Die ultimative Katastrophe für jede Onlinehändlerin und jeden Onlinehändler ist ein gehackter Shop. Im schlimmsten Fall drohen nämlich nicht nur Umsatzausfälle, sondern auch Forderungen nach Schadensersatz, Bußgelder wegen Datenschutzverstößen und irreparable Image-Schäden. Nehmen Sie Sicherheitsfragen und Hackerabwehr also nicht auf die leichte Schulter. Und um Himmels Willen: Machen Sie nichts nach, was in diesem Beitrag steht! Schon gar nicht die Pro-Hacker-Tipps!
Benutzername: Mein Name ist Admin
Beim Abschluss der Installation von WordPress oder einem anderen Content-Management-System (CMS) dürfen, beziehungsweise müssen Sie sich einen Benutzernamen ausdenken und eingeben. Wenn Sie es den Hackern einfach machen wollen, verwenden Sie einen gebräuchlichen Benutzernamen wie Admin, Webmaster oder Shop-Manager. Den automatisierten Programmen der Angreifer, den sogenannten Bots, kommen Sie damit ein gutes Stück entgegen.
Pro-Hacker-Tipp: Mit Admin als Benutzername werden Sie Hackers Liebling. Nehmen Sie nichts anderes.
Passwort: 1234 ist am besten, die anderen machen es ja auch
Sie möchten Angreifern Tür und Tor öffnen? Dann sollte nicht nur Ihre Benutzername, sondern auch das dazugehörig Passwort gut zu erraten sein! Sonderzeichen wie beispielsweise ein @ oder ein ? sind da eher hinderlich. Tabu sind natürlich auch Ziffern oder der Wechsel von Groß- und Kleinbuchstaben.
Verwenden Sie lieber 1234, ABCD, Schatz oder andere im Duden verzeichnete Wörter. Haben Sie bei der Wahl Ihrer Passwörter auch immer folgendes Sprichwort im Hinterkopf: In der Kürze liegt die Würze. Mit einem Passwort mit sechs oder weniger Stellen zaubern Sie den Hackern ein Lächeln ins Gesicht. Mit einem zwölfstelligen Passwort pfuschen Sie ihnen dagegen ins Handwerk.
Pro-Hacker-Tipp: Schreiben Sie ein möglichst einfaches Passwort groß auf einen Zettel. Heften Sie diesen Zettel dann gut sichtbar an die Pinnwand in der Teeküche Ihres Büros. Es kann ja mal sein, dass Sie gerade nicht anwesend sind, wenn jemand das Passwort braucht. Zum Beispiel der Praktikant, der bei einem Telefonat um die Weitergabe von „dringend benötigten“ Zugangsdaten gebeten wird.
Admin-Mailadresse: Alle sollen sie wissen
Bei der Installation von WordPress oder einem anderen Content-Management-System (CMS) müssen Sie nicht nur einen Benutzernamen und ein Passwort eingeben, sondern auch eine E-Mail-Adresse. Mit dieser Adresse schaffen Sie sich nicht nur einen Zugang ins Backend Ihres Systems, Sie können auch das Passwort zurücksenden und sich ein neues Passwort zusenden.
Wenn Sie es den Hackern besonders einfach machen wollen: Verwenden Sie eine leicht nachvollziehbare Admin-Maildresse. Am besten diejenige, mit der Sie ihre alltägliche Geschäftskorrespondenz abwickeln. Sie stehen aber mit Hackern noch in keiner Geschäftsbeziehung? Auch das ist kein Problem. Diese Gesellen beglücken Sie auch mit der Bekanntgabe Ihrer Admin-Mailadresse im Impressum Ihrer Website.
Pro-Hacker-Tipp: Verwenden Sie für den Admin-Zugang zu Ihrem CMS eine E-Mail-Adresse bei einem der zahlreichen kostenlosen E-Mail-Dienste. Loggen Sie sich bei diesem Dienst dann für eine Weile nicht mehr ein oder vergessen Sie die Adresse ganz einfach.
Spannend wird es es dann, wenn der Mailanbieter Ihre ungenutzte Adresse wieder für jedermann frei gibt. Einen Nachfolger, der sich Ihre ehemalige Admin-Mailadresse unter den Nagel gerissen hat, haben Sie damit nämlich unter Umständen sehr glücklich gemacht. Er könnte Ihre ehemalige E-Mail-Adresse verwenden, um sich über die Funktion „Passwort zurücksetzen“ ein neues Passwort für das CMS zusenden zu lassen. Seine Freude wird noch wachsen, wenn er in der Benutzerverwaltung des CMS schalten und walten darf. Sobald er Ihren Account gelöscht und die Möglichkeit einer Neuregistrierung deaktiviert hat, ist das System komplett in seiner Hand.
