5 Massnahmen zum Schutz Deiner Webseite vor Malware und Trojanern

Nachdem ich vor kurzem von heute auf morgen erfahren musste, was es heisst, wenn die eigene Webseite von Google als gefährlich eingestuft wird, weil ich auf meinem Webserver ein Malware-Problem habe, möchte ich Dir ein paar Tipps geben, wie Du Deine Webseite besser schützen kannst, damit Dir das so nicht passiert.

Was war passiert?

Von einem auf den anderen Moment teilten mir einige meiner Blogleser mit, dass meine Webseite als gefährlich eingestuft wird, es könnte sich um ein Viren-, Trojaner- oder Malware-Problem handeln. Also machte ich einen kompletten Scan all meiner Daten einmal auf meinem Mac sowie auf meinem Webserver.

Ergebnis: Ich konnte nichts finden. Alle Daten waren nach mehrfachen Scans sauber.

Dann ging ich zu Google Webmaster Tools, um meine Seite mal checken zu lassen. Und siehe da, Google hat zwei Blogartikel von mir als gefährlich eingestuft. Diese Artikel dienten scheinbar der Übertragung von Malware auf andere Rechner. Interessant dabei war für mich, dass diese beiden Artikel mit die meistgelesenen Artikel auf meiner Seite waren.

Google forderte mich nun auf, das Problem kurzfristig zu lösen, ansonsten laufe ich Gefahr, dass meine Domain komplett gesperrt werden muss.

Was nun?

Als erstes kontaktierte ich meinen Webhoster GoDaddy in Amerika. Ich bat um Mithilfe, das Problem zu lokalisieren und mir dabei zu helfen, das Problem zu lösen. Als Antwort bekam ich eine vorgefertigte Email mit dem Inhalt, dass ich meine Passwörter zum Blog, FTP-Account und Datenbank ändern solle. Mehr könne man für mich nicht tun. Danke nochmals an GoDaddy für diese überaus hilfreiche Unterstützung.

Was tat ich darauf?

Schritt 1: Ich änderte sämtliche Passwörter zu meinem Blog. Das war das Passwort zur Admin-Oberfläche meines WordPress Blogs, die Zugangsdaten des FTP-Accounts sowie die Zugangsdaten zur MySQL-Datenbank.

Schritt 2: Ich entfernte die beiden von Google identifizierten Artikel, in der Hoffnung, damit das Problem zu lösen.

Doch das Ergebnis war unverändert. Meine Seite wurde weiterhin als gefährlich eingestuft. Das Problem war nicht gelöst.

Schritt 3: Nun blieb mir nur noch ein Ausweg: Ich musste meine Seite auf einem neuen Webserver komplett neu aufsetzen.

Also legte ich mir bei dem Schweizer Webhoster hoststar.ch ein neues Hostingpaket zu, änderte die Nameserver und richtete zunächst mal eine Infoseite ein, mit der Info, dass ich derzeit einen Serverumzug vollziehe und in Kürze wieder wie gewohnt online bin.

Ich hatte mir den Serverumzug erheblich einfacher und schneller vorgestellt. Es hat mich dann doch einige Tage gekostet, die alten durch Backup gesicherten Daten via FTP auf den neuen Server zu übertragen, alle Plugins wieder einzurichten, alle Einstellungen wieder vorzunehmen, usw.

Nachdem dann alles neu eingerichtet war, konnte ich endlich wieder online gehen.

Ich habe dann mittels Google Webmaster Tools eine erneute Überprüfung meiner Webseite gestartet. Meine Webseite wurde nun wieder als sauber eingestuft und das Problem war endlich gelöst. Alles in allem hat es mich 14 Tage gekostet, ich habe für einige Tage den kompletten Traffic auf meine Seite verloren und seit Neuaufschaltung erst wieder 75% des alten Traffics erreicht. Also habe ich demnach leider auch einige Besucher komplett verloren.

Damit Dir das so nicht passiert, habe ich noch ein paar Tipps, wie Du Deine Webseite gleich von Anfang an gegen Malware-Attacken besser sichern kannst.

