Jeden Tag werden weltweit über 30.000 Websites gehackt — darunter kleine Blogs, Unternehmensseiten und Online-Shops. Die meisten Angriffe hätten mit einfachen Schutzmaßnahmen verhindert werden können. Website-Sicherheit beginnt nicht erst beim teuren Security-Paket deines Hosters, sondern bereits bei der Wahl des richtigen Hosting-Anbieters und der konsequenten Umsetzung grundlegender Best Practices.
In diesem Artikel bekommst du einen vollständigen Überblick über alle wichtigen Sicherheitsmaßnahmen: Von der obligatorischen SSL-Verschlüsselung über sichere Zugangsdaten und regelmäßige Updates bis zu Backups, Firewalls und professionellem Monitoring. Die Maßnahmen sind priorisiert — du siehst sofort, was zuerst umgesetzt werden sollte.
Die DSGVO verpflichtet Website-Betreiber ausdrücklich dazu, personenbezogene Daten durch "geeignete technische und organisatorische Maßnahmen" zu schützen (Art. 32 DSGVO). Wer nach einem Datenleck keine angemessenen Schutzmaßnahmen nachweisen kann, riskiert Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
1. Warum Website-Sicherheit beim Hosting beginnt
Viele Website-Betreiber denken bei Sicherheit zuerst an Plugins oder komplexe Servereinstellungen. Dabei entscheidet die Wahl des Hosting-Anbieters grundsätzlich darüber, welche Sicherheitsinfrastruktur dir zur Verfügung steht — und wie gut deine Website von Anfang an geschützt ist.
Die Hosting-Infrastruktur als Sicherheitsfundament
Beim Shared Hosting teilst du dir Serverressourcen mit anderen Kunden. Ein unsicheres Nachbarkonto auf demselben Server kann theoretisch zur Angriffsfläche für deine Website werden — ein Phänomen, das als Cross-Site Contamination bekannt ist. Seriöse Anbieter verhindern dies durch strikte Konten-Isolation, aber nicht alle Hoster setzen das konsequent um.
VPS- und Cloud-Hosting bietet hier naturgemäß mehr Isolation: Du hast eine eigene virtuelle Umgebung und bist nicht von den Sicherheitspraktiken anderer Kunden abhängig. Der Preis dafür ist mehr Eigenverantwortung bei der Serverkonfiguration.
Konten-Isolation
Strikte Trennung zwischen Kundenkonten verhindert Cross-Contamination auf Shared-Servern.
Server-Patchstand
Der Hoster ist für OS- und Software-Updates verantwortlich — frage aktiv nach seinem Patch-Prozess.
Physische Sicherheit
Zertifizierte Rechenzentren (ISO 27001, SOC 2) schützen die Hardware vor physischem Zugriff.
Netzwerk-Monitoring
Proaktive DDoS-Mitigation und Netzwerk-Überwachung durch den Hoster als erste Verteidigungslinie.
Shared Responsibility: Was du selbst kontrollierst
Die Sicherheitsverantwortung ist aufgeteilt: Der Hoster sichert die Infrastruktur (Server, Netzwerk, Rechenzentrum), du sicherst deine Anwendungen (CMS, Plugins, Zugangsdaten, Inhalte). Diese Aufteilung gilt besonders beim Managed Hosting.
Hoster-Verantwortung: Physische Sicherheit, OS-Updates, Netzwerkschutz, Hypervisor, RZ-Zertifizierung.
Deine Verantwortung: CMS-Updates, Plugins, Zugangsdaten, Benutzerrechte, App-Konfiguration, Inhalte, Backups deiner Daten.
Beim Managed Hosting übernimmt der Hoster mehr Aufgaben — aber nie die komplette Anwendungssicherheit.
2. SSL/TLS: Das Fundament der Website-Sicherheit
Ein SSL/TLS-Zertifikat ist heute keine optionale Ergänzung mehr, sondern absolutes Pflichtprogramm. Ohne HTTPS markiert Chrome deine Website als "Nicht sicher", Google bestraft dich im Ranking, und Browser blockieren zunehmend unverschlüsselte Verbindungen.
