Website Sicherheit – WordPress vor Bots & Malware Angriffen schützen

Website Sicherheit - WordPress, Bots & Malware

Diese Gegenden gibt es überall auf der Welt. Sie steigen aus dem Flugzeug, dem Bus, der Bahn oder dem Auto. Sofort bedrängt Sie jemand, versucht jemand, Sie übers Ohr zu hauen, zu bestehlen, zu erschießen oder zu verhaften. Mit Sicherheit nicht nur in Deutschland oder Österreich. Das Internet ist auch so eine Gegend.

Sobald Ihre Website online ist, greifen Bots sie bereits an. Ihre WordPress-Homepage ist bereits Ziel von Malware Angriffen, wenn Sie noch im geschlossenen Wartungsmodus ist. Im öffentlichen Publikumsbetrieb droht zusätzlich zu den automatisierten Attacken noch Gefahr durch Menschen und Gesetzgeber. Im Grunde genommen müssen Sie Ihr digitales Vermögen rund um die Uhr effizient schützen, um Kunden und Einnahmen nicht zu verlieren, die Ihre Website hoffentlich generiert. Augen zu und durch ist in unserer Zeit definitiv kein gutes Vorgehen.

Welche Malware Formen bedrohen die Sicherheit meiner Webseiten?

Der Begriff Malware bezeichnet allgemein schädliche Software oder Schadprogramme, die dazu geschaffen sind, auf einem befallenen System böse Dinge anzustellen. Computerviren sind die bekannteste Form. Trojaner, eine vermeintlich nützliche Software mit versteckten schädlichen Funktionen, sind inzwischen die häufigste Form. Ransomware (blockiert den Zugriff auf den Rechner, verschlüsselt Daten, fordert Lösegeld in Kryptowährung) oder Keylogger (zeichnen Tastatureingaben wie etwa Passwörter und Kreditkarten auf) sind besondere Gefahren für Ihren Desktop PC oder Mac. Jede App am Smartphone oder Tablet kann in diesen Tagen Ihre Sicherheit gefährden.

Bei Ihrem Internetauftritt geht es bei der Absicherung, unter anderem durch einen Malware Scanner, besonders um folgende Spielarten:

  • Spyware, die Ihre Daten oder die Ihrer Kunden ausliest und damit Unbefugtes oder Schädliches macht.
  • Backdoor Programme, die anderen Malware Varianten oder Bots das Umgehen Ihrer Sicherheitseinrichtungen ermöglichen. Dadurch kann Ihr Server plötzlich zu einer Spam-Schleuder oder selbst zu einem Bot-Angreifer werden, ohne dass Sie das merken. Bis sich jemand beschwert oder Ihr Server automatisch in viele Blocklisten im Internet eingetragen wird. In der Praxis ist es sehr schwer und mühsam, aus einem Blacklisting wieder heraus zu kommen.
  • Cryptocurrency mining: Miner Programme nutzen die Rechenleistung Ihres Servers, um Kryptowährungen zu schürfen. Das Kryptogeld landet selbstverständlich nicht in Ihrem Blockchain Wallet. Dafür geht Ihr Webserver komplett in die Knie.

Welche Bots sind mit ihren Angriffen eine Gefahr für die Sicherheit meiner Website?

Bots sind automatisierte Programme, die von außen irgendetwas tun wollen, das unter der IP-Adresse Ihres Webservers oder Ihrem Domänennamen möglicherweise ausführbar oder ablesbar ist. Bots sind entweder gutartig, ambivalent oder bösartig. Ein Beispiel für gutartige Bots sind Systeme zum Monitoring. Vielleicht verwenden Sie eine App, die Ihnen überall auf der Welt anzeigt, ob es Ihrem Internetauftritt im Allgemeinen und im Speziellen gut geht. Und ob dies unterbrechungsfrei auch in der Vergangenheit so war.

