Website absichern: 10 Schritte in unter einer Stunde
Die meisten erfolgreichen Angriffe auf Websites nutzen bekannte Schwachstellen aus — veraltete Software, fehlende Verschlüsselung, schwache Passwörter. Mit diesen 10 Schritten beseitigen Sie die häufigsten Einfallstore in weniger als einer Stunde.
Schritt 1: HTTPS überall erzwingen (5 Minuten)
Warum
Ohne HTTPS können Dritte den gesamten Datenverkehr zwischen Ihrem Server und dem Browser mitlesen — Passwörter, Formulardaten, Session-Cookies.
So geht's
- SSL-Zertifikat einrichten (Let's Encrypt ist kostenlos und automatisiert)
- HTTP → HTTPS Redirect in der Serverkonfiguration:
# Nginx
server {
listen 80;
server_name example.de;
return 301 https://$server_name$request_uri;
}
- HSTS-Header setzen, damit Browser nur noch HTTPS akzeptieren:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Prüfen
Rufen Sie http://ihre-domain.de auf — werden Sie auf https:// weitergeleitet? Falls ja: erledigt.
Schritt 2: Sicherheitsheader konfigurieren (10 Minuten)
Die wichtigsten Header
Content-Security-Policy: default-src 'self'; script-src 'self'
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()
Prüfen
Nutzen Sie securityheaders.com — Ziel ist mindestens Note A.
Schritt 3: CMS und Plugins aktualisieren (10 Minuten)
Warum
95% der WordPress-Hacks nutzen bekannte Schwachstellen in veralteten Plugins oder Themes. Das gilt auch für Joomla, Drupal und andere CMS.
So geht's
- CMS-Core auf neueste Version aktualisieren
- Alle Plugins aktualisieren
- Ungenutzte Plugins und Themes löschen (nicht nur deaktivieren)
- Automatische Updates aktivieren (mindestens für Sicherheitspatches)
Regel
Jedes installierte Plugin ist ein potenzielles Einfallstor. Weniger Plugins = weniger Angriffsfläche.
Schritt 4: Starke Passwörter und MFA (5 Minuten)
Admin-Bereich absichern
- Passwort-Manager verwenden (Bitwarden, 1Password, KeePass)
- Mindestens 16 Zeichen für Admin-Accounts
- Keine Passwort-Wiederverwendung — jeder Dienst ein eigenes
- MFA aktivieren (TOTP-App, kein SMS)
Standard-Benutzernamen ändern
| Vorher | Nachher |
|---|---|
| admin | max.mueller-admin |
| administrator | Individueller Benutzername |
| root (SSH) | SSH-Key-Authentifizierung statt Passwort |
Schritt 5: Admin-Zugang einschränken (5 Minuten)
WordPress
// wp-login.php IP-Beschränkung (in .htaccess oder Nginx)
location /wp-admin {
allow 203.0.113.42; # Ihre IP
deny all;
}
Allgemein
- Admin-URL ändern (wenn das CMS es erlaubt)
- Fail2ban oder gleichwertigen Brute-Force-Schutz aktivieren
- IP-Whitelist für Admin-Bereiche, wenn möglich
- SSH-Key-Authentifizierung statt Passwort
Schritt 6: Backups einrichten (10 Minuten)
Die 3-2-1-Regel
- 3 Kopien Ihrer Daten
- 2 verschiedene Medien/Speicherorte
- 1 Kopie außerhalb des Rechenzentrums (Off-Site)
Backup-Strategie
| Was | Frequenz | Aufbewahrung | |---|---|---| | Datenbank | Täglich | 30 Tage | | Dateien (Uploads, Konfiguration) | Wöchentlich | 90 Tage | | Vollständiges System | Monatlich | 12 Monate |
Wichtig
- Backups verschlüsseln
