Homepage-Sicherheit

[Vouchlp]

Hallo zusammen,

da ich mir demnächst eine Homepage erstellen möchte (Joomla/Wordpress und ein Forum, wie phpbb oder ähnlich, wahrscheinlich) wollte ich mal nachfragen, wie es mit der Sicherheit aussieht? Was sollte man alles beachten, wenn man logischerweise eine Malware-, Viren-, Trojaner- und Schadlink-freie (etc.) Homepage betreiben möchte?

Wie kann ich das alles prüfen lassen? Gibt es dafür nicht eventuell ein Addon/Plugin/Programm, welches man auf die Homepage einbinden kann und eventuell auch ein Symbol einblenden lassen, dass die Homepage geprüft und sicher ist durch xyz? Oder wird diese Sicherheit vom Webhoster übernommen, abgesehen von sicheren Passwörtern?

Tut mir Leid für diese Fragen, aber ich bin Recht laienhaft, was die Sicherheit von Homepages angeht.

Über eine Antwort würde ich mich sehr freuen! Danke schön!

Viele Grüße


PS: Tut mir Leid, wenn dies im falschen Forum ist, aber ich weiß nicht genau, wo ich das reinpacken sollte?

 

[Madman1209]

Hi,

- je weniger Plugins eingebunden sind desto weniger Sicherheitslücken gibt es im Normalfall
- immer darauf achten, dass jede Software, die zum Einsatz kommt, auch aktuell ist
- regelmäßige Backups machen
- Augen und Ohren aufhalten, gerade im Internet
- sichere Passwörter wählen, "12345" oder "admin" ist nicht sicher
- die Sicherheit der Software, auf die du keinen Einfluss hast, wird im Normalfall vom Hoster übernommen, alles von dir installierte ist deines
- wenn du schon selbst sagst "laienhaft" dann mach es lieber so dass jemand nochmal drüber schaut der sich auskennt

VG,
Mad

 

[MidwayCV41]

Tut mir Leid für diese Fragen, aber ich bin Recht laienhaft, was die Sicherheit von Homepages angeht.

Für ein CMS entscheiden und dann Google bemühen! Und als Laie sollte man keine HP betreiben. Lerne erstmal die Materie kennen und dann kannst du darüber nach denken eine HP Live zu stellen.

 

[oiisamiio]

Ich nutze Joomla schon seit paar Jahren auf diversen Seiten.

Joomla Standard ohne Plugins/Extensions ist schon sehr sicher. Für die Sicherheits-Newsletter anmelden.

Wie Madman schrieb um so mehr Plugins/Extensions umso höher das Risiko.

Außerdem einen Webhoster wählen, der Wert auf Webserverupdates legt (PHP/SQL).

 

[Daaron]

da ich mir demnächst eine Homepage erstellen möchte (Joomla/Wordpress und ein Forum, wie phpbb oder ähnlich, wahrscheinlich) wollte ich mal nachfragen, wie es mit der Sicherheit aussieht? Was sollte man alles beachten, wenn man logischerweise eine Malware-, Viren-, Trojaner- und Schadlink-freie (etc.) Homepage betreiben möchte?

Von Wordpress würde ich grundsätzlich schon einmal abraten. Der zu Grunde liegende Code ist einfach nur grauenhaft und spuckt quasi im Monatszyklus wieder eine neue schwere Sicherheitslücke aus, einfach weil von Anfang an extrem unsauber gearbeitet wurde.
Joomla... schon sicherer. Da tauchen aber auch gelegentlich mal Lücken auf... aber deutlich weniger als bei WP.

Und als Laie sollte man keine HP betreiben.

Warum nicht? Wenn man sich in ein CMS eingearbeitet hat kann man da nicht mehr sehr viel falsch machen. Das Problem ist nur, dass Anfänger sich immer mit WP befassen und dann eben diesen Mist für das allein seelig machende halten, nur weil sie es zufällig eben schnell bedienen konnten... die eklatanten Fehler im Programm kennen sie nicht und wollen sie nicht kennen.
Was ein Laie auf keinen Fall hin bekommt:
- ein wirklich gutes Design
- eigene Erweiterungen schreiben
- ein eigenes Design in Eigenregie auch auf das System anwenden
- Suchmaschinenoptimierung betreiben

Für eine nutzlose Privat-Homepage kann man schon als Laie rumfrickeln. Erst wenn es darum geht, mit der Seite auch Geld zu verdienen MUSS man erst einmal Geld ausgeben und Profis anheuern, die einem das System optimal aufsetzen und in der Folgezeit betreuen.

