Keine komplizierte Sache

Um die "Credibility" der Webseite hoch zu halten, ist auch Sicherheit ein wichtiges Thema. Und dabei kann man einige Dinge sehr einfach tun, die die Sicherheit erhöhen - und wenn Sie selbst es nicht tun können, kann Ihnen vielleicht Ihre Webseiten-Agentur helfen.

Mehr Sicherheit für die Webseite

Ein paar Maßnahmen, die man setzen kann, um die Sicherheit einer Webseite zu erhöhen. Diese sind meistens gar nicht so unkompliziert, wie sich das zunächst vermuten lässt. Und manche davon werden Ihnen geläufig sein.

Bevor wir jetzt zu den normalen Tipps kommen, gleich eines vorweg: Das Zugangspasswort für Ihr CMS sollte ein paar grundsätzlichen Kriterien folgen: Achten Sie darauf, dass es eindeutig ist, dass das Passwort nicht auch anderswo im Web von Ihnen verwendet wird, vor allem nicht auf irgendwelchen Social Networks oder Online-Shops. Vermeiden Sie die typischen Fehler wie den eigenen Vornamen, das Geburtsdatum des Ehepartners etc... machen Sie eine Kombinaition und erstellen Sie ein komplexes Passwort und dann machen Sie es auch noch eindeutig.

Social Engineering...

Eine der am weitesten verbreiteten Methode Ihr Passwort zu knacken ist "Social Engineering". Kurz gesagt bedeutet das - in allen verschiedenen Facetten - dass der Angreifer Sie letztendlich einfach nach Ihrem Passwort fragt. Ob er sich am Telefon als jemand aus der IT-Abteilung ausgegibt oder raffinierter vorgeht und Sie mehrmals über längeren Zeitraum hinweg mit scheinbar harmlosen Themen konfrontiert. Es funktioniert wie der berühmte Enkel-Trick bei Tickbetrügern.

Am besten Sie geben überhaupt nie ein Passwort weiter. Aber sollte das unbedingt nötig sein, dann nur an jemanden, dem Sie absolut vertrauen und der zumindest in einem Vertragsverhältnis zu Ihnen steht. Und: Sie kontaktieren diese Person aktiv, niemals dann, wenn Sie kontaktiert wurden.

Technische Tests...

Wenn Sie sich Ihren Webserver ansehen und sich von der Webseiten-Agentur eine kleine Auswertung beispielsweise über Seitenaufrufe, die zu keinem Ergebnis geführt haben - also sogenannte Error 404-Protokolle - ansehen, werden Sie auch schon schlauer sein. Wir haben das getan und waren beim ersten Mal fasziniert, was sich dort abspielt.

Übrigens: Das ausliefern einer 404-Seite ist meistens bei Content-Management-Systemen auch eine Frage der Belastung. Denn die typischen 404-Seiten, die eigentlich gemacht werden um User bei der Stange zu halten, die sich auf einen alten Link verirrt haben, erzeugen Datenbankabfragen, meistens relativ viel Traffic und dergleichen mehr. Wenn Sie solche technischen "Angriffs-Vorbereitungsversuche" bemerken sollten, sollten Sie diese abfagen. Mit einer Weiterleitung auf eine simple HTML-Seite mit einer Zeile Text, die den Server praktisch nicht belastet, können Sie hier oft viel erreichen. Diese Weiterleitungen werden als Redirect 301 hinterlegt - fragen Sie Ihre Webseiten-Agentur danach, wenn Sie das nicht selbst im System machen können.

Thema fertiglesen...

Credibility und Sicherheit

Sicherheit im Netz auf Ihrem Webserver

(c) Agence Olloweb on Unsplash

Server-Sicherheit

Wenn in Ihren Server der Webseite eingebrochen wird, macht sich das auf ganz unterschiedliche Art bemerkbar. Was Sie als Nicht-Server-Techniker tun können und was passiert, erzählen wir Ihnen in diesem Artikel.

Sicherheit am Server

Tipps für Mehr sicherheit

(c) videomar.at

Vertrauenswürdig im Web

Konkrete Tipps, einfach zu befolgen, die Sie schon mal anwenden können, damit die Sicherheit Ihrer Webseite erhöht ist. Für die echten Experten ist das natürlich zu wenig detailliert, aber es hilft dem Webseiten-Betreiber.

Tipps

Versucht da jemand wp-login.php?

Mindestens 20 mal am Tag kommt irgendein Robot vorbei und versucht unsere Seite mit dem Anhang "wp-login.php" zu öffnen Die einfachste und wohl billigste Methode um schnell eine Übersicht zu haben auf welchen Webseiten das CMS Wordpress läuft. (Danach wird dann vesucht eventuell entdeckte Sicherheitslücken genau dort anzuwenden.) Bei uns führt das zum Fehler 404 ("Seite nicht gefunden"). Bei zu vielen Webseiten führt es zum Erfolg.

Tipp: Veranlassen Sie, dass Ihr Content-Management-System nicht unter den üblichen Adressen von außen erreichbar ist. Entweder es ist IP gesperrt und die Loginmaske lässt sich nur sehen, wenn Sie aus Ihrem Unternehmensnetzwerk aufgerufen wird, oder die Login-Maske wird irgendwohin verlegt, wo sie nicht standardmässig ist. So etwas wie Firmenabkürzung + "cms.php" kann dafür schon genügen. Also beispielsweise "meinefirma-cms.php" statt "wp-login.php".

Weitere Seiten, die gerne probiert werden, die wir bisher finden konnten in den 404-Logs unserer eigenen Webauftritte:

  • /wp-login.php
  • /admin/login.php
  • /axis2-admin/login?userName=admin&password=axis2
  • /administrator/index.php
  • /admin.php
  • /phpMyAdmin
  • /tools/admin.php
  • /de/admin.php
  • /user
  • /users
  • /user.php
  • /user/login

Sorgen Sie im Idealfall also dafür, dass Ihr CMS nicht unter diesen Adressen mit Ihrer Domain davor zu finden ist. Die erste Maßnahme nicht Opfer eines Angriffes zu werden ist schließlich dafür zu sorgen, dass der Angreifer gar nicht weiß, welches System Sie verwenden. Denn dann kann er auch nur sehr mühsam versuchen ein Sicherheitsleck zu entdecken.

Startseite Inhaltsverzeichnis

Links zu digitalen Angeboten

Einladungsmanagement und Gästelistenmanagement
Einladungsmanagement

Einladungsmanagement und Gästelisten verwalten auf ganz einfache Art und Weise mit einem professionellen Tool. Keine Software muss installiert werden, einzig und allein ein Webbrowser genügt.

Einladungsmanagement

Brillen, Kontaktlinsen, Augenlaser-Technik
Sehen oder nicht sehen?

Augenkrankheiten, Brillen, Kontaktlinsen und auch Augenlaser-Technik, diesen Themen widmet sich die Online-Präsenz DER DURCHBLICK. Hier geht es auch um Barrierefreiheit von Webseiten im Netz.

Der Durchblick