseite unter Umständen vom zuständigen Hosting-Provider gesperrt wird. In den beiden folgenden FAQ-Artikeln haben wir Ihnen für den Fall der Fälle Erste-Hilfe-Tipps speziell für WordPress- und Joomla-Anwendungen auf Shared Hosting-Produkten von Host Europe zusammengestellt.

Mein WordPress Blog wurde gehackt – was kann ich tun?
Meine Joomla Webseite wurde gehackt – was kann ich tun?

Sie haben weitere interessante Tipps zum Thema Hacking und wie man seine Webseite schützen kann? Dann schicken Sie uns einen Kommentar!

18 thoughts on “10 Tipps, wie Sie Ihre WordPress- und Joomla-Website vor Hacking-Attacken schützen können

  1. WP Blogs werden permanent von Botnetzen automatisiert attackiert. Die wirksamste und wichtigste Gegenmaßnahme (Sicherung des Backends über htaccess) ist erst ab Webpack M verfügbar. Schwach, Host Europe.

    • Hallo Philipp, vielen Dank für die Anmerkung. Das Backend lässt sich auch ohne .htaccess absichern. Bei allen Webhosting-Paketen von Host Europe kann dafür die Zugriffsverwaltung im Kunden-Informations-System KIS genutzt werden.

    • Hi Philipp, sorry, mein Fehler. Die Backend-Absicherung über das KIS funktioniert zum Beispiel bei Joomla. WordPress ist anders aufgebaut, deshalb benötigt man bei WordPress .htaccess.

  2. Punkt 6 sollte jeder vermeiden, möchte er nicht nur blinde und sehbehinderte nutzer aussperren. Captchas sind längst kein großes Hindernis mehr für Spammer, sie sind eher eine Plage. Je unleserlicher man sie macht, desto schwerer haben es auch richtige Menschen sie auszufüllen. Diese Dinger gehören besser heute als morgen aus dem Netz verbannt.

    • Hallo Steffen,
      ich gebe Dir teilweile Recht. Und zwar vor allem, wenn man unter Captchas allein die meist unleserlichen Text-Zahlen-verschnörkeltes-Hintergrundbild-Rätsel versteht. Rechen-Captchas dagegen halte ich nach wie vor für einen sehr einfachen und wirksamen Spamschutz.

    • Hallo,
      der Hinweis ist natürlich sehr berechtigt. Da der Großteil unserer Kunden WordPress und Joomla einsetzt, haben ich mich in dem Artikel auf diese beiden Anwendungen konzentriert. Grundsätzlich sollte man natürlich bei allen Webanwendungen regelmäßige Programm-Aktualisierungen vornehmen und aktuelle Sicherheitspatches einspielen.

  3. danke. Toller Beitrag. Es hilft auch mit einem Sicherheitsplugin WP-admin oder WP-Login.php umzubenennen. Damit ist man vorerst sicher vor brutforce Attacken.

  4. Problematisch in diesem Kontext ist es, dass die Rechtevergabe von HE es extrem erschwert, Updates bei WP über das Backend zuzulassen. Vor allem das automatische Update, das Sicherheitsreleases einspielt geht selbst mit den bisherigen erweiterten Einstellungen in der wp-config nicht mehr. Insofern müssten die Serverrechte angepasst werden, was wieder für andere Probleme sorgen kann. Eine unangenehme Zwickmühle…

    • Hallo Frank,

      kann es sein, dass ftp-Nutzer und wp-Nutzer nicht übereinstimmen? Falls das der Fall sein sollte, am besten den ftp-Nutzer umbenennen. WordPress braucht immer die vollen Rechte.

      Mit besten Grüßen
      Wolf-Dieter Fiege

  5. die links
    Wie schütze ich meinen WordPress-Blog vor Hacking?
    Wie schütze ich meine Joomla Webseite vor Hacking?
    Mein WordPress Blog wurde gehackt – was kann ich tun?
    Meine Joomla Webseite wurde gehackt – was kann ich tun?
    bringen
    Page Not Found (404)

    • Hallo,
      um welche Links geht es? Ich konnte die entsprechenden Artikel problemlos öffnen, schaue aber gerne mal nach, wenn ich mehr Infos bekomme.

      Mit besten Grüßen und vielen Dank

      Wolf-Dieter Fiege

      • Hallo,
        es geht um die Links unter „Tipp 7.–9: Erweiterte Sicherheitsvorkehrungen für Experten“ auf der Seite „https://www.hosteurope.de/blog/schutz-vor-hacking/“ (diese Seite).

        • Hallo,
          Sie hatten Recht. Ich war zuerst irritiert, aber es handelt sich um FAQ-Artikel. Wir haben den Fehler korrigiert. Die Seiten sind jetzt wieder erreichbar.
          Mit besten Grüßen
          Wolf-Dieter Fiege

  6. Was ich auch sehr empfehlen kann ist das Plugin Hide My WP also für WordPress. Somit hat man neben Benutzernamen und Passwort noch eine dritte Sicherheitsstufe

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die von Ihnen hier erhobenen Daten werden von der Host Europe GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.hosteurope.de/AGB/Datenschutzerklaerung/