Web-Security

Sichere Firmen-Webseite erstellen

Webseiten Sicherheit erhöhen

In den letzten Jahren hat sich die Entwicklung von Webseiten rasend weiterentwickelt und viele Unternehmen sind auf Ihre dynamischen Webseiten angewiesen. Leider sind mit der Beliebtheit auch die Angriffe auf Webseiten exponentiell angestiegen und nicht selten wird Schadsoftware über Postfächer & Co. auf internen Netzwerken geschleust.

Auf dieser Seite zeige ich Ihnen die Grundlegenden Anforderungen an die Sicherheit Ihrer Webseite, um diese vor Hacker-Angriffen zu schützen und so zu verhindern, dass fremde Inhalte Ihre Webseite verunreinigen.

Webseiten sind schon lange keine statischen Gebilde mehr, die einmal erstellt, monate- oder jahrelang ausser acht gelassen werden können. Wie ein Auto oder Haus muss auch Ihre Webseite regelmässig gewartet und gepflegt werden.

Wenn Webseiten nicht gepflegt werden

Eine Webseite besteht aus Software und jede Software braucht Updates, sonst ist sie angreifbar. Jeder kennt die nervigen Updates, die immer zur falschen Zeit kommen, mit einem Klick auf „Später erinnern“ werden diese meist übersprungen. Doch schon einen Augenblick später, könnten Sie diese Entscheidung bereuen, denn die meisten Updates schliessen Sicherheitslücken. Noch vor wenigen Jahren wurden Webseiten statisch Erstellt, mit HTML&CSS und war nur mit grossen Aufwand änderbar. In der heutigen Zeit kommen Content-Management-Systeme wie WordPress, Joomla, Typo3, etc. immer mehr in Trend, weil die Suchmaschinen aktuelle Inhalte im Ranking bevorzugen.
Wenn Sie ein solches CMS nutzen, stellen Sie die „automatischen Aktualisierungen“ ein und prüfen hin und wieder die Logs, Ihrer Benutzerkonten.

Statische Websites speichern bereits gerenderte Inhalte, weshalb sie nicht auf eine Datenbank zugreifen, komplexe Skripte ausführen oder auf eine Laufzeit-Engine angewiesen sein müssen, wenn ein Benutzer eine Seite anfordert.

Das bedeutet klare Vorteile bei Ladezeiten und Sicherheit: Statische Webseiten sparen viel Serverzeit und haben weniger Schwachstellen. Das wiederum bedeutet, dass Suchmaschinen statische Webseiten besser bewerten als ihre dynamischen Äquivalente.

SEO-Experten wenden sich statischen Inhalten zu, wann immer sie können, um besser in einer Welt zu bestehen, in der ein Bruchteil einer Sekunde den Unterschied zwischen totalem Erfolg und völligem Misserfolg ausmachen kann. Die Bereitstellung statischer Inhalte ist zu einem Schlagwort unter Marketingstrategen geworden, und IT-Sicherheitsbeauftragte lieben es, dass sie einen weniger anfälligen Punkt haben, den sie im Auge behalten müssen.

Aber Vorsicht – sie sind nicht 100 % hacksicher. Wenn Sie also vorhaben, statische Inhalte auf Ihrer Website bereitzustellen, sollten Sie einige Best-Practices befolgen, um sie zu schützen.

Verwenden Sie TLS-Zertifikate

Ein SSL/TLS-Zertifikat ist ein Muss für alle Websites, da es dem Webserver ermöglicht, die Daten zu verschlüsseln, die er über das sichere HTTPS-Protokoll an den Webbrowser sendet. Wenn die Daten auf ihrer Reise abgefangen werden, sind sie auf diese Weise nicht lesbar, was zum Schutz der Privatsphäre der Benutzer und zur Sicherung der Website unerlässlich ist. Eine statische Website speichert keine persönlichen Daten ihrer Besucher, aber es ist wichtig, dass die von ihnen angeforderten Informationen nicht von unerwünschten Beobachtern gesehen werden können.

Die Verwendung von Verschlüsselung durch eine Webseite ist notwendig, um von den meisten Webbrowsern als sichere Webseite gekennzeichnet zu werden, und ist obligatorisch für Webseiten, die versuchen, die Datenschutz-Grundverordnung (DSGVO) der EU einzuhalten. Das Gesetz schreibt nicht ausdrücklich vor, dass ein SSL-Zertifikat verwendet werden sollte, aber es ist der einfachste Weg, um die Datenschutzanforderungen der Verordnung zu erfüllen.

