[Anfängerfrage] Wie wichtig ist Sicherheit?

Hier gehts weniger um dich sondern um den Schutz der Besucher. Wenn Deine Seite zur Virenschleuder wird, kriegst du evtl. Probleme mit den Freunden, die vorbei sehen. Aber als Trost: Die Seite dürfte dann relativ schnell gesperrt sein.

 

Hallo kujulian,


es ist sehr naiv zu denken das ein Datenverlust, das einzige und schlimmste bei einem Angriff ist. Natürlich mag das für dich, wenn du eine Sicherung hast nicht weiter schlimm sein aber hast du schon mal darüber nachgedacht, warum dich jemand angreifen möchte?


Die meisten Angreifer haben anderes im Sinn als deine Daten zu löschen! Oft wird Schadcode oder Spamlinks in deine Seite eingeschleust um damit Dritte, also deine Besucher zu belästigen oder viel schlimmer ihnen zu schaden.


Wenn du damit leben, kannst das du potenziell als Spamofper missbraucht wirst dann brauchst du dir keine Gedanken um Sicherheit zu machen.

 

schau Dir z.B. dies hier mal an: http://www.kuketz-blog.de/basisschutz-wordpress-absichern-teil1/

 

Wenn du WordPress und die Plugins regelmäßig aktualisierst (und dir nicht ein Plugin nach dem nächsten installierst, was vielleicht seit ein oder zwei Jahren nicht aktualisiert wurde), solltest du ziemlich auf der sicheren Seite sein (klar, absolute Sicherheit gibt es nicht, aber auch bei keinem anderen System). Ja, und ein starkes Passwort sowie ein anderer Nutzername als „admin“ helfen auch.
Die Geschichten, die dir da irgendjemand erzählt hat, kannst du mMn getrost vergessen.

 

Die Auffassung teile ich. Ein Anfänger ohne PHP Kenntnisse sollte meiner Meinung per se keine Webanwendung auf Basis von PHP installieren. Und selbst die, die über sehr gute PHP Kenntnisse verfügen, erleben täglich neue Überraschungen. Zum Beispiel meine letzte

[h=1]Javascript-Code in Bilder einbetten[/h]http://www.golem.de/news/cross-site-scripting-javascript-code-in-bilder-einbetten-1411-110264.html


Ok. dieses Problem hast du nicht aber meine Kunden haben das Recht bei mir Bilder hochzuladen...

Die Ladezeit wird erheblich schneller sein
Die Anforderugnen an den Provider sind geringer und die Kosten sinken erhelblich

aber - wer sucht diese Seite und wird dir darüber einen Auftrag geben? Ein Corperate Blog für (Copywriting, Texten, Logodesign) ist eigentlich ein *muss*

http://de.wikipedia.org/wiki/Corporate_Blog

Den Rest braucht das Web nicht mehr und die " für 1-200 hardcoden" kannst du für ein Essen mit deiner Freundin ausgeben.

Such dir eine WebAgentur, die dir Wordpress installiert und gestaltet und die Wartung übernimmt, wenn deine Seite für:

machst du diesen Schadenersatzpflichtig.

verständlich - aber die Warnung aus dem anderen Forum solltest du ernst nehmen.

oder hier einfach nach "gehackt" suchen

oder etwas lesen:
http://www.golem.de/news/angriff-ueber-plugin-zahlreiche-wordpress-webseiten-wurden-kompromittiert-1407-108088.html

http://www.golem.de/news/wordpress-defektes-plugin-erlaubt-admin-zugriff-1408-108438.html

 

Hi kujulian,

meine ganz persönliche Ansicht: eine kleine, statische Website (Webvisitenkarte), auf der inhaltliche Änderungen nur alle Jubeljahre vorkommen, würde ich mir kurz in einem Editor meiner Wahl zusammenbauen. Fehlt mir diesbezüglich das Knowhow oder möchte ich stetig Inhalte hinzufügen/pflegen (lassen) oder möchte ich mir viele Möglichkeiten für die Zukunft offen halten, so greife ich auf ein CMS zurück (oder lasse mir die Seite bauen ...).

Was mich aber nicht in meiner Entscheidung beeinflußt, sind "Horrorgeschichten". Denn erstens dienen diese in der Regel eher der Unterhaltung (deswegen ja auch "Geschichten" ) / Panikmache / Befriedigung der Sensationslust etc., als daß ihnen eine sachlich fundierte Auseinandersetzung mit der Sache an sich zugrunde liegt. Und zweitens sollte man immer im Hinterkopf bewahren: nur der Tod ist ohne Risiko

Wer elementare Grundregeln (Updates, sichere & geheim gehaltene Passwörter) beherzigt, der braucht keine "horrenden rechtliche Folgen" zu fürchten! Da bist Du Dir nicht sicher? Dann geh dorthin, wo die Musik spielt: wirf einen Blick in die einschlägige juristische Literatur, frag eine Juristen Deines Vertrauens oder - ganz allgemein - laß Dich beraten von Menschen, die wissen, wovon sie sprechen!

