Sicherheit von Mitgliedschaftsseiten: Wie Sie Ihre Seite sicher und geschützt halten

Die Sicherheit Ihrer Website ist vor allem aus zwei Gründen von größter Bedeutung: wegen der Investitionen, die Sie in Ihre Website getätigt haben, und wegen der Privatsphäre der Nutzer Ihrer Website. Alle Websites im Internet sind gefährdet und erfordern besondere Maßnahmen, um die Sicherheit und die Einhaltung der Vorschriften zu gewährleisten. Dies gilt insbesondere für Websites, auf denen Benutzerdaten wie z.B. Mitgliedschafts- oder eCommerce-Sites.

Wenn Ihre Website gehackt wird, sind die Daten aller Ihrer Nutzer in Gefahr. Für den Schutz dieser Daten sind Sie verantwortlich, und Sie können diesen Nutzern gegenüber haftbar gemacht werden. Die gehackte Website könnte dazu verwendet werden, die Computer der Besucher zu beschädigen oder Spam-Nachrichten zu verschicken. Dies würde Ihren Nutzern direkt schaden und den Ruf Ihres Unternehmens schädigen. Das Schlimmste von allem ist vielleicht, dass die Nichteinhaltung der Vorschriften (oder das Hacken) dazu führen kann, dass Ihre Website aus den Suchmaschinen gestrichen wird und auf der schwarzen Liste für den E-Mail-Versand.

Igitt. Versuchen wir, das zu vermeiden, ja?

Auch wenn es fast unmöglich ist, Ihre Website 100% sicher zu machen, werden wir unser Bestes tun, um Ihnen einige der wichtigsten Punkte zu zeigen, die für die Sicherheit Ihrer Website und die Einhaltung moderner Vorschriften erforderlich sind. Die Verwaltung der Sicherheit und der Einhaltung von Vorschriften ist ein wichtiger Teil des Aufbaus einer Website. Wenn Sie oder Ihr Team nicht in der Lage sind, sich um die Sicherheitsanforderungen zu kümmern, sollten Sie in Erwägung ziehen, einen Fachmann zu beauftragen, der Sie bei der Einhaltung der Vorschriften und der Sicherheit unterstützt.

Ein Überblick über die wichtigsten Sicherheitsfunktionen von MemberMouse

MemberMouse verwendet die neuesten Standards und Sicherheitsprotokolle für Kennwörter, Lizenzierung und Zahlungstransaktionen. Wir bemühen uns auch um die Integration neuer Versionen verbesserter Sicherheitsfunktionen. Weder auf Ihrer MemberMouse-Website noch auf unseren Servern werden jemals die Zahlungsdaten Ihrer Kunden gespeichert. Stattdessen werden diese Informationen auf den Servern Ihres Zahlungsdienstleisters gespeichert.

MemberMouse verfügt standardmäßig über mehrere Optionen zur Verbesserung der Sicherheit Ihrer Website:

Wie MemberMouse die Sicherheit handhabt

Schutz der gemeinsamen Nutzung von Konten ermöglicht es Ihnen, die Anzahl der IP-Adressen zu begrenzen, die über einen Zeitraum von 24 Stunden auf ein Konto zugreifen können.

Streifenelemente Integration: Das Neueste in 3D Secure-Kassensicherheit Technologie von Stripe. Diese bietet die höchste Stufe der PCI-Konformität und ist SCA-fähig. Die 3D-Secure-Kaufabwicklung ist für Kunden im Europäischen Wirtschaftsraum (EWR) obligatorisch, um den Vorschriften zu entsprechen. Die Kreditkarten- und Rechnungsdaten werden direkt an Stripe gesendet und kommen nie mit Ihren Servern in Berührung.

Authorize.net CIM Integration: Dadurch wird der Kundeninformationsmanager aktiviert, der Kundendaten auf den Authorize.Net-Servern speichert. Darüber hinaus wurde der Accept.js-Token-Austausch in unsere Authorize.net-CIM-Integration integriert, so dass Kreditkarten- und Rechnungsdaten direkt an Authorize.net gesendet werden und niemals Ihre Server berühren.

