Zur Navigation

Was sind notwendige Sicherheitsmaßnahmen?

1 Lena567

[Edit Jörg: die folgenden Beiträge wurden aus diesem Thread abgetrennt]

Vielen Dank Jörg für deine Antwort und Erklärung!

Was sind denn deiner Meinung nach notwendige Sicherheitsmaßnahmen?

05.05.2021 13:38 | geändert von Jörg: 14.05.2021 11:09

2 Jörg Kruse

Wie von mir geschrieben:

die Antwort ist abhängig vom Einzelfall, welche Software auf dem Server läuft etc.

Wenn man beispielsweise ein WordPress installiert hat, dann sollte man gezielt dieses CMS absichern. Ein gutes Stichwort für die Suche nach Empfehlungen ist der Begriff "härten", im Fall von WordPress also "WordPress härten".

Da WordPress in PHP geschrieben ist, sollte man sich auch um sichere Einstellungen von PHP kümmern (wie man da vorgehen muss, kann sich auch von Webhoster zu Webhoster unterscheiden)

Gleiches gilt für jegliche andere Software, inkl. Plugins, die auf dem Webspace läuft

Und es macht natürlich einen großen Unterschied, ob man einen einfachen Webspace hat, oder einen Server administriert.

05.05.2021 16:54 | geändert: 05.05.2021 16:57

1 Forenmitglied fand diesen Beitrag gut

3 Lena567

Vielen Dank für deine Erklärungen!

06.05.2021 10:42

4 Lena567

Hallo Jörg,

Was kann man deiner Meinung nach tun, um eine statische Website (nur HTML, CSS und ein ganz kleines bisschen js) auf einem einfachen Webspace sicher oder zumindest sicherer zu machen?

Was hältst du von den sogenannten securityheaders?

13.05.2021 12:41

5 Jörg Kruse

Statisch bedeutet, dass die Website keine interaktiven Elemente enhält, also z.B. auch kein Kontaktformular?

Bindet die Website externe Dateien ein (Bilder, CSS- oder JavaScript-Dateien, HTML-Dateinen in einem Iframe etc.)?

Gibt es private Bereiche mit einem Zugangsschutz?

Wird die Website verschlüsselt übertragen?

Was hältst du von den sogenannten securityheaders?

Das sind HTTP-Header mit sehr unterschiedlichen Anwendungsfällen. Ob einer oder mehrere davon sinnvoll sein können, hängt auch wieder vom Einzelfall ab.

14.05.2021 11:32

1 Forenmitglied fand diesen Beitrag gut

6 Lena567

Danke für deine Antwort.

Ja, keine interaktiven Elemente wie beispielsweise ein Kontaktformular.
Es werden auch keine externen Dateien eingebunden. Auch nicht per iframe.
Es gibt auch keine privaten Bereiche.
Die Datenübertragung erfolgt verschlüsselt, also über ein SSL-Zertifikat

15.05.2021 09:46

7 Jörg Kruse

Eine rein statische, nicht-interaktive Webseite, die keine externen Elemente (nach)lädt, bietet keine wirklichen Angriffsflächen, die abgesichert werden müssten, zumindest was das HTML und CSS anbelangt.

Bei JavaScript muss man noch etwas achtgeben. Damit könnten theoretisch auch externe Scripte nachgeladen werden und bei Verwendung von JavaScript-Biliotheken wie jquery sollte auf Aktualität geachtet werden. Ich gehe mal davon aus, dass "ein ganz kleines bisschen js" nicht irgendwelche Ajax-Requests absetzt oder ähnliches?

Und natürlich solltest du den Zugang zum Webhosting-Account, SFTP etc. gut absichern mit starken Passwörtern, ggf. 2FA.

Ein Extra-Thema ist die Privatsphäre / Datenschutz der Besucher. Dafür setzt du ja bereits HTTPS ein. Mit den HTTP-Headern Strict-Transport-Security und Referrer-Policy könntest du da ggf. auch noch nachlegen, wenn das vom Inhalt der Website wichtig erscheint (z.B. bei Gesundheitsthemen sicher wichtiger als bei Katzenfotos)

16.05.2021 18:52 | geändert: 16.05.2021 18:57

1 Forenmitglied fand diesen Beitrag gut

8 Lena567

Hallo Jörg,

Vielen Dank für deine detaillierte Antwort!

Ich setze auch die folgenden Dinge ein:
X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Strict-Transport-Security, Referrer-Policy


Und was empfiehlst du und eine WordPress-Website sicher bzw. deutlich sicherer zu machen?

Ich mache bisher folgendes:
Natürlich stets die Updates für WordPress, Plugins und das Theme durchführen.
Wahrscheinlich die neueste Version von PHP verwenden.
Die Login-Seite verschieben.
XML-RPC-Schnittstelle abschalten
Embeds deaktivieren
Emojis deaktivieren
Firewall-Plugin einsetzen

17.05.2021 08:26

9 Jörg Kruse

Das Thema WordPress-Sicherheit ist sehr umfangreich, deswegen hier nur zwei grundsätzliche Anmerkungen.

1. mit jedem zusätzlichen Plugin wird die Angriffsfläche erhöht. Weniger ist da oft mehr (Sicherheit).

Natürlich stets die Updates für WordPress, Plugins und das Theme durchführen.

Und das möglichst zeitnah. Automatische Updates gibt es ja inzwischen auch für einige Plugins.

Plugins, die keine Updates mehr erhalten, würde ich kurz- bis mittelfristig entfernen oder austauschen. Bei einer größeren Anzahl von Plugins, insbesondere auf Multisites, kann der regelmäßige Einsatz von Plugin-Report einen guten Überblick verschaffen. Ich würde allerdings schon bei der Auswahl neuer Plugins darauf achten, dass die Kenndaten positiv sind. "Keine Daten verfügbar" kann u.U. problematischer sein als die rot gefärbten Werte.

2. auf das Worst-Case-Szenario vorbereitet sein: d.h. ein regelmäßiges Backup von Verzeichnis und Datenbank für den Fall, dass die Website trotz aller Vorsichtsmaßnahmen nach einem Hack neu aufgesetzt werden muss. Wobei ich ältere Backups nicht sofort entsorgen würde, jüngere könnten ja auch bereits "kontaminiert" sein.

Ansonsten finden sich mit den Suchbegriffen "WordPress härten" zahlreiche Tipps, wie die eigene WordPress-Installation weitergehender abgesichert werden kann. Einige mögliche hast du ja auch schon genannt. Wobei das Abschalten der Emojis eher aus Performance-Gründen gemacht wird :)

18.05.2021 14:49

2 Forenmitglieder fanden diesen Beitrag gut

10 Lena567

Vielen Dank für deine ausführliche Antwort und deine Tipps!
Werde mich informieren.

19.05.2021 15:52

Beitrag schreiben (als Gast)

Die Antwort wird nach der Überprüfung durch einen Moderator freigeschaltet.





[BBCode-Hilfe]