Was SSL/TLS eigentlich schützt
TLS (Transport Layer Security) verschlüsselt die Datenübertragung zwischen Browser und Server. Konkret verhindert das:
- Man-in-the-Middle-Angriffe: Dritte können den Datenverkehr nicht abfangen und lesen
- Datenmanipulation: Inhalte können auf dem Transportweg nicht verändert werden
- Phishing über gefälschte Websites: Das Zertifikat bestätigt die Identität des Servers
- Session-Hijacking: Authentifizierungs-Cookies bleiben verschlüsselt
Let's Encrypt: Kostenlose SSL-Zertifikate für alle
Seit 2015 bietet die gemeinnützige Zertifizierungsstelle Let's Encrypt kostenlose Domain-validierte (DV) Zertifikate an. Heute verwenden über 300 Millionen Websites Let's Encrypt — nahezu jeder seriöse Hoster integriert Let's Encrypt und aktiviert es per Knopfdruck. Zertifikate sind 90 Tage gültig und werden idealerweise automatisch erneuert (per Certbot oder ACME-Protokoll).
Prüfe deine SSL-Konfiguration kostenlos unter SSL Labs (ssllabs.com/ssltest/). Ziel ist Note A oder A+. Häufige Probleme: veraltete TLS 1.0/1.1-Versionen (sollten deaktiviert sein), schwache Cipher Suites und fehlende HSTS-Header.
Welcher Zertifikatstyp ist der richtige?
| Zertifikatstyp | Validierung | Für wen | Kosten | Ausstellungszeit |
|---|---|---|---|---|
| Domain Validated (DV) | Nur Domain-Kontrolle | Blogs, private Websites | Kostenlos (Let's Encrypt) | Minuten |
| Organization Validated (OV) | Domain + Unternehmen | Unternehmenswebsites | 50–300 EUR/Jahr | 1–3 Tage |
| Extended Validation (EV) | Strenge Unternehmens-Prüfung | Banken, große Shops | 100–500 EUR/Jahr | 3–14 Tage |
| Wildcard (*.domain.de) | DV oder OV | Viele Subdomains | Ab 60 EUR/Jahr | Minuten–Tage |
| Multi-Domain (SAN) | DV oder OV | Mehrere Domains | Ab 50 EUR/Jahr | Minuten–Tage |
HTTPS erzwingen und Security-Header setzen
Ein Zertifikat allein reicht nicht — HTTP-Traffic muss konsequent auf HTTPS umgeleitet und wichtige Sicherheits-Header müssen aktiviert werden:
# .htaccess (Apache): HTTP zu HTTPS weiterleiten
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# Wichtige Security-Header
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"Mehr Details findest du in unserem Artikel SSL-Zertifikat beim Hosting.
3. Sichere Zugangsdaten und Authentifizierung
Schwache Passwörter sind nach wie vor eine der häufigsten Ursachen für gehackte Websites. Automatisierte Brute-Force-Angriffe testen Millionen von Passwort-Kombinationen pro Sekunde — ein achstelliges Wörterbuchwort ist in Sekunden geknackt.
Starke Passwörter: Was wirklich funktioniert
Passphrasen statt Passwörter verwenden
Vier zufällige Wörter ergeben eine Passphrase wie "Kaktus-Turm-Regen-Brücke" — lang, merkbar und kryptographisch stark. 30+ Zeichen schlagen 8-Zeichen-Kombinationen bei weitem.
Passwort-Manager einsetzen
Bitwarden (Open Source, kostenlos), 1Password oder KeePass generieren und speichern einzigartige, zufällige Passwörter für jeden Dienst. Du merkst dir nur noch ein Master-Passwort.
Niemals Passwörter wiederverwenden
Wenn ein Dienst gehackt wird und dein Passwort geleakt wird, probieren automatisierte Tools es bei hunderten anderen Diensten aus (Credential Stuffing).
