7-Tipps zum Schutz Ihrer Website vor Hacking-Angriffen

Artikel geschrieben von:
  • Featured Articles
  • Aktualisiert: Mai 06, 2019

Im Web geht es nicht nur ums Geschäft. Jeden Tag werden Milliarden von Seiten und Blogeinträge geschriebenJede Sekunde von kleinen Website-Inhabern und Bloggern, die ihre Ansichten mit der Welt teilen möchten. Das ist der Reiz des Webs: Es bietet Platz für alle und für jede Art von Projekt.

Endlose Möglichkeiten.

Aber das Internet ist auch ein wilder Dschungel: Es versteckt Gefahren an jeder Ecke und nichts, was Sie nutzen, ist sogar nur einer narrensicheren Magie nahe. Insbesondere wenn Sie ein Unternehmen ohne Erwerbszweck oder ein Einzelunternehmen im Online-Geschäft betreiben, ist Ihnen klar, dass das Verschieben aller Transaktionen ins Internet zu einer besonderen Vorsicht bei Ihren Dienstleistungen führen kann.

Sicherheit ist ein wirklich wichtiger Aspekt, den Sie bei der Planung Ihrer Website berücksichtigen sollten: Wie kann ich meine Inhalte und harte Arbeit gegen Angreifer schützen? Wie kann ich die bestmögliche Benutzererfahrung bieten? Diese Fragen sollten Sie sich jedes Mal stellen, wenn Sie Ihre Website aktualisieren.

Warum dieser Artikel und warum 7-Tipps?

Das Sichern Ihrer Website auf einfache, n00b-artige Weise kann utopischer als die Realität sein. Dies bedeutet jedoch nicht, dass jemand, der kein Programmierer oder Informatiker ist, seiner Website keine zusätzliche Sicherheit hinzufügen kann. Ich habe sieben Tipps ausgewählt, die sowohl einfach anzuwenden als auch gründlich genug sind, um Ihre Neugier auf Sicherheitsfragen zu wecken, sodass SIE - langsam, aber unerbittlich - Ihr eigener Web-Sicherheitsexperte werden. Alle Tipps beziehen sich speziell auf das Hacken von Websites. Außerdem stelle ich Techniken vor, mit denen Sie Ihre Website auf Sicherheitslücken testen können. Machen Sie sich keine Sorgen: Es ist nicht allzu schwer, dies zu tun, aber es ist wichtig, dass Sie sich mit den einfachen Werkzeugen und Techniken vertraut machen, die Angriffe abwehren können, um Ihrer Projekte willen. :)

Viel Spaß!

Tipp #1 - Verbringen Sie ein wenig mehr Kraft für Ihre Passwörter

Die größte Sicherheitslücke im Internet ist die Verwendung des gleichen Passworts auf mehreren Websites oder Webservices. Ein Hacker, der ein Passwort herausfindet, hat alle Ihre Passwörter herausgefunden und hat einfachen Zugriff auf alle Ihre Daten, egal ob es sich um Ihr Blog oder Ihr PayPal-Konto handelt. Eine Liste Ihrer Kennwörter auf Papier oder in einer Datei zu führen, ist ebenfalls keine sichere Alternative (es sei denn, Sie schützen Ihre Dateien mit einem Kennwort), da jemand, der Ihren Computer hackt, einfachen Zugriff auf Ihre Datenbank erhält.

Was aber, wenn Sie kein anständiges Passwort erhalten können?

  1. Anwendung ein starker Passwortgenerator um ein schwer zu knackendes Passwort zu generieren, einschließlich alphanumerischer und alternativer Symbole. Je zufälliger oder pseudozufälliger eine Zeichenfolge ist (dh die Zeichen des Kennworts haben keinen internen Speicher, sie hängen nicht miteinander zusammen, sodass jedes Zeichen die gleichen Chancen hat, nach dem anderen zu kommen), desto sicherer ist es.
  2. Anwendung Password Safe um alle Ihre Passwörter zu speichern und zu verschlüsseln, die Sie durch das Speichern einer Passphrase entsperren können. Das Programm verwendet die Twofish-Algorithmus zum Verschlüsseln aller Passwörter Password Safe ist ein von Bruce Schneier entwickeltes Open-Source-Projekt für Windows. Wenn Sie Windows nicht verwenden, Passwort Gorilla ist eine gültige Open-Source-Alternative zu Password Safe.

