Die Sicherheit Ihrer Website ist von größter Bedeutung für die Investitionen, die Sie in Ihre Website getätigt haben, und für die Benutzer, die Ihre Website nutzen. Alle Websites im Netz stehen unter der Beobachtung der Gefahren des Internets und erfordern Maßnahmen, um mit der Sicherheit und der Einhaltung der Vorschriften Schritt zu halten, umso mehr, wenn diese Websites Folgendes beinhalten Daten der Nutzer.
Wenn Ihre Website gehackt wird, sind die Daten all Ihrer Nutzer in Gefahr, für deren Schutz Sie verantwortlich sind, und Sie können diesen Nutzern gegenüber haftbar gemacht werden. Die gehackte Website könnte dazu benutzt werden, die Computer der Besucher zu beschädigen oder Spam-Nachrichten zu verschicken, was dem Ruf Ihres Unternehmens schaden würde. Das Schlimmste von allem ist, dass die Nichteinhaltung der Vorschriften oder das Hacken Ihrer Website dazu führen kann, dass sie von den Suchmaschinen nicht mehr indiziert wird, oder für den Versand von E-Mails auf die schwarze Liste gesetzt.
Obwohl es fast unmöglich ist, Ihre Website 100% sicher zu machen, werden wir versuchen, einige der wichtigsten Maßnahmen zu vermitteln, die Sie ergreifen können, um Ihre Website sicher zu halten und mit den modernen Compliance-Anforderungen Schritt zu halten. Wenn Sie nicht in der Lage sind, die Sicherheitsanforderungen zu erfüllen, sollten Sie professionelle Hilfe in Anspruch nehmen, um die Einhaltung der Vorschriften und die Sicherheit zu gewährleisten.
MemberMouse-Sicherheitsfunktionen
MemberMouse verwendet die neuesten Standards und Sicherheitsprotokolle für Kennwörter, Lizenzierung und Zahlungstransaktionen, und wir bemühen uns, alle neuen Versionen verbesserter Sicherheitsfunktionen zu integrieren. Die Zahlungsdaten Ihrer Kunden werden weder auf Ihrer MemberMouse-Website noch auf unseren Servern gespeichert; sie werden stattdessen auf den Servern Ihres Zahlungsdienstleisters gespeichert.
MemberMouse wird standardmäßig mit mehreren Optionen zur Verbesserung der Sicherheit Ihrer Website ausgeliefert:
- Schutz der gemeinsamen Nutzung von Konten (standardmäßig aktiviert) ermöglicht es Ihnen, die Anzahl der IP-Adressen zu begrenzen, die innerhalb eines Zeitraums von 24 Stunden auf ein Konto zugreifen können.
- MemberMouse kann integriert werden mit Streifenelementedas ist die neueste Ausgabe von 3D-Secure-Kasse Sicherheitstechnologie von Stripe, die die höchste PCI-Konformität aufweist und SCA-fähig. Die 3D-Secure-Kaufabwicklung ist für Kunden im Europäischen Wirtschaftsraum (EWR) obligatorisch, um die Vorschriften zu erfüllen. Die Kreditkarten- und Rechnungsdaten werden direkt an Stripe gesendet und kommen nie mit Ihren Servern in Berührung.
- Wenn Sie Stripe Connect in der Version 2.4.3+ verwenden, werden Ihre Stripe-Schlüssel sicher und getrennt von der Website, auf der sie installiert sind, gespeichert.
- MemberMouse kann sein integriert mit Authorize.net CIM, wird der Kundeninformationsmanager aktiviert, der Kundendaten auf den Authorize.Net-Servern speichert. Darüber hinaus wurde der Accept.js-Token-Austausch in unsere Authorize.net-CIM-Integration integriert, so dass Kreditkarten- und Rechnungsdaten direkt an Authorize.net gesendet werden und niemals Ihre Server berühren.