Server: Nur ein Root ist gut
Sie möchten zwar einen Server für sich allein, aber den Ganoven doch auch eine faire Chance für die Übernahme geben. Dann: Augen auf bei der Serverwahl. Ein Managed Server, bei dem Sie die Administration in die Hände Ihres Hosters legen, ist dann vielleicht nicht die optimale Lösung.
Ein Rootserver ist viel flexibler und wesentlich hackerfreundlicher – wenn die persönlichen Voraussetzungen stimmen. Prüfen Sie sich! Sie besitzen keine Erfahrung mit der Server-Administration? Sie haben Ihre Lebenszeit nicht mit langweiligem Linux vergeudet? Sie trotzen die Versuchung, eine Server-Distribution wie beispielsweise Ubuntu Server herunterzuladen und damit zu lernen?
Wenn Sie jetzt drei Mal genickt haben, freut sich die Hackerwelt über Ihren Einsatz.
Pro-Hacker-Tipp: Springen Sie ins kalte Wasser und lernen Sie die Rootserver-Administration im laufenden Betrieb. Setzen Sie am Montag Ihren Server auf, am Dienstag Ihren Shop und lehnen Sie sich zurück. Freuen Sie sich auf die Überraschungen, die dann kommen. Die Hacker freuen sich mit Sicherheit auch!
Verschlüsselung: Zertifikate sind Schall und Rauch
Über den vor einigen Jahren zu beobachtenden Trend zur Verschlüsselung sämtlicher Websites über SSL-Zertifikate freuen sich die Internet-Schurken überhaupt nicht. Früher hat es das nicht gegeben, da begannen die URLs noch mit http://, und nicht mit https://. Wenn Sie nostalgisch veranlagt sind und die Gilde der Hacker so richtig verwöhnen möchten, dann verzichten Sie auf die Zuweisung eines SSL-Zertifikats für Ihre Domain.
Pro-Hacker-Tipp: Verschlüsselung ist für Weicheier, HTTP ohne S ist Hackers Liebling. Und als Bonus erhalten Sie als Betreiber eines unverschlüsselten Onlineshops auch mit hoher Wahrscheinlichkeit überraschend Post – von der Datenschutzbehörde.
Social Engineering: Vertrau mir!
Rechnen Sie bei jeder E-Mail, jedem Anruf und jedem Klopfen an Ihrer Bürotür auch mit einer Schurkerei? Dann machen Sie sich bei allen Ganoven unbeliebt, die sich auf die Methode des Social Engineering spezialisiert haben, also die Ausnutzung der „Schwachstelle Mensch“.
Was Sie tun können, um den Hackern wieder ein Lachen ins Gesicht zu zaubern:
- Plaudern Sie fröhlich Unternehmensinterna aus und veröffentlichen Sie diese hemmungslos auf auf allen Kanälen.
- Vertrauen Sie allen E-Mails bedenkenlos.
- Öffnen Sie immer sofort alle E-Mail-Anhänge.
- Denken Sie beim Anblick von Eingabefeldern nicht nach. Geben Sie zügig alles ein, was dort verlangt wird. Ob Bank-oder Zugangsdaten, es wird schon alles seine Richtigkeit haben.
- Vertrauen Sie bedenkenlos allen Personen, die Sie telefonisch kontaktieren. Hinterfragen Sie niemals deren Absicht und überprüfen Sie niemals deren Identität.
- Stellen Sie keine Fragen an unbekannte Personen, die sich in Ihren Büroräumen aufhalten.
- Geben Sie diese Regeln auch an Ihre Mitarbeiterinnen und Mitarbeiter weiter.
Pro-Hacker-Tipp: Werfen Sie in stressigen Situationen alle Prinzipien über Bord und reagieren Sie auf Druck: Wenn „Dringend!!!“ in einer Betreffzeile steht, ist es bestimmt auch ein Notfall.
Rollenvergabe: Alle dürfen alles
Was Hacker gar nicht leiden können: Zugangsbeschränkungen von Benutzern eines CMS. In WordPress gibt es dazu ein Rollensystem, das nur von einem Administrator verwaltet wird. Nur er weist die Rollen und damit auch die Verantwortungen zu.
Was Hacker entzückt: Wenn alle Benutzer zum Admin erhoben wurden und alle Funktionen nutzen dürfen.
Pro-Hacker-Tipp: Haben Sie schon einmal daran gedacht, einen Kunden so richtig glücklich zu machen? Mit einem Shop auf der Basis von WordPress und WooCommerce geht das spielend einfach. Wählen Sie einfach in der Benutzerverwaltung einen Kunden aus und ändern Sie seine Rolle von Kunde zu Administrator. Dieser Kunde ist jetzt nicht mehr nur König, sondern Kaiser. Ihm gehört jetzt der Laden und er darf andere entmachten – auch den, der ihn erhoben hat.
