Zurück zum Blog

Saynovo-Blog

Kleinunternehmen-Website absichern - auch ohne IT-Team

Kleinunternehmen-Website absichern - auch ohne IT-Team

Kleinunternehmen-Website absichern

Wenn Sie ein Sanitärunternehmen, eine Zahnarztpraxis oder ein Yogastudio betreiben, klingt "Website-Sicherheit" wahrscheinlich nach einer Aufgabe für jemand anderen. Das ist sie nicht. Die Website eines Kleinunternehmens abzusichern gehört zu den wirkungsvollsten Stunden, die Sie investieren können - denn eine gehackte oder ausgefallene Website kostet Sie still und leise täglich Anfragen. Die gute Nachricht: Sie müssen keine technischen Kenntnisse haben, und Sie müssen nicht alles auf einmal tun. Sie müssen die richtigen Dinge in der richtigen Reihenfolge erledigen.

Dieser Leitfaden verzichtet auf vage Ratschläge und gibt Ihnen einen klar verständlichen Plan. Etwa die Hälfte davon gilt unabhängig davon, wer Ihre Website aufbaut oder hostet.

Warum jemand überhaupt eine lokale Unternehmenswebsite hacken würde

Ein verbreiteter Irrglaube hält Inhaber vom Handeln ab: "Wir sind zu klein, um ein Ziel zu sein." Genau das ist der Grund, warum kleine Websites getroffen werden. Die meisten Angriffe kommen nicht von einer Person, die Sie gezielt ausgewählt hat. Es sind automatisierte Bots, die Millionen von Websites nach bekannten Schwachstellen durchsuchen und dort eindringen, wo sie eine finden.

Was Angreifer tatsächlich von einer Kleinunternehmens-Website wollen:

  • Versteckte Spam-Seiten einzuschleusen, damit Suchmaschinen ihre Inhalte über Ihre Domain-Reputation ranken
  • Ihre Besucher still und leise auf Betrugs- oder Malware-Seiten umzuleiten
  • Ihren Server zu nutzen, um Spam zu versenden oder andere Websites anzugreifen
  • Kundendaten, die Ihre Formulare sammeln, zu stehlen - wie Namen, E-Mails und Telefonnummern
  • Ihre Website zu sperren und Geld zu verlangen, um sie zurückzugeben

Zwei dieser Folgen schaden Ihnen selbst, wenn Sie den Einbruch nie bemerken. Wenn Google Malware oder Spam auf Ihrer Website erkennt, kann es Besuchern einen roten Warnbildschirm zeigen und Sie aus den Ergebnissen werfen. Von dieser Sperrliste zu kommen, kann Tage dauern - Tage, die Sie sich in Ihrer Hochsaison nicht leisten können.

Das eigentliche Risiko für ein lokales Unternehmen ist also meistens kein Drama. Es ist stiller Schaden: verlorene Rankings, ein erschreckender Browser-Hinweis und Telefonate, die ausbleiben.

Die richtige Reihenfolge zum Absichern Ihrer Kleinunternehmen-Website

Sicherheitsleitfäden lieben es, Ihnen eine Liste mit zehn Punkten zu geben, ohne das Wichtigste zuerst zu nennen. Das lässt beschäftigte Inhaber eingefroren zurück. Nachfolgend die Reihenfolge, die ich empfehlen würde, beginnend mit den Änderungen, die die häufigsten Angriffe mit dem geringsten Aufwand blockieren.

1. Zuerst jeden Login absichern

Die meisten Einbrüche in kleine Websites sind nicht clever. Jemand errät oder recycelt ein schwaches Passwort. Beheben Sie das vor allem anderen.

  • Verwenden Sie eine lange Passphrase, kein kurzes Passwort. Drei oder vier zufällige, zusammenhanglose Wörter - mindestens sechzehn Zeichen - sind stärker und leichter zu tippen als etwas wie "P@ss1".
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung für Ihr Website-Admin, Ihr Hosting-Konto, Ihren Domain-Registrar und die E-Mail, die an all das gebunden ist. Zwei-Faktor bedeutet: ein Code aus einer App auf Ihrem Smartphone zusätzlich zum Passwort. Wenn ein Angreifer Ihr Passwort stiehlt, kommt er trotzdem nicht rein.
  • Geben Sie jedem Mitarbeitenden seinen eigenen Login. Teilen Sie niemals einen Admin-Account. Wenn jemand geht, können Sie nur dessen Zugang entfernen, ohne das Passwort aller zu ändern.
  • Gewähren Sie jeweils nur die benötigten Zugriffsrechte. Ihr Teilzeit-Redakteur braucht keine vollen Administrator-Rechte.

Wenn Sie diese Woche nur eine Sache tun, richten Sie die Zwei-Faktor-Authentifizierung für das E-Mail-Konto ein, mit dem Sie alle anderen Passwörter zurücksetzen können. Dieses Postfach ist der Hauptschlüssel zu allem.

2. Stellen Sie sicher, dass die gesamte Website über HTTPS lädt

HTTPS ist das Schloss in der Browser-Leiste. Es verschlüsselt Daten, die zwischen Ihrem Besucher und Ihrer Website übertragen werden, sodass niemand in einem Café-WLAN mitlesen kann. Es wird von einem SSL-Zertifikat bereitgestellt.

