defense.at Onlinemagazin

Sicherheit bei Internetseiten - Auf was muss ich achten!

Sicherheit im Internet wird immer wichtiger. wie vermeiden sie vertrauliche Daten im Inder der Suchmaschine und was tun, wenn es bereits zu spät ist.

Wir haben an anderer Stelle ja bereits kurz über die Sicherheit von Webseiten bzw. Webapplikationen geschrieben. Aufgrund der zahlreichen Reaktionen möchten wir dieses Thema nun etwas vertiefen.

SSL für Webseiten

Zum Zeitpunkt des letzten Artikels wurde das Thema SSL noch so gehandhabt, dass eine SSL-Verschlüsselung nur für Shops oder Seiten, auf denen sensible Daten erfasst werden, empfohlen wurde. Das hat sich aber mittlerweile geändert. Seit Inkrafttreten der DSGVO, aber auch seit die gängigen Browser vor unverschlüsselten Webseiten warnen, ist die Empfehlung ganz klar immer SSL einzusetzen. Dazu benötigen sie ein Zertifikat und müssen das Protokoll von http auf https umstellen (lassen). Zertifikat waren früher teuer und mussten jährlich kostenpflichtig erneuert werden. Für reine Informationsseiten kann man aber auch durchaus kostenlose Zertifikate (bspw. Lets Encrypt) nutzen.

Wichtig, auch diese Zertifikate müssen regelmäßig erneuert bzw. verlängert werden. Hilfreich ist es hier, wenn der Hoster dazu eine einfache Routine anbietet.

Da User und auch die Suchmaschinen die alten http-urls ihrer Webseite gespeichert haben, ist es wichtig, diese urls auf die neuen https-urls weiterzuleiten.

Sensible Seiten aus dem Suchindex halten

Bei vielen Webseiten gibt es Unterseiten, welche nicht unbedingt über eine Google Suche gefunden werden sollen. Sei es, weil interne Firmeninformationen, sensible Daten oder nur Inhalte darauf sind, welche für die Allgemeinheit nicht interessant sind. Solche Seiten sollten unbedingt aus dem Suchindex draußen bleiben. Dies erreichen Sie am einfachsten, indem sie die betreffende Seite mit noindex kennzeichnen. Theoretisch könnte man zwar Verzeichnisse für den Bot einer Suchmaschine auch über die robots.txt sperren. (Seriöse Bots halten sich an die Empfehlungen der robots.txt) Aber dabei kann passieren, dass die url zur Seite im Suchindex landet und nur der Inhalt der Seite nicht. Neugierige Personen bringt man so aber möglicherweise auf dumme Ideen.

Besser ist daher das noindex und bitte nicht beides! Also sperre in der robots.txt und noindex. Wenn der bot über die robots.txt ausgesperrt ist, sieht er das noindex in der Seite gar nicht mehr.

Seiten aus dem Suchindex entfernen

Sind bereits Seiten im Suchindex gelandet, die man nicht drin haben will, können solche Seiten mit der Google Search Console wieder entfernt werden. Wichtig ist hier zu wissen, dass diese Entfernung nur temporär ist. Während dessen muss unbedingt Sorge getragen werden, dass die betroffene Seite nicht wieder irrtümlich im Index landet.

Seiten noch besser schützen

Natürlich ist ein noindex kein Schutz gegen unerwünschten Zugriff von außen. Diesen erreichen Sie nur, wenn den Abruf der Seite mit einem Passwort schützen.

Für Passwortabfragen gelten wieder die üblichen Sicherheitsvorkehrungen. Das Passwort nicht im Klartext speichern, Regeln hinsichtlich der Passwortlänge, Ziffern, Sonderzeichen vorgeben.

Wer ganz auf Nummer sicher gehen möchte und das automatische Ausprobieren des Passworts unterbinden möchte, kann auf Captchas zurückgreifen, oder Techniken einsetzen, bei der einige Zeit gewartet werden muss, bis nach einem Fehlversuch erneut das Passwort eingegeben werden darf, oder nur eine kleine Anzahl an Versuchen erlaubt ist.

Schutz von Dateien

Bei Dateien ist es noch etwas schwieriger, diese vor fremden Zugriff zu schützen. Denn Dateien liegen meist in einem Verzeichnis am Webspace. Selbst wenn nun ein Passwort auf der Webseite den unrechtmäßigen Download verhindert, kann die Datei direkt über den Pfad am Webspace heruntergeladen werden, wenn man den Speicherort kennt oder errät. So war vor kurzem ein „Hacker“ in den Medien, der sensible Dateien unrechtmäßig heruntergeladen hat, weil die Dateien durchnummeriert waren und er die Nummer immer nur hochzählen musste.

Schutz der gesamten Webseite

Alle Vorsichtsmaßnahmen nützen aber nichts, wenn das CMS der Webseite gehackt wird. Oftmals bleibt das vom Betreiber lange Zeit unbemerkt.

Setzen sie daher auf ein Content Management System, bei dem es auch Support gibt und spielen Sie regelmäßig Updates und Patches des CMS ein.

Wer bei Anliegen zur Sicherheit von Internetseiten Unterstützung braucht, kann sich zum Beispiel im Rahmen eines SEO Consultings bei ABAKUS beraten lassen.

Wer Hilfe bei der Auswahl des passenden CMS, bzw. der Wartung desselben benötigt, bitte um Kontaktaufnahme.