Eine Website abzusichern muss nicht kompliziert sein. Einige grundlegende Maßnahmen decken die allermeisten gängigen Bedrohungen ab. Schauen wir uns drei Ebenen an, die bei keinem Projekt fehlen sollten — und die Sie zum Großteil von einem guten Hosting kostenlos bekommen.
Ein SSL-Zertifikat als Selbstverständlichkeit
Eine verschlüsselte Verbindung über HTTPS ist heute Standard, kein Premium. Gutes Hosting bietet ein kostenloses Let's-Encrypt-Zertifikat mit automatischer Erneuerung. Ohne SSL bestrafen Browser und Suchmaschinen Sie, und Besucher verlieren das Vertrauen. Für ein Zertifikat müssen Sie in der Regel nicht zahlen — ein kostenpflichtiges ergibt nur in speziellen Fällen Sinn, etwa bei großen Firmen mit Premium-Garantie.
Automatische Backups
Ein Backup, das Sie manuell starten müssen, fehlt früher oder später. Suchen Sie ein Hosting mit täglichen automatischen Backups und vor allem mit schneller Wiederherstellung per Klick. Testen Sie die Wiederherstellung, bevor Sie sie ernsthaft brauchen — ein Backup, aus dem Sie nie wiederhergestellt haben, ist kein Backup. Wie oft Sie je nach Website-Typ sichern und wie Sie die Wiederherstellung prüfen, behandeln wir im Artikel Wie oft eine Website sichern.
Die 3-2-1-Regel
Halten Sie bei wichtigen Projekten drei Kopien der Daten auf zwei verschiedenen Medien und eine außerhalb des Hostings. Auch wenn der Anbieter Backups erstellt, schützt Sie eine eigene Kopie vor einem Ausfall auf seiner Seite. Sicherer ist zudem ein Speicher, den ein Angreifer nicht mit denselben Zugangsdaten wie die Website erreicht — sonst könnte er Website und Backup auf einmal löschen.
Zwei-Faktor-Authentifizierung
Ein Passwort allein reicht nicht. Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) überall, wo es geht — in der Hosting-Administration, in WordPress und bei den Domains. Sie ist die wirksamste Verteidigung gegen den Missbrauch eines geleakten Passworts und dauert ein paar Minuten. Zusammen mit einem starken, einzigartigen Passwort (idealerweise aus einem Passwort-Manager) schließen Sie damit die Tür für die überwältigende Mehrheit automatisierter Angriffe, die genau auf schwache und wiederverwendete Passwörter setzen.
Firewall und Angriffsschutz
Über die drei Grundebenen hinaus lohnt es sich zu wissen, was das Hosting auf seiner Seite tut. Ein guter Anbieter betreibt eine Firewall, die gängige bösartige Anfragen herausfiltert, und oft DDoS-Schutz gegen Angriffe, die die Website mit Traffic überfluten wollen. Bei WordPress hilft zudem ein Security-Plugin, das Logins überwacht und wiederholte Passwort-Rateversuche blockiert. Keine dieser Maßnahmen ist schwer umzusetzen, und zusammen machen sie die Website zu einem deutlich härteren Ziel.
Updates sind die halbe Sicherheit
Die meisten erfolgreichen Angriffe nutzen keinen genialen Trick, sondern ein altbekanntes Loch in einem nicht aktualisierten System, Theme oder Plugin. Regelmäßige Updates sind daher eine unscheinbare, aber vielleicht wirksamste Schutzebene. Das gilt doppelt, wenn Sie einen eigenen Server betreiben: Beim Shared Hosting kümmert sich der Anbieter um die Serversicherheit und Sie sich um die Website selbst, während bei einem unmanaged VPS Updates und Firewall ganz bei Ihnen liegen, wie wir im Artikel Managed vs unmanaged VPS behandeln.
Personenbezogene Daten und DSGVO
Wenn Ihre Website irgendwelche Daten von Besuchern sammelt — Registrierungen, Bestellungen, ein Kontaktformular — verarbeiten Sie personenbezogene Daten und die DSGVO gilt für Sie. In der Praxis heißt das nicht nur eine verschlüsselte Verbindung und sicheren Speicher, sondern auch zu wissen, wo die Daten physisch liegen. Ein Teil der Anbieter hält die Server innerhalb der EU, was die Bürokratie rund um den Datenschutz vereinfacht. Vergessen Sie nicht, dass dieselben Regeln für Backups gelten — auch sie sind eine Kopie personenbezogener Daten und gehören auf sicheren Speicher.
Die konkreten Abläufe rund ums Sichern, einschließlich wie oft und wie Sie die Wiederherstellung prüfen, behandeln wir im eigenen Artikel Wie oft eine Website sichern. Sicherheit und Backups hängen eng zusammen — ein gutes Backup ist das letzte Sicherheitsnetz, wenn alles andere versagt. Kein Schutz ist hundertprozentig, und genau deshalb ist die Fähigkeit, schnell aus einem Backup wiederherzustellen, das, was darüber entscheidet, ob aus einem Vorfall nur eine kurze Unannehmlichkeit oder Tage verlorener Arbeit werden.