- MemberMouse kann sein integriert mit Braintree, die Folgendes umfassen 3D-Secure-Kasse Prozess unter Verwendung von Hosted Fields / 3D Secure 2.0. und verfügt über die höchste PCI-Konformität und ist SCA-ready. 3D Secure Checkout ist obligatorisch für Kunden im Europäischen Wirtschaftsraum (EWR), um konform zu sein. Kreditkarten- und Rechnungsdaten werden direkt an Braintree gesendet und kommen nie mit Ihren Servern in Berührung.
- Limit Login Attempts Plugin Integration - Standardmäßig erlaubt WordPress unbegrenzte Login-Versuche. Wir haben eine Integration mit dem plugin Login-Versuche begrenzen die es Ihnen ermöglicht, Ihre Website so zu konfigurieren, dass eine Internetadresse nach Erreichen einer bestimmten Anzahl von Wiederholungsversuchen für weitere Versuche gesperrt wird, wodurch ein Brute-Force-Angriff erschwert oder unmöglich wird.
- Beim Erstellen eines Benutzers oder beim Zurücksetzen eines Kennworts erzwingt MemberMouse eine Mindestkennwortstärke von 8 Zeichen. MemberMouse unterstützt auch das Hinzufügen eines cEin benutzerdefinierter Filter, mit dem das Kennwort auf der Grundlage benutzerdefinierter Anforderungen ausgewertet werden kann, die Sie selbst festlegen können.
- Der Checkout kann so konfiguriert werden, dass er V3 von Google ReCaptcha das ist die neueste Version eines unsichtbaren Systems, das Bot-Anmeldungen und Betrüger minimiert.
- membermouse.com speichert weder Ihre Benutzerdaten noch Kreditkarteninformationen und hat auch keinen Zugriff darauf.
- MemberMouse ist GDPR-konform und hat Funktionen zur Verwaltung von GDPR-Anfragen.
- MemberMouse nutzt die Standard-WordPress-Kennwortfunktionalität, sodass Sie sicher sein können, dass Sie immer über die neuesten und besten Funktionen für die Speicherung und Verwaltung von Kennwörtern verfügen.
- MemberMouse wird regelmäßig aktualisiert und ist mit den neuesten PHP-Versionen kompatibel.
Hosting-Sicherheit
Die meisten modernen Hoster verfügen über die erforderlichen Grundlagen für die Sicherheit Ihres Servers mit Tools wie Modsecurity oder (WAF) Web Application Firewalls. Sie sollten niemals billiges Hosting oder Reseller-Hosting auf niedrigem Niveau verwenden, das möglicherweise nicht über Protokolle zur Sicherung Ihres Servers oder über die Fähigkeit verfügt, auf Notfälle zu reagieren, die Sie möglicherweise haben.
Da Ihr Hoster bereits über gängige Protokolle und Module für die Sicherheit Ihres Servers verfügen sollte, liegt ein Großteil der Verantwortung für die Sicherheit Ihres Servers bei Ihnen. Leider ist es üblich, dass viele Website-Besitzer bei der Einrichtung ihres Hosting-Pakets die potenziellen Gefahren nicht bedenken, und schlechtes Hosting-Management ist für 41% der meisten Hacks verantwortlich. Um die Sicherheit Ihres Servers zu gewährleisten, finden Sie hier einige häufig übersehene Punkte, die Sie beachten können, um die Sicherheit Ihres Servers zu gewährleisten:
- Verwenden Sie eine starkes Passwort-Protokoll sich bei Ihrem Hosting-Angebot mit einer Mischung aus Buchstaben, Zahlen und Zeichen anzumelden und niemals Wörter zu verwenden, die im Wörterbuch zu finden sind.
- Entfernen Sie alle FTP-Accounts, wenn sie nicht benutzt werden. Bei vielen Hosts kann FTP geschlossen werden, wenn es nicht benutzt wird. Auch hier sollten Sie sichere Passwortprotokolle verwenden.