Crawler Bots von Suchmaschinen wie Google, Bing, Yandex, Qwant oder DuckDuckGo

Grundsätzlich gutartig sind Suchmaschinen Bots. Es sei denn, Sie crawlen mehr oder schneller, als Ihr Server verträgt. Dann haben Sie als Firma oder Unternehmer aber das falsche Hosting. Möglicherweise haben Sie auch eine Designwüste ins Shared-Hosting mit lächerlichem Hauptspeicher gestellt, aber dafür kann der Suchmaschinen Bot nichts. Er kann auch nichts dafür, wenn Sie Webseiten nicht von Suchmaschinen ausschließen, die Sie nicht im Index haben möchten.

Crawler Bots von Anbietern für SEO-Statistiken aller Art

Ambivalent zu betrachten sind die zahlreichen SEO-Bots. Sie werten regelmäßig alles aus, was Anbieter von SEO-Statistiken anbieten möchten und Suchmaschinenoptimierer gerne wissen wollen. Das ist inhaltlich eine Menge. Entsprechend penetrant besuchen sie ihre Website. Als Firma oder Unternehmer sollten Sie daher nur SEO-Bots auf Ihre Webseiten lassen, deren Dienstanbieter Sie selbst nutzen. Beispielsweise kommen bei Ihnen früher oder später regelmäßig die Crawler Bots von Ahrefs, SEMrush, MOZ, Xovi, OpenLinkProfiler, Lipperhey, Sistrix, Majestic usw. vorbei. Es reicht, wenn Sie nur jene zulassen, deren Ergebnisse Sie selbst kostenfrei oder kostenpflichtig nutzen. Alle andere verkaufen Ihre Performance-Daten an Ihre Mitbewerber auf Kosten Ihrer Server-Auslastung.

Schädliche Bots und Ihre Wirkungsweise mit Relevanz auf die Sicherheit

Wie bedrohen Bots Ihre Website?

  • Kontrolle übernehmen: Administrator-Konto hacken und die Steuerung über den Server, seine Komponenten oder WordPress übernehmen.
  • Identität übernehmen: Benutzerkonten knacken und in Ihrem Namen handeln. Zum Beispiel Zahlungen vornehmen, Spam E-Mails versenden, Spam-Kommentare schreiben.
  • Datendiebstahl: Eindringen und Diebstahl von Daten aller Art (Kundendaten, Sicherheitsdaten, Nutzungsdaten, Adressdaten, Kreditkarten-Informationen).
  • Verfügbarkeitsattacken: Durch permanente Aufrufe beziehungsweise Angriffe Ihre Website lahmlegen.
  • Malware Attacken: Bots versuchen, schädlichen Code auf Ihrer Website auszuführen. Dazu zählt auch und vor allem unabsichtlich schädlicher Code aus Sicherheitslücken in WordPress, dem verwendeten Theme und in installierten aktivierten sowie deaktivierten Plug-ins.
  • Daten sammeln: Harvester Bots sammeln Ihre E-Mail-Adressen und Telefonnummern, um Spam zu versenden oder betrügerische Anrufe zu tätigen. Verschlüsseln Sie daher als Firma oder Unternehmer diese Daten immer beim Veröffentlichen auf Ihrer Website.

Wo greifen Bots Ihre Website an?

  • Auf Ebene des Server-Betriebssystems (besonders: SSH Port und jeder andere Port zum Zugriff über Fernsteuerung)
  • Webserver (Apache), Mailserver (Postfix, Dovecot, Webmail und andere), FTP Server, Datenbank-Server (mySQL, SQL Server) und andere möglicherweise geöffnete Server-Komponenten (Samba)
  • Administrationspanel für das Hosting Ihrer Webseiten (Plesk, cPanel, WHM, Webmin und andere)
  • WordPress an allen Ecken und Enden

Absicherung und Schutz mit einer Firewall am Server

Wenn Sie als Firma oder Unternehmer ein teures Billighosting bestellen, gibt es womöglich gar keine Firewall, die Sie zum Schutz der wichtigsten Angriffe konfigurieren und pflegen können. In solchen Fällen ist Ihre Sicherheit leider davon abhängig, wie sehr Ihr Hosting-Anbieter Sie wenigstens vor den schlimmsten Angriffen schützt. Immer noch bewerben Hosting-Anbieter freudig einen vollwertigen SSH-Zugang zu deren Shared / Managed Hosting Paketen. Nützen können diesen Zugang über Port 22 ohnehin lediglich Leute, die absolut versiert sind mit Linux und Befehlen von der Kommandozeile. Andererseits wird er von Bots massiv beschossen, sobald Ihre IP-Adresse online ist. Es ist die erste Tür zu Ihrer Website, die bombenfest geschlossen oder nur für den Zugang über die eigene IP-Adresse geöffnet bleiben sollte.

