Security-Header: Wie du deine Website richtig absicherst

| von

Die Sicherheit ist ein bei Website-Betreibern gern vernachlässigtes Thema. Um alles wird sich gekümmert, neue Funktionen implementiert und für ein schickes Design gesorgt. Doch eines Tages ist es vielleicht zu spät und deine Website ist gehackt worden.

Um dieses wirklich unschöne Gefühl niemals Realität werden zu lassen, bedarf es einer Strategie und etwas Einsatz. Wenn du zudem noch einen eigenen Server hast, solltest du dich erst recht um seine Sicherheit kümmern. Um dich dabei zu unterstützen, stelle ich dir heute das Online-Tool securityheaders.io vor, das dir die Schwächen deines Servers zeigt und dir Ratschläge gibt, wie du sie abstellst.

Analyse der HTTP-Header

securityheaders.io

Securityheaders.io heißt der Online-Dienst, der anhand der gesendeten HTTP-Response-Header feststellen kann, wie sicher dein Server ist. Natürlich existieren mittlerweile viele Dienste, welche die HTTP-Response-Header analysieren können. Doch das Besondere an securityheaders ist das Rating-System, in dem die Ergebnisse einsortiert werden. Dieses Rating-System sortiert die Ergebnisse in einen Bereich von A bis F ein. Das A steht hierbei für einen hervorragend abgesicherten Server, das F hingegen steht für einen sehr schlechten Sicherheitszustand.

Der Online-Dienst mit seinem Betreiber Scott Helme möchte zu mehr Sicherheit im Internet beitragen. Denn es werden nicht nur die Response-Header analysiert, sondern auch handfeste Tipps gegeben, wie die Sicherheitsprobleme zu beheben sind. Denn das Senden der richtigen HTTP-Response-Header verspricht ein hohes Maß an zusätzlicher Sicherheit, und sollte daher umgesetzt werden. Der zeitliche Aufwand hierfür ist vergleichsweise gering, der Zuwachs an potenzieller Sicherheit jedoch groß.

Sehr viele Server sind potenziell unsicher

Wer mit dem Online-Tool etwas herum experimentiert, wird schnell feststellen, dass der überwiegende Teil der geprüften Server potenziell unsicher ist. Egal, welche Domain ich eingab und testete, jedes Mal bekam ich ein F zu sehen. Auch bei meinen eigenen Websites. Bisher ging ich davon aus, dass ein Managed-Server oder ein Managed-WordPress-Hosting sicher sei und man sich um diesen Bereich nicht kümmern müsse. Nun weiß ich, dass Managed nicht gleich sicher bedeutet. Auch Shared-Hosting-Systeme sind nicht sicherer, denn auch dort bekam ich ein F zu sehen.

Ein schlechtes Scan-Resultat bei securityheaders

Eine potenziell schlechte Sicherheit wird nicht nur mit einem F im Rating-System versehen, sondern auch noch farblich rot unterlegt, um die Unsicherheit zu visualisieren. Sehr sichere Server hingegen bekommen demzufolge eine grüne Farbe, wie ein Scan der securityheaders-Website zeigte.

Ein gutes Scan-Resultat bei securityheaders

Gute Erklärungen der Ergebnisse und Tipps zum Umsetzen

Jedes (schlechte) Scan-Resultat zeigt genau auf, welche HTTP-Response-Header fehlen. Eine kurze Erklärung erläutert dir, warum diese Header wichtig sind und welche Auswirkungen die fehlenden Header haben können.

Die Erklärungen zu den fehlenden Response-Headern
Die fehlenden Response-Header meiner Website

Die einzelnen Ergebnisse sind mit Links versehen, hinter denen sich gute und fundierte Fachartikel zu den einzelnen Bereichen verbergen. Auf diese Weise lernst du viel über die jeweiligen Header. Und du weißt im Anschluss genau, was du umsetzen solltest und vor allem auch warum. Hinter dem fehlenden Header »Content-Security-Police« verbirgt sich der Artikel “Content Security Policy – An Introduction“. Zudem existieren gute Erklärungen in deutscher Sprache zu diesem Bereich.