Hier ist eine Vorderansicht von Password Safe mit einer Datenbank namens "Websites":

Passwortsichere Programmansicht

Hier sind die Details einer Datei in der Datenbank "Websites":

Passwortsichere Dateiansicht

Tipp #2 - Passen Sie gut auf Ihre Skripte auf

Es ist allgemein bekannt, dass Website-Skripte und CMS-Plattformen die Hauptursache für Hacking-Angriffe sind. Wenn Sie Skripte hosten, die in PHP, ASP und JavaScript geschrieben wurden, wissen Sie, dass sie möglicherweise Sicherheitslücken und Fehler aufweisen, die ihre Entwickler möglicherweise übersehen haben. Abgesehen von der sofortigen Kontaktaufnahme mit dem Entwickler, nachdem eines der oben genannten Probleme festgestellt wurde, gibt es nichttechnische Methoden, mit denen Sie sicherstellen können, dass Ihre Skripte Ihnen keinen Schaden zufügen:

  • Lesen Sie das Versionsdokument Ihres Skripts sorgfältig durch: Es enthält häufig Details zu Patches und Fehlerkorrekturen
  • Listen Sie die Warnungen Ihres Software-Installers oder Administrations-Panels oder sogar von Google (über Webmaster-Tools) auf: Wenn Sie eine Datei aktualisieren oder bearbeiten / entfernen müssen, tun Sie dies
  • Installieren Sie nicht jedes vorhandene Plugin: Überprüfen Sie zuerst die Kompatibilität und die Sicherheitshinweise.

Halten Sie außerdem - und das ist vielleicht der wichtigste Faktor - Ihre Skripte und CMS immer auf dem neuesten Stand. Das neueste Paket einer Software enthält normalerweise Patches für die Fehler und Sicherheitsprobleme der Vorgängerversion.

Beispiel: WordPress-Upgrade-Warnung von Softaculous

Softaculous Upgrade-Warnung

Tipp #3 - Regelmäßige Ordner- und Administrationskontrollen durchführen

Manchmal dringen Hacker leise und hinterhältig in Ihre Website ein, aber sie hinterlassen Katastrophen: Website-Parodien, Mediendateien mit Viren, ausführbaren Dateien und neu codierten Webseiten. Überprüfen Sie Ihre Ordner regelmäßig, mindestens jedoch alle zwei Wochen, um sicherzustellen, dass Ihre Dateien nicht beschädigt sind. Sollten Sie Dateien entdecken, die Sie nicht kennen, entfernen Sie diese sofort. Wenn dies nicht funktioniert, wenden Sie sich an Ihren Webhost und lassen Sie sich helfen (Dann brauchen Sie am meisten einen guten Webhost). In solchen Fällen:

  • Ändern Sie das Kennwort des Administrationsbereichs (und Ihren Benutzernamen, falls möglich).
  • Überprüfen Sie alle Dateien, um festzustellen, ob sie beschädigt sind
  • Wenn Sie ein Antivirus installiert haben, führen Sie es aus.

Tipp #4 - Sichere Authentifizierung

Web Security-Experten verwenden eine Vielzahl von Methoden, um die Systeme und Webtransaktionen, mit denen sie arbeiten, optimal zu schützen: Kryptografie mit öffentlichen Schlüsseln, Vertrauensketten, Signaturen, SSL und TSL (Transport Layer Security). Während Sie auf jeden Fall etwas über Kryptografie lernen sollten, ist es wichtig, dass Sie zunächst lernen, wie Sie einfache Multi-Faktor-Authentifizierungs-Tools verwenden, die von Experten für Sie bereitgestellt wurden:

Warum brauchst du Multi-Faktor-Authentifizierung? Es ist erforderlich, dass Sie Ihren Benutzernamen, Ihr Kennwort UND Ihr einmal verwendbares Token kennen, um Zugriff auf Ihre Inhalte zu erhalten. Andernfalls wird der Zugriff verweigert.

Wenn Sie können, finden Sie einen Experten, der Sie bei der Einführung in die Sicherheit im Web unterrichtet, oder verwenden Sie Online-Tutorials und -Kurse.

Tipp #5 - Vorsicht vor DDoS-Angriffen

Denial-of-Service-Angriffe Sie entwickeln sich schnell und gefährlich, zusammen mit Server-Hijacking und dem Ersatz Ihrer Dienste durch Spoof-Services.

Ein DDoS-Angriff zwingt den Server in einen Zustand, in dem seine normalen Dienste nicht funktionieren und das gesamte System für Endbenutzer nicht mehr verfügbar ist.

Was könnte einen DDoS-Angriff verursachen?