Have I Been Pwned prüfen
Auf haveibeenpwned.com kannst du prüfen, ob deine E-Mail-Adresse oder Passwörter in bekannten Datenlecks aufgetaucht sind.
Zwei-Faktor-Authentifizierung (2FA) aktivieren
2FA verhindert, dass ein gestohlenes Passwort allein ausreicht, um Zugang zu deinem Konto zu erlangen. 2FA-Methoden im Vergleich (von sicher zu weniger sicher):
- Hardware-Security-Keys (FIDO2/WebAuthn): YubiKey, Google Titan — phishing-resistent, sicherste Methode
- TOTP-Apps: Google Authenticator, Authy, Bitwarden TOTP — zeitbasierte Einmalcodes, sehr sicher
- Push-Benachrichtigungen: Microsoft Authenticator, Duo — komfortabel, aber anfällig für Prompt Bombing
- SMS-TAN: Anfällig für SIM-Swapping — besser als nichts, aber nicht empfohlen
Bei frischen WordPress-Installationen und cPanel-Konten existieren oft Standard-Zugangsdaten (admin/admin, root/root). Automatisierte Scanner prüfen jede neue IP-Adresse innerhalb von Minuten auf Standard-Credentials. Ändere alle Zugangsdaten unmittelbar nach der Installation.
SSH-Schlüssel statt Passwörter für Server-Zugriff
Bei VPS und dedizierten Servern solltest du SSH-Passwort-Authentifizierung deaktivieren und ausschließlich SSH-Key-Authentication verwenden:
# SSH-Key-Paar generieren (lokal)
ssh-keygen -t ed25519 -C "dein@email.de"
# Öffentlichen Key auf Server übertragen
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server-ip
# SSH-Daemon-Konfiguration anpassen
PasswordAuthentication no
PermitRootLogin no
PubkeyAuthentication yes
Port 22224. Software-Updates und Patch-Management
Die überwiegende Mehrheit erfolgreicher Website-Angriffe nutzt bekannte Schwachstellen in veralteter Software aus — nicht Zero-Day-Exploits. Mit konsequentem Update-Management eliminierst du die größte Angriffsfläche.
WordPress: Das beliebteste Angriffsziel
WordPress ist mit über 43 % Marktanteil das verbreitetste CMS der Welt — und damit auch das beliebteste Angriffsziel. Die meisten Sicherheitsprobleme entstehen durch veraltete Plugins und Themes.
- Automatische Updates aktivieren: WordPress bietet seit Version 5.5 automatische Minor-Updates; aktiviere auch Major-Updates nach vorherigem Test
- Plugins und Themes aktuell halten: WPScan zeigt täglich neue Schwachstellen — Plugins werden oft innerhalb von 24 Stunden nach Bekanntwerden aktiv angegriffen
- Inaktive Plugins und Themes löschen: Deaktivierte Plugins werden noch ausgeführt und können Schwachstellen enthalten — vollständig löschen
- Nur aktiv gepflegte Plugins verwenden: Prüfe im WordPress-Repository, wann das Plugin zuletzt aktualisiert wurde
WPScan (wpscan.com): Scannt WordPress-Installationen auf bekannte Schwachstellen. Kostenloser Basis-Zugang verfügbar.
Sucuri SiteCheck: Kostenloser Malware- und Blacklist-Check für jede URL.
Wordfence (kostenlos): WordPress-Plugin mit integriertem Firewall- und Malware-Scanner.
