9 häufige Bedrohungen für die Website-Sicherheit (und wie man ihnen entgegenwirkt)

Veröffentlicht: 2023-10-25

Es tut mir leid, es Ihnen mitteilen zu müssen, aber Ihre Website ist nicht sicher. Das liegt nicht unbedingt an etwas, das Sie getan haben, sondern einfach daran, dass nichts im Internet jemals vollkommen sicher ist. Jede einzelne Website ist Sicherheitsbedrohungen ausgesetzt, die sie lahmlegen, beschädigen oder Schlimmeres verursachen können.

Das sind die schlechten Nachrichten. Der Silberstreif am Horizont ist, dass es viele Dinge gibt, die Sie tun können, um diese Bedrohungen zu bekämpfen, und der erste Schritt besteht darin, sich ihrer Existenz bewusst zu sein. Schließlich können Sie sich nur vor etwas schützen, von dem Sie wissen, dass es ein Risiko darstellen könnte.

Um Ihnen genau dabei zu helfen, geht dieser Artikel auf häufige Website-Sicherheitsbedrohungen für WordPress und darüber hinaus ein. Wir werden darüber sprechen, was die Bedrohungen sind, wie sie funktionieren und was Sie tun können, um sie zu verhindern. Wenn Sie mit dem Lesen fertig sind, möchten wir, dass Sie sich in der Lage fühlen, Ihre WordPress-Website sicher und vor Gefahren zu schützen, damit Sie sich auf das konzentrieren können, was wirklich wichtig ist.

Warum sollten Sie sich um Website-Sicherheitsbedrohungen kümmern?

Die erste Reaktion, die Sie möglicherweise haben, ist, sich zu fragen, ob dies überhaupt für Sie relevant ist. Natürlich hört man oft von solchen Big-Data-Verstößen und Hacks, aber passiert so etwas nicht normalerweise nur großen Unternehmen? Sie wissen schon, Ihre Facebooks, Twitters, Equifaxes und Yahoos – Unternehmen, die Informationen haben, die es wert sind, gestohlen zu werden.

Es tut mir leid, dass Ihre Blase platzt, aber nur weil Sie kein Millionenunternehmen sind, gibt es immer noch viele Personen, die daran interessiert sind, Ihre Website lahmzulegen oder zu manipulieren.

Allein im Jahr 2022 nahmen weltweite Cyberangriffe um 38 % zu und laut einem Bericht von Verizon aus dem Jahr 2019 waren kleine Unternehmen das Hauptziel und machten 43 % aller Datenschutzverletzungen aus. Wenn sie Opfer eines Cyberangriffs werden, kostet dies diese Unternehmen im Durchschnitt 25.000 US-Dollar. Nach Angaben des FBI beliefen sich die Schäden durch Cyberkriminalität im Jahr 2022 allein in den USA auf 10,2 Milliarden US-Dollar.

Es geht jedoch nicht nur um die direkten Kosten für die Bewältigung und Beseitigung eines Angriffs. Sie zahlen auch für Kundenabwanderung, Ausfallzeiten, Arbeitsunterbrechungen, Vertrauensverlust bei Kunden, Blockierung durch Suchmaschinen und mehr.

Selbst als kleine Website können Sie also ein Ziel sein. Das liegt insbesondere daran, dass die meisten Angriffe automatisch von Programmen gestartet werden, die das Web nach Schwachstellen durchsuchen, bis sie etwas finden. Wenn Sie ihnen also eine Chance lassen, wird jemand versuchen, diese auszunutzen.

Möchten Sie wissen, wie Sie sich schützen können? Sehen wir uns einige der häufigsten Sicherheitsbedrohungen an.

Website-Sicherheitsbedrohung Nr. 1: Phishing

Quelle: Andrew Levine

Beim Phishing versuchen Hacker, Sie dazu zu bringen, eine bösartige Website zu besuchen, auf einen gefährlichen Link zu klicken, einen infizierten Anhang herunterzuladen oder vertrauliche Informationen wie Ihr Website-Login preiszugeben. Meistens geschieht dies in Form von E-Mails, die vorgeben, von legitimen Quellen zu stammen. Sie können Phishing-Nachrichten jedoch auch per SMS, Messenger-Apps oder gefälschten sozialen Anmeldeseiten erhalten.