Joomla Standard ohne Plugins/Extensions ist schon sehr sicher. Für die Sicherheits-Newsletter anmelden.

Wie Madman schrieb um so mehr Plugins/Extensions umso höher das Risiko.

Bei Wordpress gilt interessanter Weise: Installiere die richtigen Erweiterungen, oder dein System ist offen wie ein Scheunentor.
Und Joomla hat in den letzten 2 Jahren eben auch schon seinen Teil übler Lücken gehabt, vor allem die eine Lücke im Content-Editor war wirklich fies. Ein wirkliches Problem bei Joomla ist aber nur, dass viele Leute immer noch mit ner 1.5 durchs Netz gurken, anstatt endlich auf 2.5 oder 3.x zu migrieren.

Außerdem einen Webhoster wählen, der Wert auf Webserverupdates legt (PHP/SQL).

Darauf hat man kaum Einfluss. Es dürfte schon verdammt schwer werden überhaupt rauszufinden, wie da die Update-Zyklen sind.
Man kann aber getrost davon ausgehen, dass sich die großen Hoster alle um ihre Systeme kümmern. Die könnten es sich gar nicht leisten, sich mit heruntergelassenen Hosen erwischt zu werden.

 

[Madman1209]

Hi,

Von Wordpress würde ich grundsätzlich schon einmal abraten

Ich kenne deine Meinung zu Wordpress, aber wenn jemand grundsätzlich von etwas abrät darf die Objektivität doch ein wenig bezweifelt werden, vor allem wenn man die über 60 Million Wordpress-Seiten im Hinterkopf hat, die momentan im Umlauf sind. "Geisterfahrer"-Prinzip...

Wordpress hat durchaus seine Vorzüge, Joomla ist nicht der Weisheit letzer Schluss und beide Systeme sind nicht frei von Fehlern und Sicherheitslücken. Gerade aufgrund der Menge der WP-Installationen kann man im Normalfall auf gute Unterstützung und Bugfixes hoffen. Natürlich erhöht die Populariät immer auch die Angriffe auf ein System, einfach weil es dadurch lukrativer wird.

Verteufeln sollte man beide Systeme nicht grundsätzlich und anschauen sollte man sich sowieso beides.

VG,
Mad

 

[Daaron]

Der IE6 hat in China einen Marktanteil von >25%. Das lässt den IE6 noch lange nicht zu einem guten Produkt werden. Soviel zum Geisterfahrer. Ich bin nicht grundsätzlich dagegen, nur weil ich eben eine Mindermeinung einnehmen will. Ich bin dagegen, weil ich den Code gesehen habe.

Wordpress hat eine so hohe Verbreitung, weil es EINFACH ist. Das kann man ihm nicht abstreiten. Es ist für Blogs das beste freie System und für klassische Seiten ist es ebenfalls noch recht leicht zu handhaben. Nur diese Einfachheit sorgt für den Marktanteil, zusammen mit Unmengen uninformierter Mund zu Mund - Propaganda.
Der typische WP-User hat einfach keinen Plan davon, was in seinem System vorgeht. Er hat nie einen Blick in den Code geworfen. Er weiß nicht, wo da überall was grundlegend falsch läuft. Hier galt bei der Entwicklung scheinbar nicht "Form follows function". Hier wurden erst einmal Wunschkriterien wie die einfache Bedienung umgesetzt und dann ging es um Muss-Kriterien wie eine saubere Codebasis, Performance und Sicherheit.

Mit Wordpress ist es wie mit dem IE: Wenn man nichts anderes kennt, dann nutzt man es und findet es toll. Wenn man dann aber einen Blick in die Tiefe geworfen hat...

 

[asdfman]

Meine Schwester wollte eine Webseite haben und weil es mir als erstes einfiel, installierte ich ihr Wordpress. Bitte erschießt mich jetzt nicht deshalb!

Ich gab ihr auf, sich regelmäßig über Advisories zu informieren und linkte ihr CVE. Gibt es bessere Anlaufstellen für Wordpress speziell?
Ein Bonus wäre, wenn die Meldungen deutsch sind, dann dürfte es ihr leichter fallen, die Meldungen einzuordnen. Ist aber kein Muss.

 

[Vouchlp]

Hallo zusammen,

vielen Dank schon mal für eure Tipps und eure Antworten.

