Auf der sicheren Seite! Userfreundlich und googleoptimiert durch SSL und Wordfence

Erst vor kur­zem hat­te Stef­fen Peschel beim 38. Unter­neh­mer­stamm­tisch Leip­zi­ger Wes­ten die Sicher­heit von Unter­neh­mens­web­sites in Bezug auf das all­seits belieb­te Word­Press the­ma­ti­siert. In den ver­gan­ge­nen Tagen haben wir selbst eini­ge Ver­än­de­run­gen an unse­rer Web­site vor­ge­nom­men. Haupt­säch­lich betrifft dies die Umstel­lung aller Ver­bin­dun­gen unse­res Web­ser­vers zu Ihnen, die jetzt SSL-ver­schlüs­selt sind. Das hat uns Zeit und Ner­ven gekos­tet, doch es gab gute Grün­de. Wir neh­men es zum Anlass, aus eige­ner Sicht von unse­ren Über­le­gun­gen zu berich­ten.

Server-Shutdown durch Spamschleuder

Grund dafür, die tech­ni­schen Sicher­heits­vor­keh­run­gen zu über­ar­bei­ten, waren eini­ge Mel­dun­gen sei­tens unse­res Web­hos­ters von Spam-Mails, die schein­bar von unse­rem Ser­ver aus­gin­gen. Word­Press ist nicht zuletzt des­we­gen ein belieb­tes Angriffs­ziel, weil es so weit ver­brei­tet ist. Web­site, die nicht regel­mä­ßig gepflegt wer­den, kön­nen so leicht als Spamschleu­der miss­braucht wer­den. Dar­auf­hin haben wir das Sys­tem ein­ge­hend geprüft und fest­ge­stellt, dass es kei­ne Sicher­heits­lü­cke auf unse­rem Ser­ver war. Aller­dings konn­te eine exter­ne Lücke in einem Plugin genutzt wer­den, sodass es zunächst nach einem gehack­ten Ser­ver aus­sah. Tat­säch­lich war unse­re Web­sei­te für kur­ze Zeit zur Sicher­heit abge­schal­tet.

WordPress und Sicherheit vor Hacker-Angriffen

Zwei Din­ge haben wir in Angriff genom­men, nach­dem unse­re Sei­te wie­der erreich­bar war: Zum einen haben wir für zusätz­li­che Abschir­mung vor Hacker-Angrif­fen auf unse­re Web­ser­ver gesorgt. Sind die­se ein­mal mit Schad­soft­ware kom­pro­mit­tiert, kann die Abhil­fe deut­lich mehr Zeit kos­ten, inklu­si­ve Sper­rung des Accounts und damit ein­her­ge­hend Ver­lust des Such­ma­schi­nen­rankings. Zum zwei­ten haben wir die gesam­te Sei­te auf SSL umge­stellt, erkenn­bar am https:// in der Adress­zei­le des Brow­sers. Das sorgt für eine Ver­schlüs­se­lung Ihrer Daten, sobald sie mit uns in Ver­bin­dung tre­ten. Nicht zuletzt emp­fiehlt auch Goog­le mitt­ler­wei­le allen Betrei­bern, gesi­cher­te Ver­bin­dun­gen anzu­bie­ten.

Fazit

Aus unse­rer Sicht ist es fahr­läs­sig, das eige­ne Sys­tem nicht regel­mä­ßig zu aktua­li­sie­ren. Zusätz­lich kann man auch mit weni­gen Hand­grif­fen wie der Instal­la­ti­on von Secu­ri­ty-Soft­ware vor­sor­gen, nicht all­zu leicht zum Ziel von Schad­soft­ware zu wer­den. Sei­ne Web­sei­te kann man mit Scan­nern wie Sucu­ri oder Virusto­tal auch auf Schad­soft­ware prü­fen. Will man dar­über hin­aus auch die Ver­bin­dung zu sei­nen Kun­den ver­schlüs­seln und für Goog­le opti­mie­ren, kann schon das kos­ten­freie SSL-Zer­ti­fi­kat Let’s encrypt aus­rei­chend sein.

Schlagworte: , ,

Von Moritz Schefers

Moritz Schefers ist Kommunikations-wissenschaftler und Medienstratege. Themenschwerpunkte hier im Blog: Marketing und Kommunikation.