+43 512 327 880
+49 174 578 37 56
Stellen Sie sich vor, Sie bekommen einen seltsamen Anruf von einem Interessenten, der bei Ihnen Viagra kaufen möchte. Da Sie kein Viagra verkaufen legen Sie verwirrt auf und glauben, jemand hat sich einen Spaß erlaubt.
Doch kurze Zeit später erhalten Sie wieder einen Anruf von jemandem, der Fragen zu Ihrem Viagra hat. Diese Vorfälle machen Sie misstrauisch und Sie beginnen im Internet zu recherchieren.
Sie stoßen auf eine Unterseite Ihrer Website, die Sie noch nie zuvor gesehen haben. Auf dieser Unterseite bewerben Sie doch tatsächlich Viagra und verlinken auf einen, Ihnen unbekannten Pharmazie-Onlineshop, der noch andere fragwürdige Produkte verkauft.
Sie wissen, dass diese mysteriöse Seite nicht von Ihnen stammt. Das kann nur eines bedeuten: jemand hat sich in Ihre WordPress-Webseite gehackt.
Darum wird Ihre Webseite gehackt
Während Sie diesen Artikel lesen, könnte Ihre Website gerade gehackt werden ohne, dass Sie es merken. Hacking von Websites passiert still und heimlich und bleibt oft über Monate hinweg unbemerkt.
Wenn sich ein Hacker in Ihrer WordPress-Website einnistet, hat das meistens nichts mit Ihnen persönlich oder mit Ihrem Unternehmen zu tun. Der Hacker möchte selten Ihre Website zerstören, sondern nutzt lieber Ihr Google-Vertrauen, um seine “dreckigen” Geschäfte zu vermarkten.
Meistens werden Unterseiten erstellt, die nicht in der Menüleiste aufzufinden sind, sondern nur durch die Kraft der Domain auf Google angezeigt werden. So bleiben seine Schandtaten länger verborgen. Auf diesen Landingpages wird er dann sogenannte PPP-Seiten machen.
PPP steht für Porn, Poker, Pills und wie der Name schon vermuten lässt, werben diese Seiten dann für Pornoseiten, Onlinecasinos, illegale Streamingdienste oder Potenzmittel.
Obwohl Sie von alle dem nichts mitbekommen, sind Sie für die Inhalte auf Ihrer Website verantwortlich – im schlimmsten Fall haften Sie sogar dafür.
Der Hacker kann natürlich auch Ihre Passwörter und Inhalte auf der Website verändern und hat Zugriff auf alle Dateien und Daten.
Machen Sie es dem Hacker schwer
Viele stellen sich unter einem Hacker ein Computergenie vor, wie sie oft im Kino zu sehen sind. Es wird Sie überraschen, doch tatsächlich werden sehr viele der täglichen Angriffsversuche von unerfahrenen Computerusern ohne weitreichenden Programmierkenntnissen verübt.
Diese meist jungen Cyber-Kriminellen werden im Fachjargon “Script-Kiddies” genannt. Sie nutzen vorgefertigte Anleitungen und Tools aus dem Internet und probieren sie einfach aus.
Da sie über wenig Fachwissen verfügen und oft die Technik dahinter gar nicht verstehen, ist es relativ einfach gegen sie vorzugehen.
Andere gängigen Cyber-Attacken werden von groß angelegten Botnetzen ausgeführt. Diese werden oft von professionellen Betreibern aus dem Ausland gestartet. Die Armeen suchen dann systematisch Websites nach bekannten Sicherheitslücken ab.
Dort legen sie dann dutzende dubiose Seiten, wie eben Viagra-Shops, an. Da sie immer nach dem gleichen Schema vorgehen, sind uns einige Taktiken bekannt, um auch diese Angriffe abzuwehren.
Hier werden Ihnen nun wichtige Maßnahmen aufgelistet, die Sie unbedingt umsetzen sollten, um Ihre Unternehmens-Website zu schützen.
Maßnahme 1: Vergessen Sie Ihre Passwörter wieder
Der einfachste Weg wie Sie Ihre Website schützen ist, Ihre Passwörter möglichst sicher zu machen. Hier nochmal ein kleiner Guide: ein perfektes Passwort besteht mindestens aus 14 bis 16 Zeichen. Die Zeichen sollen aus zufälligen Klein- und Großbuchstaben und Zahlen- wie Sonderzeichen bestehen.