In Bezug auf die Sicherheit ermöglicht das SSL-Zertifikat den Behörden, den Besitz einer Website zu überprüfen und Hacker daran zu hindern, gefälschte Versionen davon zu erstellen. Die Verwendung eines SSL-Zertifikats ermöglicht es dem Website-Besucher, die Authentizität des Herausgebers zu überprüfen und sicher zu sein, dass niemand seine Aktivitäten auf der Website ausspionieren kann.

Die gute Nachricht ist, dass das Zertifikat nicht viel kostet. Tatsächlich können Sie es KOSTENLOS von ZeroSSL erhalten oder ein Premium-Paket von SSL Store kaufen.

DDoS-Schutz bereitstellen

Distributed Denial of Service (DDoS)-Angriffe werden heutzutage immer häufiger. Bei dieser Art von Angriff wird eine Reihe verteilter Geräte verwendet, um einen Server mit einer Flut von Anfragen zu überfluten, bis er überfordert ist und sich einfach weigert zu arbeiten. Es spielt keine Rolle, ob Ihre Webseite statische Inhalte hat – ihr Webserver könnte leicht Opfer eines DDoS-Angriffs werden, wenn Sie nicht die erforderlichen Maßnahmen ergreifen.

Der einfachste Weg, DDoS-Schutz auf Ihrer Website zu implementieren, besteht darin, einen Sicherheitsdienstleister zu beauftragen, der sich um alle Cyber-Bedrohungen kümmert. Dieser Dienst bietet Angriffserkennung, antivirale Dienste, Schwachstellenscans und mehr, sodass Sie sich praktisch keine Gedanken über Bedrohungen machen müssen.

Eine solche umfassende Lösung könnte teuer sein, aber es gibt auch fokussiertere Lösungen mit geringeren Kosten, wie z. B. DDoS Protection as a Service (DPaaS). Sie sollten Ihren Hosting-Provider fragen, ob er einen solchen Service anbietet.

Günstigere Lösungen sind Cloud-basierte DDoS-Schutzdienste, wie sie beispielsweise von Akamai, Sucuri oder Cloudflare angeboten werden. Diese Dienste bieten eine frühzeitige Erkennung und Analyse von DDoS-Angriffen sowie das Filtern und Umleiten dieser Angriffe – d. h. das Umleiten des schädlichen Datenverkehrs von Ihrer Website weg.

Bei der Erwägung einer Anti-DDoS-Lösung sollten Sie auf deren Netzwerkkapazität achten: Dieser Parameter gibt an, wie viel Angriffsintensität der Schutz aushält.

Vermeiden Sie anfällige JavaScript-Bibliotheken

Selbst wenn Ihre Webseite statischen Inhalt hat, könnte sie JavaScript-Bibliotheken verwenden, die Sicherheitsrisiken mit sich bringen. Es wird allgemein angenommen, dass 20% dieser Bibliotheken eine Website anfälliger machen. Glücklicherweise können Sie den von Vulnerability DB bereitgestellten Dienst verwenden, um zu überprüfen, ob eine bestimmte Bibliothek sicher ist oder nicht. In seiner Datenbank finden Sie detaillierte Informationen und Anleitungen für viele bekannte Schwachstellen.

Neben der Überprüfung einer bestimmten Bibliothek auf Schwachstellen können Sie dieser Liste von Best-Practices für JavaScript-Bibliotheken folgen, die potenzielle Risiken beheben:

Verwenden Sie keine externen Bibliotheksserver. Speichern Sie die Bibliotheken stattdessen auf demselben Server, der Ihre Website hostet. Wenn Sie externe Bibliotheken verwenden müssen, vermeiden Sie die Verwendung von Bibliotheken von Servern auf der schwarzen Liste und überprüfen Sie regelmäßig die Sicherheit externer Server.

Verwenden Sie die Versionsverwaltung für JavaScript-Bibliotheken und stellen Sie sicher, dass Sie immer die neueste Version jeder Bibliothek verwenden. Wenn eine Versionsverwaltung keine Option ist, sollten Sie zumindest Versionen verwenden, die frei von bekannten Schwachstellen sind. Sie können „retire.js“ verwenden , um die Verwendung anfälliger Versionen zu erkennen.