5 Vorbeugende Massnahmen zum Schutz Deiner Webseite

1) Regelmässig die Daten auf dem eigenen Webserver abscannen

Als Tool zum Scan der eigenen Webseite kann ich Dir folgendes empfehlen: Wepawet Scan ToolDas wurde mir freundlicherweise von meinem neuen Webhoster empfohlen. Nach Aufruf der Seite trägst Du die Domain Deiner Webseite (inkl. http://) ein und startest den Check.

Als Ergebnis sollte dann solch eine Meldung kommen. Dann ist Deine Seite sauber. Ansonsten zeigt Dir das Tool auf, wo ggf. Probleme vorliegen.

2) Webseitencheck mit Google Webmaster Tools

Gehe zunächst auf die Seite Google Webmaster Tools. Nachdem Du Dich angemeldet hast, kannst Du Deine Webseite hinzufügen und dann im Dashboard links in der Navigation unter “Diagnose” einen Malware-Check zu Deiner Webseite vornehmen.

3) Sichere Passwörter 

Auch wenn es einfacher ist, immer wieder das gleiche Passwort zu nutzen, was man kennt und sich merken kann, so ist es leider zu unsicher vor Hackern, Malware und Trojanern. Achte darauf, dass Deine Passwörter nicht Deinen Namen oder den Namen der Webseite enthalten. Am sichersten sind die Passwörter, wenn Du sie mit Sonderzeichen (£$!+:_) mischst, grosse und kleine Buchstaben und Zahlen verwendest.

Ich habe mittlerweile meine Passwörter als nichts sagende Buchstaben-Zahlen-und-Sonderzeichen-Kolonne erstellt und nutze 1Password als sehr gutes Tool zum Einloggen in meine Seiten.

4) Regelmässige Backups

Gerade bei diesem Serverumzug habe ich gemerkt, wie wichtig Backups sind. Hätte ich diese nicht regelmässig erstellt, dann hätte ich manche Inhalte heute nicht mehr reproduzieren können. Beim Backup sind zwei Bereiche wichtig:

a) Backup der WordPress Datenbank – Hier sind alle Inhalte (Artikel, Einstellungen, etc.) Deines Blogs abgespeichert.

b) Backup aller Dateien auf dem Webserver. Mittels FTP habe ich regelmässig sämtliche Daten vom Webserver extern gesichert. So konnte ich durch Aufspielen dieses Backups die meisten Dateien reproduzieren.

Es gibt verschiedene WordPress Plugins zum Backup, aber ich empfehle Dir auch nochmals Backups von Hand vorzunehmen. Ich bin doch recht vorsichtig geworden und doppelt hält ja auch besser.

5) WordPress Software und Plugins regelmässig updaten

Bitte achte darauf, dass Du Deine WordPress Software und alle Plugins immer auf dem aktuellen Stand hast und bei verfügbaren Updates diese dann auch zeitnah durchführst. Häufig sind in den Updates Sicherheitslücken geschlossen worden, von denen Du erst profitierst, wenn das Update gemacht wurde.

Zum Schluss möchte ich noch zwei sehr gute Artikel zum Thema “Wie schütze ich meine Webseite” empfehlen. Diese enthalten weitere sehr wertvolle Informationen und Tipps.

a) Sicherheit in WordPress – 10 Schritte zum Schutz des Admin-Bereichs - Das ist ein sehr guter Artikel von Sergej Müller

b) WordPress Security – Präsentation von Brad Williams (WebDevStudios.com) – Danke dafür an Reto Stuber, der mir diese sehr gute Präsentation empfohlen hatte.

Ich hoffe, dass Dir dieser Artikel weitergeholfen hat. Wenn Du gute Tools zum Schutz der Webseite kennst, dann lass es uns doch mit Deinem Kommentar wissen.

Beste Grüsse
Daniel Kilian

 

, , , , , , , ,

1 Kommentar zu “5 Massnahmen zum Schutz Deiner Webseite vor Malware und Trojanern”

  1. Julian Says:

    Danke für den informativen und detaillierten Beitrag, sehr wichtiges Thema! Diese Scan Tools finde ich auch ganz gut und kann sie nur weiterempfehlen.
    Grüße,
    Julian

    Reply

Kommentar hinterlassen