Modernes, sicheres und zeitgemäßes Webhosting
Heutiges Webhosting setzt 2 Aspekte in den Vordergrund: Sicherheit und Performance. In diesem Artikel gehen wir auf die von uns implementierten Sicherheitsfeatures ein.
Webhosting spielt normalerweise eine untergeordnete Rolle bei der Implementierung von Webprojekten. Für viele Menschen ist es zu kompliziert, zu technisch und zu abstrakt. Hosting ist für uns ein wichtiger Aspekt für den Erfolg des Webprojekts eines jeden Kunden.
Webanwendungen sind in den letzten Jahren enorm gewachsen und äußerst komplex geworden. Dies ist eng mit höheren Anforderungen an Verfügbarkeit, Datenschutz, Skalierbarkeit und Leistung verbunden. Daher ist es für uns sehr wichtig, Lösungen anzubieten, die für den besten Betrieb Ihrer Internetanwendungen sehr gut geeignet sind. Unser Ziel ist es nicht, als öffentlicher Hoster zu fungieren, sondern Ihnen im Rahmen eines gemeinsamen Webprojekts einen professionellen Hosting-Service anzubieten, der perfekt für Ihre Website oder Ihr Geschäft geeignet ist.
Das von uns in Deutschland genutzte Rechenzentrum erfüllt alle aktuellen Daten- und Brandschutzanforderungen und ist nach DIN ISO 27001 zertifiziert. Als professioneller Anbieter verlassen wir uns vollständig auf hochwertige Hardware von renommierten Markenherstellern, um sicherzustellen, dass wir Ihnen die beste Verfügbarkeit und Leistung bieten.
Wir können die von uns verwendeten Lösungen bei Bedarf problemlos erweitern, da der Erfolg der Website auch die Hosting-Anforderungen erhöht.
Standard Sicherheitsfeatures in unseren Webhosting Paketen
Ihre WordPress Webanwendung wird bei uns via PLESK bereitgestellt und mit dem WordPress-Toolkit ausgestattet.
Plesk ist die von der Firma Parallels neu entwickelte Benutzeroberfläche, mit der Sie Ihren Webspace komfortabel und sicher verwalten können. Mit Plesk behalten Sie die Ausnutzung Ihres Webspace und den Datentransfer auf für Ihre Internetseite im Blick. Es ermöglicht Ihnen E-Mail-Nutzer anzulegen, E-Mail-Weiterleitungen und Auto-Responder einzurichten. Weiterhin können Sie direkt hierüber Dateien auf Ihren Webspace hochladen, ganz ohne externes FTP-Programm, u.v.m…
Aktuell werden folgende mögliche Optionen für die Sicherheit Ihrer WordPress-Webanwendung aktiviert:
Während der Installation wird in WordPress ein Benutzer mit Administrationsrechten und dem Benutzernamen „admin“ erstellt. Da Benutzernamen in WordPress nicht geändert werden können, kann ein Brute-Force-Angriff auf das Passwort durchgeführt werden, um Administratorzugriff auf WordPress zu erhalten. Dank dieser Sicherheitsmaßnahme werden für WordPress-Administratorkonten Benutzernamen nach dem Zufallsprinzip generiert. Damit wird sichergestellt, dass kein Benutzer mit Administratorrechten den Benutzernamen „admin“ verwendet. Falls ein Benutzer mit dem Namen „admin“ gefunden wird, wird der Inhalt dem neuen Administratorkonto zugewiesen und das Konto „admin“ wird entfernt.
Mit dieser Sicherheitsmaßnahme wird öffentlicher Zugriff auf bestimmte Dateien verhindert, die sich auf Ihrer WordPress-Website befinden, z. B. Protokolldateien, Shellskripts und andere ausführbare Dateien. Durch den öffentlichen Zugriff auf diese Dateien könnte die Sicherheit Ihrer WordPress-Website kompromittiert werden.
Mit dieser Sicherheitsmaßnahme wird öffentlicher Zugriff auf bestimmte Dateien verhindert, die sensible Informationen wie Anmeldeinformationen enthalten. So werden Angreifer außerdem daran gehindert, Daten abzurufen, mit denen sie herausfinden können, welche Exploits für Ihre WordPress-Website anwendbar wären.