Mögliche Gefahren von Phishing

Durch Phishing an Ihre Anmeldedaten zu gelangen, erspart Angreifern viel Zeit. Anstatt mühsam zu erraten und mit brutaler Gewalt auf Ihre Website einzudringen, können sie einfach die Anmeldeinformationen verwenden, die definitiv funktionieren.

Damit haben sie freie Hand auf Ihrer Website, insbesondere wenn die Anmeldeinformationen mit hohen Benutzerrechten einhergehen. Sie können neue Benutzer erstellen, Inhalte und Links hinzufügen, Dateien bearbeiten, Hintertüren erstellen und sogar Code ausführen. Und wenn auf Ihrer Seite sensible Informationen gespeichert sind, etwa Kundendaten in einem Online-Shop, kann ein Hacker auch darauf zugreifen.

Wenn das passiert und öffentlich wird, ist das natürlich ein echter Reputationsschaden. Darüber hinaus können abhängig von den Datenschutzgesetzen, denen Sie unterliegen, zusätzliche Bußgelder verhängt werden.

Wie man damit umgeht

Der beste Weg, Phishing-Angriffe zu verhindern, besteht darin, ein Bewusstsein dafür zu schaffen. Wenn Sie eine Nachricht erhalten, in der Sie nach vertraulichen Informationen gefragt werden, sollten Sie sofort innehalten. Senden Sie nichts zurück, klicken Sie nicht auf Links und laden Sie keine Anhänge herunter und führen Sie sie nicht aus. Überprüfen Sie zumindest die E-Mail-Adresse des Absenders, ob diese legitim ist. Informieren Sie sich außerdem über Phishing-Taktiken und machen Sie dasselbe mit anderen Personen in Ihrem Unternehmen.

Quelle: Techopedia

Website-Sicherheitsbedrohung Nr. 2: (D)DoS-Angriffe

DoS steht für „Denial of Service“ und bedeutet, dass jemand versucht, Ihre Website lahmzulegen, indem er sie mit illegalem Datenverkehr überflutet. Das Ziel besteht darin, Ihren Server mit Anfragen zu überfordern, sodass er nicht mehr zurechtkommt und nicht mehr funktioniert.

DoS-Angriffe werden oft über Botnets durchgeführt, also über Computer, die von einem Virus oder Trojaner befallen sind und von Hackern aus der Ferne gesteuert werden können. Man spricht dann auch von „Distributed Denial of Service“ oder DDoS.

Quelle: Everaldo Coelho und YellowIcon / LGPL

Ziel solcher Angriffe ist es, ein Unternehmen oder eine Website zu schädigen oder Geld zu erpressen. Sie werden auch aus ideologischen Gründen durchgeführt, weil der Angreifer mit dem, wofür die betreffende Website steht, nicht einverstanden ist oder weil sich ein Unternehmen öffentlich geäußert hat. In anderen Fällen können DDoS-Angriffe jedoch auch als Ablenkungsmanöver genutzt werden, um Sie abzulenken, während Hacker versuchen, in Ihre Website einzudringen.

Was sind die Ergebnisse?

Die Auswirkung eines DDoS-Angriffs besteht darin, dass die betreffende Website nicht mehr reagiert und für echte Kunden und Besucher nicht mehr zugänglich ist. Der Server hat zu viel zu tun, um Besuche ordnungsgemäß zu verarbeiten, und lädt bei legitimen Besuchern sehr langsam oder gar nicht.

Natürlich ist die Website für die meisten Unternehmen einer ihrer wichtigsten Vermögenswerte. Wenn es nicht mehr erreichbar ist, führt dies zu Geschäfts- und Umsatzverlusten. DDoS-Angriffe können auch Ihrem Ruf schaden, da einige Besucher denken, die Qualität Ihrer Website sei einfach nicht gut.

