Website Security Baseline

Sicherheit

Guide

Eine Website Security Baseline ist kein Penetrationstest und keine vollständige Sicherheitsgarantie. Sie ist ein wiederholbarer Mindestprozess, der sichtbare Risiken, bekannte Schwachstellen, Zugriffsthemen, Patch-Routinen und Reaktionsfähigkeit in einen überprüfbaren Ablauf bringt.

Dieser Guide zeigt, wie Teams eine pragmatische Baseline aufbauen, ohne Security als einmaliges Audit zu behandeln.

Warum Sie ohne Panik handeln sollten

Viele Website-Risiken entstehen nicht durch spektakuläre Angriffe, sondern durch alltägliche Betriebslücken: veraltete Komponenten, vergessene Plugins, schwache Header, abgelaufene Zertifikate, unklare Admin-Zugänge oder fehlende Nachprüfung.

Die Baseline soll diese Risiken sichtbar machen. Sie ersetzt keine Spezialprüfung, aber sie reduziert blinde Flecken.

Das Mental Model: Prevent, Detect, Respond

Eine brauchbare Security-Routine verbindet drei Aufgaben:

  • Prevent: offensichtliche Risiken reduzieren, Zugriffe begrenzen, Updates pflegen.
  • Detect: sichtbare Signale regelmäßig prüfen.
  • Respond: Findings priorisieren, Owner festlegen, Fixes verifizieren und Eskalationswege kennen.

Inventar: Man kann nicht patchen, was man nicht kennt

Erstelle zunächst ein Inventar: CMS, Frameworks, Plugins, Extensions, Themes, Hosting, CDN, wichtige Subdomains, Login- und Admin-Bereiche, Formulare, Zahlungsstrecken und Drittanbieter.

Das Inventar muss nicht perfekt starten. Es muss aktuell genug sein, damit bekannte Risiken einer konkreten Komponente zugeordnet werden können.

Access Control: Einfache Angriffe schwer machen

Prüfe Admin-Zugänge, Rollen, alte Nutzer, Agenturzugänge, MFA, Passwortregeln und Notfallzugänge. Rechte sollten aktuelle Verantwortung widerspiegeln, nicht die Historie eines Relaunch-Projekts.

Für CMS-Umgebungen ist das besonders wichtig: Viele Risiken entstehen, weil alte Accounts oder zu breite Rollen nie entfernt werden.

Patch-Routine: Der günstigste Security-Hebel

Lege fest, wie oft Core-Systeme, Plugins, Themes, Extensions und Infrastruktur geprüft und aktualisiert werden. Kritische Advisories brauchen eine schnellere Reaktion als normale Wartungsupdates.

Jede Patch-Routine braucht außerdem eine Rückfallebene: Backup, Staging-Test, Release-Plan und Retest.

Scans und Monitoring mit +Analytics Pro

+Analytics Pro unterstützt die externe Baseline mit Basic Web Security Checker, WordPress Security Checker, TYPO3 Security Checker, Uptime Monitoring und wiederkehrenden Checks.

Der relevante Produktbezug ist klar begrenzt: +Analytics Pro hilft, sichtbare Baseline-Signale zu erkennen, zu dokumentieren und erneut zu prüfen. Es ersetzt keinen Penetrationstest, keine Code Review, keine interne Rechteprüfung und kein Incident-Response-Programm.

Incident Readiness

Eine Baseline sollte festhalten, wer im Ernstfall entscheidet, wer technische Maßnahmen umsetzt, wer Kommunikation übernimmt und welche Daten zur Analyse verfügbar sind. Dazu gehören Hosting-Kontakte, Agenturkontakte, Backup-Informationen, DNS/CDN-Zugänge und Eskalationswege.

Incident Readiness muss einfach genug sein, um im Stress zu funktionieren.

Wöchentliche Routine

Eine sinnvolle wöchentliche Routine prüft: neue Security-Findings, Zertifikate, Uptime, Header-Veränderungen, CMS-/Plugin-Hinweise, offene kritische Issues und retestbare Fixes.

Für kleinere Teams kann ein monatlicher Rhythmus ausreichen. Wichtig ist, dass der Rhythmus existiert und Findings nicht im Bericht liegen bleiben.

Workflow

  1. Inventar der Website und Komponenten erstellen.
  2. Zugriff, Rollen und kritische Admin-Pfade prüfen.
  3. Security-Header, HTTPS, Zertifikate und sichtbare CMS-Signale scannen.
  4. Findings nach Risiko und Exposition priorisieren.
  5. Fixes als Issues mit Owner und Retest-Kriterium anlegen.
  6. Nachbesserungen prüfen und Baseline regelmäßig wiederholen.

Weiterführende Links