Mit dieser Sicherheitsmaßnahme werden Websites vor ungewünschten, bösartigen oder schädlichen Bots geschützt. Bots, die Ihre Website auf Schwachstellen scannen und sie mit ungewünschten Anfragen überladen, um eine Ressourcenüberlastung zu erreichen, werden blockiert. Wenn Sie Ihre Website über einen Onlinedienst auf Schwachstellen untersuchen, sollten Sie diese Sicherheitsmaßnahme vorübergehend deaktivieren, denn solche Bots könnten auch bei der Suche nach Sicherheitsproblemen eingesetzt werden.
Die WordPress-Datenbanktabellen haben in allen WordPress-Installationen standardmäßig denselben Namen. Wenn das Standardpräfix „wp_“ für den Namen von Datenbanktabellen verwendet wird, ist die gesamte WordPress-Datenbankstruktur einsehbar. Angreifer können so Daten mithilfe von böswilligen Skripts abrufen. Mit dieser Sicherheitsmaßnahme wird das Namenspräfix von Datenbanktabellen umbenannt, damit es nicht mehr „wp_“ lautet. Beachten Sie bitte, dass es zu Problemen kommen kann, wenn Sie Datenbankpräfixe für eine Website in der Produktionsumgebung ändern. Wir empfehlen dringend, Ihre Website zu sichern, bevor Sie die Präfixe bearbeiten.
Wenn eine kompromittierte PHP-Datei in einem der Cache-Verzeichnisse Ihrer Website gespeichert und ausgeführt wird, kann die ganze Website beeinträchtigt werden. Mit dieser Sicherheitsmaßnahme wird die Ausführung von PHP-Dateien in Cache-Verzeichnissen deaktiviert. So können diese Art von Exploits verhindert werden. Bei einigen Plugins oder Themes werden die Sicherheitsempfehlungen des WordPress-Sicherheitsteams jedoch womöglich ignoriert und ausführbare PHP-Dateien werden im Cache-Verzeichnis gespeichert. Sie müssen diese Sicherheitsmaßnahme in diesem Fall möglicherweise deaktivieren, damit das Plugin oder Theme funktioniert.
Mit dieser Sicherheitsmaßnahme wird die Unterstützung von nicht in WordPress verwendeten Skriptsprachen wie Python oder Perl deaktiviert. Damit wird sichergestellt, dass Ihre Website nicht kompromittiert wird, indem Schwachstellen in diesen Skriptsprachen ausgenutzt werden.
Mit dieser Sicherheitsmaßnahme wird verhindert, dass Ihre Bilder auf anderen Websites angezeigt, verlinkt oder eingebettet werden. Dieser Vorgang wird Hotlinking genannt. Dies kann die Bandbreite und die Verfügbarkeit Ihrer Website stark beeinflussen.
Wenn auf einer anderen WordPress-Website auf Ihren Artikel verwiesen wird, können über Pingbacks automatisch Kommentare unter Ihrem Beitrag gepostet werden. Pingbacks können für DDoS-Angriffe auf Ihre Website eingesetzt werden. Mit dieser Sicherheitsmaßnahme werden XML-RPC-Pingbacks für Ihre Website deaktiviert. Dies gilt rückwirkend auch für bereits erstellte Beiträge, für die Pingbacks aktiviert sind.
Diese Sicherheitsmaßnahme schaltet die Verkettung von Skripts aus, die im WordPress-Administrator-Panel ausgeführt werden, wodurch Ihre Website vor bestimmten DoS-Angriffen geschützt wird. Das Ausschalten der Verkettung von Skripts kann die Leistung des WordPress-Administrator-Panel etwas beeinträchtigen, Ihre WordPress-Website funktioniert für Besucher aber normalerweise ohne Veränderungen weiter.
Das Verzeichnis „wp-content\uploads“ enthält womöglich unsichere PHP-Dateien, mit denen Ihre Website übernommen und missbraucht werden kann. Über die Sicherheitsmaßnahme wird verhindert, dass PHP-Dateien im Verzeichnis „wp-content\uploads“ ausgeführt werden. Dabei wird die Serverkonfigurationsdatei (Apache, nginx für Linux oder web.config für Windows) angepasst. Beachten Sie jedoch, dass dies durch benutzerdefinierte Anweisungen in den Dateien „.htaccess“ oder „web.config“ überschrieben werden kann.