Ich habe mir auch schon mal Typo3 angeguckt, womit ich allerdings überhaupt nicht klar kam, weswegen ich zurück zu Joomla und Wordpress gekommen bin. Mit Joomla habe ich schon mal gearbeitet und auch mehrere Homepages online gestellt. Zudem habe ich dort auch mal ein Design geschrieben, welches ich persönlich doch total hässlich fand, da die Usability auch total schlecht war, meiner Meinung nach; mein ehemaliger Chef wollte es allerdings so haben, wobei ich ihm von vornerein geraten hatte, ein Unternehmen dafür zu beauftragen. Dabei sei zu sagen, dass ich alles dabei nur autodidaktisch gelernt habe, indem ich mir andere Designs und dessen Code angeguckt habe und wie diese, dieses und jenes gemacht haben. Also habe ich keine Ausbildung in diesem Bereich genossen. Das ist auch der Grund dafür, warum ich mir wahrscheinlich ein Design für meine eigene Homepage kaufen werde. Eine komplette Betreuung ist für mich finanziell gesehen leider zzt. nicht machbar.

Ich kann wie gesagt, mit Joomla umgehen, Content einstellen & pflegen, etc. und auch Designtechnisch ein wenig, aber mit Erweiterungen schreiben, Sicherheit und SEO kenne ich mich wie gesagt nur laienhaft aus, da ich wie gesagt nie etwas in dieser Richtung gelernt habe.

Kennt denn jemand eventuell ein gutes Unternehmen, bei dem man Homepages inkl. Sicherheit & Pflege kaufen kann und das alles zu einem recht erschwinglichen Preis? Das würde wie gesagt jedoch zzt. mein Budget sprengen, aber für später sicherlich nicht schlecht. Sicherheit soll bei mir zudem ganz groß sein! Ich möchte keine Virenschleuder sein und nach 2 Monaten zu gespammt werden von irgendwelchen Bots. Deshalb frage ich, gibt es irgendwas, womit man die Seite sicherer machen kann? Bei 1und1 bspw. gibt es sowas sie Sitelock, dass die Homepage vor Schadsoftware beschützt. Sowas möcht ich auch gerne haben.

Was ich mit der Homepage machen möchte:
Zum einen soll es für mich persönlich sein (Youtube) und als Network dienen, wie z. B. für meinen Clan und meine Gilde. Zudem soll es auch eine journalistisch-redaktionelle Seite beinhalten und auch einen Blog. Später sollen auch weitere Sachen hinzukommen. Ich möchte halt alles schön präsentieren können.

 

[Speedy.]

Typo3 für eine Privatseite ist so ähnlich wie mit Kanonen auf Spatzen zu schießen... Neben dem unnötig komplizierten Aufbau ist es auch so gigantisch im Umfang, dass nur große Projekte davon profitieren. Zum Vergleich - ich arbeite für eine Firma mit knapp 1000 Mitarbeitern weltweit, für unsere neue Webseite wird Typo3 verwendet, um unter anderem 20.000 Bilder zu managen usw. Das sind eher Zielprojekte für Typo3.

Am einfachsten ist es, sich ein ordentliches CMS zu schnappen und ein Theme für dieses zu nutzen. Daaron wird dir Contao als CMS empfehlen, ich finde es persönlich auch nicht schlecht (sieht im Vergleich zu Wordpress ein bisschen altmodisch aus und ist etwas unübersichtlicher). Einen Blick kannst du aber auch auf das kommende Typo3 Neos werfen, was ich persönlich sehr interessant finde, da es sehr intuitiv aussieht. Vorsicht, es befindet sich aber erst in der Alphaphase!

Wenn du einen von den großen Hostern wie Host Europe, All-Inkl oder 1und1 nimmst, musst du dir sicherheitstechnisch kaum Sorgen machen. Wenn du kaum Ahnung von Code hast, lass das Schreiben und besorg dir ein schickes Theme, um es dann anzupassen. Du brauchst wohl kaum zu befürchten, eine Woche nach Release der Seite gehackt und zugespammt zu werden ^^

Sicher, es gibt diverse Spambots im Netz und ich habe da auch bereits Bekanntschaft mit gemacht (Viagra-Werbung über eine Clubseite, sehr angenehm -.-), aber die auf dem Markt befindlichen CMSe sind eigentlich ausreichend sicher. Wenn du ganz sicher sein willst, dann baust du z. B. noch Captcha-Abfragen in Kontaktformulare ein, als Beispiel.