Braintree Integration: Dies beinhaltet den 3D Secure Checkout-Prozess mit Hosted Fields / 3D Secure 2.0. und erfüllt die höchsten PCI-Anforderungen und ist SCA-ready. 3D Secure Checkout ist für Kunden im Europäischen Wirtschaftsraum (EWR) obligatorisch, um konform zu sein. Kreditkarten- und Rechnungsdaten werden direkt an Braintree gesendet und kommen nie mit Ihren Servern in Berührung.

Anmeldeversuche begrenzen Plugin-Integration: Standardmäßig erlaubt WordPress unbegrenzte Login-Versuche. Wir haben eine Integration mit dem Plugin Limit Login Attempts eingerichtet, mit dem Sie Ihre Website so konfigurieren können, dass eine Internetadresse nach Erreichen einer bestimmten Anzahl von Wiederholungsversuchen für weitere Versuche gesperrt wird, wodurch ein Brute-Force-Angriff erschwert oder unmöglich wird.

Einen Schritt tiefer gehen

Beim Erstellen eines Benutzers oder beim Zurücksetzen eines Kennworts erzwingt MemberMouse eine Mindestkennwortstärke von 8 Zeichen. MemberMouse unterstützt auch das Hinzufügen eines benutzerdefinierter Filter die es ermöglicht, das Kennwort auf der Grundlage von benutzerdefinierten Anforderungen, die Sie festlegen können, zu bewerten.

Der Checkout kann so konfiguriert werden, dass er V3 von Google ReCaptcha das ist die neueste Version eines unsichtbaren Systems, das Bot-Anmeldungen und Betrüger minimiert.

MitgliedMaus.de speichert weder die Daten Ihrer Nutzer noch Kreditkarteninformationen und hat auch keinen Zugriff darauf.

Unsere Plattform ist GDPR-konform und hat Funktionen zur Verwaltung von GDPR-Anfragen.

MemberMouse nutzt die Standard-WordPress-Kennwortfunktionalität, sodass Sie sicher sein können, dass Sie immer über die neuesten und besten Funktionen für die Speicherung und Verwaltung von Kennwörtern verfügen.

MemberMouse wird regelmäßig aktualisiert und ist mit den neuesten PHP-Versionen kompatibel.

Das ABC der Webhosting-Sicherheit

Die meisten modernen Hoster verfügen über die erforderlichen Grundlagen für die Sicherheit Ihres Servers mit Tools wie Modsecurity oder (WAF) Web Application Firewalls. Allerdings sollten Sie niemals billiges Hosting - oder Reseller-Hosting auf niedrigem Niveau - verwenden, da diese möglicherweise nicht über Protokolle verfügen, um Ihren Server zu sichern, oder nicht in der Lage sind, auf Ihre Notfallanfragen zu reagieren.

Da Ihr Hoster bereits über gängige Protokolle und Module für die Sicherheit Ihres Servers verfügen sollte, liegt ein Großteil der Verantwortung für die Sicherheit Ihres Servers bei Ihnen. Leider ist es üblich, dass viele Website-Besitzer bei der Einrichtung ihres Hosting-Pakets die potenziellen Gefahren nicht berücksichtigen. Um das zu verdeutlichen: Schlechtes Hosting-Management ist für 41% der meisten Hacks verantwortlich. Um die Sicherheit Ihres Servers zu gewährleisten, finden Sie hier einige häufig übersehene Punkte, die Sie beachten können, um sicher zu sein:

Wie Sie Ihre Website sicher halten

Verwenden Sie eine starkes Passwort-Protokoll sich bei Ihrem Hosting-Angebot mit einer Mischung aus Buchstaben, Zahlen und Zeichen anzumelden. Verwenden Sie niemals Wörter, die im Wörterbuch zu finden sind.

Entfernen Sie alle FTP-Accounts, wenn sie nicht benutzt werden. Bei vielen Hosts kann FTP geschlossen werden, wenn es nicht benutzt wird. Auch hier sollten Sie sichere Passwortprotokolle verwenden.

Alle E-Mail-Konten, die mit der Website verbunden sind oder sich auf dem Server befinden, sollten über sichere Passwortprotokolle verfügen. Wenn diese Konten gehackt werden, können sie für den Zugriff auf die Website verwendet werden und Schaden anrichten, außerdem können sie für den Versand von Spam-E-Mails verwendet werden.

