Ausgangslage: Was ist ein Shared Hosting?
Um deine Website im Internet zu präsentieren, brauchst du einen Webserver. Bei hosttech kannst du diesen bequem online bestellen.
Alle Funktionen und Vorgänge auf deiner Website nutzen Ressourcen dieses Servers. Wenn sich zum Beispiel ein Besucher deine Website ansehen will, holt dein Server die dazu erforderlichen Daten und zeigt ihm dann die Homepage an. Um diesen Prozess auszuführen, nutzt deine Website einige Ressourcen des Servers.
Nicht jede Website benötigt einen kompletten Server. Viele Websites haben nur wenig Inhalt und beanspruchen bloss einen Bruchteil der Ressourcen eines ganzen Servers.
Du kannst dir das so vorstellen, als würdest du ein ganzes Wohnhaus kaufen, obwohl du nur eine Wohnung nutzt.
Daher ist die Investition in einen einzelnen Server nicht nur teuer, sondern in den meisten Fällen auch eine Ressourcenverschwendung. Hier kommt nun das Shared Hosting ins Spiel: Ein einziger Server beherbergt mehrere Websites.
Die Anzahl der Websites auf einem gemeinsam genutzten Server hängt davon ab, wie viele Ressourcen den einzelnen Websites zur Verfügung stehen sollen.
Jeder Onlineauftritt kann eine Reihe von Sicherheitsrisiken bergen. Das ist beispielsweise auch beim Shared Hosting der Fall, wenn Hacker deine Website nutzen, um Spam zu versenden, unerwünschte Inhalte anzuzeigen und Besucher auf unbekannte Seiten umzuleiten. Wenn Google feststellt, dass deine Website gehackt wurde, wird sie auf die schwarze Liste gesetzt und bleibt so lange gesperrt, bis sie wieder bereinigt ist.
Damit das nicht passiert, zeigen wir dir in diesem Beitrag die Risiken sowie gezielte Massnahmen auf, mit welchen du deine Website schützen kannst.
Die 4 grössten Sicherheits- und Leistungsrisiken beim Shared Hosting
Um auf die Analogie mit der Wohnung zurückzukommen: Stell dir vor, du teilst dir ein Wohnhaus mit tausenden anderen Menschen. Ihr habt ein paar Gemeinschaftsräume wie den Aufzug, das Treppenhaus und den Eingangsbereich.
Wenn nun eine Person die Sicherheitsvorschriften nicht beachtet und die Fenster nicht schliesst, könnte ein Dieb einbrechen und sich Zugang zu den Gemeinschaftsräumen verschaffen. Dieser Dieb lauert dann im Haus und könnte versuchen, in verschiedene Wohnungen einzubrechen.
Und genau so ist es beim Shared Hosting: Wird eine Website auf dem Server gehackt, können Hacker den Zugang nutzen, um andere Websites anzugreifen, die auf demselben Server liegen.
Aber es ist nicht nur die Sicherheit, um die du dich kümmern musst. Auch grundlegende Wartungsarbeiten können ein Sicherheitsproblem darstellen. Wenn zum Beispiel eine Person ein Leck in der Wasserleitung hat und es lange Zeit nicht repariert, kann sich das Leck ausbreiten und auch andere Wohnungen in der Nähe in Mitleidenschaft ziehen.
Genauso könnten andere Websites auf deinem gemeinsamen Server Probleme für deine Website verursachen.
Wir zeigen wir dir die vier grössten Sicherheits- und Leistungsrisiken bei der Nutzung eines Shared Hosting-Dienstes auf. Wir nutzen nachfolgend WordPress als Beispiel, da viele unserer Kund:innen dieses CMS verwenden. Die Tipps können jedoch – wenn auch etwas angepasst – auf andere CMS angewendet werden.
1. Gemeinsames Verzeichnis
Jede WordPress-Website hat einen eigenen Ordner, in dem die WordPress-Dateien, Inhalte und andere Daten abgelegt sind. Dieser Ordner befindet sich in einem sogenannten «Verzeichnis» auf deinem Webserver.
Auf einem dedizierten Server, auf welchem nur deine Website alleine gehostet wird, gibt es nur einen Ordner im Verzeichnis, in dem die Dateien deiner Website liegen. Beim Shared Hosting hingegen gibt es ein Verzeichnis mit Ordnern von mehreren Websites. Auch wenn deine Website eine eigene Domain und eigene Inhalte hat, ist sie durch die gemeinsame Nutzung dieses Verzeichnisses mit den anderen Websites auf deinem Server verbunden.
Das heisst, wenn ein Hacker auf dieses Hauptverzeichnis zugreifen kann, kann er alle Websites auf demselben Server angreifen. Hacker tun dies, indem sie Programme ausführen, um Schwachstellen auf allen Websites in diesem Verzeichnis zu finden. Das kann zum Beispiel ein veraltetes Plug-in sein, das auf der Website installiert ist. Sobald sie die Schwachstelle gefunden haben, nutzen sie sie aus, um sich in die Website zu hacken.