Betreiben Sie als Unternehmer oder Firma Ihre Website auf angemessen professionelle Weise, haben Sie mindestens einen eigenen Cloudserver mit Administrationspanel gebucht. Bevor Sie alle weiteren Dienste inklusive WordPress-Installation einrichten, schließen Sie zunächst alle Ports, die nicht zwingend benötigt werden. Die Ports für FTP, Telnet, Remote Desktop Verbindung, RPC Dienste sowie SQL-Server oder MySQL Datenbanken sind neben dem SSH Port die beliebtesten Angriffsziele. Bei Experten für alles ist die Firewall hingegen ein beliebtes Mittel, um sich selbst vom Server auszusperren.

Abwehr von Denial of Service (DoS / DDos) Angriffen mit fail2ban

Verfügbarkeitsattacken (Denial of Service, DoS / DDos) sind eine echte Plage. Dabei beschießen Bots mit unzähligen Anfragen aller Art (Lesezugriff, Log-in-Versuch, sonstiger schadhafter Zugriff) Ihren Webserver. Diese Angriffe können über Tage gehen und wiederkehren. Grundsätzlich sind Sie bei DoS Angriffen davon abhängig, wie gut Ihr Hosting-Anbieter Ihre Webseiten schützt. Manche Anbieter sorgen dafür, dass die schlimmsten Wellen Sie gar nicht erreichen. Die Mehrzahl jedoch lässt Sie eher im Regen stehen. Sie müssen sich also, so gut es geht, selbst schützen.

Wenn Sie als Firma oder Unternehmer ein teures Billighosting buchen (Shared / Managed Hosting, Reseller Kontingent bei der Agentur oder Ihrem Betreuer), haben Sie schlechte Karten. Speziell, wenn Sie keinen ausreichenden Zugriff auf Ihren Server haben und keine Software wie fail2ban zur Abwehr von Angriffen auf Ihre Verfügbarkeit installieren und konfigurieren können. Sind es wenige IP-Adressen, die Sie permanent im Dauerfeuer angreifen, hilft zur Not das Sperren in der htaccess Datei. Falls Sie in Ihrem Billighosting darauf Zugriff haben.

Besonders tückisch sind Distributed Denial of Service (DDos) Angriffe. Sie gehen von sehr vielen unterschiedlichen IP-Adressen aus ganz unterschiedlichen Netzwerken aus. Typischerweise sind es mit Malware infizierte Endgeräte (Desktop PCs, Macs, Smartphones, Tablets). Im besten Fall gibt es ein auswertbares Muster (z. B. User Agent), nach dem ein Sicherheitssystem wie fail2ban filtern kann. Fail2ban prüft die Protokolle auf Ihrem Server, sofern Sie es richtig konfiguriert haben, und sperrt diese Angreifer zur Abwehr über die Firewall für eine bestimmte Dauer in ein Gefängnis (jail). Bei einem DDos Angriff können das binnen 24 Stunden schon mal über 1.000 Bots sein.

Mailserver Absicherung – Verschlüsselung, Virenscanner, Spamschutz

Auch und gerade die Sicherheit Ihres Mailservers ist täglich rund um die Uhr bedroht. Die meisten Firmen und Unternehmer beschränken sich darauf, einfach die nötigsten Postfächer anzulegen, um E-Mails senden zu können und erreichbar zu sein. Das Einrichten von E-Mail-Clientprogrammen ist für normale Anwender häufig zu kompliziert. Hier entscheiden sich viele für die einfachsten, aber nicht sichersten Einstellungen. Gleichzeitig versuchen Bots ununterbrochen, die Zugangsdaten zu Ihren Postfächern zu knacken. Ein Blick in die Systemprotokolle genügt, um dies nachzuvollziehen.