Überprüfen Sie Ihren Dateimanager regelmäßig auf Unregelmäßigkeiten. Oft befinden sich Backups oder Datenbankdateien im Verzeichnis public_html, so dass sie öffentlich zugänglich sind. Diese Sicherungskopien können leicht heruntergeladen werden, und alle Ihre sicheren Website-Informationen befinden sich darin, einschließlich Datenbankzugriff und Administrationspasswörter. Halten Sie Ihr Dateisystem aufgeräumt und speichern Sie nur die Dateien, die für das Funktionieren Ihrer Website erforderlich sind.

Zusätzliche Tipps

Überprüfen Sie häufig, ob die Datei- und Ordnerberechtigungen richtig eingestellt sind. Dateien, einschließlich Ihrer .htaccess-Datei und wp-config-Datei, sollten 644 und Ihre Ordner 755 sein. Dateien können bei bestimmten Aktionen in Ihrem WordPress-Administrationspanel auf die falsche Berechtigung eingestellt werden, daher ist es wichtig, diese regelmäßig zu überprüfen.

Stellen Sie sicher, dass Ihr Server regelmäßig Sicherungskopien erstellt, auf die Sie zugreifen können. Verlassen Sie sich bei der Erstellung von Backups nicht auf Plugins, da diese nicht zuverlässig sind und oft nicht mit MemberMouse funktionieren.

Führen Sie jährliche Überprüfungen Ihrer Serversoftware durch, um sicherzustellen, dass Sie die neuesten kompatiblen Versionen von PHP verwenden.

Loggen Sie sich niemals in Ihren Server ein, wenn Sie glauben, dass Ihr persönlicher Computer gefährdet ist. Sie sollten auf jedem Computer, mit dem Sie auf Ihren Server und Ihre Website zugreifen, eine kompatible Sicherheitssoftware verwenden. Dies ist eine sehr häufige Methode, wie Ihre Website oder Ihr Server gehackt werden kann.

Weitere Ratschläge zur Auswahl eines Hosting-Anbieters sowie zu den Mindestanforderungen für den Betrieb von MemberMouse finden Sie in unserem Artikel über WordPress-Hosting-Anbieter.

Ein paar Dinge, die Sie über WordPress-Sicherheit wissen sollten

Der WordPress Codex hat einen umfangreichen Artikel über Härtung von WordPress in dem Schwachstellen, das Festlegen von sicheren Dateiberechtigungen, die Sicherung des Datenbank- und Admin-Panel-Zugangs und vieles mehr behandelt werden. Dieser Artikel ist ein Muss für jeden Website-Besitzer, der mehr über die erforderlichen Sicherheitsmaßnahmen für seine Website erfahren möchte. Die meisten Empfehlungen sind einfach zu befolgen und können den Zustand und die Sicherheit Ihrer Investition erheblich verbessern.

Die wichtigsten Maßnahmen, die Sie zum Schutz von WordPress ergreifen können, sind

Kennwörter: Verlangt, dass alle Administratorkonten ein starkes Passwort-Protokoll. Erwägen Sie die Verwendung 2-Schritt-Autorisierung um den Zugriff auf diese Konten zu verhindern. Ein Hacker, der sich Zugang zu Ihrem Administratorkonto verschafft, kann bösartige Skripte installieren, die möglicherweise Ihren gesamten Server gefährden, Ihre Website von Suchmaschinen sperren lassen und Ihre Website und die privaten Daten ihrer Nutzer zerstören.

Das E-Mail-Konto, das mit dem Administratorkonto verbunden ist, sollte ebenfalls über sichere Passwörter und eine 2-Schritt-Autorisierung verfügen, da sie für den einfachen Zugriff auf Ihre WordPress-Installation verwendet werden können.

Aktualisierungen: 83% der Websites, die gehackt werden, werden nicht richtig aktualisiert. Das ist der wichtigste Schritt, den Sie tun können, um Ihre Website zu schützen. Lassen Sie keine Aktualisierungen zu spät kommen, indem Sie die Automatische Aktualisierungen ist eine in WordPress integrierte Funktion.

