Sicherheit ist kein Zufall
Nach der Installation eines Content-Management-Systems wie WordPress, Joomla oder Drupal ist Ihre Website grundsätzlich funktionsbereit. Das bedeutet jedoch nicht automatisch, dass sie auch sicher konfiguriert ist. Unveränderte Standard-Einstellungen, schwache Passwörter oder veraltete Erweiterungen gehören zu den häufigsten Ursachen für erfolgreiche Angriffe auf Websites.
Cyberkriminelle suchen nicht gezielt nach einzelnen Webseiten, sondern scannen das Internet automatisiert nach bekannten Schwachstellen. Bereits wenige Minuten nach der Veröffentlichung einer neuen Website können erste automatisierte Zugriffsversuche stattfinden. Umso wichtiger ist es, die grundlegenden Sicherheitsmassnahmen direkt nach der Installation umzusetzen.
Dieser 5-Punkte-Check hilft Ihnen dabei, Ihre Website systematisch abzusichern – unabhängig davon, ob Sie WordPress, Joomla oder Drupal verwenden.
1. SSL erzwingen: Ihre Website konsequent über HTTPS ausliefern
Ein SSL/TLS-Zertifikat sorgt dafür, dass alle Daten zwischen Browser und Webserver verschlüsselt übertragen werden. Dies schützt Logins, Formulare, Kundendaten und andere sensible Informationen vor dem Mitlesen oder Manipulieren.
HTTPS ist heute nicht nur ein Sicherheitsstandard, sondern auch ein wichtiges Vertrauenssignal für Besucher und Suchmaschinen. Moderne Browser kennzeichnen unverschlüsselte Websites als „Nicht sicher“.
Stellen Sie daher sicher, dass Ihre Website ausschliesslich über HTTPS erreichbar ist und alle HTTP-Aufrufe automatisch auf HTTPS umgeleitet werden.
Im CURIAWEB Hosting können Sie den Status Ihres Zertifikats bequem über den AutoSSL-Status im cPanel überprüfen.
2. Standard-Admin ändern und starke Passwörter verwenden
Der Benutzername admin gehört zu den häufigsten Zielen automatisierter Login-Angriffe. Wenn Angreifer den Benutzernamen bereits kennen, müssen sie nur noch das Passwort erraten.
Verwenden Sie stattdessen einen individuellen Benutzernamen und ein starkes, einzigartiges Passwort. Ein sicheres Passwort sollte:
- mindestens 16 Zeichen lang sein,
- Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten,
- für keine andere Website verwendet werden.
Nutzen Sie nach Möglichkeit einen Passwortmanager. Weitere Tipps finden Sie in unserem Artikel über starke Passwörter.
3. Zwei-Faktor-Authentifizierung (2FA) aktivieren
Selbst ein starkes Passwort kann kompromittiert werden. Die Zwei-Faktor-Authentifizierung ergänzt Ihr Passwort um einen zweiten Sicherheitsfaktor, beispielsweise einen zeitbasierten Code aus einer Authenticator-App.
Dadurch genügt ein gestohlenes Passwort allein nicht mehr, um Zugriff auf Ihr Konto zu erhalten.
Aktivieren Sie 2FA wenn möglich für:
- den Administratorzugang Ihres CMS,
- Ihr CURIAWEB Kundencenter,
- E-Mail-Konten und weitere wichtige Dienste.
Eine Anleitung finden Sie hier: Zwei-Faktor-Authentifizierung für Ihr CURIAWEB Konto.
4. Unnötige Erweiterungen und Themes löschen
Jedes installierte Plugin, Modul, Theme oder Template erweitert die Angriffsfläche Ihrer Website. Auch deaktivierte Erweiterungen können Sicherheitslücken enthalten, wenn sie auf dem Server verbleiben.
Löschen Sie deshalb konsequent:
- nicht verwendete Plugins,
- deaktivierte Themes,
- Testmodule und Demo-Inhalte,
- veraltete oder nicht mehr gepflegte Erweiterungen.
Installieren Sie nur Erweiterungen aus vertrauenswürdigen Quellen und achten Sie darauf, dass diese regelmässig aktualisiert werden.
5. Automatisierte Backups einrichten und Wiederherstellung testen
Backups sind Ihre wichtigste Absicherung für den Ernstfall. Ob Hackerangriff, fehlerhaftes Update oder versehentlich gelöschte Dateien – mit einem aktuellen Backup können Sie Ihre Website schnell wiederherstellen.
Ein gutes Backup-Konzept umfasst:
- regelmässige automatische Sicherungen,
- die Sicherung von Dateien und Datenbanken,
- eine Aufbewahrung mehrerer Generationen,
- regelmässige Tests der Wiederherstellung.
Wenn Sie WordPress oder andere Anwendungen über Softaculous installiert haben, können Sie Ihre Sicherungen über die Backup-Funktionen von Softaculous verwalten.
Zusätzliche Empfehlungen für mehr Sicherheit
Die fünf oben genannten Punkte bilden eine solide Grundlage. Darüber hinaus empfehlen sich folgende Massnahmen:
- CMS, Plugins und Themes regelmässig aktualisieren
- Administrationsbereiche nur für berechtigte Benutzer freigeben
- Dateiberechtigungen korrekt setzen
- Sicherheitsprotokolle und Fehlermeldungen überwachen
- Nicht verwendete Benutzerkonten entfernen
Häufige Sicherheitsfehler
- Verwendung einfacher oder mehrfach genutzter Passwörter
- Keine Zwei-Faktor-Authentifizierung
- Veraltete Plugins oder Themes
- Fehlende oder ungetestete Backups
- Unverschlüsselte HTTP-Verbindungen
Fazit
WordPress, Joomla und Drupal sind leistungsfähige und bewährte CMS-Systeme. Ihre Sicherheit hängt jedoch entscheidend davon ab, wie sorgfältig sie konfiguriert und gepflegt werden.
Wenn Sie HTTPS erzwingen, sichere Zugangsdaten verwenden, Zwei-Faktor-Authentifizierung aktivieren, unnötige Erweiterungen entfernen und regelmässige Backups einrichten, schaffen Sie eine sehr solide Sicherheitsbasis für Ihre Website.
Mit diesem 5-Punkte-Check reduzieren Sie die häufigsten Risiken erheblich und sorgen dafür, dass Ihr Webprojekt von Anfang an professionell abgesichert ist.
