Ihre Website wurde gehackt – Alle Rankings sind weg!

von Timo Abid

Sollte Websecurity Bestandteil der SEO-Optimierung sein?

Sicher hat Websecurity nicht direkt etwas mit der Suchmaschinenoptimierung zu tun. Wenn allerdings von jetzt auf gleich alle Rankings auf Google verschwinden, weil die eigene Website Opfer eines Hackangriffs wurde, dann ist es in jedem Fall relevant für SEOs.

Daher sollte in Zusammenarbeit mit der Geschäftsführerebene und der IT einen Plan ausgearbeitet werden, der einen Hack so unwahrscheinlich wie möglich machen lässt. Außerdem sollte es einen Plan geben, was passieren muss, um die eigene Website wiederherzustellen, sollte es tatsächlich zu einem Hack kommen.

Wenn der Hacker die eigene Website hackt, dann fallen Rankings und Onlineumsätze.

Wenn der Hacker die eigene Website hackt, dann fallen Rankings und Onlineumsätze.

gestiegen ist (Vergleich dazu: von 2015 auf 2016 gab es einen Anstieg um 32 %). Im März 2019 bestätigt Google, dass sie besser darin geworden sind, gehackte Seiten aus den Suchergebnissen zu verbannen, Hacks aber weiterhin ein riesiges Problem darstellen.

Immerhin schaffen es 84 % der Webmaster wieder zurück in die Suchergebnisse, wenn sie einen Antrag auf erneute Prüfung stellen. Allerdings erhielten 61 % Prozent der Website-Betreiber gar keine Info darüber, dass sie gehackt wurden, weil sie ihre Website noch gar nicht in der Google Search Console registriert hatten.

Was tun, wenn die Website gehackt wurde?

Aufräumen, Hacks entfernen, alte Backups einspielen, am besten Server wechseln und dann den Antrag auf erneute Prüfung stellen.

Das ist einfach, wenn man ein Backup hat. Dennoch ist das wohl kaum eine zufriedenstellende Lösung. Viel besser ist, Hack bereits im Vorfeld zu vermeiden.

So sieht es aus, wenn die Website gehackt wurde.

So sieht es aus, wenn die Website gehackt wurde.

Mit den folgenden Tipps zur Hackingprävention steigern Sie die Wahrscheinlichkeit, dass Ihnen dies erst garnicht passiert:

Regelmäßig Backups erstellen

Das größte Problem nach einem Hack? Es lässt sich wahrscheinlich nicht zu 100 % rekonstruieren, was genau der Hacker alles gemacht hat. Das bedeutet, dass eine teilweise Wiederherstellung der Daten möglicherweise den Hack nicht vollständig entfernt und ein Virus oder ähnliches nach einer gewissen Zeit wieder auflebt. Deswegen ist es unumgänglich ein vollständiges Backup einzuspielen. Dazu muss man dieses erstmal haben.

 

Besonders wichtig ist es, dass das Backup nicht auf dem gleichen System gespeichert ist. Denn hat der Hacker erstmal Zugriff auf das System UND das Backup, ist Hopfen und Malz verloren.

Idealerweise loggt sich der Backupserver in die Produktionsmaschine ein, macht dort ein Backup und speichert es bei sich. Der umgekehrte Fall ist nicht sicher. Wenn also der zu schützende Server A das Backup selbst erstellt und es dann auf dem Backupserver B speichert, dann hat ein Hacker potenziell Zugriff darauf.

Der Backupserver B sichert die Daten von Server A und speichert sie bei sich selbst, so dass ein Hacker von Server A nicht auch noch an die Backupdaten gelangt. Wichtig hier: Server B hat Zugriff auf Server A und nicht umgekehrt.

Der Backupserver B sichert die Daten von Server A und speichert sie bei sich selbst, so dass ein Hacker von Server A nicht auch noch an die Backupdaten gelangt. Wichtig hier: Server B hat Zugriff auf Server A und nicht umgekehrt.