PHP-Version: Kritisch für Sicherheit und Performance
PHP-Versionen jenseits des End-of-Life-Datums erhalten keine Sicherheitsupdates mehr. Trotzdem läuft ein erheblicher Teil aller WordPress-Websites auf veralteten PHP-Versionen.
| PHP-Version | Status | Security-Support bis | Empfehlung |
|---|---|---|---|
| PHP 7.4 und älter | EOL | November 2022 | Sofort upgraden |
| PHP 8.0 | EOL | November 2023 | Sofort upgraden |
| PHP 8.1 | Security only | Dezember 2025 | Zeitnah upgraden |
| PHP 8.2 | Security only | Dezember 2026 | Noch akzeptabel |
| PHP 8.3 | Aktiv | Dezember 2027 | Empfohlen |
| PHP 8.4 | Aktiv | Dezember 2028 | Empfohlen |
Update-Strategie für produktive Websites
- Backup vor jedem Update erstellen (manuell oder automatisch)
- Updates zunächst auf Staging-Umgebung testen
- Änderungsprotokoll (Changelog) des Updates lesen — besonders bei Major-Versionen
- Nach dem Update Website auf Funktion prüfen: Formulare, Checkout, Login
- Bei Problemen: Rollback auf Backup
5. Backups: Dein letztes Sicherheitsnetz
Kein Sicherheitssystem ist unfehlbar. Ransomware, menschliche Fehler, Hardware-Ausfälle und Hacker-Angriffe können jeden treffen — das entscheidende ist, wie schnell du dich erholen kannst.
Die 3-2-1-Backup-Strategie
Die 3-2-1-Regel für Backups
3 Kopien deiner Daten insgesamt — das Original plus zwei Backups.
2 verschiedene Speichermedien oder -dienste — nicht alles auf einem Speicherort.
1 Kopie off-site — extern (Cloud, anderer Server, physisch anderer Standort).
Hoster-Backups zählen als eine Kopie — nicht als vollständiges Backup-Konzept. Sie können genauso betroffen sein wie deine Website, wenn der Hoster ein Problem hat.
Was muss ins Backup?
- Dateisystem: Alle Dateien im Web-Root (WordPress-Core, Themes, Plugins, Uploads, Custom Code)
- Datenbank: Alle Datenbank-Tabellen mit vollständigen Daten (MySQL/MariaDB Dump)
Häufiger Fehler: Nur das Dateisystem oder nur die Datenbank wird gesichert. Ohne das jeweils andere kannst du die Website nicht vollständig wiederherstellen.
Backup-Frequenz: Wie oft ist genug?
| Website-Typ | Empfohlene Frequenz | Aufbewahrung | Hinweis |
|---|---|---|---|
| Statische Website / Blog | Täglich | 30 Tage | Bei seltenen Änderungen reicht wöchentlich |
| WordPress-Blog (aktiv) | Täglich | 30–90 Tage | DB täglich, Dateien wöchentlich möglich |
| Online-Shop / E-Commerce | Mehrfach täglich | 90–365 Tage | Bestell- und Kundendaten kritisch |
| SaaS / Web-App | Stündlich oder kontinuierlich | 365+ Tage | Point-in-Time Recovery empfohlen |
Off-Site Backup-Lösungen
- UpdraftPlus (WordPress-Plugin): Kostenlos, unterstützt Amazon S3, Google Drive, Dropbox, FTP als Ziel
- BackupBuddy: Premium-Plugin mit vollständiger Migration-Funktion
- Hetzner Storage Box: Günstige SFTP/WebDAV-Storage ab 3,35 EUR/Monat für 100 GB
- Backblaze B2: Sehr günstiger Cloud-Speicher (0,006 USD/GB/Monat), S3-kompatible API
- Rclone: Open-Source-Tool für automatische Synchronisation zu 40+ Cloud-Diensten
Backups testen! Viele Betreiber erstellen Backups und prüfen nie, ob die Wiederherstellung funktioniert. Führe mindestens vierteljährlich einen vollständigen Restore-Test auf einer Testumgebung durch. Ein Backup, das sich nicht wiederherstellen lässt, ist kein Backup — es ist eine falsche Sicherheit.
6. Firewall und Intrusion Detection
Firewalls filtern schadhaften Traffic, bevor er deine Anwendung erreicht. Die Kombination aus Netzwerk-Firewall (auf Server-Ebene) und Web Application Firewall (auf Anwendungsebene) bietet den stärksten Schutz.