Der Ottonormalverbraucher soll sich das Passwort auf keinen Fall merken können. Außerdem sollten Sie für jeden Zugang ein eigenes Codewort benutzen. Achtstellige Passwörter sind in Minuten bis Stunden herausgefunden, aber um ein 16-stelliges Passwort zu knacken braucht es selbst mit modernster Technik Millionen von Jahren.
Ihre Passwörter können Sie übrigens auf Seiten wie https://www.gdata.de/passwort-check checken lassen. Ihre Codewörter werden dann auf sogenannten Blacklists gesucht. Das sind Listen mit bekannten Passwörtern. Wenn Ihre dort gefunden werden ist es allerhöchste Zeit, sie zu ändern.
Maßnahme 2: Benutzen Sie einen Passwortmanager
Da Sie sich so viele komplizierte Passwörter nicht merken können und auch gar nicht merken SOLLEN, raten wir einen Passwortmanager zu benutzen. Ein Passwortmanager funktioniert fast wie ein Wörterbuch: er speichert Ihre Passwörter verschlüsselt ab und schlägt sie Ihnen beim richtigen Zugang vor.
Manchmal überwachen Hacker sogar die Tastatur ihrer Opfer, entweder über eine Software, ein physisches Gerät oder über Bluetooth. Auch wenn Ihre Tastatur überwacht werden sollte, kann der Hacker Ihr Passwort trotzdem nicht herausfinden, da Sie es nur mehr aus dem Passwortmanager kopieren müssen.
Wir empfehlen und verwenden selbst den Manager von LastPass, denn er ist einfach zu bedienen, es können Mitarbeiterzugriffe eingeschränkt werden und auch der Kundenservice ist schnell und zuverlässig.
Maßnahme 3: Stopfen Sie Sicherheitslücken
Wie geht so ein Hacker nun eigentlich vor? Mit der Hilfe von KI ist es heutzutage relativ einfach Sicherheitslücken aufzuspüren. Diese werden meistens bei Plugins oder Schnittstellen mit dem Content Management System (CMS) gefunden. Plugin bedeutet so viel wie “etwas einstöpseln”.
Ein Plugin ist eine Software, die Sie auf der WordPress-Seite installieren können. Es gibt verschiedene dieser Softwarebausteine mit unterschiedlichen Funktionen: zum Beispiel gibt es Zusatzmodule, die aus einer Website einen Onlineshop machen oder Plugins, die ein Kontaktformular installieren.
Plugins sind also vorgefertigte Pakete, die Sie einfach per Mausklick auf Ihrer Website einbinden können. Leider werfen sie oft Sicherheitslücken auf, die der Übeltäter finden und ausnutzen kann.
Sie sollten Ihre Plugins daher regelmäßig kontrollieren und Aktualisierungen durchführen.
Im Zuge unserer Wartungspakete aktualisieren wir von klickbeben®, die Plugins unserer Kunden einmal im Monat.
Maßnahme 4: Machen Sie Backups
Der Hacker hat sich also Zugriff zu Ihrer Seite verschafft. Was passiert jetzt? Im Normalfall erstmals nichts. Der Halunke wird mit seinem Angriff so lange warten bis er glaubt, dass Sie keine schadenfreie Version Ihrer Website haben. Erst dann wird er beginnen seine Unterseiten aufzubauen.
Wird eine gehackte Website bemerkt, können die Spuren des bösartigen Programmierers meistens nicht mehr nachgestellt werden. Es kostet sehr viel Zeit und Geld, um zurückzuverfolgen, wie der Hacker in die Website hineingekommen ist.
Um dem entgegenzuwirken raten wir regelmäßig Backups der Seite zu machen und diese mehrfach abzuspeichern. Wichtig ist auch zu wissen, wie Sie das Backup im Notfall wieder einspielen.
In unseren Wartungspaketen behalten wir die Backups unserer Kunden immer ein Jahr auf.
