Zum Hauptinhalt springen

Website Sicherheit prüfen: Website Security, die wirklich schützt

Sigrid Gramlinger
von Sigrid Gramlinger

Eine gehackte Website ist nicht nur „ärgerlich“ – sie ist ein Imageschaden und kann im schlimmsten Fall richtig Geld kosten.

Wenn Sie Ihre Website Sicherheit prüfen lassen möchten und wissen wollen, wo Ihre größten Risiken liegen (und was Sie konkret dagegen tun können), sind Sie hier richtig.

Im Notfall anrufen
Ein Feuerlöscher

„Die meisten Sicherheitslücken sind nicht spektakulär – sondern liegen einfach zu lange offen.“

Inhaltsverzeichnis

10 Fragen, die Sie mit "Ja" beantworten sollten

  1. Läuft Ihr CMS auf einer aktuellen Version?
  2. Sind alle Plugins/Extensions aktuell und aus vertrauenswürdigen Quellen?
  3. Gibt es Admin-Logins mit 2FA/MFA?
  4. Sind Benutzerrechte minimal vergeben?
  5. Haben Sie Zugriff auf Logs (Server, Access, Error)?
  6. Gibt es automatische Backups von Dateien + Datenbank?
  7. Wurde die Wiederherstellung jemals getestet?
  8. Nutzen Sie HTTPS korrekt und überall?
  9. Wissen Sie, wer im Ernstfall welche Schritte setzt?
  10. Können Sie sicher sagen, welche Erweiterungen Updates zuverlässig mitmachen?

Wenn Sie bei 3 oder mehr Fragen ins Grübeln kommen, ist es höchste Zeit, Ihre Website Sicherheit prüfen zu lassen.

Portrait von Sigrid Gramlinger

Inhaberin Sigrid Gramlinger-Moser ist zertifizierte Datenschutz- sowie Data IT & Security Expertin. 

Kostenfreies Erstgespräch buchen

Warum muss man die Website Sicherheit regelmäßig prüfen lassen?

Weil Angriffe oft unbemerkt passieren! Als Betreiber:in haben Sie hinsichtlich der Website Sicherheit zudem die Pflicht:

  • Ihre eigene Seite gesetzeskonform zu halten.
  • eine sichere Datenübertragung zu ermöglichen.
  • gesetzliche Bestimmungen, wie die DSGVO oder E-Commerce und Telekommunikationsgesetze (z.B. Cookie-Richtlinien) einzuhalten: > DSGVO & Consent
  • die Verfügbarkeit und Integrität von Daten zu gewährleisten.

Und dann gibt’s noch die fiese Kategorie „Website-Kidnapping“: Dabei wird der Code Ihrer Website manipuliert, sodass Suchmaschinen und echte Besucher:innen Unterschiedliches sehen – und Ihre Seite unbemerkt zu Fake-Shops/Scam-Seiten umleitet.

Kurz gesagt: Wenn Sie Ihre Website Sicherheit prüfen, sparen Sie Stress und Folgekosten – und schützen auch Vertrauen und Sichtbarkeit.

Kann ich meine Website selber prüfen?

Ja – das ist als erster Schritt auch sinnvoll.
ABER: Online-Quick-Checks liefern zwar schnelle Hinweise (u. a. HTTPS/SSL und Basis-Sicherheitsmerkmale), sind aber meist bewusst oberflächlich (z. B. kein detailliertes SEO-Audit, keine Traffic-Auswertung, kein Fake-Website-Erkennen). Was sie nicht leisten, ist:

  • eine tiefere Sicherheitsbewertung Ihres Setups
  • Risiko-Priorisierung
  • einen Maßnahmenplan, der zu Ihren Prozessen passt

"Reicht es, wenn ich meine Website einmal im Jahr prüfen lasse?"

Ein jährlicher Check ist ein guter Mindeststandard – aber Sicherheitslücken entstehen nicht jährlich, sondern laufend. Wenn Sie Updates, Erweiterungen und sicherheitsrelevante Änderungen nicht permanent beobachten, bleiben Risiken oft länger offen als nötig.
Genau dafür gibt es unser Security-Radar im Wartungsvertrag.

Website-Betreuung die laufend mitdenkt

Security-Radar

Wir behalten die wichtigsten Sicherheitsfaktoren für Sie im Blick – laufend, strukturiert und verständlich.

Ideal, wenn Sie nicht jedes Update- oder Security-Thema selbst verfolgen möchten.