So verhindern Sie DDoS-Angriffe

Eine der besten Möglichkeiten, solchen Website-Bedrohungen entgegenzuwirken, besteht darin, eine weitere Sicherheitsebene in Form einer Firewall oder Web Application Firewall hinzuzufügen. Diese dienen dazu, schädlichen Datenverkehr herauszufiltern, bevor er Ihre Website erreicht. Auf diese Weise erreicht der Angriff Ihre Website gar nicht erst und kann keinen Schaden anrichten. Und wenn der DDoS-Angriff nur als Ablenkung für einen Einbruch dient, bieten Firewalls auch Schutz dafür. Gute Anbieter sind hier Sucuri und Cloudflare.

Quelle: Cloudflare

Eine weitere gute Investition, um sich vor dieser Sicherheitsbedrohung für Websites zu schützen, ist ein Content Delivery Network oder CDN. Dadurch werden Kopien Ihrer Website auf verschiedenen Servern abgelegt, wodurch es schwieriger wird, sie vollständig aus dem Web zu entfernen. Es kann auch den Angriff von Ihrem Hauptserver fernhalten. Viele CDNs verfügen über einen DDoS-Schutz.

Wenn Sie Ihre Website bei WP Engine hosten, können Sie durch den Einsatz von Global Edge Security beide Methoden gleichzeitig nutzen. Es handelt sich um ein Leistungs- und Sicherheits-Add-on der Enterprise-Klasse, das eine verwaltete Webanwendungs-Firewall, erweiterten DDoS-Schutz und ein globales CDN umfasst. Kurz gesagt, alles, was Sie brauchen, um externe Sicherheitsbedrohungen in Schach zu halten.

Außerdem ist es ziemlich unkompliziert. Sie fügen es einfach zu Ihrem Plan hinzu, verweisen Ihre DNS-Einträge auf den richtigen Server und der Rest wird für Sie erledigt. Kinderleicht. Abschließend bietet es sich an, eine Betriebszeitüberwachung einzurichten, z. B. mit UptimeRobot. Auf diese Weise werden Sie schnell benachrichtigt, wenn Ihre Website nicht mehr erreichbar ist, sodass Sie sofort Maßnahmen ergreifen können.

Website-Sicherheitsbedrohung Nr. 3: Brute-Force-Angriffe und Credential Stuffing

Brute-Force-Angriffe ähneln in gewisser Weise DDoS-Angriffen, da sie automatisch einen Teil Ihrer Website angreifen. Anstatt jedoch den Datenverkehr zu blockieren, zielen sie auf Ihre Anmeldeseite ab und versuchen, Zugriff auf die Website zu erhalten, indem sie Ihre Anmeldeinformationen erraten. Programme dieser Art probieren pro Sekunde viele verschiedene gängige Passwort- und Benutzernamenkombinationen aus, bis sie eindringen.

Eine etwas anspruchsvollere Variante ist das sogenannte Credential Stuffing. Dabei verwenden Angreifer statt zufälliger Anmeldeinformationen E-Mail-/Passwort-Kombinationen, die bereits aus anderen Datenschutzverletzungen bekannt sind. Diese Angriffe basieren auf der Tatsache, dass viele Menschen ihre Anmeldeinformationen wiederverwenden.

Wenn es einem Angreifer gelingt, Ihre Anmeldedaten zu erraten, ist das Ergebnis im Wesentlichen das gleiche wie im Abschnitt „Phishing“ beschrieben.

Abschreckung von Login-Angriffen

Es gibt mehrere Möglichkeiten, wie Sie sich vor Angriffen auf Ihre Login-Seite schützen können:

  • Begrenzen Sie Anmeldeversuche und sperren Sie Benutzer aus, die zu oft fehlschlagen, z. B. über „Limit Login Attempts Reloaded“.
  • Verwenden Sie Ihre Anmeldeinformationen nicht mehrfach, sondern verwenden Sie für jedes Konto, das Sie besitzen, individuelle Passwörter
  • Begrenzen Sie die Anzahl der Benutzer auf Ihrer WordPress-Site und geben Sie ihnen nur so viele Funktionen, wie sie für ihre Arbeit benötigen
  • Erzwingen Sie sichere Passwörter, z. B. über den Password Policy Manager
  • Besser noch: Verwenden Sie die Multi-Faktor-Authentifizierung
  • Schalten Sie den Theme- und Plugin-Editor aus, damit Angreifer Ihre Dateien nicht über das WordPress-Dashboard manipulieren können

Website-Sicherheitsbedrohung Nr. 4: Cross-Site Scripting (XSS)

Beim Cross-Site-Scripting bringt ein Hacker eine Website dazu, schädliche Skripte an den Browser eines Opfers zu übermitteln. Aufgrund der Quelle vertraut der Browser dem Skript und führt es aus. Dies geschieht häufig über Eingabefelder, etwa in einem Kontaktformular. Der Angriff kann jedoch auch von der Datenbank einer kompromittierten Website ausgehen.