Überprüfen Sie regelmäßig, ob Ihre Website externe Bibliotheken verwendet, von denen Sie nichts wissen. Auf diese Weise wissen Sie, ob ein Hacker Links zu unerwünschten Bibliotheksanbietern eingeschleust hat. Einschleusungsangriffe sind bei statischen Websites unwahrscheinlich, aber es schadet nicht, diese Überprüfung von Zeit zu Zeit durchzuführen.

Implementieren Sie eine Backup-Strategie

Eine statische Website sollte ihre Inhalte immer sicher sichern, wenn sie geändert werden. Die Backups müssen sicher gespeichert und leicht zugänglich sein, falls Sie Ihre Webseite im Falle eines Absturzes wiederherstellen müssen. Es gibt viele Möglichkeiten, Ihre statische Webseite zu sichern, aber im Allgemeinen können sie in manuell und automatisch kategorisiert werden.

Wenn sich der Inhalt Ihrer Webseite nicht sehr häufig ändert, kann eine manuelle Backup-Strategie angemessen sein – Sie müssen nur daran denken, jedes Mal, wenn Sie eine Änderung am Inhalt vornehmen, ein neues Backup zu erstellen. Wenn Sie ein Control Panel zur Verwaltung Ihres Hosting-Kontos haben, ist es sehr wahrscheinlich, dass Sie in diesem Control Panel eine Option zum Erstellen von Backups finden. Wenn nicht, können Sie jederzeit einen FTP-Client verwenden, um alle Website-Inhalte auf ein lokales Gerät herunterzuladen, wo Sie sie sicher aufbewahren und bei Bedarf wiederherstellen können. Empfehlen kann ich Ihnen One.com

Natürlich ist die automatische Backup-Option vorzuziehen, wenn Sie Ihre Website-Verwaltungsaufgaben auf ein Minimum beschränken möchten. Automatische Backups werden jedoch normalerweise von Hosting-Providern als Premium-Funktionen angeboten, was die Gesamtkosten für die Sicherung Ihrer Website erhöht.

Sie können die Verwendung von Cloud-Objektspeicher für die Sicherung in Betracht ziehen.

Setzen Sie eine Richtlinie für starke Kennwörter durch

Da eine statische Webseite weder über eine Datenbank noch über ein verwaltetes Inhaltssystem verfügt, müssen weniger Benutzernamen und Kennwörter verwaltet werden. Aber Sie müssen immer noch eine Passwortrichtlinie für die Hosting- oder FTP-Konten durchsetzen, die Sie zum Aktualisieren des statischen Inhalts verwenden.

Zu den bewährten Verfahren für Passwörter gehören unter anderem:

  • Ändern Sie sie regelmäßig
  • Festlegen einer Mindestpasswortlänge.
  • Verwendung von Kombinationen aus Groß-/Kleinbuchstaben zusammen mit Sonderzeichen und Zahlen
  • Vermeiden Sie es, sie per E-Mail oder Textnachrichten zu kommunizieren.

Außerdem muss das Standardkennwort für Administratorkonten von Anfang an geändert werden – dies ist ein häufiger Fehler, den Hacker leicht ausnutzen können. Haben Sie keine Angst, Ihr Passwort zu verlieren; Verwenden Sie einen Passwort-Manager , um sie sicher zu verwalten.

Lassen Sie uns statisch werden

Vor ein paar Jahren waren dynamische Inhalte der Weg der Wahl: Alles konnte einfach geändert und aktualisiert werden, was eine komplette Neugestaltung der Website innerhalb von Sekunden ermöglichte. Aber dann wurde Geschwindigkeit zur obersten Priorität, und statische Inhalte wurden plötzlich wieder cool.

In diesem Sinne sollten alle Website-Sicherheitspraktiken neu bewertet werden – es gibt sicherlich weniger Aspekte zu berücksichtigen, aber Sie sollten sich dabei nicht ganz entspannen. Diese Liste mit Best-Practices wird Ihnen sicherlich dabei helfen, Ihre eigene Checkliste zu erstellen, um Ihre statische Website sicher und gesund zu halten.