- Alle E-Mail-Konten, die mit der Website verbunden sind oder sich auf dem Server befinden, sollten über sichere Passwortprotokolle verfügen. Wenn diese Konten gehackt werden, können sie für den Zugriff auf die Website verwendet werden und Schaden anrichten, außerdem können sie für den Versand von Spam-E-Mails verwendet werden.
- Überprüfen Sie Ihren Dateimanager regelmäßig auf Unregelmäßigkeiten. Oft befinden sich Backups oder Datenbankdateien im Verzeichnis public_html, so dass sie öffentlich zugänglich sind. Diese Sicherungskopien können leicht heruntergeladen werden, und alle Ihre sicheren Website-Informationen befinden sich darin, einschließlich Datenbankzugriff und Administrationspasswörter. Halten Sie Ihr Dateisystem aufgeräumt und speichern Sie nur die Dateien, die für das Funktionieren Ihrer Website erforderlich sind.
- Überprüfen Sie häufig, ob die Datei- und Ordnerberechtigungen richtig eingestellt sind. Dateien, einschließlich Ihrer .htaccess-Datei und wp-config-Datei, sollten 644 und Ihre Ordner 755 sein. Dateien können bei bestimmten Aktionen in Ihrem WordPress-Administrationspanel auf die falsche Berechtigung eingestellt werden, daher ist es wichtig, diese regelmäßig zu überprüfen.
- Stellen Sie sicher, dass Ihr Server regelmäßig Sicherungskopien erstellt, auf die Sie zugreifen können. Verlassen Sie sich bei der Erstellung von Backups nicht auf Plugins, da diese nicht zuverlässig sind und oft nicht mit MemberMouse funktionieren.
- Führen Sie jährliche Überprüfungen Ihrer Serversoftware durch, um sicherzustellen, dass Sie die neuesten kompatiblen Versionen von PHP verwenden.
- Loggen Sie sich niemals in Ihren Server ein, wenn Sie glauben, dass Ihr persönlicher Computer gefährdet ist. Sie sollten auf jedem Computer, mit dem Sie auf Ihren Server und Ihre Website zugreifen, eine kompatible Sicherheitssoftware verwenden. Dies ist eine sehr häufige Methode, wie Ihre Website oder Ihr Server gehackt werden kann.
Weitere Hinweise zur Auswahl eines Hosting-Anbieters sowie zu den Mindestanforderungen für den Betrieb von MemberMouse finden Sie in unserem Artikel WordPress-Hosting-Anbieter.
WordPress Sicherheit
Der WordPress Codex hat einen umfangreichen Artikel über Härtung von WordPress in dem Schwachstellen, das Festlegen von sicheren Dateiberechtigungen, die Sicherung des Datenbank- und Admin-Panel-Zugangs und vieles mehr behandelt werden. Dieser Artikel ist ein Muss für jeden Website-Besitzer, der mehr über die erforderlichen Sicherheitsmaßnahmen für seine Website erfahren möchte. Die meisten Empfehlungen sind einfach zu befolgen und können den Zustand und die Sicherheit Ihrer Investition erheblich verbessern.
Die wichtigsten Maßnahmen, die Sie zum Schutz von WordPress ergreifen können, sind
- Passwörter: Verlangt, dass alle Administratorkonten ein starkes Passwort-Protokoll. Erwägen Sie die Verwendung von 2-Schritt-Autorisierung um den Zugriff auf diese Konten zu verhindern. Ein Hacker, der sich Zugang zu Ihrem Administratorkonto verschafft, kann bösartige Skripte installieren, die möglicherweise Ihren gesamten Server gefährden, Ihre Website von Suchmaschinen sperren lassen und Ihre Website und die privaten Daten ihrer Nutzer zerstören.
Das E-Mail-Konto, das mit dem Administratorkonto verbunden ist, sollte ebenfalls über sichere Passwörter und eine 2-Schritt-Autorisierung verfügen, da sie für den einfachen Zugriff auf Ihre WordPress-Installation verwendet werden können.