Wie HTTP-Response-Header Server sicherer machen

Der »Content-Security-Police-Header« ist ein guter Schutz gegen das Problem des Cross-Site-Scripting. Sogenannte XSS- oder Cross-Site-Scripting-Angriffe gehören zu den größten Sicherheitsproblemen bei Webanwendungen. Hierbei geht es um einen Schutz gegen von außen in die Website eingebrachten Code. Mittels des »Content-Security-Police«-Headers kann genau festgelegt werden, auf welche Scripte von außen zugegriffen werden kann. Die Grundeinstellung soll nur die Ausführung von Scripten erlauben, die auf dem eigenen Server liegen. Zusätzlich definiert man alle externen Scripte, auf die zugegriffen werden muss. Zum Beispiel Google Adsense und Google Analytics Code. Jeder andere – externe – Code wird ignoriert und demzufolge nicht ausgeführt.

Dies gilt auch für Bilder, Frames und Videos. Also für alle Dinge, die nicht auf dem eigenen Server liegen. Diese Ausnahmen festzulegen ist eine mühsame Angelegenheit. Jedoch wird man mit einem erheblichen Zuwachs an Sicherheit belohnt.

Weitere Response-Header

Vier fehlende HTTP-Response-Header ergab der Scan meiner persönlichen Website. Unter anderem der bereits angesprochene »Content-Security-Header«, der »X-Frame-Options-Header«, der »X-XSS-Protection-Header« und der »X-Content-Type-Options-Header«.

Der »X-Frame-Options-Header« schützt deine Website davor, in einem Frame ausgeführt zu werden. Es existieren durchaus Menschen, die sich im Web mit fremden Federn schmücken wollen. Diese Menschen entwickeln einen Rahmen, in dem deine Website dann mittels eines iFrames integriert wird. So kommt man an gute Inhalte, ohne sie selbst verfassen zu müssen.

Der »X-XSS-Protection-Header« konfiguriert den internen “Cross-Site-Scripting-Filter”, der in den meisten Browsern bereits integriert ist. Mit der empfohlenen Konfiguration “X-XSS-Protection: 1; mode=block” schützt du deine Besucher vor dem Angriff auf ihren Computer. Folgende Browser unterstützen den Filter: Internet Explorer, Chrome und Safari (Webkit).

Der »X-Content-Type-Options-Header« kann nur den Wert “nosniff” setzen. Dieser Wert verhindert, dass Internet Explorer und Google Chrome nach anderen MIME-Typen suchen, als durch den deklarierten Content-Type (zum Beispiel text/html) vorgegeben wurde. Google Chrome wird dadurch auch am Herunterladen von Erweiterungen gehindert. Somit sind sogenannte Drive-by-Download-Attacken nicht mehr möglich. Euer Rechner kann somit nicht mehr mit Schadcode infiziert werden. Das gilt natürlich nur für die Website, die diesen Response-Header gesetzt hat.

Server scannen und Ausgangszustand feststellen

Nutze zum Scannen das Online-Tool securityheaders.io. Wahrscheinlich wirst du rot sehen, denn diese Farbe bekommst du präsentiert, wenn dein Server potenziell unsicher ist. Das ist nicht weiter schlimm, denn geschätzte 80 Prozent der Webserver sind nicht sicher.

Scanresultat mit securityheaders.io

Der Scan hat nun genau die Ergebnisse produziert, die am weitesten verbreitet sein dürften. Bei Websites mit HTTPS-Zertifikat kommen noch zwei weitere Punkte hinzu, wovon wir einen umsetzen werden.

Die bei diesem Scan ausgeworfenen Sicherheitslecks wollen wir in diesem Beitrag abdichten. Des Weiteren wollen wir analysieren, ob wirklich alle Punkte Sinn ergeben und umgesetzt werden sollten.