Software ständig aktualisieren

Hacker nutzen Fehler in verschiedenen Softwareprogrammen, um überhaupt erst in ein System einbrechen zu können. Es liegt auf der Hand, dass ausnahmslos alle Software stets auf dem neusten Stand sein sollte. Hier ist es wahrscheinlich am besten, dies direkt vom Hoster machen zu lassen.

Dieser hat in der Regel am moisten Expertise und verfolgt auch täglich, welche Software aktualisiert werden muss. Wer seinen eigenen Server betreibt, muss sich darum selbst kümmern. Mögliche Ersparnisse was Hostingpakete betrifft, stehen oft nicht im Verhältnis zum Zeitaufwand, der benötigt wird, um stets auf dem Laufenden zu bleiben.

Die meisten Hacks passieren übrigens, weil Webmaster ihre CM-Systeme nicht aktualisieren. Wordpress und Co aber auch all deren Plugins, Themes, Skripte etc. müssen am besten täglich einmal auf Updates überprüft werden.

Überfluss entfernen

Jedes Programm, Addon, Skript etc., was auf einem Server installiert ist, bietet eventuell eine Angriffsfläche – kann als Angriffstüre für einen Hack dienen. Was nicht gebraucht wird, dass sollte in jedem Fall vom Server verschwinden. Halten Sie Ihre Server schlank.

Vorsicht bei Plugins

Für fast alle CMS und Shoppingsoftware gibt es eine unüberschaubare Menge an Erweiterungen und Themes. Es ist sehr wichtig zu bekenden, dass die meisten dieser Zusatzpakete nicht von den Hauptherstellern stammen. Jeder darf zum Beispiel bei WordPress selbst Plugins anbieten. Egal wie erfahren diese Entwickler bei der Softwareprogrammierung im Bezug auf die Absicherung gegen Hacks sind.

Sichere Protokolle zum Login verwenden

Wer sich heute immer noch über FTP auf seinem Webspace einloggt, steht mit beiden Beinen auf Glatteis. SSH und SFTP sind auf jeden Fall vorzuziehen. Wenn der Server das nicht unterstützen sollte, dann ist ein Gespräch mit dem Support angebracht. All modernen Programme zum Upload von Dateien auf den Webspace unterstützen mittlerweile auch sichere Protokolle. Auf dem Mac ist Cyberduck (kostenlos) zu empfehlen und für Windows gibt es WinSCP (kostenlos).

Externe Überwachung

Auch wenn Google früher oder später auf einen Hack hinweist, so ist es für die SEO-Abteilung natürlich der absolute Horror. Wer tatsächlich gehackt wurde, der möchte lieber, dass eigene Tools darauf hinweisen, damit Google es erst gar nicht merkt. Anbieter findet man bei einer Suche nach [website monitoring].

Passwörter müssen sicher sein

Es mag banal klingen. Aber einfach zu erratende Passwörter sind ein Riesengrund für Hacks. Allen voran die Tatsache, dass Menschen dazu neigen, überall das gleiche Passwort zu verwenden. Das ist ein absolutes No-Go. Warum? Wenn man sich mal überlegt, wie unglaublich oft heutzutage gigantische Leaks vorkommen.

Tools wie LastPass machen es jedoch so einfach, für jede Website ein anderes Passwort zu generieren und trotzdem muss sich der User nur eines merken. Die stringente Nutzung eines solchen Tools würde jedem dieser 2,2 Milliarden Accountinhaber sicher guttun und den Hackern das Leben ganz schön erschweren.

Zwei-Faktor-Athentifizierung nutzen

Für wichtige Website-Konten ist auch eine Zwei-Faktor-Athentifizierung sehr zu empfehlen. Dies bedeutet schlicht, dass bei einer Anmeldung am System zusätzlich zum Passwort auch noch eine Bestätigung per SMS, APP oder vergleichbar erfolgen muss. Eine Accountübernahme, die sehr oft der Grund für einen Websitehack sein kann, ist damit für den Hacker fast unmöglich.