Wie gesagt, just my two cents!
Gruß
Tom

Anbei noch ein paar Tips für eine abendliche Lektüre :

- http://faq.wpde.org/automatische-hintergrund-aktualisierungen-konfigurieren/ >>> Updates
- https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html >>> ein Vergleich von CMS unter dem Gesichtspunkt der Sicherheit (zum Thema angeblicher Mega-Sicherheitslücken in Wordpress)

 

Deine Haftung kannst du nicht abwelzen.

Eine normale Webagentur hat eine Haftpflichtversicherung und diese greift - je nach Vertrag - für die Fehler der Webagentur.

Die Agenut übernimmt das Hosting (du bist dann nicht mehr bei einem Massenhoster) und übernimmt die Wartung / Pflege der Seite.
. Du hast keinen FTP-Zugang mehr und den Datei-editor kannst du auch vergessen.

Über die Örtliche IHK und hier in der Regel die Erfa Gruppe findest du diese Angenturen.

du benötigt kein Wordpress...

Lass dir die Media- und IT - Haftpflichtversicherung deiner WebAgentur bestätigen.

 

PHP basierte Systeme würde ich keinem PHP Anfänger empfehlen. - wirklich nicht. Und sich mal eben einarbeiten ist eigentlich nicht mehr möglich. PHP ist nicht mehr einfach. Finger weg - und Wordpress sollte man sich über einen Profi installieren lassen.

Hier eine Beschreibung, die man vor 4 Jahren verwendeten konnte.
http://www.spiegel.de/netzwelt/web/wordpress-so-sichern-sie-die-blog-maschine-ab-a-707286.html

Die Konfiguration sieht in einer sicheren Umgebung heute erheblich anders aus.

hier meine .htaccess
https://github.com/r23/MyOOS/blob/master/blog/wordpress/.htaccess
die in weiten teilen veraltet ist...

eine aktuelle gibt es hier
https://github.com/h5bp/server-configs-apache

und das gleiche spielchen gibt es für andere webServer... egal...

wenn du der Meinung bist, dass andere CMS Systme sicherer sind - nur vorsorglich:


Jede Drupal-Installation, die am 15. Oktober nicht binnen Stunden gepatcht worden ist, muss man als kompromittiert betrachten. Mit dieser drastischen Einschätzung wendet sich das Drupal-Team an die Öffentlichkeit.

http://www.heise.de/security/meldung/Drupal-Luecke-mit-dramatischen-Folgen-2438298.html

Webdesinger. ein böses Wort. Aber diese können dir eine WebSite erstellen...

 

Jein, hier gibt es z.B. fertige HTML Templates. Das sind statische Seiten, die du am PC anpasst und dann in den Webspace hochlädst: http://www.templatemo.com/page/1
Das einzige Sicherheitsrisiko könnte hier eventuell verwendetes Javascript sein.

Ein paar HTML Kenntnisse sind bestimmt von Vorteil fürs Anpassen: http://www.w3schools.com/html/default.asp
30 Min grob Überfliegen und falls es hakt nachschlagen könnte genügen.

Statische Seiten muss man eben nur 1 mal einrichten und muss sie danach (fast) nicht mehr warten. Bei einem CMS musst du wiederum darauf achten, immer alles aktuell zu halten.

 

Wenn das so wäre, hätte ich schon seit einigen Jahren Probleme. Klar ist, dass das ganze WEB eine einzige Sicherheitslücke ist.

Wichtig ist, dass man einen zuverlässigen Hoster nimmt, der sicher nicht gratis sein wird und dass man die eigene WebSite mit den in diesem Forum vorgeschlagenen Mitteln absichert. Wer im Forum sucht, der findet - auch ich habe gefunden.

100% sicher ist man nur, wenn man den PC nie ans Web anschliesst und auch keine eigene WebSite konstruiert.

Wenn man Wordpress richtig installiert und konfiguriert hat, macht es die notwendigen Updates selber.

Nochmals, meine WebSite funktioniert nun schon seit einigen Jahren absolut zuverlässig und wurde auch noch nie gekapert. Dank den getroffenen Massnahmen und den immer aktuellen Updates habe ich auch keine Angst davor.