Beratungsgespräch vereinbaren

Website Sicherheit - das prüfen wir konkret

Wir prüfen nicht „irgendwas mit Security“, sondern eine ganzheitliche Kette – von CMS bis Hosting, von Rechten bis Backups. Die wichtigsten Prüffelder:

  • CMS-Version & Core-Sicherheit: Ist Ihre Website-Software aktuell? (Updates schließen bekannte Sicherheitslücken.)
  • Erweiterungen/Plugins/Templates: Quelle, Aktualität, Updatefähigkeit, Vertrauenswürdigkeit.
    > Joomla Updates
  • Benutzerrechte (Autorisierung): Wer darf was – wirklich? Gerade hier passieren die häufigsten „Schnitzer“.
  • Zugang & Login (Authentifizierung): 2FA/MFA für Admins, sichere Zugriffe, sinnvolle Einschränkungen.
  • Protokolle & Nachvollziehbarkeit: Login-Versuche, Änderungen, Aktivitätslogs – so erkennen Sie Auffälligkeiten schneller.
  • Hosting & Server-Setup: SFTP/SSH, getrennte Konten, Logs, aktuelle Server-Software (z. B. PHP-Versionen), DSGVO-taugliche Standards.
  • Backups (Dateien + Datenbank): Automatisierung, Aufbewahrung, externer Speicherort – und (ganz wichtig) Wiederherstellung testbar.
  • HTTPS & sichere Datenübertragung: Zertifikat/SSL, sichere Formulare/Logins – plus SEO-Bonus, weil HTTPS ein Rankingfaktor ist.
  • Security-Header & Schutzmechanismen: z. B. Content-Security-Policy (CSP), CORS, optional Firewall – passend zu Ihrem Setup.

Wie läuft das ab?

1. Ein Kick-off schafft Klarheit (30-45 Minuten)

IST-Analyse: Wie ist Ihre Website aufgebaut? Welche Daten/Prozesse hängen daran? Wer arbeitet damit? Welche „Warnzeichen“ gab’s bisher?

2. Technischer Security-Check (Analyse + Risikobild)

Wir prüfen die relevanten Bereiche (CMS, Erweiterungen, Rechte, Login, Hosting, Backups, HTTPS, Header etc.) und suchen typische Einfallstore – inkl. Risiken wie Website-Kidnapping.

3. Ein Ergebnis, das Sie sofort anwenden können

Sie bekommen eine priorisierte To-do-Liste:

  • kritisch (sofort),
  • hoch (zeitnah),
  • mittel (planbar)

Verfahren, Tools und Verhaltensweisen

Hier haben wir im Detail zusammengefasst, durch welche Verfahren, Tools und Verhaltensweisen sich eine ganzheitliche Website Sicherheit auszeichnet. Keine Sorge, wenn Ihnen hierzu etwas "kryptisch“ vorkommt – wir kümmern uns gerne um Ihre Fragen.

Die untenstehenden Punkte beziehen sich auf Open Source Content Management Systeme (=CMS), wie z. B. WordPress oder Joomla, die bei einem externen Provider in einem „shared hosting“ installiert sind. D. h. auf dem gleichen Server sind noch weitere Websites unter derselben IP-Adresse verfügbar.

1. Website Software (CMS)

Das CMS ist eine Anwendung, die wie eine Software beim Provider installiert wird. Hinsichtlich der Website Security ist auf Folgendes zu achten:

  • Installation der neuesten Version
    • Entweder beim Provider über ein Quick-Install-System oder
    • direkt beim CMS-Anbieter (z. B.: wordpress.org oder joomla.org) herunterladen.
  • Wird die Software selbst installiert
    • Installationspaket nur von der Originalquelle beziehen!
  • Datei Signatur (SHA oder MD5 Checksum) überprüfen
    (sollte beim Anbieter normalerweise angegeben sein z. B. https://downloads.joomla.org/cms/joomla6/6-0-2)
  • Joomla hat seit Joomla 5.1 signierte Updates, d. h. es wird automatisch sichergestellt, dass das Installationspaket sicher ist.

Für CMS gibt es regelmäßige Updates, die einerseits neue Funktionen bringen oder Fehler beheben. Zusätzlich werden mit Updates auch bekannte Sicherheitslücken geschlossen. Daher müssen Websites laufend aktualisiert werden!

Portrait von Sigrid Gramlinger

Inhaberin Sigrid Gramlinger-Moser ist zertifizierte Datenschutz- sowie Data IT & Security Expertin.

Kostenfreies Erstgespräch buchen

2. Erweiterungen

Open Source CMS können auf vielfältige Art und Weise erweitert werden. Meist wird eine Extension, Komponente, Plugin oder Template im Internet heruntergeladen und auf der Website vom Administrator installiert. Prüfen Sie in Bezug auf Website Security vorab:

  • die Vertrauenswürdigkeit der Quelle.
  • die Aktualität der Quelle und der Erweiterung
  • dass die Plugins/Extensions die Updateroutinen der Original-CMS unterstützen.
    Dies kann über offizielle Erweiterungsbibliotheken der CMS-Anbieter festgestellt werden:
    https://wordpress.org/plugins/ oder https://extensions.joomla.org/

Gut zu wissen

Überprüfen Sie auf Anbieter-Seiten beispielsweise den Zeitpunkt des letzten Blogeintrags oder nehmen Sie das Supportforum unter die Lupe. Achten Sie auf den Gesamteindruck des Anbieters!