Plugins: Je mehr, desto besser
Wie Hacker über Plugins denken, also die Funktionserweiterungen von Content-Management-Systemen und anderer Software? Ähnlich wie leidenschaftliche Sammler: Plugins sind Objekte, von denen man nie genug haben kann.
Wenn Sie die Hackerzunft maximal unterstützen möchten, gibt es nur eine Devise: Sie müssen Ihre Sammelsucht voll ausleben. Geben Sie sich nicht mit einem halben Dutzend Plugins zufrieden, vierzig oder fünfzig müssen es schon sein. Falls Sie WordPress und WooCommerce verwenden: Lassen Sie sich nicht die gute Laune verderben und meiden Sie unbedingt diese Website über Sicherheitslücken.
Pro-Hacker-Tipp: Wahre Sammler haben gerne auch Seltenes in ihrer Kollektion: Echte Prunkstücke sind Plugins, die von den Entwicklern seit Jahren kein Update erhalten haben. Solche Raritäten sind für Hacker viel mehr als ein Hingucker, sie sind ein wahrer Door-Opener!
Aktualisierungen: Geduld wird belohnt
Lassen Sie sich nicht von Aufforderungen zu Aktualisierungen aus der Ruhe bringen, vertrauen Sie auf die Weisheit der Hacker: Eine Installation ist wie ein edler Wein. Er muss lange und in Ruhe lagern. Stören Sie den Reifungsprozess nicht mit Updates von Core (Kern), Themes (Oberflächen) und Plugins (Funktionserweiterungen). Nur dann können „Überraschungsgäste“ Ihre Installation so richtig genießen.
Pro-Hacker-Tipp: Verzichten Sie aus Prinzip auf Updates aller Art.
Backups: Einmal und nie wieder
Sie nehmen den Eindringlingen in Ihr CMS das Erfolgserlebnis, wenn Sie eine kompromittierte Website einfach löschen und ganz locker wieder aufspielen. Legen Sie deshalb keine Sicherungskopien an und machen Sie sich auch nicht unnötig Gedanken um Details wie Regelmäßigkeit, Vollständigkeit und Ablageort Ihrer Backups.
Halten Sie es wie die meisten: Sichern Sie einmalig irgendwelche Dateien und Datenbanken und lassen Sie die Sache dann auf sich beruhen. Um Hacker nicht zu frustrieren: Installieren Sie kein Plugin, das Ihre gesamte Installation regelmäßig und automatisch sichert.
Pro-Hacker-Tipp: Nur weil die Feuerwehr bestimmte Szenarien übt, müssen Sie das nicht auch tun. Warten Sie lieber, bis ein Katastrophenfall in seiner gesamten Wucht eingetreten ist. Bestimmt haben Sie dann immer noch genug Zeit und Muse, um Ihre Website aus den Bruchstücken wieder so aufzusetzen, wie sie war.
Wissen: Weniger ist mehr
Sie lesen ja immer noch diesen Beitrag? Bitte beachten Sie: Der Erwerb von Wissen gefährdet den natürlichen Lebensraum der Hacker!
Pro-Hacker-Tipp: Sie verwenden WordPress, WooCommerce oder beides? Dann halten Sie sich unbedingt von Treffen fern, an denen sich Entwickler und Anwender austauschen, mit Details um sich werfen und auch noch Sicherheitstipps geben. Absolut tabu sind diese regelmäßigen und kostenlosen Veranstaltungen der WordPress-Community:
- WordPress-Meetups – Übersicht aller deutschsprachigen Meetups zu WordPress, lokal und online
- WooCommerce-Online-Meetup – zweimonatiges deutschsprachiges Meetup zu WooCommerce
- WP Sofa – Podcast zu WordPress
So helfen Sie den Hackern – Zusammenfassung und Fazit
Nicht wenige, die eine Website oder einen Onlineshop betreiben, entdecken das Thema Datensicherheit zu spät, nämlich nach einem erfolgreichen Angriff oder einem Datenverlust.
Wer ruhig schlafen möchte, sollte die Abwehr von Hackern dauerhaft auf dem Schirm haben, Dateien und Datenbank regelmäßig sichern, und auch die Wiederherstellung einer Installation in der Praxis durchgeführt haben. Solide Informationen zu Sicherheitsfragen und anderen Themen bietet die WordPress-Community.
Titelmotiv: Pixabay
- Zwölf Tipps für den erfolgreichen WordPress Blog - 14. November 2024
- 24 Tipps für das WordPress Standardtheme Twenty Twenty-Four - 11. September 2024
- Bitte nicht nachmachen: 14 Methoden, mit denen Sie Ihre WordPress-Seite den Hackern zum Fraß vorwerfen - 21. März 2024