Ordentlichkeit: Entfernen Sie ungenutzte Plugins und Themes. Sie sollten ein Standard-WordPress-Theme neben Ihrem primären Theme beibehalten, aber alle ungenutzten Plugins sollten entfernt werden, es sei denn, Sie planen, sie bald wieder zu aktivieren.

Nebenbemerkung

Prüfen Sie sorgfältig, ob Sie ein Plugin benötigen. Weniger ist besser, wenn es um die Anzahl der Plugins geht. Installieren Sie nur Plugins, die regelmäßig aktualisiert werden und von einem seriösen Anbieter stammen.

Nachdem Migrations-Plugins, Datenbank-Plugins oder Plugins zur Dateibearbeitung verwendet wurden, sollten sie umgehend entfernt werden. Unbefugter Zugriff auf diese Plugins kann eine Katastrophe bedeuten, da sie einen einfachen Pfad zu den benötigten Bereichen bieten, die ein Hacker benötigt.

Zugang: Arbeiten Sie immer von einem vertrauenswürdigen Netz aus an Ihrer Website und Ihrem Server. Vermeiden Sie unbedingt Internetcafés oder öffentliche WIFI-Netze.

Verwenden Sie eine Login-Plugin beschränken um ungewöhnliche Anmeldeversuche zu begrenzen. Es ist sehr üblich, dass Ihre Website täglich angegriffen wird. Manchmal sogar tausende Male pro Tag. Mit einem Login-Plugin können Sie schlechte Anmeldeversuche blockieren und verhindern, dass diese ständig versuchen, Zugang zu erhalten.

Entfernen Sie ungenutzte Admin-Konten in WordPress.

Deaktivieren von Theme- und Plugin-Editoren in der WordPress-Administrationsleiste um Dateibearbeitungen zu verhindern, wenn auf Ihre Website unbefugt zugegriffen wird.

Alles über Akronyme: SSL, HTTPS und PCI-Konformität

Alle Websites, ob sie Zahlungen entgegennehmen oder nicht, sollten ein SSL verwenden und mit HTTPS gesichert sein. Die Anmeldedaten sowie die Übertragung von Informationen an Ihre Nutzer sollten zum Schutz aller gesichert sein.

Die Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Anforderungen, die sicherstellen sollen, dass alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übertragen, eine sichere Umgebung unterhalten. Dies bedeutet nicht nur, dass es gesetzlich vorgeschrieben ist, ein ordnungsgemäß installiertes SSL auf Ihrer Website zu haben, wenn Sie ein Geschäft oder eine Mitgliederseite haben, sondern es bedeutet auch, dass Sie größere Anstrengungen unternehmen müssen, um Ihre Website zu sichern, und dieser Artikel behandelt viele dieser Schritte, die Sie unternehmen können.

Wenn Sie erfahren möchten, wie Sie ein SSL auf Ihrer Website installieren können, haben wir eine ausführlicher Artikel hier mit einer Anleitung zur Installation auf Ihrer Website.

Nur weil Sie ein SSL-Zertifikat haben und HTTPS verwenden, bedeutet das nicht unbedingt, dass Sie vollständig PCI-konform sind. Die Anforderungen hängen von der Art Ihres Unternehmens, der technischen Einrichtung und/oder dem Volumen ab. Wenn Sie Bedenken bezüglich der PCI-Konformität haben, sprechen Sie am besten mit Ihrem Zahlungsanbieter oder einem PCI-DSS-Experten. Dieser Artikel ist eine gute Einführung und kann Ihnen dabei helfen, herauszufinden, ob und welche zusätzlichen Schritte Sie unternehmen müssen.

Diese PCI-FAQ-Leitfäden sind ebenfalls kurz und hilfreich:

Was sind die PCI-Konformitätsstufen" und wie werden sie bestimmt?