Web Application Firewall (WAF): Schutz auf Anwendungsebene
Eine WAF analysiert HTTP-Traffic und blockiert bekannte Angriffsmuster wie SQL-Injection, Cross-Site Scripting (XSS), Remote File Inclusion und andere OWASP-Top-10-Angriffe, bevor sie deine Anwendung erreichen.
Cloudflare WAF
Kostenloser Basis-Schutz im Free-Plan, erweiterte WAF-Regeln ab 20 USD/Monat. Einfachste Einrichtung: nur DNS umlenken.
ModSecurity
Open-Source-WAF-Modul für Apache und Nginx. Zusammen mit OWASP Core Rule Set effektiver Schutz ohne laufende Kosten.
Sucuri WAF
Cloud-basierte WAF ab 9,99 USD/Monat. Inkl. CDN und Malware-Cleanup-Garantie. Beliebt für WordPress-Seiten.
Wordfence (WP)
WordPress-spezifische WAF als Plugin. Kostenlos mit Basisschutz, Premium ab 119 USD/Jahr mit Echtzeit-Signaturupdates.
Server-Firewall mit UFW konfigurieren
# UFW (Uncomplicated Firewall) auf Ubuntu/Debian
ufw default deny incoming
ufw default allow outgoing
ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 2222/tcp
ufw limit 2222/tcp
ufw enable
ufw status verboseFail2ban: Automatischer Schutz gegen Brute-Force
Fail2ban analysiert Log-Dateien in Echtzeit und sperrt IP-Adressen automatisch, die zu viele fehlgeschlagene Login-Versuche innerhalb kurzer Zeit produzieren. Es funktioniert mit SSH, FTP, Apache, Nginx und WordPress.
# Fail2ban Installation
apt install fail2ban
# jail.local Konfiguration
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
[sshd]
enabled = true
port = 2222
[wordpress]
enabled = true
filter = wordpress
maxretry = 3Cloudflare (auch im kostenlosen Plan) agiert als Reverse Proxy und versteckt deine echte Server-IP. Angreifer können deine Website nicht direkt angreifen, ohne Cloudflares Netzwerk zu passieren. Das allein reduziert Scan- und DDoS-Traffic erheblich. Aktiviere zusätzlich "Under Attack Mode" bei akuten DDoS-Angriffen.
DDoS-Schutz: Verteilte Angriffe abwehren
DDoS-Angriffe überfluten deine Website mit so vielen Anfragen, dass sie für echte Nutzer nicht mehr erreichbar ist. Effektiver Schutz erfordert Ressourcen auf Infrastrukturebene.
- Cloudflare (kostenlos): Grundlegender DDoS-Schutz durch Traffic-Filterung am Netzwerk-Edge
- Hoster-seitiger Schutz: Viele Hoster bieten integrierte DDoS-Mitigation an — frage aktiv danach
- OVHcloud / Hetzner: Integrierter DDoS-Schutz durch VAC-Technologie (OVH) bzw. Anycast (Hetzner)
- AWS Shield / Azure DDoS Protection: Für kritische Infrastruktur bei großen Cloud-Anbietern
7. Malware-Erkennung und Monitoring
Selbst bei guten Schutzmaßnahmen können Angriffe durchdringen. Entscheidend ist, wie schnell du einen Einbruch erkennst. Laut IBM Security beträgt die durchschnittliche Zeit bis zur Erkennung eines Angriffs über 200 Tage — in dieser Zeit richten Angreifer maximalen Schaden an.
