Websites sind für Ihre Firma sehr wichtig, enthalten wichtige Daten und sind immer öfters
ein Angriffsziel von Hackern, die Ihre Website mit Schadsoftware infizieren um Spam und
Viren zu verteilen. Da Websites immer komplexer werden und oft mit einem CMS System
wie WordPress, Joomla, Contao usw. entwickelt werden, reicht eine bekannte Sicherheitslücke,
um Ihre Website zu hacken. Aus diesem Grunde einige wichtige Hinweise und Vorgehensweisen.
1. Die PHP-Funktion mail(), E-Mails senden ohne Passwort, ist bei Connect2000 deaktiviert.
E-Mails von der Website müssen per SMTP (z.B. phpmailer) versendet werden.
2. Jeder E-Mail-Account darf standardmäßig nur 200 E-Mails am Tag versenden, dieser Wert kann erhöht werden.
3. open_basdir ist auf das Verzeichnis der Website gesetzt,
so dass PHP-Scripte nur auf dieses eine Verzeichnis zugreifen können.
4. Dringendste Empfehlung ist der Schreibschutz für alle Verzeichnisse und Dateien für
Internet-User, Ausnahme sind Cache, Tmp und Download-Verzeichnisse.
Dann können Fehler im CMS nicht ausgenutzt werden, siehe Beitragslink unten.
Website-Aktualisierungen müssen dann manuell per FTP durchgeführt werden,
oder Sie erhalten einen Admin-Account, der alle Schreibrechte auf Ihr Webverzeichnis hat.
Dieser kleine Aufwand lohnt sich für die Sicherheit alle male, wie wir aus Erfahrung wissen.
Sehr guter und verständlicher Beitrag, welche Schwachstellen Websites haben und
wie man eine Website absichert: Dateirechte für Websites
WordPress All-In-One-Security Plug-In, welches wir auf der Connect2000 Website aktiviert haben.
5. Websites sollen komplett verschlüsselt werden.
Google setzt auf Sicherheit: SSL-Verschlüsselung wird zum Rankingfaktor
FTP-Zugang immer mit SSL/TLS absichern:
Nutzen Sie den Filezilla-Client, sollte der FTP Zugang wie folgt über explizites FTP mit TLS erfolgen.
Es wird ein Zertifikat von Connect2000 angezeigt, welchem Sie immer vertrauen können.
Website Login und Passwörter:
Jeder Login auf einer Website sollte mit SSL-Zertifikaten verschlüsselt sein,
da Hacker sonst schnell an das Passwort kommen und Ihre Website kompromittieren.