Diese HTTP Security-Header werden wir in diesem Beitrag umsetzen

Was sind HTTP Security-Header?

Jedes Mal, wenn ein Browser eine Seite von einem Webserver anfordert, antwortet der Server mit der Auslieferung der Seite und sendet einen HTTP-Response-Header mit dem Inhalt. Diese Header können Metadaten wie Zeichensätze, Cache-Steuerung und Fehlercodes haben. Jedoch kann man auch sicherheitsrelevante Einstellungen mit den Response-Headern senden, welche die Browser anweisen, wie sie sich zu verhalten haben. Zum Beispiel würde ein Strict-Transport-Security-Header dem Browser die Anweisung erteilen, nur über HTTPS zu kommunizieren. Insgesamt existieren sechs verschiedene HTTP Security-Header. Wir empfehlen dir in diesem Artikel, welche Header du einsetzen solltest und von welchen du besser die Finger lässt.

Wichtig: Alle angesprochenen HTTP Security-Header kommen in die .htaccess Datei im Rootverzeichnis der Website.
Grundsätzlich gibt es drei Methoden, die Header zu setzen. Einmal über die Konfigurationsdatei des Apache-Webservers (httpd.conf), dann über PHP direkt innerhalb der zu schützenden Website und über die Server-Steuerungsdatei .htaccess. Ich werde alle drei Methoden behandeln. Wie immer, sorgt ein Klick auf die Grafik zum Öffnen des Gists bei GitHub, wo der Code dann heruntergeladen werden kann.

1 – Der X-Frame-Options Header

Der X-Frame-Options Header soll deine Website davor bewahren, in einem Frame ausgeführt zu werden. Professionelle Content-Diebe erstellen gerne Websites, die sich die Inhalte von anderen Websites holen. Diese Inhalte werden dann zumeist in einem Frame ausgeführt. Die fertige Website des Diebes sieht im Anschluss so aus, als ob die Inhalte von der eigenen Seite stammen. Um diese Praxis zu verhindern, setzt man einen X-Frame-Options Header. Dieser verhindert sehr effektiv die Ausführung in einem Frame.

x-frame-options

Browser-Support: IE 8+, Chrome 4.1+, Firefox 3.6.9+, Opera 10.5+, Safari 4+

Nachteil dieses Headers: Die Website kann nicht mehr als Frame ausgeführt werden. Dies schliesst auch die »Responsive Layouts« der Webdeveloper Toolbars von Google Chrome und Firefox, sowie die Website »Am I Responsive« mit ein. Der Header sollte also erst gesetzt werden, wenn sich die Website nicht mehr im Entwicklungsmodus befindet.

2 – Der X-XSS-Protection Header

Der X-XSS-Protection Header wurde entwickelt, um die Cross-Site-Scripting (XSS) Schutzfilter in den modernen Browsern anzusprechen und zu aktivieren. Grundsätzlich sollte der Filter bereits aktiviert sein. Mit diesem Header wird die Nutzung jedoch erzwungen, daher sollte er genutzt werden.

Es existieren drei verschiedene Einstellmöglichkeiten: 0 um den Filter zu deaktivieren, 1 zum Aktivieren (der Browser versucht die schadhafte Seite zu bereinigen und anzuzeigen) und 1; mode=block aktiviert den Filter (die schadhafte Seite wird geblockt).

x-xss-protection
  • text/css

Scripte

  • application/ecmascript
  • application/javascript
  • application/x-javascript
  • text/ecmascript
  • text/javascript
  • text/jscript
  • text/x-javascript
  • text/vbs
  • text/vbscript
x-content-type-options
Browser-Support: Internet Explorer und Google Chrome

4 – Der Strict-Transport-Security-Header (nur für HTTPS-Websites)

Der Strict-Transport-Security-Header weist den Browser an, nur über eine sichere HTTPS-Verbindung auf die Website zuzugreifen. Dies gewährleistet, dass keine unsichere Verbindung hergestellt werden kann, die potenziell angreifbar wäre. Ebenfalls verhindert dieser HTTP-Response-Header, dass User auf die Seite zugreifen können, falls das TLS-Zertifikat des Servers nicht vertrauenswürdig sein sollte.

