Website-Angriffe: Das unterschätzte Risiko


© fotomek - stock.adobe.com
  • 01. November 2020

„Ich habe so eine kleine Firma, da interessiert sich doch niemand für einen Angriff auf meine Website …“

So könnte man denken – und wenn Sie nicht gerade Amazon oder Google sind, gebe ich Ihnen recht, dass sich vermutlich kein Hacker gezielt hinsetzen wird, um Daten von Ihrer Website abzufangen.

Und dennoch ist das Risiko hoch. Warum?

WordPress ist eines der beliebtesten Content-Management-Systeme. Weltweit werden laut Statista 63,5% aller Webseiten damit betrieben. Da kann einem Hacker schon mal „Ruhm und Ehre“ reichen, wenn er es mit einem automatisierten Angriff schafft, bei einem Großteil der WordPress-Seiten Chaos zu stiften. So hat ein Angriff durch eine Sicherheitslücke in einem Plugin im September 2020 rund 700.000 WordPress-Seiten getroffen.

Was passiert im schlimmsten Fall?

Im schlimmsten Fall erheben Sie über Ihre Website Kundendaten und speichern diese auf Ihrem Webspace. Durch den Angriff könnten diese Daten weiterverteilt werden und Sie haben eine waschechte Datenpanne nach DSGVO. Aber selbst, wenn keine Daten geklaut werden, kann so ein Angriff sehr lästig sein. Sie müssen nämlich den Schadcode, den der Angriff in Ihren Dateien platziert hat, bereinigen. Am einfachsten geht das, indem Sie ein sauberes Backup wiederherstellen. Oft sind jedoch nur Backups der letzten zwei Wochen vorhanden und die Zeit kann schon mal schnell überschritten werden, wenn der Angriff nicht sofort auffällt. Wer schaut schon täglich auf seine eigene Website?

Wie können Sie Angriffe verhindern?

Auch wenn es keine hundertprozentige Sicherheit gibt, können Sie das Risiko mit den folgenden Maßnahmen reduzieren:

  • Suchen Sie sich einen seriösen Hostinganbieter, der für die Sicherheit seiner Server sorgt.
  • Installieren Sie nur Plugins, die Sie wirklich benötigen.
  • Aktualisieren Sie WordPress samt Plugins so oft wie möglich. Das lässt sich teilweise auch automatisieren.
  • Benutzen Sie sichere Passwörter (min. 8 Zeichen mit Groß- und Kleinschreibung, Sonderzeichen, Ziffern).
  • Machen Sie Backups: Ich empfehle Ihnen, immer mal wieder außerplanmäßige Backups der Seite zu erstellen. So haben Sie eine möglicherweise veraltete, aber saubere Version, falls der Angriff länger zurückliegt als Ihr regulärer Backupturnus.
  • Installieren Sie ein Sicherheits-Plugin.

Oder Sie nutzen ein weniger beliebtes Content-Management-System. Typo3 ist beispielsweise ebenfalls ein Open-Source-Projekt, kann also kostenlos genutzt werden. Es arbeitet von der Idee her genau wie WordPress, wird aber deutlich seltener genutzt und ist damit für Hackerangriffe weniger interessant.