  • Eine offene Netzwerkkonfiguration
  • Fehlerhafte, nicht aktualisierte Anwendungen
  • Ungesicherte Serverkonfiguration
  • Keine Wartung und / oder Überwachung der Netzwerkaktivität

Informieren Sie Ihren ISP über diese Angriffsform und informieren Sie sich ebenfalls. Ihr Website-Host kann einen Server mit einer Liste alternativer DNS-Adressen konfigurieren. Wenn der Standard-DNS nicht verfügbar ist, funktioniert die gesamte Website weiterhin. Ein Hacker kann nur dann Erfolg haben, wenn er ALLE Server auf der Liste blockiert. Schwieriger Job, finden Sie nicht? Eine weitere Gegenmaßnahme kann die Filterung aller ankommenden Pakete mit ungewöhnlichen Timings und / oder von IP-Adressen mit hohem Risiko sein. Ihr Gastgeber sollte über Denial-of-Service-Angriffe Bescheid wissen, sprechen Sie also mit ihnen über die DDoS-Prävention.

Tipp #6 - Sicherer FTP-Zugriff mit SFTP

Nichts ändert sich für Sie, es funktioniert genauso wie normales FTP, aber SFTP oder Secure FTP bietet viele Vorteile, was die Sicherheit anbelangt:

  • Es verwendet SSH, um Daten und Befehle während der Dateiübertragung zu verschlüsseln
  • Es verwendet die öffentlichen Schlüssel des Client-Servers, um den Server bei der Verbindung zu validieren und sicherzustellen, dass es sich nicht um einen Intermediär handelt
  • Es macht es einem Hacker unmöglich, auf Ihren Netzwerkverkehr zu achten

Das Problem mit dem "normalen" FTP-Befehl ist, dass er nicht verschlüsselt ist: Alle Uploads und Downloads zum und vom Server werden als eindeutige Daten übertragen.

Für den Zugriff auf FTP über die Befehlszeile (wenn Sie ein Unix / Linux / Mac OS-Benutzer sind) können Sie verwenden

sftp [email geschützt]

oder laden Sie einfach ein kostenloses FTP-Programm herunter, das SFTP unterstützt, wie z FileZilla (Open Source).

Tipp #7 - Erfahren Sie mehr über die SQL-Injektion, um Ihre Site davor zu schützen

Hüten Sie sich vor dieser bösen Hacking-Methode, halten Sie Ihre Skripte auf dem neuesten Stand und wenden Sie sich sofort an den Skriptentwickler, wenn Sie auf eine Sicherheitslücke stoßen. So führen Sie einen einfachen Test durch:

  • Geben Sie den folgenden SQL-Code in Ihr Webformular ein (Benutzername und Kennwort):
    'ODER' t '=' t '; -
    was wird auf SQL-Ebene:
    SELECT * FROM Benutzer WHERE userid = 'admin' UND Passwort = '' ODER 't' = 't'; - '
  • Gibt es Ihren Datenbankinhalt zurück?

Der Code könnte funktionieren (ich sage 'might', weil Sie das Glück haben könnten, ein sehr sicheres Skript installiert zu haben), weil 't' = 't' eine mathematisch wahre Aussage ist, so dass die SQL-Anfrage immer ausgeführt wird. Ein erfahrener Hacker kann sehr ausgefeilte SQL-Anweisungen erstellen, um seine Ziele zu erreichen. Wenden Sie sich daher an den Skriptentwickler und lassen Sie sich helfen, wenn das von Ihnen verwendete Skript leicht angreifbar ist. Oder ändere das Skript.

BONUS Tipp #1 - Überprüfen Sie regelmäßig die Protokolle Ihres Administrationsbereichs

cPanel Logs-Abschnitt

Ihr Administrationsbereich (cPanel, Plesk usw.) verfügt über integrierte Tools für die Verkehrsanalyse, Zugriff und Sicherheitsprotokolle, die Sie mindestens einmal pro Woche im Auge behalten sollten.

Wenn Sie cPanel verwenden, empfehle ich Ihnen, Ihre Analoge Statistiken Werkzeug alle zwei Tage, da das Werkzeug detaillierte Berichte enthält:

  • HTTP-Anfragen
  • Monatliche / tägliche / stündliche Berichte über die Verkehrsaktivität
  • Referrer, Browser und Betriebssysteme, von denen Ihr Datenverkehr stammt

Log-Tools sind die ersten, die Sie untersuchen sollten, wenn Sie glauben, dass Ihre Website angegriffen wurde.

BONUS Tipp #2 - Zweiwöchentliche Sicherungen durchführen

Backup alle zwei Wochen oder jede Woche, wenn Sie können. Mit Plugins wie Supsystic und iThemes SicherheitSie können sogar jeden Tag oder alle drei Tage ein Backup durchführen. Es kommt darauf an, dass Sie ständig neue Kopien Ihres Inhalts herunterladen, die wiederhergestellt werden können, wenn auf dem Weg etwas Schlimmes passiert. Dieser Artikel zeigte Ihnen, welche Art von Angriffen Ihre Website durchlaufen könnte und wie Sie sie bekämpfen und verhindern können, aber Ihre stärkste Waffe ist die folgende: Sicherungskopie. Nur so können Sie Ihre Website in den ursprünglichen Zustand zurückversetzen, als könnte ein Hacker niemals seine schmutzigen Streiche spielen.