3. Benutzerberechtigungen (Autorisierung)

Content-Management-Systeme benötigen auch unterschiedliche Benutzerberechtigungen, da nicht alle User:innen die gleichen Rechte haben sollen. 

Joomla beispielsweise bringt umfangreiche und flexible Einrichtungsmöglichkeiten zu vordefinierten Zugriffsebenen, Benutzergruppen und Benutzer:innen mit, die jedoch komplett angepasst, ergänzt oder ersetzt werden können. Der Vorteil ist, dass diese Einrichtung von allen Extensions ebenfalls unterstützt wird, da die Zugangskontrolle bereits im Core enthalten ist.

WordPress bringt hier im Standard ein vergleichsweise einfaches Berechtigungssystem mit, welches nur über Plugins oder CLI erweitert werden kann, somit wird dieses System auch nicht von allen weiteren Plugins automatisch unterstützt.

4. Zugangsdaten (Authentifizierung)

Für das Einloggen auf der Website sollten Administrator:innen mit zumindest einer Zwei-Faktor-Authentifizierung eingerichtet werden. Hier gibt es entweder bereits mitgelieferte Plugins für verschiedene Verfahren oder diese können nachträglich erweitert werden. Für Nicht-Administrator:innen kann 2FA oder MFA optional oder auch abhängig von der Art der Website (z. B. Intranet-Lösungen) angeboten werden. Auch hardwarebasierte Verfahren (z. B. mit Token) sind möglich.

Adaptive Authentifizierungsverfahren über den Kontext sind auch für Websites mit Open Source CMS möglich, hier wird z.B. erkannt, ob man sich mit einem bereits bekannten Gerät einloggt.

Zusätzlich kann auch über den Webserver der Zugriff auf Verzeichnisse eingeschränkt werden.

Gut zu wissen

Die häufigsten "Schnitzer" in der Website Security sind auf die Themen Benutzerberechtigung und Zugangsdaten zurückzuführen.

5. Benutzeraktivitäten

Zum Logging und zur Nachverfolgung können Benutzeraktivitäten aufgezeichnet werden. Hier sollten verschiedene Loglevels festgelegt werden können. Einerseits ist die Nachverfolgung durch eine Versionierung auf Contentebene möglich, andererseits z. B. durch die Aufzeichnung von erfolgreichen und erfolglosen Anmeldeversuchen. Ein komplettes Tracking der Benutzeraktivitäten wirft eine Kosten-Nutzen-Frage in Bezug auf Datenschutz auf: es sollte nur so viel getrackt werden, wie entsprechend der Datenkategorie notwendig ist.

Joomla bietet seit einem Privacy Release (2018, Version 3.7) konfigurierbare Protokolle von Benutzeraktivitäten für das gesamte System bereits im Standard. Dieses Logging kann durch Extensions (z. B. Admin Tools) noch erhöht und auf Frontend-Ebene erweitert werden.

6. Provider – Speicherort und Datenbank

Wird die Website bei einem Provider im Shared-Hosting betrieben, sollten bereits bei der Auswahl des Providers bestimmte Kriterien berücksichtigt werden. Der Provider sollte:

  • einen Zugriff auf den Server per FTPS/SFTP oder SSH anbieten. So ist eine sichere Übertragung von Daten zum Server für Administrator:innen möglich.
  • getrennte Konten für die Verwaltung ermöglichen, wenn bei einem Provider mehrere Websites gehostet werden.
  • Im Idealfall für die technische Betreuung eigene Zugriffsberechtigungen (=Entwicklerkonto) anbieten.
  • Bezüglich Server-Software auf moderne Technologien und aktuelle Software-Versionen setzen (z. B. PHP 8) und diese auch regelmäßig updaten.

Zusätzlich sollte der Provider Error- und Access-Logs des Servers zur Verfügung stellen. Besser wäre eine laufende Aufzeichnung und Zugriffsmöglichkeit darauf.

In jeder Datenbank sollen immer nur die Daten/Tabellen einer Website gespeichert werden. Passwörter dürfen keinesfalls im Klartext in der Datenbank stehen.

Konfigurationsdateien des CMS am Server sollten nur mit Leserechten ausgestattet sein.

"Gute" Provider

  • beschreiben ihr Datensicherheitskonzept auf der Website.
  • haben rasche Reaktionszeiten auf Supportanfragen.
  • bieten zusätzliche Backups.
  • bieten idealerweise Unterstützung bei der Einrichtung.
  • sind selbstverständlich DSGVO-konform.