Wenn du aus der Nähe von Freiburg kommst, kann ich dir sogar ein Webdesignstudio empfehlen, aber für eine Privatseite wäre das dann wohl etwas übertrieben, es sei denn, du willst groß Geld damit machen. Dann lohnt sich eine Agentur auf jeden Fall.

 

[Daaron]

Ich habe mir auch schon mal Typo3 angeguckt, womit ich allerdings überhaupt nicht klar kam, weswegen ich zurück zu Joomla und Wordpress gekommen bin.

TYPO3 ist ein mächtiges System... zu mächtig. Für riesige Intra- und Internet-Seiten lohnt es sich, aber sonst? Kaum eine Seite benötigt wirklich das, was T3 bietet. Für die meisten Projekte macht man sich damit nur das Leben unnötig schwer. Das wäre so, als würdest du n halbes Dutzend Produkte über ein Magento vertreiben...

...warum ich mir wahrscheinlich ein Design für meine eigene Homepage kaufen werde. Eine komplette Betreuung ist für mich finanziell gesehen leider zzt. nicht machbar.

Hier wirst du wohl um Joomla oder Wordpress kaum drum herum kommen. Für die beiden gibt es einen regelrechten Massenmarkt an Themes für kleines Geld (<=20€). Bei Contao gibt es z.B. deutlich weniger Themes, und die wiederum sind deutlich hochpreisiger. Ein anständiges Theme kostet da eben gern mal 100€, ist das Geld dann aber auch wert.

Kennt denn jemand eventuell ein gutes Unternehmen, bei dem man Homepages inkl. Sicherheit & Pflege kaufen kann und das alles zu einem recht erschwinglichen Preis?

Wartungsverträge haben ihren Preis. Du musst mit wenigstens 40-50€ pro Monat (1h Arbeitszeit/Monat) rechnen. Ob sich das für deine Seite lohnt musst du selbst wissen. Wie viel Profit wirft deine Seite wohl ab?

Ich möchte keine Virenschleuder sein und nach 2 Monaten zu gespammt werden von irgendwelchen Bots. Deshalb frage ich, gibt es irgendwas, womit man die Seite sicherer machen kann? Bei 1und1 bspw. gibt es sowas sie Sitelock, dass die Homepage vor Schadsoftware beschützt. Sowas möcht ich auch gerne haben.

Schritt 1: Sichere Passwörter. Wirklich SICHER. >8 Zeichen, Zahlen, Buchstaben, Groß- und Kleinschreibung, evtl. Sonderzeichen
Schritt 2: Das System laufend aktuell halten
Schritt 3: Nix installieren, dass dir irgendwie suspekt ist... dazu gehören auch Billig-Templates aus Russland

 

[Dese]

Hi,

Ich kenne deine Meinung zu Wordpress, aber wenn jemand grundsätzlich von etwas abrät darf die Objektivität doch ein wenig bezweifelt werden, vor allem wenn man die über 60 Million Wordpress-Seiten im Hinterkopf hat, die momentan im Umlauf sind. "Geisterfahrer"-Prinzip...

also ich hab keine ahnung von wordpress. aber deine argumentation in dem zitat halte ich für völlig absurd. es spricht NICHTS dagegen von etwas grundsätzlich abzuraten, wenn dieses etwas grundsätzlich schlecht gemacht ist. sofern daaron hier recht hat, kann er sehrwohl objektiv davon grundsätzlich abraten.

daran ändern auch nichts die 60 millionen wordpress-seiten im netz, ganz besonders nicht, wenn daaron auch hier weider mit seiner argumentation (anfänger->wordpress) recht haben sollte.

wie gesagt. ich weiß nicht ob daaron damit recht hat, aber deine argumentation in dem zitat macht null sinn.

p.s. ich sehe auch nicht, wie du in irgendeiner weise auf seine behauptungen und argumente eingegangen bist.

edit: auch wenn das bei weitem nicht representativ ist, aber mir fällt gerade hier auf computerbase auf, dass ganz besonders anfänger oft zu wordpress greifen. insofern bestätigt das ein wenig daarons theorie.