Spätestens seit der DSGVO betrifft das verschlüsselte Übermitteln von Daten auch den Mailserver. Sie benötigen deshalb ein SSL-Zertifikat wie etwa Let’s Encrypt für den Mailserver Ihrer Domäne. Ein SSL Zertifikat muss regelmäßig erneuert werden. Immer danach sollten Sie in entsprechenden Wartungsintervallen alles testen, was E-Mails und Benachrichtigungen versendet und empfängt. Richten Sie nicht nur Ihre E-Mail-Clients auf Kommunikation via SMTPS, POP3S oder IMAPS ein. Ihre WordPress-Installation sollte Benachrichtigungen aller Art (Systemmeldungen, Bestellbestätigungen etc.) gleichsam nicht über die unverschlüsselte PHP-Mail-Funktion versenden. Richten Sie stattdessen beispielsweise einen Versand via SMTPS mit SSL oder TLS Verschlüsselung ein.

Ist es Ihnen schon passiert, dass Ihre E-Mails bei wichtigen Geschäftspartnern im Spamordner landen oder diese gar nicht erreichen? Wurde Ihr Mailserver schon einmal von Hackern missbraucht, um in Ihrem Namen Spam-Nachrichten zu versenden? Eine gute Abwehr dagegen besteht darin, DKIM, SPF und DMARC fachgemäß einzurichten. Für diesen Schutz benötigen Sie neben einem SSL-Zertifikat für DKIM auch einen Zugang zu den DNS-Einstellungen für Ihre Website. Beachten Sie, dass Änderungen an DNS-Einstellungen immer eine Weile brauchen, bis jeder DNS-Server sie mitbekommen hat.

Ein Virenscanner am Mailserver ist grundsätzlich keine schlechte Idee. Im Umgang mit Viren ist die größte Gefahr aber immer noch der Anwender, der in seinem E-Mail-Client etwas öffnet oder anklickt, dass er oder sie nicht anklicken hätte sollen. Bekommen Sie als Firma oder Unternehmer auf die E-Mail-Adressen Ihrer Domäne sehr viele Nachrichten, ist der Schutz vor Spam mittels SpamAssassin (oder einer vergleichbaren Lösung) empfohlen. Beginnen Sie mit konservativen Filtern und markieren Sie vorerst möglichen Spam, statt sofort rigoros zu löschen. Übersehen Sie nicht, dass viele Ihrer Geschäftspartner deren Mailserver womöglich nicht besonders professionell eingerichtet haben.

Sicherheit und Abwehr für das CMS WordPress

WordPress gehört definitiv nicht zu den schlecht dokumentierten Open-Source CMS Projekten. Selbst mit guten Englischkenntnissen und Informatikausbildung dauert es etwa eine Woche, bis man sich durch den WordPress Codex von A bis Z gelesen hat. Die meisten von denen, die Ihnen heutzutage Irgendwas-mit-WordPress anbieten, haben, so scheint es, dort noch nie nachgesehen. WordPress installiert sich im Dateisystem Ihres Webservers und benötigt eine Datenbank. Viele Betreiber von Websites übersehen gerne die nötigen Verzeichnisberechtigungen und die Sicherheit der Datenbank. Das online Handbuch Hardening WordPress gilt als Bibel oder ultimative offizielle Checkliste zur Absicherung.

Schützen Sie WordPress, das verwendete Theme und seine Plug-ins jeweils auch vor sich selbst. Obgleich empfohlen ist, Sicherheitsaktualisierungen zügig und zeitnah einzuspielen, sind diese Updates gleichzeitig immer auch eine Gefahr für den stabilen Betrieb. Verzichten Sie deshalb auf automatisierte Updates im Hintergrund. Idealerweise haben Sie von Ihrer Website, die live online ist, eine Kopie als Testversion. In dieser prüfen Sie zuerst, ob Updates in Ihrer Konfiguration auch sicher sind. Ein Rollback Plug-in gehört ohnehin in die Grundausstattung.