7. Backups

Beim Backup von Websites müssen sowohl die Dateien als auch die Datenbank gesichert werden. Dafür können Tools wie „Akeeba Backup“ für Joomla und WordPress verwendet werden. Die Einrichtung bietet hier die Möglichkeit, das Backup auf weitere Speicherorte (z. B. in einen Cloud-Speicher oder per FTP auf einen anderen Server) zu übertragen, ebenso wie eine Verschlüsselung der Backupdatei. Es ist empfehlenswert, die Backupdatei automatisch nach dem Backup bei einem zweiten Provider in einem geschützten Bereich zu speichern.

Mit dem Tool backupmonkey.io können erstellte Backups sogar automatisiert auf erfolgreiche Wiederherstellung getestet werden.

 „kein Backup, kein Mitleid“ oder besser noch
„kein getestetes Backup, kein Mitleid“.

8. Datenübertragung

Die Website sollte jedenfalls über ein Sicherheitszertifikat (z. B. kostenloses Let’s Encrypt-Zertifikat) verfügen, damit die Datenübertragung vom und zum Server im Browser end-to-end verschlüsselt ist. Seit der DSGVO ist dies beispielsweise zwingend dort notwendig, wo personenbezogene Daten übertragen werden, z. B. Login, Kontaktformulare, Online-Shops, Newsletter, …

Extra Tipp

Der Zugriff per HTTPS bietet auch für Suchmaschinenoptimierung Vorteile, da Websites ohne Sicherheitszertifikat von Google schlechter gereiht werden. Generell sollte jeder Datenaustausch zwischen Server und Browser/Endgerät nur verschlüsselt erfolgen.

9. Weitere Sicherheitsfunktionen zur Website Security

Content-Security-Policy (CSP) und Cross-Origin Resource Sharing (CORS) – über HTTP-Headers kann eingeschränkt werden, welche Inhalte auf einer Website geladen bzw. eingebunden werden dürfen.

Per Website-Firewall können Angriffe geblockt werden, diese kann jedoch Performance-Einbußen bringen und wird nicht automatisch für alle Arten von Websites empfohlen.

Weiterführende Tipps (seriös & hilfreich)

Unsere Expertise – Ihr Vorteil!

Seit über 15 Jahren setzen wir bei webgras auf Joomla – mit Leidenschaft, Know-how und direkter Community-Beteiligung.

Agenturinhaberin MagSigrid Gramlinger Moser ist unter anderem:

  • Joomla Production Department Coordinator zur direkten Mitgestaltung und Weiterentwicklung des CMS.
  • Vortragende auf JoomlaDays, Fachkonferenzen und in Fachhochschulen.
  • Mitgründerin der Joomla User Group Wien, in der sie die Joomla-Welt aktiv mitgestaltet.
  • Zertifizierte KMU-Digital Beraterin
kostenfreies Erstgespräch buchen
Sigrid Gramlinger - Joomla Expertin

Häufig gestellte Fragen

Woran erkennen Sie, dass Sie Ihre Website Sicherheit prüfen lassen sollten?

Wenn Sie unsicher sind: Lieber einmal zu viel die Website-Sicherheit prüfen, bevor später „Feuerwehr“ nötig wird. Typische Anzeichen, dass eine Prüfung dringend ansteht:

  • plötzlich neue Seiten/Weiterleitungen, die Sie nicht angelegt haben
  • ungewohnte Admin-Accounts oder viele Login-Versuche
  • Warnungen im Browser oder bei Suchmaschinen
  • Ihre Seite taucht in Suchmaschinen schlechter auf oder fliegt raus (kann bei Website-Kidnapping passieren)

Was ist Website-Kidnapping – und warum ist das gefährlich?

Beim Website-Kidnapping wird Ihre Website so manipuliert, dass Suchmaschinen etwas anderes sehen als echte Nutzer:innen. Ziel ist oft, Besucher:innen auf Fake-Shops umzuleiten – und Ihre Domain/Reputation „mitzubenutzen“.

Wie oft sollte man Website Security prüfen?

  • laufend: Updates/Monitoring (monatlich bzw. nach Releases)
  • regelmäßig: Website-Security-Check mindestens 1× pro Jahr
  • zusätzlich: nach größeren Updates, neuen Plugins, Relaunch, Hosting-Wechsel oder Sicherheitsvorfällen

Kann ich meine Website Security selbst prüfen?

Teilweise – ja. Aber: Die häufigsten Probleme entstehen bei der Vergabe von Zugriffsrechten, Logins, der Installation von Erweiterungen, Hosting-Setups und Backups. Wenn Sie intern keine Routine haben (oder keine Zeit), übersieht man schnell genau die Dinge, die später teuer werden.

Neueste Blog-Beiträge