Regelmäßige Malware-Scans
- Sucuri SiteCheck: Kostenloser Remote-Scan — prüft, was ein Browser sieht
- Wordfence (WordPress): Vergleicht Dateien mit dem offiziellen WordPress-Repository; findet modifizierte Core-Dateien
- Maldet / Linux Malware Detect (LMD): Server-seitiger Scanner für Linux, optimiert für Shared-Hosting-Umgebungen
- ClamAV: Open-Source-Virenscanner für Linux-Server, integrierbar in Cronjobs
- Imunify360: Kommerzieller Server-Scanner, von vielen cPanel-Hostern angeboten
SEO-Spam: Angreifer verstecken Links zu Spam-Seiten in deinem HTML — für Besucher unsichtbar, von Suchmaschinen indexiert. Erkennbar an unbekannten Keywords in der Google Search Console.
PHP-Backdoors: Versteckter PHP-Code, der Angreifern dauerhaften Zugriff ermöglicht, auch nach Passwort-Reset.
Kreditkarten-Skimmer: JavaScript, das auf Checkout-Seiten Zahlungsdaten abgreift und an externe Server sendet (Magecart-Angriffe).
Uptime-Monitoring und Alerting einrichten
- UptimeRobot (kostenlos): Prüft alle 5 Minuten die Erreichbarkeit; sendet Alerts per E-Mail oder Slack
- Better Uptime: Status-Pages + Monitoring, kostenloser Plan verfügbar
- Pingdom: Performance-Monitoring + Uptime, ab 14 USD/Monat
- Zabbix / Prometheus: Open-Source-Monitoring für eigene Server, umfassende Metriken
Security-Ereignisse loggen und auswerten
Log-Dateien sind das Gedächtnis deines Servers. Analysiere regelmäßig: Access Logs (ungewöhnlicher Traffic, verdächtige URL-Muster), Auth-Logs (fehlgeschlagene SSH-Versuche), WordPress-Logs (unbekannte Admin-Accounts) und PHP-Fehlerprotokolle (mögliche Injection-Versuche).
Google Search Console benachrichtigt dich kostenlos, wenn Google Malware oder gehackte Inhalte auf deiner Website entdeckt. Unter "Sicherheitsprobleme" werden erkannte Angriffe gemeldet — ein effektiver kostenloser Frühwarnmechanismus.
Datei-Integritätsüberwachung (FIM)
File Integrity Monitoring erkennt Veränderungen an Dateien, die sich normalerweise nicht ändern sollten. Wenn ein Angreifer eine PHP-Backdoor installiert oder Core-Dateien modifiziert, schlägt FIM sofort Alarm:
# AIDE (Advanced Intrusion Detection Environment)
apt install aide
# Initiale Datenbank erstellen
aideinit
# Täglicher Cronjob zur Integritätsprüfung
0 3 * * * /usr/sbin/aide --check | mail -s "AIDE Report" admin@domain.de8. Sicherheit beim Hosting-Anbieter wählen
Nicht jeder Hoster nimmt Sicherheit gleich ernst. Die folgenden Kriterien helfen dir, Anbieter mit echtem Sicherheitsfokus von solchen zu unterscheiden, die Sicherheit nur als Marketing-Schlagwort verwenden.
