Sicherheit für Websites und Server

Muss für meine Website wirklich so viel Aufwand bei der Sicherheit betrieben werden? Leider ja, sehen Sie z.B. das Tagesschau-Thema Hacker

Vor Jahren fand einer meiner wichtigsten Kunden zu mir – weil sein Server gehackt war. Er hatte mehrere WordPress-Websites betrieben, ohne die nötigen Sicherheitsmassnahmen zu treffen. Seitdem verwalte ich für ihn mehrere Server und diverse WordPress-Websites – ohne dass jemals ein Hacker durchgekommen wäre. In jüngster Zeit, bei einem anderen Kunden, habe ich den Server betreut aber ohne Auftrag die bestehende WordPress-Website zu schützen. Als ich dann doch ein Sicherheitsplugin installieren konnte, hatte es prompt eine ganz böse Hackerdatei auf der Website gefunden – upps…

Geld zu sparen an Sicherheitsmassnahmen geht also meist nach hinten los – die Kosten für die Säuberung einer Website bzw. eines ganzen Servers übertreffen die Kosten adäquater Vorkehrungen um ein mehrfaches. Im Folgenden mehr zu dem was ich für die Sicherheit Ihrer Website sowie die Datensicherheit Ihrer Besucher mache.

Für Websites

WordPress

Seine Beliebtheit macht WordPress zur Zielscheibe zahlloser Angriffe. Zum Glück gibt es viele Plugins für WordPress, die auf diverser Art und Weise für mehr Sicherheit gegen Angriffe sorgen. Ich bin Anfang 2021 von meiner bisherigen Sicherheitsplugins abgerückt, ich habe mich nun für das Plugin WP Cerber entschieden. ES ist eine professionelle und umfassende Lösung – es hält Angreifer vor die Tür (Web Application Firewall), prüft die Integrität aller Dateien auf der Festplatte (keine verändert, keine zusätzliche) – und es leistet Anti-Spam für alle Formulare der Website. Ich bin begeistert – und empfehle Ihnen wärmstens die Pro-Version, die noch besser schützt als die Gratis-Version.

WP Statistics oder Matomo statt Google Analytics

Psst - Datensicherheit! - Zeichnung von Gabriele Meischner

Psst – Datensicherheit! Zeichnung: Gabriele Meischner

Wer seine Website durch Analyse des Besucherverhaltens optimieren will, braucht dafür eine Webanalytik-Software, die sämtliche Seitenaubrufe protokolliert und auswertet. So erfahren Sie welche Suchbegriffe zu Ihrer Website geführt haben, welche Seiten wie oft besucht wurden, Verweildauer der Besuche, u.v.a.m. Häufig wird hierzu Google Analytics (GA) oder neuerdings Google Tag Manager (GTM) eingesetzt – weil es gute Informationen liefert, bekannt ist und wenig Mühe macht. Bei GA / GTM erfolgt im Hintergrund eines jeden Seitenabrufs jedoch die Übermittelung entsprechender Daten an Google, die auf dessen Server aufbewahrt werden. Da Google aufgerufen wird, kann Google auch ein Cookie im Browser des Besuchers setzen bzw. ergänzen – und somit das Surfverhalten von nichtsahnenden Nutzern über verschiedene Website-Besuche hinweg verfolgen. So entstehen Profile für personalisierte Werbung oder gar Meinungsmanipulation!

Für WordPress gibt es Plugins, die direkt auf der eigenen Website statistiken über Besuche sammeln, und ihre Daten in der WordPress-Datenbank speichern. Dabei gehen keine Daten an eine Drittpartei. Für die meisten Website-Betreiber reicht das einfache, schlanke und kostenlose Plugin WP Statistics, das eine gute Übersicht direkt im Dashboard von WordPress bringt, sowie mehrere andere Auswertungen.

Wer die Mercedes-Version will, ist mit dem Matomo-Plugin für WordPress gut beraten. Früher als Piwik bekannt, gab es das Open-Source Programm Matomo ursprunglich nur als freistehende Software. Die Features von Matomo können sich durchaus mit GA / GTM messen. Aber Vorsicht: Matomo ist wirklich auf Profi-Niveau, und dafür speichert es eine unglaubliche Menge Daten in der WordPress-Datenbank. Ein Kunde von mir hat Matomo im Einsatz und ist davon begeistert, es gibt aber so viele Tabellen von Matomo in der Datenbank dass ich sie nicht mehr zählen wollte. Im Vergleich: Wp Statistics kommt mit nur 6 Tabellen aus.

Für die IT-Infrastruktur

Ausrichtung: Die meisten kommerziellen Produkte leiten Kundendaten an den Hersteller zurück – persönliche Daten sind das neue Gold. Ich meide deshalb solche Produkte, wann immer es geht. Und ich umgehe kommerzielle Cloud-Lösung – was in den AGBs der Betreiber steht, ist das eine; ob NSA & Co. doch auf die Daten zugreifen, das andere… Besser ist Open Source Software. Hier sind garantiert keine unsauberen Praktiken eingebaut, weil der Programmcode ja offen steht. Zudem entsteht mit Open Source Produkten keine Bindung an einen kommerziellen Hersteller – und sie kosten nichts!

E-Mail Konten und Groupware

  • Betrieb auf einem eigenen, gut abgesichertem Server
  • Zeitnahes Einspielen sicherheitsrelevanten Updates
  • Datenübertragung vom und zum Server ausschließlich verschlüsselt
  • Ein komplettes Backup aller veränderlichen Daten jede Nacht

Server-Sicherheit

Die von mir verwalteten Server setzen die Verwaltungssoftware Plesk ein; sie bietet beachtliche Möglichkeiten:

  • Starke Passwörter erzwingen, FTP-Zugang nur mit gesicherter Übertragung
  • Klasse 2 Sicherheitszertifikate wo immer nötig, auch mit Wildcard-Subdomains
  • Automatische Erkennung und Ablehnung von Angriffen auf Basis der genutzten IP-Adressen – siehe Plesk: Fail2Ban Jails für Nginx.
  • E-Mail Schutz: Verschlüsselter Zugang zu den Mailboxen erzwingen, Dr. Web Antivirus, Spam-Erkennung durch SpamAssassin
  • Schutz des Servers gegen Mißbrauch als Spam-Versender durch Überwachung der Anzahl ausgehender E-Mails
  • Sicherung veränderlicher Daten (inkl. Mailboxen) jede Nacht, Aufhebung auf einer Storagebox für 7 Wochentagen + 3 Wochen + 3 Quartale
  • Weitere Massnahmen, die ich hier nicht verraten möchte – aus Sicherheitsgründen