PCI SAQ 3.1: E-Commerce-Optionen erklärt

Vergessen Sie nicht die Domain- und DNS-Sicherheit

Die Sicherung des Kontos, auf dem Ihre Domäne aufgeführt ist (z. B. Godaddy, Namecheap usw.), sollte mit starken Passwortprotokollen und, wenn möglich, mit einem zweistufigen Login geschützt werden. Wenn sich Unbefugte Zugang zu den DNS-Einstellungen Ihrer Domäne verschaffen, kann eine Website geändert oder gekapert werden, und möglicherweise kann die Domäne gestohlen werden. Eine jährliche Überprüfung des Domänenkontos, um sicherzustellen, dass alle Kontaktinformationen, die mit der Domäne verbunden sind, aktuell und korrekt sind, ist ein guter Schutz und kann bei der Aufrechterhaltung des Eigentums helfen.

Der DNS-Sicherheit wird seltener Beachtung geschenkt, doch kann ein DNS-Hijacking schwerwiegende Folgen haben. Diese Angriffe können den eingehenden Datenverkehr einer Website auf eine gefälschte Kopie der Website umleiten, sensible Nutzerdaten sammeln und Unternehmen einer großen Haftung aussetzen. Eine der bekanntesten Methoden zur zum Schutz vor DNS-Bedrohungen ist die Einführung des DNSSEC-Protokolls.

Für den DNS-Schutz gibt es viele Optionen, aber Cloudflare ist eine großartige Option, da sie nicht nur Ihr DNS schützt, sondern auch Ihre Website vor Bots bewahrt und dafür sorgt, dass alle Server-Ressourcen echten Nutzern zur Verfügung stehen, anstatt Bots anzugreifen. Die große Vielfalt an Optionen, die das Unternehmen anbietet, ist hervorragend für den Schutz Ihrer Website geeignet und bietet eine Vielzahl von Preisplänen, darunter auch kostenlose.

Einpacken

Kennwörter und Aktualisierungen sind die Grundlage der Sicherheit und werden so oft übersehen oder ihre Bedeutung wird ignoriert. Oft denken Menschen, dass ihr Passwort sicher ist, obwohl es in Wirklichkeit wahrscheinlich schon hunderte Male im Dark Web geleakt wurde und keinerlei Sicherheit bietet. Machen Sie es sich zur Gewohnheit, Ihre Passwörter regelmäßig und überall zu aktualisieren und einen zuverlässigen Passwortmanager zu verwenden.

Kümmern Sie sich so rechtzeitig wie möglich um Software-Updates für Ihre Website. Dies trägt nicht nur zu Ihrer Sicherheit bei, sondern behebt auch häufig Probleme, die mit Ihrer Software oder Ihren Plugins auftreten.

Wenn Sie unglücklicherweise von einem Hack betroffen sind, sollten Sie einen zuverlässigen Fachmann mit der Behebung des Problems beauftragen und sich nicht auf ein einfaches Plugin verlassen, das Sie schützt oder das Problem "behebt". Abgesehen von der Entfernung der Schadsoftware und der Verhinderung ihrer Rückkehr können viele Schritte erforderlich sein, um diese Situationen zu beheben, einschließlich der Notwendigkeit, die Lösung zu dokumentieren, um die schwarze Liste bei Suchmaschinen und E-Mail-Anbietern zu löschen.

Möglicherweise sind Sie auch gesetzlich verpflichtet, Ihre Website-Mitglieder über den Verstoß zu informieren, und ein Fachmann, der Sie bei dem langwierigen Projekt der Benachrichtigung Ihrer Mitglieder, dem erforderlichen Fachjargon und dem Verstoß unterstützt, ist von unschätzbarem Wert.

Ein guter Ausgangspunkt ist auch, sich über die Bedeutung der Sicherheit zu informieren. Nachfolgend finden Sie Verweise auf Daten, die in diesem Artikel verwendet wurden, sowie auf andere großartige Ressourcen, um sich über Sicherheit zu informieren.

Zusätzliche Ressourcen:

Wie werden Websites gehackt?
Wie man die Sicherheit von WordPress verbessert [Infografik]
Härtung von WordPress
Zweistufige Authentifizierung
Automatische Hintergrundaktualisierungen konfigurieren
Bewährte Passwort-Praktiken
WordPress Repository - Plugins mit dem Tag Sicherheit

---

Verwandte Inhalte

---

• Teilen Sie