Zwei Dinge, die die meisten Leitfäden weglassen:

  • Fast jeder seriöse Hosting-Anbieter bietet heute ein kostenloses Zertifikat an, sodass Sie selten eines kaufen müssen. Prüfen Sie im Dashboard Ihres Hosting-Anbieters nach "SSL" oder "TLS" und aktivieren Sie es.
  • Das Aktivieren reicht nicht aus. Sie möchten, dass die gesamte Website auf HTTPS umgestellt wird, damit jeder, der die einfache Adresse eingibt, auf die sichere Version weitergeleitet wird. Besuchen Sie Ihre eigene Website und bestätigen Sie, dass das Schloss auf jeder Seite erscheint - auch auf Ihren Kontakt- und Buchungsseiten.

3. Halten Sie die Software hinter Ihrer Website aktuell

Wenn Ihre Website auf einer Plattform wie WordPress mit Plugins und Themes läuft, ist veraltete Software die größte Einfallstür für Angreifer. Bekannte Sicherheitslücken werden veröffentlicht, und Bots beginnen sofort, nach Websites zu suchen, die sie nicht geschlossen haben.

  • Aktivieren Sie automatische Updates für die Kernplattform und für Plugins, wo Ihr Hosting-Anbieter es zulässt.
  • Löschen Sie Plugins und Themes, die Sie nicht nutzen. Jedes, das Sie behalten, ist ein weiteres Schloss, das versagen kann - selbst wenn es deaktiviert ist.
  • Seien Sie bei der Installation wählerisch. Bevorzugen Sie Plugins, die beliebt und kürzlich aktualisiert wurden, gegenüber veralteten mit einer Handvoll Nutzer.

4. Sichern Sie Ihre Website an einem separaten Ort

Backups verhindern keinen Angriff. Sie verwandeln eine Katastrophe in eine Unannehmlichkeit. Wenn Ihre Website beschädigt oder gesperrt wird, können Sie dank eines aktuellen sauberen Backups auf den Zustand von gestern zurückrollen, statt von Grund auf neu aufzubauen.

  • Planen Sie mindestens wöchentliche automatische Backups, und täglich, wenn Sie häufig veröffentlichen oder Buchungen entgegennehmen.
  • Speichern Sie eine Kopie außerhalb des Servers, auf dem Ihre Website läuft. Ein Backup auf demselben Rechner, der gehackt wurde, hilft wenig.
  • Testen Sie eine Wiederherstellung einmal. Ein Backup, das Sie nie wiederhergestellt haben, ist eine Vermutung, kein Sicherheitsnetz.

5. Schützen Sie Ihren Domainnamen, nicht nur Ihre Website

Das ist die Ebene, die fast jeder Leitfaden für Kleinunternehmen übersieht, und die zu einigen der schlimmsten Folgen führt. Ihr Domainname ist die Adresse, die Kunden eintippen, und der Anker Ihrer Suchrankings.

  • Aktivieren Sie die Zwei-Faktor-Authentifizierung bei Ihrem Domain-Registrar, dem Unternehmen, bei dem Sie den Namen gekauft haben.
  • Aktivieren Sie die "Domain-Sperre" oder "Transfer-Sperre" Ihres Registrars, damit niemand Ihre Domain ohne Ihre Genehmigung auf ein anderes Konto übertragen kann.
  • Stellen Sie die Domain auf automatische Verlängerung ein und hinterlegen Sie eine gültige Karte. Eine versehentlich abgelaufene Domain ist ein erschreckend häufiger Weg, auf dem Unternehmen ihre Website und E-Mail über Nacht verlieren.
  • Halten Sie die Kontakt-E-Mail für die Domain aktuell, und stellen Sie sicher, dass es keine Adresse ist, die auf derselben Website oder demselben System liegt, das ausfallen könnte.

6. Formular-Spam und Missbrauch eindämmen

Wenn Sie ein Kontakt- oder Angebots-Formular haben, werden Bots es finden und fluten. Über den Ärger hinaus suchen manche dieser Anfragen nach Schwachstellen.

  • Fügen Sie Ihren Formularen einen Spam-Filter oder eine stille Überprüfung hinzu. Moderne Optionen laufen im Hintergrund und lassen echte Kunden selten Rätsel lösen.
  • Begrenzen Sie, wie oft jemand versuchen kann, sich anzumelden, bevor er verlangsamt oder gesperrt wird. Das blockiert das in Schritt eins beschriebene automatisierte Passwort-Raten.
  • Moderieren Sie alle Kommentare oder Bewertungen, damit eingefügte Spam-Links nie auf Ihren Seiten live gehen.

7. Lassen Sie Ihr Hosting und Ihre Plattform die Last tragen

Sie müssen nicht jede Verteidigung von Hand aufbauen. Ein leistungsfähiger Hosting-Anbieter oder ein Firewall-Dienst kann vor Ihrer Website stehen und einen großen Teil der Angriffe blockieren, bevor sie Sie erreichen.