Einstellungsmöglichkeiten:

  • max-age – Die Anzahl der Sekunden, innerhalb die der Browser die sichere Verbindung erzwingen soll.
  • includeSubDomains – Sagt dem Browser, dass die sichere Verbindung auch für Subdomains erzwungen werden soll.
strict-transport-security
Browser-Support: IE 11+, Chrome 4+, Firefox 4+, Opera 12+, Safari 7+.

Alle bisher behandelten HTTP Security-Header sollten verwendet werden. Wenn deine Website nur über HTTP ausgeliefert wird, dann benötigst du den letzten Header nicht. Die drei oberen hingegen empfehle ich dringend zu setzen.

Wenn alle angesprochenen Header korrekt gesetzt wurden, wird der nächste Scan mit securityheaders ein solides B ergeben. Das ist ein praxisgerechter Wert.

Der Content-Security-Policy-Header

Der Content-Security-Policy Header ist mit Vorsicht zu genießen, da er deine Website direkt beeinflussen und auch lahmlegen kann, wenn er nicht akribisch notiert wird. WordPress-User werden zudem ziemliche Probleme im Adminbereich der Website bekommen, da sich dieser Header auch dort auswirkt. Daher kann nicht allgemein empfohlen werden, ihn umzusetzen.

Die Content Security Policy ist als Schutz vor Cross-Site-Scripting (XSS) und anderen Code-Injection-Angriffen entwickelt worden. Die Idee hinter diesem Header ist, dass eine sogenannte Whitelist erstellt wird, in der alle erlaubten Ressourcen aufgeführt sind. Content-Quellen oder Arten, die nicht explizit erlaubt sind, werden nicht vom Browser geladen und verarbeitet. Ist die CSP nicht aktiv, lädt der Browser alle Daten und gibt sie aus, ohne Rücksicht darauf, ob die Quelle schädlich sein könnte. Mit aktiver CSP werden nur die erlaubten Dateien geladen, alle anderen hingegen nicht.

Alle modernen Browser unterstützen die Content-Security-Policy.

content-security-header

Content-Security-Policy-Generator

Um die zum Teil sehr langen Code-Snippets für die korrekte Funktion einer Website mit CSP komfortabel erstellen zu können, gibt es einen guten Online-Generator. Dieser führt dich über Tabs durch die Einstellungsmöglichkeiten und lässt dich die Policy immer wieder anpassen, bis sie letztendlich funktioniert.

content-security-policy-generator

Obacht vor dem Public-Key-Pinning

Erwähnt werden sollte der Vollständigkeit halber noch, dass es noch den Public-Key-Pins-Header gibt.

Jedoch kann das Public-Key-Pinning zu Problemen führen, sobald das eigene SSL-Zertifikat abgelaufen ist und durch ein neues ersetzt werden muss. Haben die Besucher in ihrem Browser dann noch das alte Zertifikat als einzig zu akzeptierendes abgespeichert, können sie nicht mehr auf die Seite zugreifen, wenn das SSL-Zertifikat mit einem neuen Public Key generiert wurde.

Lassen Sie uns verschlüsseln - Transport Layer Sicherheit
Wenn das alte SSL-Zertifikat erneuert werden muss, kann es zu schwerwiegenden Problemen beim Public Key Pinning kommen. Bildquelle: Smashing Magazine

Das Smashing Magazine hat zum Thema Public-Key-Pinning einen Beitrag geschrieben, der auf die Problematik näher eingeht.