Schutz vor Bots & Malware Gefahr mit Wordfence

Wordfence ist das weltweit mit Abstand meistinstallierte Plug-in zum Schutz einer WordPress-Installation. Ob Wordfence Ihre Website wirklich ausreichend schützt, dazu gibt es unterschiedliche Meinungen. Überraschenderweise kommen gegenteilige Meinungen zufällig von Anbietern kostenpflichtiger Alternativen. Nichtsdestotrotz macht es einen riesigen Unterschied, ob Sie als Firma oder Unternehmer nichts zur Sicherheit Ihrer WordPress-Homepage installiert haben oder zumindest einigermaßen korrekt Wordfence eingerichtet haben. Zentrale Elemente von Wordfence sind die Web-Firewall, der regelmäßige Scan der Installation, sehr viele einstellbare Filter sowie die Live Traffic Ansicht.

Wordfence mag mehr oder minder recht benutzerfreundlich sein. Dennoch ist es besser, ein Profi richtet das System ein und prüft regelmäßig alle Benachrichtigungen, insbesondere aber das Live-Protokoll. Unsachgemäß eingerichtet, arbeitet Wordfence weitgehend wirkungslos. Experten für alles sperren sich gerne selbst aus. Zu strenge Limits schränken nützliche Bots ein oder verhindern, dass andere Plug-ins korrekt funktionieren. Die unterschiedlichen Filter zum Blocken von Zugriffen sollten regelmäßig gewartet und ergänzt werden. Solange Sie mit Ihrer Website kein Geld verdienen, reicht vorerst die kostenfreie Community Version. Generieren Ihre Webseiten hingegen jede Menge Neukunden und Einnahmen, können Sie sich zum Schutz auch die Premium Version leisten.

WooCommerce Sicherheit – Angriffe & Gefahren

WooCommerce ist quasi der Standard für Onlineshops und eCommerce unter WordPress. Das WooCommerce Plug-in selbst ist wie WordPress nur ein funktionaler Kern, der alle Mindestanforderungen abdeckt. Dazu existieren Hunderte kostenfreie und kostenpflichtige Erweiterungen für WooCommerce im Internet. Das Theme für WordPress muss mit eigenen Templates ebenfalls die aktuelle WooCommerce-Version unterstützen. Einen WooCommerce-Onlineshop im deutschsprachigen Raum einigermaßen rechtssicher zu betreiben, ist ohne zusätzliche Erweiterungen gleichsam nicht möglich.

Was Angriffe, Gefahren, Malware, Bots, Schutz und Absicherung betrifft, gilt alles zuvor Gesagte auch für Onlineshops. Hinzukommen kaufmännische Gefahren. Dazu zählen Betrugsversuche beim Zahlungsverkehr, falsche Angaben der Kunden genauso wie Informationen, die eine Firma oder ein Unternehmer aus Unwissenheit oder Schlampigkeit dem Kunden vorenthält. Falls somit jemand Ihnen anbietet, für Sie um kleines Geld im Nullkommanix einen Onlineshop einzurichten, ist das so erfolgversprechend und realistisch wie ein Flugschein mit nur zwei Flugstunden ohne jede Theorie.

Traditionell einer der größten Gefahren für die Sicherheit eines Onlineshops mit WooCommerce sind die Updates und Aktualisierungen aller Komponenten. Der WooCommerce-Kern, das WooCommerce-fähige Theme und alle Erweiterungen müssen dabei stets im stabilen funktionalen Einklang bleiben. Einerseits sollten bekannte Sicherheitslücken rasch geschlossen werden und durch neue Sicherheitslücken ersetzt werden. Andererseits arbeiten die Entwickler von WooCommerce, Themes und den dazugehörenden Plug-ins alles andere als im Gleichklang. Da helfen nur ein umsichtiger Administrator, gutes Timing und ausführliches Testen. Gerade, wenn ein bestehender Shop bereits gute Umsätze und viele Zugriffszahlen liefert.

