Es gab eine Zeit, in der Menschen und Unternehmen Websites mit völliger Hingabe aufgerissen haben, in der Hoffnung, dass niemand den Inhalt hacken oder Malware auf der Website installieren würde.
Diese Tage liegen lange hinter uns, da aufgrund der Anzahl und Häufigkeit der Angriffe eine ständige Bedrohung besteht - und je erfolgreicher eine Website ist, desto größer ist die Gefahr.
Auf welche Weise können Sie Ihre Website (über Ihren Webhosting-Anbieter) schützen und wie können Sie die Wahrscheinlichkeit verringern, dass die Website gehackt und schändlich verändert wird?
Bevor wir jedoch dazu kommen, müssen wir die grundlegendste Sicherheitsstufe verstehen, die für viele gehackte Sites verantwortlich ist - auch für solche, die auf sicheren Servern gehostet werden.
- Wir haben hier die besten Webhosting-Services ausgewählt
- Dies sind die besten kostenlosen Webhosting-Unternehmen
- Und das sind derzeit die besten Website-Builder
Die erste Verteidigungslinie
Obwohl einige Unternehmen darauf bestehen, ihre eigenen Websites zu hosten, befinden sich die meisten Geschäftsdomänen auf sicheren Servern, die zu diesem Zweck unter Vertrag genommen wurden.
Wenn Sie das Hosting auswählen, können Sie definieren, auf welchem Betriebssystem das System ausgeführt wird (Windows Server, Linux oder Unix) und welche Sicherheitsprotokolle erforderlich sind.
Die Person oder Personen, die für die Verwaltung der Site verantwortlich sind, haben Administratorrechte zum Ändern der Dateistrukturen auf der Site und sonst niemand.
Dies kann von Anfang an schief gehen, wenn zu viele Personen die Details des Administratorkontos kennen und das Kennwort nicht regelmäßig geändert wird. Und es ist nur ein Keylogger erforderlich, um auf einem der Computer installiert zu werden, auf denen der Administrator ausgeführt wird, und das Kennwort wird genau den Personen angezeigt, die Sie am wenigsten haben möchten.
Aber um ehrlich zu sein, wie viele Leute arbeiten in einem Büro, in dem Passwörter regelmäßig mit Haftnotizen gespeichert werden? Zweifellos gingen dort ein paar Hände hoch.
Das Sichern dieser Passwörter ist die erste Verteidigungslinie, und ohne diese kann alles, was Sie sonst noch tun, leicht rückgängig gemacht werden.
Es gibt also zwei erste Lektionen, die über die Sicherheit von Websites gelernt werden müssen, nämlich:
- Es ist nur so gut wie das Netzwerk, in dem die Website erstellt wurde
- Die Sicherheit wird selten verbessert, indem Kennwörter notiert und an einem gut sichtbaren Ort platziert werden
Sicherheitsaudit
Das Durchführen eines Sicherheitsaudits an einem Standort ist eine relativ einfache Übung, die von IT-Mitarbeitern mithilfe einer Auswahl von Softwaretools durchgeführt werden kann. Alternativ können Sie einen Dritten damit beauftragen, den Scan für Sie durchzuführen, und eine Liste potenzieller Schwachstellen zur Stützung bereitstellen.
Wenn Sie einen Webhosting-Dienst kaufen, bündelt der Anbieter möglicherweise auch ein Sicherheitstool, um sicherzustellen, dass Sie von Anfang an einigermaßen sicher sind - normalerweise jedoch nicht fortlaufend.
Darüber hinaus bieten viele Anbieter ein Website-Sicherheitspaket an, in dem sie eine schnelle Reaktion auf Bedrohungen und die Abschwächung von Angriffen auf Dienstverweigerungen versprechen. Sofern Sie nicht nur einen kleinen persönlichen Blog haben, ist dies eine gute Investition.
Der Preis für diese Dienste ist nicht hoch, wenn man bedenkt, wie teuer es sein kann, eine Website für einen bestimmten Zeitraum offline zu haben, insbesondere für diejenigen, die E-Commerce anbieten.
Unabhängig von Ihrem Ansatz ist es wichtig, dass regelmäßig Sicherheitsüberprüfungen durchgeführt werden, um mögliche neue Bedrohungen zu identifizieren und sie sofort zu beheben.
Gemeinsame Bedenken
Die häufigsten Angriffsformen auf Websites sind:
- Distributed Denial of Service (DDoS) - Viele Remotecomputer, die normalerweise mit einem Trojaner infiziert sind, arbeiten gemeinsam mit anspruchsvollen Webseiten, bis die Server die Anzahl der Anforderungen nicht mehr verarbeiten können.