Fazit

Die wichtigsten HTTP Security-Header haben wir angesprochen und können sie leicht umsetzen, indem wir die betreffenden Code-Snippets in die Server-Steuerungsdatei .htaccess kopieren. Ein B im securityheaders.io Scan kann auch ein Nicht-Fachmann erreichen und damit viel für die Sicherheit seiner Website tun. Ein A oder A+ hingegen ist nur für die wirklichen Fachleute zu erreichen.

Wenn man WordPress einsetzt, ist es äußerst mühsam, die CSP umzusetzen, denn der Adminbereich muss ebenfalls mit einer eigenen CSP versehen werden, wenn nicht alles freigegeben wird. Im letzteren Falle kann man sich das Setzen der CSP allerdings auch gleich sparen.

Der Online-Dienst securityheaders kann für erheblich mehr Sicherheit sorgen. Wir können durch den Einsatz der richtigen HTTP-Response-Header nicht nur den eigenen Server absichern, sondern auch die Sicherheit unserer Besucher verbessern. Das Online-Tool zeigt dir genau auf, wo Sicherheitslücken bestehen und wie diese geschlossen werden können.

Dieser Beitrag wurde zuletzt am 12. Februar 2020 aktualisiert und um die Problematik Public Key Pinning erweitert.

Browser-Support: Internet Explorer 8+, Chrome und Safari

3 – Der X-Content-Type-Options Header

Dieser Header schützt vor Angriffen mit falschen MIME-Typen. Wenn der MIME-Typ als nicht korrekt erkannt wird, lehnt der Browser das Laden von Styles und Scripten ab. Die Einstellung kann in diesem Header nur NOSNIFF heißen. Ist der Header gesetzt, werden nur Styles und Scripte mit korrektem MIME-Typ geladen. Folgende MIME-Typen werden als korrekt anerkannt:

Styles

  • text/css

Scripte

  • application/ecmascript
  • application/javascript
  • application/x-javascript
  • text/ecmascript
  • text/javascript
  • text/jscript
  • text/x-javascript
  • text/vbs
  • text/vbscript
x-content-type-options
Browser-Support: Internet Explorer und Google Chrome

4 – Der Strict-Transport-Security-Header (nur für HTTPS-Websites)

Der Strict-Transport-Security-Header weist den Browser an, nur über eine sichere HTTPS-Verbindung auf die Website zuzugreifen. Dies gewährleistet, dass keine unsichere Verbindung hergestellt werden kann, die potenziell angreifbar wäre. Ebenfalls verhindert dieser HTTP-Response-Header, dass User auf die Seite zugreifen können, falls das TLS-Zertifikat des Servers nicht vertrauenswürdig sein sollte.

Einstellungsmöglichkeiten:

  • max-age – Die Anzahl der Sekunden, innerhalb die der Browser die sichere Verbindung erzwingen soll.
  • includeSubDomains – Sagt dem Browser, dass die sichere Verbindung auch für Subdomains erzwungen werden soll.
strict-transport-security
Browser-Support: IE 11+, Chrome 4+, Firefox 4+, Opera 12+, Safari 7+.

Alle bisher behandelten HTTP Security-Header sollten verwendet werden. Wenn deine Website nur über HTTP ausgeliefert wird, dann benötigst du den letzten Header nicht. Die drei oberen hingegen empfehle ich dringend zu setzen.

Wenn alle angesprochenen Header korrekt gesetzt wurden, wird der nächste Scan mit securityheaders ein solides B ergeben. Das ist ein praxisgerechter Wert.

Der Content-Security-Policy-Header

Der Content-Security-Policy Header ist mit Vorsicht zu genießen, da er deine Website direkt beeinflussen und auch lahmlegen kann, wenn er nicht akribisch notiert wird. WordPress-User werden zudem ziemliche Probleme im Adminbereich der Website bekommen, da sich dieser Header auch dort auswirkt. Daher kann nicht allgemein empfohlen werden, ihn umzusetzen.