Verringern Sie das Risiko
Zusammenfassend können Sie also schon einige Schritte vornehmen, um Ihre Unternehmenswebsite zu schützen: Als allererstes sollten Sie alte, schwache Passwörter gegen neue, keineswegs zu merkende Passwörter austauschen. Dann gleich einen Passwortmanager zulegen, der sich die neuen Codewörter für Sie merkt.
Damit ist der erste Schritt geschafft. Als nächstes nicht auf regelmäßige Aktualisierungen und Backups vergessen. Das waren nun die einfachen Taktiken, die Sie schon ohne große Vorkenntnisse umsetzen können.
Aber es gibt noch weitere Vorgehensweisen, die schon etwas technischer sind. Um Ihnen diese weiteren Maßnahmen besser erklären zu können, stellen Sie sich Ihre Website wie eine sichere Burg vor.
Versteckte Geheimeingänge
Viele alte Burgen und Schlösser hatten früher Geheimeingänge. Damit keine Eindringlinge in Ihre Burg kommen, bauen Sie einen Geheimeingang, den nur die Burgangestellten kennen. Das funktioniert auch in der realen Welt.
Sie können Ihre Anmeldeseite zum Beispiel /wp-admin, vor automatisierten Angriffen schützen, indem Sie die URL „verstecken“. Sie verschieben die Anmelde-URL auf eine andere URL. So wird aus www.firmenname.at/wp-admin dann www.firmenname.at/firmengeheimwort-anmelden.
Sollten doch Fremde den versteckten Seiteneingang finden, kann noch eine zusätzliche “Ausweiskontrolle” eingeführt werden. Das ist dann der Verzeichnisschutz. Dort muss der User sich nochmal mit einem Passwort und einem Benutzernamen anmelden, bevor er zum eigentlichen Login der Seite kommt.
Interne Kontrolle
Die Rangordnung in einer Burg ist klar geregelt. Nicht jeder Angestellte hat einen Schlüssel zur Schatzkammer, sondern nur der, der ihn wirklich braucht.
Genauso sollten Sie es auch mit Ihrer Website handhaben. Mitarbeiter sollten nur so viel Zugriff haben wie nötig. Denn je mehr Leute einen Vollzugriff besitzen umso höher ist die Chance, dass einer kein sicheres Passwort hat.
Torwache
Zuletzt platzieren Sie noch eine Wache vor dem Tor der Burg, die bekannte Unruhestifter den Zugang verweigert. Für Ihre Website heißt das, dass Sie mithilfe eines Plugins IP-Adressen aus gewissen Ländern aussperren.
Dieses Feature ist aber mit Vorsicht zu genießen, denn so könnten Sie auch User Ihrer Zielgruppe, die mit einem VPN-Server surfen, den Zugriff unterbinden.
Spezialeinheit
Um Ihre Website jetzt noch vor anderen Cyberattacken, wie zum Beispiel DDoS (Distributed-Denial-of-Service) oder XSS (Cross-Site-Scripting) zu schützen, können Sie zusätzliche Plugins installieren. Die funktionieren dann wie Spezialeinheiten, die im Schloss eingesetzt werden, wenn Großangriffe drohen.
Holen Sie sich Unterstützung vom Profi
Das klingt alles ziemlich kompliziert und nach viel Arbeit? Das ist es auch! Einige Maßnahmen können Sie schon mit wenig Fachwissen umsetzten. Trotzdem sollten Sie bei dieser wichtigen Angelegenheit nicht zögern, sich professionelle Hilfe zu holen.
Wir von klickbeben® helfen Ihnen, Ihre Website sicherer (Wichtig: es gibt keinen 100%-Schutz) zu machen und kümmern uns auch gern danach um Ihren Web-Auftritt. Im Zuge unserer Aktualisierungspakete bieten wir verschiedene Leistungen, zu verschiedenen Preisen an. Ebenso unterstützen wir Sie auch bei der Erstellung Ihres Webshops.
Sie haben konkrete Fragen zu unserer Agentur oder unseren Service? Vereinbaren Sie ein unverbindliches und kostenloses Erstgespräch. Schreiben Sie uns dafür einfach an hallo@klickbeben.com, rufen Sie uns an unter +43 512 327 880 oder nutzen Sie unser Kontaktformular.
Herzlichst, Nadine Jäckel