 

[Madman1209]

Hi,

@Dese

1. Die Argumentation macht schon Sinn. Grundsätzlich von einem der meistbenutzten System abraten ist schlicht nicht sinnvoll. Es hat Nachteile, es hat Vorteile, es gibt für jedes System einen Anwendungsfall.
2. Ich kenne sehr viele professionelle Seiten, die mit Wordpress erstellt sind. Ist das Argument jetzt mehr oder weniger wert als die Aussage von Daaron?
3. Ich gehe deswegen nicht auf die Behauptungen und Argumente ein (wobei ich ehrlich nicht weiß, wieso ich mich dir gegenüber dafür rechtfertige, aber sei es drum), weil Daaron und ich schon oft genug darüber gesprochen und diskutiert haben. Alles immer wieder zu schrieben macht keinen Sinn, zumal genau dafür die Suchfunktion da ist.

VG,
Mad

 

[Dese]

Hi,

@Dese

1. Die Argumentation macht schon Sinn. Grundsätzlich von einem der meistbenutzten System abraten ist schlicht nicht sinnvoll. Es hat Nachteile, es hat Vorteile, es gibt für jedes System einen Anwendungsfall.

hier ist halt das problem: du argumentierst nicht. du widersprichst einfach. fertig.

und die aussage, nur weil es eines der meistbenutzten ist, darf man davon grundsätzlich nicht abraten ist blödsinn hoch 10!

2. Ich kenne sehr viele professionelle Seiten, die mit Wordpress erstellt sind. Ist das Argument jetzt mehr oder weniger wert als die Aussage von Daaron?

weniger. wer mit etwas anfängt bleibt auch gerne dabei. wie professionell eine seite aussieht/benutztbar ist hat NICHTS mit der qualtität in bezug auf sicherheit der verwendeten komponenten zu tun

3. Ich gehe deswegen nicht auf die Behauptungen und Argumente ein (wobei ich ehrlich nicht weiß, wieso ich mich dir gegenüber dafür rechtfertige, aber sei es drum), weil Daaron und ich schon oft genug darüber gesprochen und diskutiert haben. Alles immer wieder zu schrieben macht keinen Sinn, zumal genau dafür die Suchfunktion da ist.

das kann ich verstehen und akzeptieren. wer hat das nicht schon einmal erlebt.
dennoch, einfach so grundlos das grundsetztliche abraten von etwas zu verteufeln halte ich für quatsch. von schlechter software kann man grundsetztlich abraten - nur mal so als beispiel. wenn du gegen etwas argumentieren willst, dann gegen seine behauptung bzgl. der qualtität.

aber einfach zu sagen, dass das grundsätzliche abraten nicht objektiv seien kann ist einfach totaler unsinn,... unbeschreiblicher unsinn. das ist einfach falsch.

edit: du musst dich weder mir noch sonst wem gegenüber rechtfertigen. nur ist das nun einmal ein öffentliches forum und jeder kann seinen senf dazu geben und damit muss man nun einmal auch rechnen. du musst natürliczh nicht auf meinen post eingehen. kann ich auch verstehen und darf man auch nicht immer gleich als "klein beigeben" interpretieren. manchmal will man einfach nicht mehr.

aber an meinem senf dazu (der nicht persönlich gemeint ist) ändert das so erst einmal nichts. ich hab halt ne macke, mich nerven unlogische und unsinnige aussagen und mir fällt es einfach verdammt schwer so etwas unkommentiert zu lassen. aber das ist hauptsächlich mein problem.

 

[Madman1209]

Hi,

du argumentierst sehr aggresiv und wenig fachlich - ich lese bei dir kein einziges tatsächliches Argument und dein Ton ist auch nicht wirklich gut für eine Diskussion. "Blödsinn hoch 10" und "Unbeschreiblicher Unsinn" und dergleichen... sowas muss ich mir sicher nicht anhören.

Abgesehen davon sehe ich bei dir auch kein einziges Argument für oder gegen. Und Daaron braucht sicher niemanden, der alles wiederholt was er geschrieben hat.

Damit bin ich hier raus, die Diskussion hatte ich schon oft genug und auf dem Niveau werde ich sie ganz sicher nicht noch einmal führen.

VG,
Mad

 

[Dese]

ja mein ton ist wohl so ne sache... aber kein argumente und nicht fachbezogen?

ich bitte dich: zu behaupten alle himmel sind blau (das ist genau das was du mit "von etwas grundsetztlicih abraten ist nicht objektiv etc." tust) ist falsch, weil du zum einen nicht alle himmel kennst und zweitens es nun einmal dinge gibt die schlecht sind und damit auch davon abzuraten ist.