Bei einem Shared Hosting von hosttech bist du vor dieser Schwachstelle geschützt, denn jede Domain besitzt ein eigenes Verzeichnis und hat eigene Benutzerrechte.
2. Langsame Ladezeit
Wenn eine andere Website auf dem gemeinsam genutzten Server gehackt wird, kann das auch die Leistung deiner Website beeinträchtigen. Wird eine Website kompromittiert, können Hacker sie nutzen, um bösartige Aktivitäten auszuführen.
Auf diese Weise verbraucht die gehackte Website mehr als die gemeinsam genutzten Serverressourcen. Das kann sich auch auf deine Website auswirken. Deine Website wird deutlich langsamer und im schlimmsten Fall gar nicht mehr reagieren und so für Besucher unzugänglich werden.
Da wir uns bei hosttech dieses Risikos bewusst sind, schränken wir bei einer Überlastung nur die Ressourcen der betroffenen Website ein und alle anderen Websites werden nicht davon betroffen.
Auf sogenannten Shared-Hosting Servern befinden sich jeweils mehrere Websites. Entsprechend ist es wichtig, dass den Websites, welche aufgerufen werden, gewisse Limits zugewiesen werden. Würden wir dies nicht tun, könnte eine Website die gesamte Leistung des Servers beanspruchen und alle anderen Websites auf demselben Server wären nicht aufrufbar.
Die wichtigsten Limits sind hierbei der CPU- und RAM-Verbrauch, weshalb diese auch in den Angebotsdetails aufgelistet sind. Wer keine Limits in Kauf nehmen und einen Server für sich alleine möchte, für den bieten wir in unserer Produktpalette unsere Managed Hosting Server an.
Alle weiteren Informationen zu den Hosting-Limitierungen findest du auch hier.
3. DDoS-Angriffe
DoS (Denial of Service; englisch für „Verweigerung des Dienstes“) bezeichnet in der Informationstechnik die Nichtverfügbarkeit eines Internetdienstes, der eigentlich verfügbar sein sollte. Häufigster Grund ist die Überlastung des Datennetzes. Das kann unbeabsichtigt verursacht werden oder durch einen Angriff auf die Server oder sonstige Komponenten des Datennetzes erfolgen.
Deine Website kann langsamer werden, wenn andere Websites auf demselben Server einen starken Anstieg des Datenverkehrs verzeichnen.
Um eine Website zum Absturz zu bringen, programmiert ein Hacker Tausende von bösartigen Bots und Geräten, um eine Flut von Anfragen an deine Website zu schicken. Dies wird als DDoS-Angriff (Distributed Denial of Service) bezeichnet.
Um den plötzlichen Anstieg des Datenverkehrs zu bewältigen, verbraucht die angegriffene Website mehr Ressourcen auf dem Server. Dies führt dazu, dass allen anderen Websites auf dem Server weniger Ressourcen zur Verfügung stehen, was sich negativ auf ihre Geschwindigkeit und Leistung auswirkt.
Ein DDOS-Angriff kann jede Art von Server betreffen, also auch dedizierte Server. Bei hosttech sind die Server vor DDOS Angriffen bis zu 10 Gbit/s geschützt.
4. Gemeinsame IP-Adresse
Eine IP-Adresse ist ein eindeutiger Code, der ein Gerät identifiziert, welches das Internet nutzt. Das kann z.B. ein Mobiltelefon oder ein Computer sein. Auch Server sind Geräte, die das Internet nutzen. Daher hat jeder Server seine eigene IP-Adresse.
Ein gemeinsam genutzter Server verfügt standardmässig über eine IP-Adresse, was bedeutet, dass alle Websites, die auf diesem Server gehostet werden, die gleiche IP-Adresse aufweisen.
Wenn eine benachbarte Website illegale Aktivitäten durchführt oder ihren Kunden Spam versendet, wird die IP-Adresse auf eine schwarze Liste gesetzt und als bösartig markiert. Dies führt zu einer Reihe von Problemen für deine Website:
- Firewalls erkennen deine Website als bösartig und blockieren den Zugriff ihrer Nutzer/innen.
- E-Mail-Anbieter wie Gmail setzen deine IP-Adresse auf die schwarze Liste, was bedeutet, dass alle von dir gesendeten E-Mails in den Spam-Posteingang deiner Kunden umgeleitet werden.
- Suchmaschinen wie Google setzen deine Website auf die schwarze Liste und stufen sie als unsicher ein.
Um dich gegen dieses Problem zu schützen, kannst du bei hosttech in Plesk eine eigene IP-Adresse bestellen. Somit ist bist du nicht mehr abhängig von anderen Nutzern.
Unsere Tipps, um deine Website vor Sicherheitsrisiken beim Shared Hosting zu schützen
Es besteht immer die Möglichkeit, einen Cloud Server oder einen Rootserver statt eines Shared Hostings für deine Website zu verwenden. Dabei hast du die volle Kontrolle über den Server, jedoch ist auch mehr technisches Wissen und Aufwand für die Inbetriebnahme nötig.