- Aktualisierungen: 83% der Websites, die gehackt werden, werden nicht richtig aktualisiert. Das ist der wichtigste Schritt, den Sie tun können, um Ihre Website zu schützen. Lassen Sie niemals Updates hinter sich Aktivierung der automatischen Updates ist eine in WordPress integrierte Funktion.
- Ordentlichkeit: Entfernen Sie ungenutzte Plugins und Themes. Sie sollten ein Standard-WordPress-Theme neben Ihrem Haupttheme beibehalten, aber alle nicht verwendeten Plugins sollten entfernt werden, es sei denn, Sie planen, sie bald wieder zu aktivieren.
Prüfen Sie sorgfältig, ob Sie ein Plugin benötigen. Weniger ist besser, wenn es um die Anzahl der Plugins geht. Installieren Sie nur Plugins, die regelmäßig aktualisiert werden und von einem seriösen Anbieter stammen.
Nachdem Migrations-Plugins, Datenbank-Plugins oder Plugins zur Dateibearbeitung verwendet wurden, sollten sie umgehend entfernt werden. Unbefugter Zugriff auf diese Plugins kann eine Katastrophe bedeuten, da sie einen einfachen Pfad zu den benötigten Bereichen bieten, die ein Hacker benötigt.
- Zugang: Arbeiten Sie immer von einem vertrauenswürdigen Netz aus an Ihrer Website und Ihrem Server. Vermeiden Sie unbedingt Internetcafés oder öffentliche WIFI-Netze.
Verwenden Sie eine Limit Login Plugin zur Begrenzung ungewöhnlicher Anmeldeversuche. Es kommt häufig vor, dass der Login auf Ihrer Website täglich angegriffen wird. Manchmal sogar tausende Male pro Tag. Ein Login-Plugin blockiert daher böswillige Anmeldeversuche und verhindert, dass diese ständig versuchen, Zugang zu erhalten.
Entfernen Sie ungenutzte Admin-Konten in WordPress.
Deaktivieren von Theme- und Plugin-Editoren in der WordPress-Administrationsleiste um Dateibearbeitungen zu verhindern, wenn auf Ihre Website unbefugt zugegriffen wird.
SSL-, HTTPS- und PCI-Konformität
Alle Websites, ob sie nun Zahlungen entgegennehmen oder nicht, sollten ein SSL verwenden und mit HTTPS gesichert sein. Die Anmeldedaten sowie die Übertragung von Informationen an Ihre Nutzer sollten zum Schutz aller gesichert sein.
Die Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Anforderungen, die sicherstellen sollen, dass alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übertragen, eine sichere Umgebung unterhalten. Dies bedeutet nicht nur, dass es gesetzlich vorgeschrieben ist, ein ordnungsgemäß installiertes SSL auf Ihrer Website zu haben, wenn Sie ein Geschäft oder eine Mitgliederseite haben, sondern es bedeutet auch, dass Sie größere Anstrengungen unternehmen müssen, um Ihre Website zu sichern, und dieser Artikel behandelt viele dieser Schritte, die Sie unternehmen können.
Wenn Sie erfahren möchten, wie Sie ein SSL auf Ihrer Website installieren können, haben wir eine ausführlicher Artikel mit Anleitungen hier wie Sie es auf Ihrer Website installieren können.
