Die leicht unscharfe Aufnahme eines Karo-Blocks auf dem eine Checkliste zu sehen ist. Die Schrift ist aus der Perspektive unscharf und nicht zu lesen. Eine Hand mit Kugelschreiber schreibt gerade die letzte Zeile.

Aufgaben und Ideen für Website-Checks und Optimierungen

Die Websites der Kund*innen sind live? Die Updates sind gemacht? Was nun? Du hast Leerlauf? Du hast gerade keine Idee was noch optimiert werden könnte? Hier eine Sammlung von Ideen für Wartungsverträge und Zeiten in denen etwas Luft für Optimierungen und Sicherheitschecks ist.

□ Die Dateigrößen und Datenbankgrößen der Website checken

Schau dir doch mal die Filesize der Website an. Ich hatte Projekte die nach wenigen Wochen einige Gigabyte an Speicher belegten. Grund waren manchmal vollgelaufene Caches. Aber auch Logfiles oder ein falsches konfiguriertes Logrotate können echte Speicher-Fresser sein. Auch Cache-Tabellen in Datenbanken können schnell sehr groß werden.

□ Ist der Server oder das Webhosting noch ausreichend dimensioniert?

Schau dir doch mal die Server-Logs und Statistiken an. Wird mehr Speicherplatz benötigt? Sind RAM und CPU im Rahmen?

□ CVEs der verwendeten Software prüfen

Wäre es nicht toll wenn du über neue Sicherheitslücken in der von dir verwendeten Software automatisch benachrichtigt wirst? Registriere dich zum Beispiel bei https://www.opencve.io um die CVEs der verwendeten Software automatisch zu tracken.

□ Check doch mal die Qualität der Mails

Die Website versendet Mails? Zum Beispiel Newsletter oder simple Kontaktanfragen von einem Kontaktformular? Überprüfe diese Mails doch mal mit https://www.mail-tester.com/
Dieser zeigt dir den Spam-Score der versendeten Mails an. Darauf basierend werden konkrete Verbesserungen vorgeschlagen. So kannst du die Zuverlässigkeit der Mails enorm verbessern.

□ Gibt es ungenutzte Accounts?

Egal ob ungenutzte FTP-, SSH-, oder sonstige Accounts. Du solltest diese unbedingt abschalten. Schau im Backend des Shops oder CMS nach, ob du Karteileichen findest und schalte diese ab. Das steigert die Sicherheit der Anwendung.

□ Archiviere und lösche alten Code

Gibt es ungenutzten Code oder alte Installationen auf dem Webhosting oder auf dem Server? Archiviere diese, lade sie bei bedarf herunter und lösche dann alles vom Server. Alles was nicht auf dem Server liegt kann nicht als Angriffsvektor dienen.

□ Sind alle Datenbanken zu?

Du solltest dringend prüfen, ob alle Datenbanken dicht sind. Nur der Webserver, bzw. die Applikation, welche diese benötigt sollten sich mit den Datenbankservern verbinden können. Der Worst-Case ist eine Datenbank, welche von außen erreichbar ist. Bei manchen Webhostern kannst du einen entsprechenden Haken setzen. Du solltest das prüfen.

□ Gibt es alte Datenbanken?

Hier gilt das selbe, was auch für alte Dateien gilt: Du solltest sie archivieren und löschen. So können sie nicht Gegenstand von Angriffen werden.

□ Gibt es Verzeichnisse und Dateien mit der Berechtigung 0777?

Dies deutet meist auf eine Fehlkonfiguration hin. Dateien, mit vollen Zugriffsrechten sind manchmal ein schneller Weg, um Konfigurationsprobleme zu beseitigen. Sicher geht aber anders. Ordne die Dateien dem richtigen User / der richtigen Gruppe zu und reduziere die Berechtigungen!

□ Überwache die Downtimes der Website

Services wie Uptimerobot oder updown.io informieren dich zeitnah über Downtimes deiner Projekte. So kannst du schnell eingreifen und ein längerer Ausfall wird vermieden. Lege dir ein Konto an und verrechne die Kosten zum Beispiel mit den laufenden Projektkosten. Die Services können dich auch darüber informieren, dass die Website langsam lädt. Dies kann ein Indikator für gerade laufende Angriffe oder sonstige Probleme mit dem Server, dem Hosting oder der Software sein.

□ Prüfen, ob der Pagespeed verbessert werden kann

Wie schnell wird die Seite geladen? Services wie Google Page Speed geben dir hier einen guten Überblick und liefern die gleich noch Vorschläge für Verbesserungen wie beispielsweise die Reduzierung der Bildgröße oder das Aktivieren von Caches mit.

□ Layout / Design weiter optimieren

Sicher hast du bei der Erstellung der Website das Layout und das Design bereits gründlich getestet. Wenn du gerade Zeit hast kannst du es aber weiter testen und für noch mehr Geräte optimieren. Hier kannst du zum Beispiel Services wie BrowserStack nutzen.

□ Schau dir die Response-Headers des Webservers an

Du solltest unbedingt mal die Response-Headers des Webservers checken. Einige dieser Header sind wichtig, um bestimmte sicherheitsrelevante Aspekte zu gewährleisten. Auf https://securityheaders.com kannst du sie prüfen.

□ Lass mal Zed Attack Proxy (ZAP) über die Website laufen

Das Tool https://www.zaproxy.org/ ist ein guter Einstiegspunkt, wenn du die Sicherheit deiner Website weiter verbessern möchtest. Es bietet diverse Scan-Module und listet die gefundenen Schwachstellen der Website übersichtlich auf.

□ Scanne mal die Ports des Servers

Du solltest unbedingt die Ports des Webservers scannen und überflüssige Port schließen.

□ Haben sich Cookies geändert?

Haben sich in der letzten Zeit Cookies geändert? Diese Frage ist wichtig um rechtliche Angriffsvektoren auf der Website auszuschließen. Wenn ja solltest du über die neuen Cookies aufklären und wenn nötig die Zustimmung einholen.

Ich kann euch wirklich den PHP Link Checker «Fink» empfehlen. Dieses coole Tool wandert rekursiv über eure Website und erstellt euch einen Report mit dem Status von Verlinkungen.

Titelbild: https://pixabay.com/de/photos/checkliste-tore-kasten-notizbuch-2589418/