Das Verzeichnis „wp-includes“ enthält womöglich unsichere PHP-Dateien, mit denen Ihre Website übernommen und missbraucht werden kann. Über die Sicherheitsmaßnahme wird verhindert, dass PHP-Dateien im Verzeichnis „wp-includes“ ausgeführt werden. Dabei wird die Serverkonfigurationsdatei (Apache, nginx für Linux oder web.config für Windows) angepasst. Beachten Sie jedoch, dass dies durch benutzerdefinierte Anweisungen in den Dateien „.htaccess“ oder „web.config“ überschrieben werden kann.
Wenn die Verzeichnissuche aktiviert ist, können Hacker Informationen über Ihre Website erhalten. Dies kann eine Gefahr für die Sicherheit der Website darstellen. Standardmäßig ist die Verzeichnissuche in Plesk deaktiviert. Falls diese Funktion jedoch aktiviert ist, können Sie sie über diese Sicherheitsmaßnahme blockieren. Dabei wird die Serverkonfigurationsdatei (Apache, nginx für Linux oder web.config für Windows) angepasst. Beachten Sie jedoch, dass dies durch benutzerdefinierte Anweisungen in den Dateien „.htaccess“ oder „web.config“ überschrieben werden kann.
WordPress verwendet Sicherheitsschlüssel (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY und NONCE_KEY) zur optimalen Verschlüsselung der Informationen, die in den Cookies eines Benutzers aufbewahrt werden. Ein guter Sicherheitsschlüssel sollte lang (mindestens 60 Zeichen), nach dem Zufallsprinzip generiert und kompliziert sein. Über die Sicherheitsprüfung wird sichergestellt, dass Sicherheitsschlüssel eingerichtet wurden und sowohl Buchstaben als auch Zahlen enthalten.
Wenn Zugriffsberechtigungen für Dateien und Verzeichnisse nicht ausreichend abgesichert sind, können Hacker auf diese Dateien zugreifen und Ihre Website kompromittieren. Über diese Sicherheitsmaßnahme werden die Berechtigungen für die Datei „wp-config“ auf 600, für anderen Dateien auf 644 und für Verzeichnisse auf 755 festgelegt.
Der Autorensuche ist eine Art des Phishings, um Benutzer-IDs abzurufen. Das Ziel dabei ist, Benutzernamen von registrierten Benutzern (vor allem WordPress-Administratoren) herauszufinden und mithilfe eines Brute-Force-Angriffs über die Anmeldeseite auf die Website zuzugreifen. Mit dieser Sicherheitsmaßnahme kann verhindert werden, dass Benutzernamen im Rahmen dieser Angriffe abgerufen werden. Je nach der Permalink-Konfiguration auf Ihrer Website kann dies zur Folge haben, dass Besucher Seiten nicht aufrufen können, auf denen alle Artikel eines einzelnen Autors zu finden sind.
Wenn ein Angreifer Zugriff auf die HTACCESS- und HTPASSWD-Datei erhält, kann er verschiedene Exploits und Sicherheitsverletzung auf Ihrer Website auslösen. Mit dieser Sicherheitsmaßnahme wird sichergestellt, dass Angreifer nicht auf die HTACCESS- und HTPASSWD-Datei zugreifen können.
Wenn Sie die Dateibearbeitung in WordPress deaktivieren, können Quelldateien für Plugins und Themes in der WordPress-Oberfläche nicht mehr direkt bearbeitet werden. Mit dieser Maßnahme werden zusätzliche Sicherheitsebenen für die WordPress-Website hinzugefügt. Dies ist hilfreich, wenn eines der Administratorkonten kompromittiert ist. Dabei wird verhindert, dass über kompromittierte Konten bösartiger ausführbarer Code ganz einfach in Plugins und Themes eingefügt werden kann.
Die Datei „wp-config.php“ enthält vertrauliche Informationen wie Zugangsdaten für die Datenbank. Wenn allerdings aus irgendeinem Grund die Verarbeitung von PHP-Dateien durch den Webserver ausgeschaltet ist, können Hacker auf den Inhalt der Datei \’wp-config.php\‘ zugreifen. Durch diese Sicherheitsmaßnahme wird unbefugter Zugriff auf die Datei „wp-config.php“ verhindert. Dabei wird die Serverkonfigurationsdatei (Apache, nginx für Linux oder web.config für Windows) angepasst. Beachten Sie jedoch, dass dies durch benutzerdefinierte Anweisungen in den Dateien „.htaccess“ oder „web.config“ überschrieben werden kann.