Nur weil Sie ein SSL-Zertifikat haben und HTTPS verwenden, bedeutet das nicht unbedingt, dass Sie vollständig PCI-konform sind. Die Anforderungen hängen von der Art Ihres Unternehmens, der technischen Ausstattung und/oder dem Volumen ab. Wenn Sie Bedenken bezüglich der PCI-Konformität haben, sprechen Sie am besten mit Ihrem Zahlungsanbieter oder einem PCI-DSS-Experten. Dieser Artikel ist eine gute Einführung in das Thema und kann Ihnen helfen zu verstehen, welche zusätzlichen Schritte Sie gegebenenfalls unternehmen müssen:
http://tomkconsulting.com/news049-PCI-Overview.htm
Diese PCI-FAQ-Leitfäden sind ebenfalls kurz und hilfreich:
https://www.pcicomplianceguide.org/faq/#4
https://www.pcicomplianceguide.org/pci-saq-3-1-e-commerce-options-explained/
Domänen- und DNS-Sicherheit
Das Konto, unter dem Ihre Domäne geführt wird (z. B. Godaddy, Namecheap usw.), sollte mit starken Passwortprotokollen und, wenn möglich, mit einem zweistufigen Login geschützt werden. Wenn sich Unbefugte Zugang zu den DNS-Einstellungen Ihrer Domäne verschaffen, kann eine Website geändert oder gekapert werden, und möglicherweise kann die Domäne gestohlen werden. Eine jährliche Überprüfung des Domänenkontos, um sicherzustellen, dass alle Kontaktinformationen, die mit der Domäne verbunden sind, aktuell und korrekt sind, ist ein guter Schutz und kann bei der Aufrechterhaltung des Eigentums helfen.
Der DNS-Sicherheit wird seltener Beachtung geschenkt, doch kann ein DNS-Hijacking schwerwiegende Folgen haben. Diese Angriffe können den eingehenden Datenverkehr einer Website auf eine gefälschte Kopie der Website umleiten, sensible Nutzerdaten sammeln und Unternehmen einer großen Haftung aussetzen. Eine der bekanntesten Methoden zur zum Schutz vor DNS-Bedrohungen ist die Einführung des DNSSEC-Protokolls.
Für den DNS-Schutz gibt es viele Optionen, aber Cloudflare ist eine großartige Option, da sie nicht nur Ihr DNS schützt, sondern auch Ihre Website vor Bots bewahrt und dafür sorgt, dass alle Server-Ressourcen echten Nutzern zur Verfügung stehen, anstatt Bots anzugreifen. Die große Vielfalt an Optionen, die das Unternehmen anbietet, ist hervorragend für den Schutz Ihrer Website geeignet und bietet eine Vielzahl von Preisplänen, darunter auch kostenlose.
Fazit
Kennwörter und Aktualisierungen sind die Grundlage der Sicherheit und werden so oft übersehen oder ihre Bedeutung wird ignoriert. Oft denken Menschen, dass ihr Passwort sicher ist, obwohl es in Wirklichkeit wahrscheinlich schon hunderte Male im Dark Web geleakt wurde und keinerlei Sicherheit bietet. Machen Sie es sich zur Gewohnheit, Ihre Passwörter regelmäßig und überall zu aktualisieren und einen zuverlässigen Passwortmanager zu verwenden.
Kümmern Sie sich so rechtzeitig wie möglich um Software-Updates für Ihre Website. Dies trägt nicht nur zu Ihrer Sicherheit bei, sondern behebt auch häufig Probleme, die mit Ihrer Software oder Ihren Plugins auftreten.
Wenn Sie unglücklicherweise von einem Hack betroffen sind, sollten Sie einen zuverlässigen Fachmann mit der Behebung des Problems beauftragen und sich nicht auf ein einfaches Plugin verlassen, das Sie schützt oder das Problem "behebt". Abgesehen von der Entfernung der Schadsoftware und der Verhinderung ihrer Rückkehr können viele Schritte erforderlich sein, um diese Situationen zu beheben, einschließlich der Notwendigkeit, die Lösung zu dokumentieren, um die schwarze Liste bei Suchmaschinen und E-Mail-Anbietern zu löschen.
Möglicherweise sind Sie auch gesetzlich verpflichtet, Ihre Website-Mitglieder über den Verstoß zu informieren, und ein Fachmann, der Sie bei dem langwierigen Projekt der Benachrichtigung Ihrer Mitglieder, dem erforderlichen Fachjargon und dem Verstoß unterstützt, ist von unschätzbarem Wert.
Ein guter Ausgangspunkt ist auch, sich einfach über die Bedeutung der Sicherheit zu informieren. Nachfolgend finden Sie Verweise auf Daten, die in diesem Artikel verwendet wurden, sowie auf andere großartige Ressourcen, um sich über Sicherheit zu informieren.