Die Content Security Policy ist als Schutz vor Cross-Site-Scripting (XSS) und anderen Code-Injection-Angriffen entwickelt worden. Die Idee hinter diesem Header ist, dass eine sogenannte Whitelist erstellt wird, in der alle erlaubten Ressourcen aufgeführt sind. Content-Quellen oder Arten, die nicht explizit erlaubt sind, werden nicht vom Browser geladen und verarbeitet. Ist die CSP nicht aktiv, lädt der Browser alle Daten und gibt sie aus, ohne Rücksicht darauf, ob die Quelle schädlich sein könnte. Mit aktiver CSP werden nur die erlaubten Dateien geladen, alle anderen hingegen nicht.

Alle modernen Browser unterstützen die Content-Security-Policy.

content-security-header

Content-Security-Policy-Generator

Um die zum Teil sehr langen Code-Snippets für die korrekte Funktion einer Website mit CSP komfortabel erstellen zu können, gibt es einen guten Online-Generator. Dieser führt dich über Tabs durch die Einstellungsmöglichkeiten und lässt dich die Policy immer wieder anpassen, bis sie letztendlich funktioniert.

content-security-policy-generator

Obacht vor dem Public-Key-Pinning

Erwähnt werden sollte der Vollständigkeit halber noch, dass es noch den Public-Key-Pins-Header gibt.

Jedoch kann das Public-Key-Pinning zu Problemen führen, sobald das eigene SSL-Zertifikat abgelaufen ist und durch ein neues ersetzt werden muss. Haben die Besucher in ihrem Browser dann noch das alte Zertifikat als einzig zu akzeptierendes abgespeichert, können sie nicht mehr auf die Seite zugreifen, wenn das SSL-Zertifikat mit einem neuen Public Key generiert wurde.

Lassen Sie uns verschlüsseln - Transport Layer Sicherheit
Wenn das alte SSL-Zertifikat erneuert werden muss, kann es zu schwerwiegenden Problemen beim Public Key Pinning kommen. Bildquelle: Smashing Magazine

Das Smashing Magazine hat zum Thema Public-Key-Pinning einen Beitrag geschrieben, der auf die Problematik näher eingeht.

Fazit

Die wichtigsten HTTP Security-Header haben wir angesprochen und können sie leicht umsetzen, indem wir die betreffenden Code-Snippets in die Server-Steuerungsdatei .htaccess kopieren. Ein B im securityheaders.io Scan kann auch ein Nicht-Fachmann erreichen und damit viel für die Sicherheit seiner Website tun. Ein A oder A+ hingegen ist nur für die wirklichen Fachleute zu erreichen.

Wenn man WordPress einsetzt, ist es äußerst mühsam, die CSP umzusetzen, denn der Adminbereich muss ebenfalls mit einer eigenen CSP versehen werden, wenn nicht alles freigegeben wird. Im letzteren Falle kann man sich das Setzen der CSP allerdings auch gleich sparen.

Der Online-Dienst securityheaders kann für erheblich mehr Sicherheit sorgen. Wir können durch den Einsatz der richtigen HTTP-Response-Header nicht nur den eigenen Server absichern, sondern auch die Sicherheit unserer Besucher verbessern. Das Online-Tool zeigt dir genau auf, wo Sicherheitslücken bestehen und wie diese geschlossen werden können.

Dieser Beitrag wurde von drweb kopiert und zuletzt am 12. Februar 2020 aktualisiert und um die Problematik Public Key Pinning erweitert.

WordPress Services

Website Gestaltung

Website Entwicklung

Website Optimierung

Website Relaunch

WordPress Wartung

Hosting Features

LiteSpeed Webserver

Kostenloses SSL

Kostenlose DE-Domain

E-Mail & Groupware

Auto-Installer

Marketing Service

Marketing Funnel

Sales Funnel

CRM & Pipelines

Recruitment Funnel

Ads, SEO & Social Media

Kontaktiere uns für eine kostenlose Beratung

Kontakt

Macbay Digital
Berlin, Germany

+49-30-57706646 support@macbay.net
Impressum Datenschutzerklärung AGB Support Login v3-Hosting

© 2011 - 2024 Macbay Media UG

ORDER mCloud 01

Mit Klick auf den "Jetzt mCloud bestellen" Button bestätige ich meine Kenntnisnahme der AGB und stimme ihnen zu. Ich bestätige mit diesem Klick, dass ich die Widerrufsbelehrung zur Kenntnis genommen habe.