Deshalb verraten wir dir nachfolgend vier Massnahmen, die du auf deiner Website umsetzen kannst, um die oben beschriebenen Risiken zu minimieren:
1. Installiere ein Sicherheits-Plug-in
Dies ist eine Massnahme, die du für deine Website ergreifen musst, unabhängig davon, ob du ein Shared Hosting oder einen dedizierten Server nutzt.
Ein gutes WordPress-Sicherheits-Plug-in bietet eine starke Verteidigung gegen Hacker und bösartige Aktivitäten auf deiner Website. Wenn ein Hacker auf der gemeinsam genutzten Plattform versucht, sich Zugang zu deiner Website zu verschaffen oder bösartige Befehle ausführen möchte, sollte das Sicherheits-Plug-in dies erkennen und dich davor warnen.
Wir empfehlen die Installation von NinjaFirewall auf deiner WordPress-Seite. Hier wird die Konfiguration des Plug-ins beschrieben.
Das Plug-in stellt automatisch eine starke Firewall auf, die Hackern den Zugriff auf sensible Dateien deiner Website verwehrt. Mit nur wenigen Klicks kannst du ausserdem die empfohlenen WordPress-Härtungsmassnahmen auf deiner Website implementieren. Diese Massnahmen werden die Sicherheit deiner Website stark erhöhen.
2. Überprüfe dein Shared Hosting
Wir empfehlen dir, zu prüfen, welche Sicherheitsmassnahmen auf Server-Ebene existieren.
Stelle sicher, dass die Umgebung deiner Website von anderen getrennt ist. Das bedeutet, dass die Umgebung von website1.com nicht für die Umgebung von website2.com zugänglich sein sollte.
Bei einem hosttech Hosting bist du davor automatisch geschützt.
3. Dateiberechtigungen festlegen
Wie wir bereits erwähnt haben, können Hacker auf einem gemeinsam genutzten Server versuchen, Zugriff auf deine WordPress-Dateien zu erhalten. Das kannst du verhindern, indem du die richtigen Dateiberechtigungen festlegst, damit nur du als Eigentümer/in der Website darauf zugreifen kannst.
Um die Dateiberechtigungen zu ändern, musst du auf das Plesk Panel deines Hosting-Accounts zugreifen:
Im Allgemeinen sollten die WordPress-Verzeichnisrechte 755 und die WordPress Dateirechte 644 sein. Einige wichtige Ausnahmen sind die wp-config.php Datei deiner Website und die .htaccess Datei deines Servers.
- wp-admin: 755
- wp-includes: 755
- wp-content: 755
- wp-content/themes: 755
- wp-content/plugins: 755
- wp-content/uploads: 755
- .htaccess: 644
- index.php: 644
- wp-config.php: 640
4. PHP-Ausführung in unbekannten Ordnern blockieren
Meistens haben gehackte WordPress-Seiten Backdoor-Dateien. Diese Backdoor-Dateien sind oft als WordPress-Kerndateien getarnt und befinden sich in den Verzeichnissen /wp-includes/ oder /wp-content/uploads/.
Normalerweise führen sie den Code in einer Programmiersprache namens PHP aus. Die Ausführung von PHP ist zwar auf deiner Website erforderlich, wird aber nur in bestimmten Ordnern verwendet. Du kannst Hacker daran hindern, ihre Aktivitäten durchzuführen, indem du die PHP-Ausführung in nicht vertrauenswürdigen Ordnern blockierst. Eine einfache Möglichkeit, die Sicherheit von WordPress zu verbessern, besteht darin, die PHP-Ausführung für einige WordPress-Verzeichnisse zu deaktivieren.
So deaktivierst du die PHP-Ausführung in WordPress-Verzeichnissen:
Erstelle eine leere .htaccess-Datei und füge diesen Code darin ein:
<Files *.php>
deny from all
</Files>
Lade diese Datei dann in die Verzeichnisse /wp-content/uploads/ und /wp-includes/ hoch.
Wenn du in deinem Startverzeichnis den Ordner /wp-content oder /wp-includes nicht siehst, dann verwendest du kein WordPress und musst die .htaccess-Datei nicht erstellen. Falls du die Ordner siehst, dann sollte es nach der Anpassung wie folgt aussehen:
Fazit
Shared-Hosting-Angebote sind normalerweise eine gute Option für neue Websites oder für Unternehmen, die nur eine einfache Online-Präsenz benötigen. Wenn dein Unternehmen jedoch wächst und deine Website grösser wird, solltest du einen dedizierten Server in Betracht ziehen. Ob du dich für ein Managed Hosting, einen Cloud Server oder einen Rootserver entscheidest, ist dabei dir überlassen. Ein dediziertes Hosting verbessert auf jeden Fall die Sicherheit und Leistung deiner Website.
Aber keine Umgebung ist zu 100% sicher vor Cyberbedrohungen. Hacker finden alle möglichen Wege, um in deine Website einzubrechen. Wir empfehlen dir deshalb dringend, immer ein zuverlässiges Sicherheits-Plug-in wie NinjaFirewall auf deiner Website zu verwenden. Damit wird sichergestellt, dass deine Website über eine Firewall verfügt, die schädlichen Datenverkehr blockiert, sowie über einen Scanner, der sie auf Malware überprüft.