Zusammenfassung

Was müssen Sie also tun?

  1. Lernen. Wissen ist Macht! Erfahren Sie mehr über Kryptografie, DDoS und SQL Injection, Cross Site Scripting (XSS) und andere Arten von Angriffen. Alles und jedes, was Ihnen dabei helfen kann, einen vollständigen Überblick darüber zu bekommen, was passiert, wenn Ihre Website gehackt wird. Je mehr Sie wissen, desto mehr können Sie Gegenangriffe ausführen.
  2. Auf dem Laufenden bleiben. Mit Entdeckungen, Tools und Skripten-Upgrades. In diesem Artikel wurde betont, wie wichtig es ist, Ihre Site-Software zu aktualisieren und zu aktualisieren, um einen besseren Schutz vor Angreifern zu gewährleisten.
  3. Führen Sie regelmäßige Überprüfungen und Sicherungen durch. Wenn Sie ein Backup erstellen, können Sie es wiederherstellen!
  4. Melden. Wenn Sie keine Kontrolle mehr haben, melden Sie Probleme den Skriptentwicklern, den Behörden und Ihrem Host. Sie können tun, was Sie nicht können.

Sicherheits-Tricks aus dem Software-Engineering

Software Engineering ist ein charmantes Gebiet, das jeder gute Ingenieur und Informatiker lernen muss, um sich bei der Entwicklung von Software bewerben zu können. Aber wussten Sie, dass es auch umgekehrt funktioniert? Sie - der Benutzer - können mit Software-Engineering-Konzepten intelligente Entscheidungen unter den von Entwicklern angebotenen Websitesoftware treffen. Sie können:

  1. Verstehen Sie, dass ein Fehler zu schwerwiegendem Hackerangriff Ihrer Systeme und zu Datenverlust führen kann
  2. Lernen Sie die 4-Dimensionen der Zuverlässigkeit kennen und nutzen Sie sie zu Ihrem Vorteil: Verfügbarkeit, Zuverlässigkeit, Sicherheit und Sicherheit
  3. Identifizieren Sie alle möglichen Sicherheitsbedenken: Verlust sensibler / wichtiger Daten, Ausfall bestimmter Dienste, hohe Wiederherstellungskosten (Zeit, Geld).

Was sollten Sie sich vor der Installation und Verwendung eines Skripts fragen?

Zuverlässigkeit. Kann ich dieser Software vertrauen?

  • Verfügbarkeit Ist das Skript für mich leicht verfügbar? Ist der Entwickler ansprechbar, um Hilfe zu erhalten?
  • Zuverlässigkeit Funktioniert das Skript gut? Hat es Fehler oder gibt mir Probleme, wenn ich relevante Aktionen für meine Ziele durchführe?
  • Sicherheit Beeinflussen Fehlfunktionen und Fehler die Sicherheit und Leistung?
  • Security Hat die Software ein eingebautes Sicherheitsmodul? Kann ich etwas schaffen?
  • Reparaturfähigkeit Wenn etwas schief geht, kann ich es schaffen?
  • Wartbarkeit Kann ich diese Software selbst verwalten?
  • Survival - Überleben Funktioniert die Software weiterhin unter Angriffen? Kann ich mich von dem Angriff gut erholen?

Tabelle der Sicherheitsanfälligkeiten

  • Software Bugs; transparente Datenübertragung; Fehler; öffentliche Protokolle
  • Mensch Passwörter mit geringer Stärke; ungeschützte Verzeichnisse; Weitergabe sensibler Daten; Mangel an Systemwartung und Update / Upgrade

Über Luana Spinetti

Luana Spinetti ist eine freiberufliche Schriftstellerin und Künstlerin, die in Italien lebt und eine leidenschaftliche Informatik-Studentin ist. Sie hat ein Abitur in Psychologie und Pädagogik absolviert und einen 3-Jahreskurs in Comic-Buchkunst absolviert, an dem sie ihren Abschluss in 2008 machte. Als facettenreiche Person entwickelte sie ein großes Interesse an SEO / SEM und Web-Marketing mit einer besonderen Neigung zu Social Media. Sie arbeitet an drei Romanen in ihrer Muttersprache (Italienisch), die sie hofft bald veröffentlichen.