Mögliche Resultate

Bei Erfolg kann ein Angreifer mithilfe von Cross-Site-Scripting Anmeldedaten stehlen, Malware installieren, den Benutzer auf eine andere Website umleiten und sogar die angezeigte Seite manipulieren. Er kann auch als anderer Nutzer auf die jeweilige Website zugreifen und deren Daten auslesen. Außerdem könnten sie möglicherweise Software auf dem Computer des Opfers installieren.

Bildnachweis: Michel Bakni

Insgesamt stellt Cross-Site-Scripting eine größere Gefahr für Ihre Besucher dar als die Website selbst. Wenn es jedoch von Ihrem Webauftritt ausgeht, wird dies natürlich kein gutes Licht auf Sie werfen. Deshalb sind Sie es sich selbst und Ihren Besuchern schuldig, Ihre Website sicher zu machen.

So verhindern Sie XSS-Angriffe

Auf technischer Ebene besteht der wichtigste Schritt zur Verhinderung von Cross-Site-Scripting darin, Ihre Dateneingaben zu bereinigen und zu validieren. Das bedeutet, Sonderzeichen und Symbole zu verweigern, um Code-Injection zu vermeiden. Stellen Sie beispielsweise sicher, dass die Eingabe keine Dinge wie Skripte, Objekte oder Links enthalten kann. Programmiersprachen wie PHP und JavaScript bieten hierfür Standardfunktionen und auch WordPress verfügt zu diesem Zweck über ein eigenes Markup.

Wenn Sie kein Entwickler sind, besteht Ihre Aufgabe darin, mit gutem Urteilsvermögen Code von Ihrer Website fernzuhalten, der diese Regeln nicht einhält. Das bedeutet, dass Sie Themes und Plugins von seriösen Quellen beziehen und sicherstellen, dass sie gut unterstützt und gepflegt werden. Installieren Sie außerdem keine Codefragmente auf Ihrer Website, die Sie nicht verstehen.

Website-Sicherheitsbedrohung Nr. 5: SQL-Injections

SQL-Injections ähneln Cross-Site-Scripting. Sie funktionieren auch, indem sie Eingabefelder verwenden, um bösartigen SQL-Code auf Ihrer Website auszuführen und Zugriff auf die Datenbank zu erhalten.

Wenn Ihre Website anfällig für SQL-Injections ist, kann ein Angreifer diese Technik nutzen, um ihr auf verschiedene Weise Schaden zuzufügen:

  • Erstellen Sie neue Identitäten mit Administratorrechten und erhalten Sie Zugriff auf Ihre Site
  • Greifen Sie direkt auf alle Daten auf dem Server zu
  • Zerstören/ändern Sie die Datenbank, um sie unbrauchbar zu machen

Natürlich sind das alles keine guten Nachrichten.

Verhindern von SQL-Injections

Diese Website-Sicherheitsbedrohung erfordert ähnliche Wachsamkeit wie Cross-Site-Scripting. Bereinigen, filtern, maskieren und validieren Sie die Dateneingabe und stellen Sie sicher, dass Sie vertrauliche Informationen verschlüsseln. Viele Webframeworks erledigen dies automatisch.

Halten Sie als Nicht-Entwickler WordPress und seine Komponenten auf dem neuesten Stand und verwenden Sie ein WordPress-Sicherheits-Plugin. Viele von ihnen verfügen über Funktionen zur Verhinderung von SQL-Injections. Ausführlichere Informationen zu diesem Thema finden Sie in einem speziellen WP Engine-Artikel.