Security-Checkliste: Wichtige Maßnahmen im Überblick
| Sicherheitsmaßnahme | Priorität | Aufwand | Kosten |
|---|---|---|---|
| SSL/TLS-Zertifikat aktivieren | Kritisch | Minimal | Kostenlos (Let's Encrypt) |
| HTTP zu HTTPS weiterleiten | Kritisch | Minimal | Keine |
| Starke Passwörter + Passwort-Manager | Kritisch | Gering | 0–3 EUR/Monat |
| 2FA für alle Admin-Zugänge | Kritisch | Gering | Kostenlos |
| CMS und Plugins aktuell halten | Kritisch | Gering (automatisierbar) | Keine |
| Tägliche automatische Backups | Kritisch | Mittel (Einrichtung) | Ab 3 EUR/Monat |
| Backup off-site speichern | Kritisch | Gering | Ab 3 EUR/Monat |
| PHP-Version aktuell halten | Hoch | Mittel | Keine |
| WAF aktivieren (Cloudflare/Wordfence) | Hoch | Gering | 0–20 EUR/Monat |
| Security-Header setzen | Hoch | Gering | Keine |
| Uptime-Monitoring einrichten | Hoch | Minimal | Kostenlos (UptimeRobot) |
| SSH-Key-Authentication | Hoch | Mittel | Keine |
| Fail2ban einrichten | Hoch | Mittel | Keine |
| Malware-Scans automatisieren | Mittel | Mittel | 0–10 EUR/Monat |
| Datei-Integritätsüberwachung | Mittel | Hoch | Keine |
| Log-Analyse automatisieren | Mittel | Hoch | 0–50 EUR/Monat |
| DDoS-Schutz (Cloudflare Pro/Business) | Situativ | Gering | Ab 20 USD/Monat |
Was du beim Hosting-Anbieter prüfen solltest
- Kostenlose SSL-Zertifikate — Let's Encrypt-Integration mit Auto-Renewal, idealerweise per Klick im Control Panel aktivierbar
- Automatische Backups — tägliche Backups mit mindestens 7–14 Tagen Aufbewahrung und einfacher Restore-Funktion
- Malware-Scanning — proaktives Scanning und Benachrichtigung bei Verdacht, idealerweise mit automatischer Quarantäne
- DDoS-Mitigation — integrierter Netzwerk-Schutz gegen volumetrische Angriffe ohne Aufpreis
- Server-seitige Firewall — Basis-Firewall als Standard aktiviert, konfigurierbar für eigene Regeln
- Aktuelle Software-Versionen — schnelle Updates bei kritischen Sicherheitslücken in Webserver-Software
- Konto-Isolation (Shared Hosting) — separate Benutzerkonten und Verzeichnisrechte verhindern Cross-Contamination
- 2FA für Kundenkonto — Login-Schutz für das Hosting-Kundenkonto selbst, oft vergessen aber kritisch
- Transparente Sicherheitsvorfälle — kommuniziert der Anbieter aktiv bei Sicherheitsvorfällen? Status-Seite vorhanden?
- DSGVO-Konformität — Serverstandort Deutschland/EU, Auftragsverarbeitungsvertrag (AVV) verfügbar
- Keine überfälligen PHP-Versionen — Anbieter, die PHP 7.4 oder älter noch anbieten (ohne Warnhinweis), nehmen Sicherheit nicht ernst
Sicherheit im Vergleich: Was die besten Anbieter bieten
Die sicherheitsbewusstesten Hoster bieten Sicherheitsfunktionen als Standard — nicht als teures Add-on: Let's Encrypt mit Auto-Renewal, tägliche Backups ohne Aufpreis, proaktives Malware-Scanning und zeitnahe Sicherheitsupdates für die gesamte Server-Software.
Vergleiche aktuelle Anbieter in unserem Hosting-Anbieter-Vergleich. Oder starte direkt die Domain-Suche, um einen passenden Anbieter für deine Domain zu finden.
Zusammenfassung: Die fünf wichtigsten Sofortmaßnahmen
Wenn du heute nur fünf Dinge umsetzt, dann diese — in dieser Reihenfolge:
- SSL aktivieren — Let's Encrypt ist bei den meisten Hostern per Klick verfügbar. Kein Grund für Verzögerung.
- 2FA für alle Admin-Zugänge — WordPress-Admin, cPanel, Hoster-Kundenkonto, alle Server-Zugänge.
- Automatische Backups einrichten — täglich, off-site, mit getesteter Wiederherstellung.
- Alles aktuell halten — WordPress, Plugins, Themes, PHP-Version. Sofort.
- Uptime-Monitoring aktivieren — UptimeRobot ist kostenlos und eingerichtet in 5 Minuten.
Website-Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Aber mit den hier beschriebenen Maßnahmen bist du deutlich besser geschützt als die überwiegende Mehrheit aller Websites im Netz.
Weitere Informationen findest du in unserem Artikel über SSL-Zertifikate beim Hosting und im Hosting-Vergleich.