Dateiberechtigungen korrekt setzen

Wengisten auf Linuxsystemen ist empfehlenswert die Dateiberechtigung für Dateien auf 644 und Order auf 755 zu setzen. So können Hacker, die allgemeinen Zugriff auf ein System erlangen wenigstens nicht einfach so die eigenen Dateien abändern.

In der Praxis tauchen immer wieder Probleme auf, wenn Webmaster die Dateien in ihrem Webordner auf 777 setzen. Jetzt können Angreifer, die zum Beispiel in PHP-Skripte einhacken, solche Dateien manipulieren. Auch so eine augenscheinlich unschuldige „Vereinfachung“ ist schon Tausenden von Webmastern zum Verhängnis geworden.

Das CMS absichern

Jedes Mainstream-CMS hat eine Seite, die erklärt, wie sich die Software ideal absichern lässt. Hier ein unvollständige Übersicht:

Für weitere CMS einfach nach dem Namen des CMS und Sicherheit suchen.

Social Engineering

Soziale Manipulation (auch Social Hacking) ist wahrscheinlich die gefährlichste Art des Hackings. Hierbei geht es darum, dass Hacker mit ihren Opfern eine tatsächliche Beziehung aufbauen. Sie spionieren das private Umfeld ihrer Opfer aus, geben sich als andere Personen aus, verwenden psychologische Manipulationstechniken (zum Beispiel in Phishing-Mails), um an Passwörter und andere private Informationen zu kommen.

Hacker nutzen psychologische Manipulationstechniken gerne am Telefon, um ihren Opfern ein Passwort und andere Informationen zu entlocken.

Hacker nutzen psychologische Manipulationstechniken gerne am Telefon, um ihren Opfern ein Passwort und andere Informationen zu entlocken.

Wie schützt man sich dagegen? Alle Mitarbeiter in einem Unternehmen, die potenziell Zugriff auf sicherheitsrelevante Informationen erhalten, müssen diesbezüglich – am besten regelmäßig – geschult werden. Denn wenn schon ein Teenager mittels Social Engineerings an das Mailkontos eines CIA-Direktors kommen kann, wie sicher sind dann wohl unsere Konten?

Im Blog auf Micromata gibt es gute Tipps, wie man sich sonst noch gegen diese Form des Angriffs schützen kann. Aber es versteht sich von selbst:

  • Niemals Passwörter an andere geben.
  • Kreditkartennummern oder sonstige Bankinformationen niemals an Unbekannte geben.
  • Auch andere private Informationen, wie Geburtstage, Name der Haustiere etc. können theoretisch gegen einen verwendet werden.

Noch mehr Tipps: 20 Tipps gegen Social Engineering

Passwort-Fragen

Noch einen Tipp zum Schluss: Passwort-Fragen zum Wiederherstellen von Passwörtern, wie sie viele Dienste verwenden, bieten eine einfach Möglichkeit, ein Konto zu übernehmen. Wer erinnert sich noch an den „Sarah Palin email hack“?

Es gilt solche Passwort-Fragen immer als weitere Passwörter zu behandeln. Wenn die Passwort-Frage also lautet: „Wie lautet der Name ihres ersten Haustieres?“ Dann ist die Antwort darauf nicht tatsächlich der Name des ersten Haustieres, denn das könnte ja auch jemand herausfinden, sondern zum Beispiel „wPZdTGSuj4PDMYm50utGQii4BGh“.

Fazit

Sicherheitsexperten auf der ganzen Welt sind sich übrigens einig: Ein Hack lässt sich niemals zu 100 % verhindern. Das ginge nur bei einem Computer, der überhaupt nicht an das Netz angeschlossen ist. Durch die richtigen Verhaltensweisen lässt sich die Wahrscheinlichkeit eines Einbruchs jedoch stark reduzieren. Dieser Beitrag hat dazu viele Tipps und Techniken vorgestellt. Bitte nutzen Sie diese bleiben sicher!

Quellen und hilfreiche Seiten

Bildquelle:

www.unsplash.com © Shahadat Shemul

Zurück

© 2019 seo2b.de. All Rights Reserved. — Designed by seo2b - Onlinemarketing Agentur im Raum Trier, Luxemburg und Saarbrücken