Website-Sicherheitsbedrohung Nr. 6: Ransomware/Verunstaltung

Ransomware ist eine Art Software, die den Zugriff auf Ihre Website oder andere Unternehmensressourcen blockiert und diese erst wieder freigibt, wenn Sie dem Angreifer Geld zahlen – und manchmal nicht einmal dann.

Verunstaltung ist insofern ähnlich, als sie das Design oder den Inhalt Ihrer Website durcheinander bringt oder die Nachricht eines erfolgreichen Hacks hinterlässt.

In jedem Fall hat sich jemand irgendwie Zugriff auf Ihre Website verschafft, was eine Reihe negativer Folgen haben kann:

  • Die Kosten für das Lösegeld (wenn Sie es bezahlen, kann das teuer sein)
  • Gebühren für die Reinigung
  • Umsatzeinbußen und Reputationsverlust
  • Produktivitätsverluste der Mitarbeiter aufgrund der Unfähigkeit, ihre Arbeit auszuführen
  • Reduzierte Suchmaschinen-Rankings aufgrund der Sperrliste

So schützen Sie sich

Die Möglichkeit, Ransomware- und Defacement-Angriffe zu verhindern, besteht darin, andere in diesem Leitfaden erwähnte Best Practices zu befolgen, um den Zugriff auf Ihre Website und Ihren Server zu sperren. Bewahren Sie Ihre Anmeldeinformationen sicher auf, halten Sie Ihre Website auf dem neuesten Stand und richten Sie eine Backup-Lösung ein, damit Sie zu einer früheren Version Ihrer Website zurückkehren können.

Website-Sicherheitsbedrohung Nr. 7: Malware und Spyware

Dabei handelt es sich nicht so sehr um eine Gefahr für die Websites selbst, sondern um etwas, das Ihrer Website passieren kann. Wenn ein Angreifer Zugriff darauf erhält, kann er Malware und Spyware installieren, die die Computer Ihrer Besucher infizieren. Ihre kompromittierte Website fungiert letztendlich als Vehikel, um die Pläne des Hackers voranzutreiben.

Was kann passieren?

Malware ist eine große Gefahr für Ihren Ruf. Wenn ein Browser oder ein Antivirenprogramm dies erkennt, verhindert es, dass Besucher auf Ihre Website zugreifen.

Darüber hinaus können Suchmaschinen Sie auf eine Blockliste setzen und aus ihrem Index entfernen, da sie ihre Benutzer nicht auf Websites weiterleiten möchten, die ihnen schaden.

Natürlich kann beides zu massiven Verkehrsverlusten führen, und es ist manchmal schwierig, sich von den Sperrlisten zu entfernen, selbst wenn Sie das Problem behoben haben. Ohne Traffic gibt es keinen Umsatz, keine Leads, keine Kunden, kein Geschäft.

Verhindern von Malware-Infektionen

Befolgen Sie auch hier die in diesem Leitfaden genannten Vorgehensweisen, um andere Bedrohungen der Website-Sicherheit von Ihrer Website fernzuhalten. Verwenden Sie insbesondere starke Anmeldeinformationen und eine Multi-Faktor-Authentifizierung, halten Sie Website-Komponenten auf dem neuesten Stand und achten Sie darauf, was Sie auf Ihrer Website installieren.

Halten Sie außerdem Ihren eigenen Computer sauber, indem Sie eine Antivirensoftware verwenden und Ihre Website regelmäßig auf Malware scannen, beispielsweise mit Sucuri Sitecheck.

Website-Sicherheitsbedrohung Nr. 8: Man-in-the-Middle-Angriff

Diese Art von Angriffen kommt häufig auf Websites vor, deren Datenverkehr nicht verschlüsselt wird. Hierbei fängt der Angreifer ungeschützte Daten ab und kann sich so Zugang zu Login-, Zahlungs- oder anderen sensiblen Informationen verschaffen. Auch in ungesicherten WLAN-Netzwerken kommt es zu Man-in-the-Middle-Angriffen.

So schützen Sie sich

Die beste Methode, dieser Bedrohung auf Websites entgegenzuwirken, ist der Einsatz von Verschlüsselung. Installieren Sie ein TLS/SSL-Protokoll auf Ihrer Site und stellen Sie es auf HTTPS um. Dadurch werden automatisch alle zwischen Ihrer Website und den Browsern der Besucher gesendeten Informationen verschlüsselt, sodass Man-in-the-Middle-Angriffe nicht erfolgreich sind.