  • Wählen Sie einen Hosting-Anbieter, der offen über Sicherheit spricht: automatische Backups, eine Web Application Firewall, Malware-Scanning und schnelles Patching.
  • Eine Web Application Firewall prüft eingehende Anfragen und verwirft die offensichtlich bösartigen. Viele Hosting-Anbieter und Content Delivery Networks sind damit ausgestattet.
  • Stellen Sie eine einfache Frage, bevor Sie sich anmelden: Wenn meine Website gehackt wird, was tun Sie, um mir bei der Wiederherstellung zu helfen? Ein Hosting-Anbieter, der diese Antwort liefern kann, ist mehr wert als ein günstigerer, der mit den Schultern zuckt.

Was zu tun ist, wenn Ihre Website bereits gehackt wurde

Die meisten Leitfäden tun so, als würde das nie passieren. Doch es passiert, und Panik macht es schlimmer. Handeln Sie in dieser Reihenfolge.

  • Ändern Sie sofort Ihre Admin-, Hosting- und E-Mail-Passwörter und aktivieren Sie die Zwei-Faktor-Authentifizierung, falls sie noch nicht aktiv war.
  • Nehmen Sie die Website offline oder in den Wartungsmodus, damit Besucher nicht Malware ausgesetzt werden, während Sie aufräumen.
  • Stellen Sie aus einem sauberen Backup wieder her, das vor dem Einbruch erstellt wurde, falls vorhanden.
  • Scannen Sie auf Malware und entfernen Sie alle Dateien oder Konten, die Sie nicht erkennen.
  • Wenn Google die Website markiert hat, fordern Sie über die Google Search Console eine Überprüfung an, sobald sie sauber ist, damit die Warnung verschwindet und Ihre Rankings sich erholen.
  • Finden Sie dann heraus, wie die Eindringlinge hereingekommen sind - meist ein veraltetes Plugin oder ein gestohlenes Passwort - und schließen Sie diese Tür, damit es nicht nächste Woche wieder passiert.

Wenn das alles über Ihre Möglichkeiten geht, ist das der Moment, Ihren Hosting-Anbieter oder einen Fachmann zu rufen.

Eine einfache Sicherheitsroutine, die Sie wirklich einhalten

Sicherheit ist kein einmaliges Projekt. Es ist eine leichte Gewohnheit. Hier ist ein realistischer Rhythmus für einen Inhaber ohne Reservezeit.

Jeden Monat:

  • Bestätigen Sie, dass das Schloss noch auf Ihren wichtigsten Seiten erscheint
  • Prüfen Sie, ob Backups ausgeführt wurden und Updates angewendet wurden
  • Überfliegen Sie Ihre Benutzerliste und entfernen Sie Personen, die gegangen sind

Einmal im Jahr:

  • Setzen Sie Ihre wichtigen Passwörter zurück und bestätigen Sie, dass die Zwei-Faktor-Authentifizierung überall noch aktiv ist
  • Bestätigen Sie, dass Ihre Domain gesperrt und auf automatische Verlängerung eingestellt ist
  • Fragen Sie Ihren Hosting-Anbieter, was sich in der letzten Zeit in ihrer Sicherheit geändert hat

Drucken Sie das aus, hängen Sie es an die Wand, und Sie sind den meisten kleinen Unternehmen im Internet voraus.

Wo eine verwaltete Plattform passt

Jeder der obigen Schritte kann manuell durchgeführt werden, aber das ehrliche Problem für viele Inhaber ist nicht mangelndes Wissen, sondern mangelnde Zeit. Das ist der Punkt, an dem es hilft, die technische Basis einer Plattform zu überlassen. Saynovo baut einem lokalen Unternehmen eine echte Website aus seinem Google Unternehmensprofil und betreibt sie auf einer Infrastruktur, bei der Zertifikat, Updates, Backups und Firewall für Sie verwaltet werden - kein Plugin zu patchen, kein Verlängerungsdatum zu verpassen. Sie beschreiben Änderungen in einfacher Sprache und die Website aktualisiert sich, während die Sicherheitspflege aus Ihren Händen und von Ihrer To-Do-Liste bleibt.

Das Fazit

Sie wissen jetzt, wie Sie eine Kleinunternehmen-Website ohne technischen Hintergrund absichern: Logins mit starken Passphrasen und Zwei-Faktor sichern, HTTPS überall erzwingen, Software aktuell halten, off-site sichern, die Domain selbst schützen, Formular-Spam eindämmen und sich auf einen Hosting-Anbieter verlassen, der echte Sicherheitsarbeit leistet. Erledigen Sie die ersten beiden diese Woche, und Sie haben bereits die Türen geschlossen, die die meisten Angreifer nutzen. Ob Sie es selbst verwalten oder an einen verwalteten Dienst übergeben - das Ziel ist dasselbe: eine Website, die online bleibt, ihre Rankings behält und einen Kunden nie mit einem Warnbildschirm begrüßt.

Weiterführende Quellen:

  • Business.org: How to Secure a Website
  • Wix: How to secure a website
  • GoDaddy: Small business website security best practices
  • LegalZoom: The Complete Guide to Creating a Secure Business Website