- Regelmäßig Wiederherstellung testen (ein Backup, das nicht funktioniert, ist kein Backup)
- Automatisierung statt manuelle Prozesse
Schritt 7: Datenbankzugang absichern (5 Minuten)
- Standard-Tabellenprefix ändern (WordPress:
wp_→ individuell) - Datenbankbenutzer mit minimalen Rechten (kein Root-Zugang für die Anwendung)
- Remoteverbindungen deaktivieren (Datenbank nur über localhost erreichbar)
- Starkes Datenbankpasswort setzen
Schritt 8: Datei-Uploads absichern (5 Minuten)
Datei-Uploads sind ein häufiger Angriffsvektor:
- Dateitypen einschränken — Nur erlaubte Formate (Allowlist)
- Dateigröße begrenzen — Maximal notwendige Größe
- Upload-Verzeichnis außerhalb des Webroot oder Script-Ausführung deaktivieren
- Dateinamen sanitisieren — Keine Sonderzeichen, keine Pfadtraversierung
# Nginx: Keine PHP-Ausführung im Upload-Verzeichnis
location /uploads/ {
location ~ \.php$ { deny all; }
}
Schritt 9: Monitoring und Alerting (5 Minuten)
Kostenlose Tools
| Tool | Funktion | |---|---| | UptimeRobot | Verfügbarkeitsüberwachung, Benachrichtigung bei Ausfall | | Google Search Console | Sicherheitswarnungen, Malware-Erkennung | | Sucuri SiteCheck | Malware-Scan, Blacklist-Prüfung | | WarDek | OWASP-Scan, Header-Prüfung, SSL-Monitoring |
Was überwachen?
- Website-Verfügbarkeit (alle 5 Minuten)
- SSL-Zertifikat-Ablauf (30 Tage Vorlauf)
- Dateiintegrität (unerwartete Änderungen)
- Login-Versuche (Brute-Force-Erkennung)
Schritt 10: Regelmäßige Sicherheitsprüfung (5 Minuten Setup)
Monatliche Routine
- ☐ CMS und Plugins aktualisiert?
- ☐ SSL-Zertifikat gültig?
- ☐ Sicherheitsheader korrekt? (securityheaders.com)
- ☐ Backup getestet?
- ☐ Ungenutzte Benutzerkonten deaktiviert?
- ☐ Zugriffsrechte überprüft?
- ☐ Keine bekannten Schwachstellen? (WarDek Scan)
Vierteljährliche Routine
- ☐ Penetrationstest oder automatisierter Sicherheitsscan
- ☐ Passwörter der Admin-Accounts rotiert?
- ☐ Backup-Wiederherstellung getestet?
Zusammenfassung: Zeitplan
| Schritt | Dauer | Wirkung | |---|---|---| | 1. HTTPS erzwingen | 5 min | Verschlüsselung aller Daten | | 2. Sicherheitsheader | 10 min | Schutz gegen XSS, Clickjacking | | 3. CMS aktualisieren | 10 min | Bekannte Schwachstellen schließen | | 4. Starke Passwörter + MFA | 5 min | Schutz gegen Brute Force | | 5. Admin-Zugang einschränken | 5 min | Angriffsfläche reduzieren | | 6. Backups einrichten | 10 min | Wiederherstellung nach Angriff | | 7. Datenbankzugang absichern | 5 min | SQL-Injection erschwert | | 8. Uploads absichern | 5 min | Datei-basierte Angriffe verhindern | | 9. Monitoring einrichten | 5 min | Frühwarnung bei Angriffen | | 10. Regelmäßige Prüfung | 5 min | Langfristige Sicherheit | | Gesamt | ~65 min | 80% der Angriffsfläche eliminiert |
Fazit
Diese 10 Schritte schließen die häufigsten Sicherheitslücken und sind in unter einer Stunde umsetzbar. Perfekte Sicherheit gibt es nicht — aber mit diesen Grundlagen machen Sie es Angreifern erheblich schwerer.
Scannen Sie Ihre Website kostenlos mit WarDek — OWASP, NIS2, DSGVO, AI Act Compliance in einem Scan.