Schützen Sie außerdem Ihr Arbeits- und Heim-WLAN mit einem sicheren Passwort und durch Ändern der Standardanmeldeinformationen. Seien Sie außerdem besonders vorsichtig, wenn Sie öffentliches WLAN nutzen. Verwenden Sie ein VPN, um Ihren Datenverkehr zu schützen, und melden Sie sich nur dann über das öffentliche WLAN auf Ihrer Website an, wenn dies unbedingt erforderlich ist.

Website-Sicherheitsbedrohung Nr. 9: Angriffe auf die Lieferkette

Bei einem Supply-Chain-Angriff dringt ein Angreifer über Software von Drittanbietern in eine Website ein. Zum Beispiel, wenn sich jemand in ein SaaS-Produkt hackt, das sich in viele Websites integrieren lässt, und sich dabei Zugriff auf diese Websites verschafft.

Wir haben in den letzten Jahren Supply-Chain-Angriffe in WordPress gesehen. In einem Fall haben Angreifer Plugins absichtlich mit Schadcode versehen. Ein anderes Mal drangen sie in den Distributionsserver einer WordPress-Erweiterung ein, um dasselbe zu tun.

In den meisten Fällen wurden diese Angriffe schnell entdeckt und die betreffenden Plugins wurden gesperrt oder gepatcht. Aber es ist immer noch etwas, dessen man sich bewusst sein sollte.

So verhindern Sie es

Das beste Rezept zur Verhinderung von Angriffen auf die Lieferkette besteht darin, Best Practices für die Verwendung von Plugins und Code von Drittanbietern auf Ihrer Website zu befolgen:

  • Verwenden Sie für Erweiterungen wie Plugins und Themes nur seriöse Quellen
  • Beschränken Sie Ihre Integrationen auf ein Minimum und installieren Sie nur das, was Sie wirklich benötigen
  • Überprüfen Sie Ihre Website regelmäßig, ob alle Inhalte von Drittanbietern noch relevant sind
  • Verwenden Sie ein Aktivitätsprotokoll, um verdächtiges Verhalten auf Ihrer Website zu erkennen

Halten Sie Website-Bedrohungen in Schach

Sicherheitsbedrohungen sind etwas, mit dem sich jeder Websitebesitzer auseinandersetzen muss. Sie sind eine bedauerliche Realität bei der Arbeit im Internet. Glücklicherweise können viele von ihnen durch die Umsetzung einiger vernünftiger Best Practices verhindert werden:

  • Seien Sie wachsam hinsichtlich der Nachrichten, die Sie erhalten, der Links, auf die Sie klicken, und der Anhänge, die Sie herunterladen
  • Investieren Sie in eine Firewall, ein CDN und eine Verfügbarkeitsüberwachung
  • Verwenden Sie sichere Passwörter, beschränken Sie Benutzerfunktionen und Anmeldeversuche und richten Sie eine Multi-Faktor-Authentifizierung ein
  • Minimieren Sie die Anzahl der Plugins und Themes auf Ihrer Website und stellen Sie sicher, dass Sie diese aus legitimen Quellen beziehen
  • Bereinigen und validieren Sie als Entwickler Ihre Daten
  • Halten Sie Ihre Website und alles, was dazu gehört, auf dem neuesten Stand
  • Verwenden Sie HTTPS, um den Datenverkehr Ihrer Website zu verschlüsseln
  • Halten Sie eine Backup-Lösung bereit, für den Fall, dass etwas schief geht
  • Geben Sie keine sensiblen Informationen in ungesicherte Netzwerke ein

Das Befolgen dieser Anweisungen sollte ausreichen, um sich vor den meisten gängigen Sicherheitsbedrohungen für Websites zu schützen. Bleiben Sie wachsam!

Welche anderen Möglichkeiten zum Schutz Ihrer Website vor Sicherheitsbedrohungen empfehlen Sie? Teilen Sie Ihre Gedanken in den Kommentaren unten mit!