Sie können als Firma oder Unternehmer jedoch den Schutz vor Versionsproblemen und Update-Konflikten minimieren, indem Sie Ihren WooCommerce Onlineshop nur mit den unbedingt nötigen Erweiterungen bestücken. Verzichten Sie auf absolut ausgefeilte Verkaufsmethoden, die zur Abbildung unzählige sowie zum Teil ebenso exotische Plug-ins brauchen. Nicht selten sterben aufwendig ausgetüftelte Lösungen mit einer WooCommerce-Erweiterung, die nicht mehr weiterentwickelt wird und vom Netz geht.

Rechtliche Absicherung – Impressum, DGSVO, Onlineshop, Newsletter

Argwöhnische Spötter behaupten, die größte Gefahr für seriöses rechtschaffenes Unternehmertum im deutschsprachigen Internet wären immer noch Gesetzgeber, Abmahnanwälte und missgünstige Mitbürger. Ich würde so eine Behauptung selbstverständlich niemals aufstellen. Dennoch sind viele Rechtsexperten und Fachjuristen einig, dass es nicht möglich sei, eine Website zu 100 % rechtssicher zu betreiben. Als Firma oder Unternehmer sollten Sie die rechtliche Sicherheit nicht auf die leichte Schulter nehmen.

Ein nach jeweiligen Landesgesetzen konformes Impressum zu erstellen, ist keine unlösbare Aufgabe. Komplexer hingegen wird seit Einführung der segensreichen DSGVO das Erstellen der Datenschutzerklärung. Kostenlose und kostenpflichtige Generatoren im Internet können nicht vollständig ermitteln oder erahnen, was Sie in Ihrer WordPress Website alles installiert und konfiguriert haben. Darauf sollte ein mit der DSGVO vertrauter Informatiker einen Blick werfen. Ein Stück delikater zu behandeln ist die noch segensreichere jüngste Rechtsprechung zum Thema Cookies.

Wer Newsletter versendet, muss nicht nur die aktuellen länderspezifischen Gesetze kennen, sondern sollte auch die laufenden Erkenntnisse unterschiedlicher Gerichte im Auge behalten. Wie im vorherigen Abschnitt bereits angesprochen, ist das Thema Rechtssicherheit beim Betreiben eines Onlineshops unter WooCommerce (oder mit anderen Systemen) im europäischen Raum eine große Herausforderung. Zu den Gesetzen aus der digitalen Welt (TKG, DSGVO) gesellen sich handelsrechtliche, gesellschaftsrechtliche und steuerrechtliche Bestimmungen zu Verordnungen rund um den Verbraucherschutz. Erhebliche Unterschiede zwischen dem B2B sowie B2C Geschäft sorgen dafür, dass die Aufgaben zur Absicherung niemals langweilig werden. Im Zweifel befragen Sie zur Abwägung von Schutz und Gefahren immer den Rechtsanwalt Ihres Vertrauens.

IT-Sicherheit: Handy, Tablet, PC & Mac schützen

Jedes Mensch-Aufgabe-Technik-System ist so stark wie das schwächste Glied seiner Kette. Im IT-Bereich ist das fast immer der Kohlenstofftrottel, der vor dem Blechtrottel sitzt. Es nützt nichts, wenn eine Website samt Server gegen alle Angriffe und Gefahren von A-Z online abgesichert ist, wenn der Zugang dorthin verseucht ist. Schützen Sie Ihre Endgeräte gewissenhaft vor allen gängigen Bedrohungen. Schutz und Sicherheit beginnen zudem beim sicheren Speichern und Weitergeben aller Kennungen und (starken) Passwörter. Wenn Sie keinen exakten Überblick besitzen, welche Apps worauf Zugriffsberechtigungen haben, vermeiden Sie Tablets und Smartphones zum Verwalten Ihres Servers.

Warten Sie nicht darauf, das Thema Sicherheit für Ihre Website erst ernst zu nehmen, wenn es bereits zu spät ist. Vereinbaren Sie jetzt einen Termin für eine kostenlose und unverbindliche Erstberatung.