Bei uns sind SSL/TLS-Zertifikate kostenlos.
Eine Webseite ohne gültiges Zertifikat zu betreiben,bedeutet in der Praxis, dass Sie leicht zum Ziel eines Hackers werden können, wenn Sie Daten oder Informationen auf einer Website ohne SSL eingeben. Dies kann mehrere Situationen umfassen, z. B. Überweisungsdetails oder allgemeine Informationen, die Sie zur Registrierung eines Angebots eingeben. In der Hacker-Sprache wird diese Art des „Blockierens“ normalerweise als „Man-in-the-Middle-Angriff“ bezeichnet. Der eigentliche Angriff kann viele Formen annehmen, aber die häufigste Methode ist folgende: Der Hacker platziert ein unentdecktes kleines Abhörprogramm auf dem Server, auf dem sich die Website befindet. Das Programm wartet im Hintergrund, bis der Besucher die Website besucht. Nach Eingabe dieser Daten aktiviert das Programm einen Mechanismus, der die Daten erfasst und an den Hacker sendet.
Wenn Sie jedoch eine mit SSL verschlüsselte Website besuchen, stellt der Browser eine Verbindung zum Webserver her, überprüft das SSL-Zertifikat und stellt eine verschlüsselte Verbindung zwischen dem Browser und dem Server her. Diese Verbindung ist sicher, sodass nur autorisiertes Personal auf Ihre Daten zugreifen kann. Diese Verbindung ist sofort und automatisch – als Benutzer der Website müssen Sie nichts tun.
Erweiterte Sicherheitsfeatures in unseren Webhosting Paketen
ImunifyAV – Maleware Scanner
ImunifyAV ist ein intelligentes AntiVirus-Werkzeug für Webseiten. Gleichzeitig kann ImunifyAV zur Internetsicherheit beitragen, denn es ist mit einem Monitoring-Tool ausgestattet, das die Webseitendaten überwacht. ImunifyAV gilt als die Lösung schlechthin, um automatisch Malware jeglicher Art zu identifizieren und auszuschalten, sowie die Internetseite zu bereinigen.
Alle bei uns gehosteten Webanwendungen werden via ImunifyAV überwacht.
ImunifyAV unterstützt u.a. Joomla!, Drupal, WordPress, Magento, und weitere statische HTML-Webseiten sowie PHP-basierte CMSs.
ImunifyAV bietet viele Vorteile und unterstützt ein sicheres Webhosting.
Web Application Firewall
Um Angriffe gegen Webanwendungen zu erkennen und zu verhindern, gleicht die Web Application Firewall (ModSecurity) alle Abfragen an Ihren Webserver und die zugehörigen Antworten vom Server mit ihren Regeln ab. Wenn diese Überprüfung erfolgreich verläuft, wird die HTTP-Anforderung an die Website weitergegeben, um den Inhalt abzurufen. Fällt die Überprüfung hingegen negativ aus, werden die vorher definierten Aktionen durchgeführt.
Jede eingehende HTTP-Anfrage und die zugehörige Antwort werden mit einem Regelsatz verglichen. Wenn diese Überprüfung erfolgreich verläuft, wird die HTTP-Anfrage an den Website-Content weitergegeben. Wenn die Überprüfung negativ ausfällt, wird das Ereignis protokolliert, eine Benachrichtigung gesendet und eine HTTP-Antwort mit Fehlercode gesendet.
Eine Web Application Firewall ist ein absolutes Must-Have für ein sicheres Webhosting.
Serverseitiger Virenschutz für Ihre E-Mail Konten
Schützen Sie Ihren E-Mail-Verkehr vor den Bedrohungen von heute – und morgen – mit Kaspersky Antivirus! Kaspersky Lab ist immer einer der Ersten, der reagiert und eine Lösung liefert, wenn eine neue Bedrohung auftaucht.
Der serverseitige Kaspersky Antivirus bietet folgende Vorteile:
- Untersucht den gesamten ein- und ausgehenden Mailverkehr auf dem Server.
- Entfernt schädlichen und potenziell gefährlichen Code aus E-Mail-Nachrichten.
- Aktualisiert automatisch Virensignaturen.
- Sie sind immer auf allen Endgeräten (Handy / Tablet / PC / Webmail) geschützt.
