Sicherheits-Checkliste für Webmaster

In den vergangenen Monaten hat es einen deutlichen Anstieg an kompromittierten Websites gegeben. Wir erklären es uns damit, dass nun verstärkt Websites gehackt werden, um Malware in Umlauf zu bringen oder Suchergebnisse zu spammen. Wie dem auch sei, jetzt ist jedenfalls ein guter Zeitpunkt für uns, um ein paar hilfreiche Sicherheitstipps für Webmaster anzusprechen.

Obligatorischer Disclaimer: Auch wenn wir hier viele Tipps und Links zusammengestellt haben und wir Webmaster ermuntern wollen, diese "bitte zu Hause nachzumachen", so s tellt diese Liste in keiner Hinsicht eine erschöpfende Aufzählung dar. Wir hoffen, dass sie nützlich ist, aber wir empfehlen auch, weitergehende Nachforschungen anzustellen.

• Prüft die Server-Konfiguration

Auf der Website von Apache werden einige Sicherheitstipps zur Konfiguration zur Verfügung gestellt, und Microsoft bietet für IIS einige Ressourcen im Tech Center . In diesen Tipps geht es unter anderem um Zugriffsrechte für Verzeichnisse, Server Side Includes, Authentifizierung und Verschlüsselung.

• H altet Software-Updates und Patches auf dem neuesten Stand

Viele Webmaster tappen in die Falle, ein Forum oder einen Blog zu installieren und sich dann nicht mehr darum zu kümmern. So wie ihr ein Auto zur Inspektion bringt, ist es ebenso wichtig sicherzustellen, dass ihr euch die neusten Updates für alle installierten Programme besorgt. Braucht ihr dazu weitere Tipps? Der Blogger Mark Blair hat ein paar hilfreiche Ideen , so könnt ihr z . B. eine Liste der auf eurer Website verwendeten Software und Plug-Ins erstellen, um den Überblick über die Versionen und Updates zu behalte n. Er empfiehlt auch, auf den Websites der Anbieter erhältliche Feeds zu abonnieren.

• Schaut regelmäßig in die Log Files

Diese Angewohnheit bringt viele Vorteile, und einer davon ist die zusätzliche Sicherheit. Es könnte euch manchmal euch überraschen, was ihr dort findet.

• Testet eure Website auf verbreitete Schwachstellen

Vermeidet Verzeichnisse mit offenen Zugriffsrechten. Das ist etwa so, als ob ihr die Haustür weit offen lasst und eine Fußmatte auslegt mit der Aufschrift: "Kommt rein und bedient euch!". Prüft auch die Anfälligkeit für XSS (cross-site scripting) und SQL Injectio ns . Zudem solltet ihr gute Passwörter wählen. Das Googlemail Hilfecenter bietet ein paar gute Richtlinien , die grundsätzlich hilfreich bei der Passwortwahl sind.

• Seid achtsam bei Anwendungen von Drittanbietern

Wenn ihr in Erwägung zieht, eine Applikation von einem Drittanbieter zu installieren, wie etwa Widgets, Counter, Werbenetzwerke ode r Webstat-Services, schaut sie euch vorher genau an. Auch wenn es viele hervorragende Content Provider im Web gibt, lassen sich solche Applikationen auch ausnutzen, etwa durch gefährliche Scripte, die auf eure Besucher abzielen. Stellt sicher, dass die Applikatio n aus einer seriösen Quelle stammt. Hat der Anbieter eine überzeugende Website mit Support und Kontaktinformationen? Haben andere Webmaster Erfahrung damit gemacht?

• Verwendet Goo gle site: search, u m zu sehen, was indexiert wird

Dies ist vielleicht sehr nahe liegend, wird aber auch oft übersehen. Es ist immer eine gute Idee, einen Test durchzuführen, um zu überprüfen, ob alles noch normal aussieht. Wenn ihr euch noch nicht so gut mit dem site: search-Operator au skennt: Damit könnt ihr die Suche auf eine bestimmte Site beschränken. Zum Beispiel erhaltet ihr durch die Suche " site:googleblog.blogspot.com " nur die Resultate vom offiziellen Google Blog.

• Nutzt die Google Webmaster-Tools

Sie sind kostenlos und umfassen alle möglichen nützlichen Tools wie den Assistent für den Website-Status und die Möglichkeit zur Einstellung, wie der Googlebot eure Site crawlen soll. Ein weiteres nettes Feature ist, dass euch die Webmaster Konsole detaillierte Informationen anzeigt , wenn Google glaubt, dass eure Website gehacked wurde oder Malware enthält; beispielsweise werden konkret betroffene URLs angezeigt. Sobald ihr glaubt, dass die Malware entfernt wurde, könnt ihr dann über die Webmaster-Too ls eine Neubewertung beant ragen.

• Nutzt sichere Protokolle

Für den Datentransfer solltet ihr SSH und SFT P benutzen anstatt Plaintext-Protokolle wie Telne t oder FTP. SSH und SFTP verwenden Verschlüsselungen und sind daher viel sicherer. Seht euch für diesen und andere nützliche Tipps zum Säubern und Sichern eurer Website doch einmal StopBadware.org an.

• Lest den Google Online Security Blog

Hier gibt es großartigen Content zum Thema Online-Sicherheit mit Links zu vielen nützlichen Ressourcen. Es ist sicher eine gute Idee, den Blog zu euren Google Reader Feeds hinzuzufügen! :)

• Support von eurem Webhost

Viele Webhosts haben einen nützlichen und ansprechb aren Support. Wenn ihr den Verdacht habt, dass etwas nicht stimmt, oder wenn ihr einfach sicher sein wollt, Bescheid zu wissen, besucht deren Website oder ruft sie an.

Wir hoffen, dass ihr diese Tipps hilfreich findet. Wenn jemand von euch selbst ein paar gute Tipps hat, nutzt doch die Kommentarfunktion unten oder beginnt eine Diskussion im Google Diskussionsforum für Webmaster .
Gebt Hackern keine Chance!

Original

Post von Nathan Johns (Übersetzung von Manuel, Search Quality)