- Malware-Infektion - Irgendwie werden Dateien, die schändlichen Code enthalten, auf der Site platziert, um ihn auf jeden Besucher hochzuladen.
- SQL-Injektion - Schädlicher Code, der in ein Formular oder eine Eingabe eingefügt wurde und dann von der SQL-Datenbank auf dem Server ausgeführt wird. Dieser Code kann den Zugriff auf Kundendaten ermöglichen oder das Gerät für den externen Zugriff öffnen.
- Rohe Gewalt - Oft ermöglicht ein Fehler im Betriebssystem, dass ein wiederholter Angriff einen Reset verursacht, der einen Port für einen sekundären Angriff kurz öffnet. Angesichts der Komplexität moderner Betriebssysteme werden regelmäßig neue Sicherheitslücken gefunden.
- Cross-Site-Scripting - Eine Hacking-Methode, bei der ein Browser auf eine andere Site umgeleitet oder Inhalte auf der Opfer-Site ersetzt werden können, ohne dass der Besucher davon Kenntnis hat.
- Der "Zero Day" -Hack - Dies sind neue und schwer zu stoppende Angriffe, bei denen eine Schwäche verwendet wird, die nicht öffentlich bekannt ist. Die Zeit zwischen dem Erkennen und Patchen der Sicherheitsanfälligkeit ist kritisch und erfordert möglicherweise, dass einige Serverfunktionen vorübergehend deaktiviert werden, bis ein Fix gefunden wird.
Schwächen durch Design
Während viele Websites mit den folgenden aktiven Funktionen arbeiten, sind sie aus zahlreichen Gründen die Ursache vieler Sicherheitsprobleme:
- Formen - Alles, was Eingaben auf dem Server verarbeitet, ist ein potenzieller Einstiegspunkt für bösartigen Code und kann auch zum Extrahieren von Benutzerdaten ausgenutzt werden.
- Foren - Das Platzieren von Skripten und das Weiterleiten von Benutzern zu Websites, auf denen Malware verbreitet wird, sind nur einige der potenziellen Probleme bei benutzergenerierten Foren.
- Social Media-Anmeldung - Die Verwendung Ihres Facebook- oder Google-Kontos zum Anmelden auf einer Website ist schnell und einfach. Es kann jedoch auch vorkommen, dass diese Konten gehackt werden.
- E-Commerce - Kriminalität folgt dem Geld, und Hacker werden viel mehr Aufwand betreiben, um eine E-Commerce-Website zu hacken.
- Unregulierter Inhalt - Wenn Sie Nachrichten und Artikel von anderen Websites beziehen, sind Sie von deren Sicherheitsmaßnahmen abhängig, unabhängig davon, um welche es sich handelt.
Das Entfernen all dieser Funktionen von einer Website würde sie natürlich zu einem weniger einladenden Ort für Besucher machen. Es muss ein Urteil darüber abgegeben werden, welche Elemente Sie verwenden möchten und wie Sie die damit verbundenen möglichen Sicherheitsprobleme abmildern möchten.
Angemessener Schutz
Es gibt nur einen Weg, um sicherzustellen, dass Ihre Website niemals gehackt wird, und zwar keinen. Letztendlich ist die Website-Sicherheit eine Maßnahme zur Schadensbegrenzung, bei der Sie genug tun, um den Versuch, Ihre Website zu hacken, weniger lohnenswert zu machen und sicherzustellen, dass die Wiederherstellung nach einem Vorfall schneller erfolgt.
Das genaue Maß an Sicherheitsanstrengungen ist eine Entscheidung, mit der sich alle Unternehmen auseinandersetzen müssen. Für diejenigen, die am Online-Verkauf beteiligt sind, muss die Verpflichtung jedoch 100% betragen, die persönlichen und finanziellen Daten derjenigen zu sichern, die mit Ihnen handeln.
Zahlreiche Unternehmen und Organisationen haben alle Kundendaten gestohlen und anschließend für Betrugsfälle mit Identitätsdiebstahl verwendet, was teure Folgen hat.
Unabhängig davon, welches Schutz- und Überwachungsniveau Sie wählen, muss es für den jeweiligen Zweck geeignet sein. Bedenken Sie schließlich, dass eine bessere Sicherheit als erforderlich nur minimale Kosten verursacht, eine geringere Sicherheit jedoch enorme rechtliche und kommerzielle Auswirkungen haben kann.