Wir senden dir binnen 24 Std. (werktags Mo-Fr) die Zugangsdaten & Zahlungsdetails

MailPoet Umstellung
mPress Support 15 Min

mPress Support - Bestellformular

Damit wir die Prüfung durchführen können, laden Sie bitte unser "mPress-Admin" Plugin herunter, installieren und aktivieren es auf Ihrer WP-Site. Anschließend bestätigen Sie bitte die Aktivierung über die Mail mit der Auftragsbestätigung.

Wir berechnen den mPress-Support mit 25 € zzgl. 19% MwSt. je Viertelstunde bei minutengenauer Abrechnung. Es gelten unsere AGB & Datenschutzbestimmungen.

ORDER mHost Registrierung NEUKUNDEN
  • Zurück
  • Weiter
110 € for each year
220 € for each year
440 € for each year
72 € for each year
20 € for first month then 10 € for each month
20 € for each month
40 € for each month
16 € for first month then 6 € for each month

Gesamt

Bei Tarifen mit Signup-Fee (BASIC & CREATE wird hier der erstmalige Betrag angezeigt. In den Folgemonaten wird diese nicht berechnet.

Gesamt

Nach dem 7-Tage-Test kann der kostenlose Account in einen regulären Account gewandelt werden.

Dies wird der erste Teil der Haupt-Domain sein, z.B. username.macbay.net

Hier Verfügbarkeit prüfen (neues Fenster):

Die zusätzlichen Dienste sind nicht in dieser Bestellung enthalten. Ein Kundenbetreuer wird sich bei dir bei melden für weitere Details.

Gesamt

Bei Tarifen mit Signup-Fee (BASIC & CREATE wird hier der erstmalige Betrag angezeigt. In den Folgemonaten wird diese nicht berechnet.

Gesamt

Nach dem 7-Tage-Test kann der kostenlose Account in einen regulären Account gewandelt werden.

Du findest die AGB hier: AGB Macbay Digital

Prüfe mit unserem Domain-Checker, ob deine Wunschdomain verfügbar ist:

Dein neuer Hosting-Account – Einführung

Nach der Anmeldung in deinem neuen Hosting-Account, findest du eine Übersicht zu allen Modulen untergliedert in die folgenden Bereiche:

Wenn du innerhalb der Bereiche ein Modul anklickst, gelangst du in die jeweilige Funktionsübersicht.

Kleiner Tipp: Nutze das Suchfenster rechts oben und tippe dort die Anfangsbuchstaben einer gewünschten Funktion ein, um dann mit den Pfeiltasten & der Return-Taste schnell zum gewünschten Modul zu gelangen!

E-Mail

E-Mail-Konten

Ermöglicht die Verwaltung von E-Mail-Konten auf der Domain, einschließlich Hinzufügen, Löschen und Ändern von E-Mail-Konten.

Für jedes E-Mail-Konto stehen folgende Funktionen zur Verfügung (Auszug):

  • Zugriff über Webmail-Oberfläche im Browser
  • IMAP: Postfach-Abgleich/Sync zwischen E-Mail-Programmen & WebMail
  • CalDAV: Kalender-Sync verschiedener Endgeräte & WebMail
  • CardDAV: Kontakt/Adressbuch-Sync verschiedener Endgeräte & WebMail

Weiterleitungen

Erlaubt das Einrichten von E-Mail-Weiterleitungen von einem E-Mail-Konto zu einem anderen. Hiermit können beliebige E-Mail-Aliasse eingerichtet werden.

Automatischer Antwortdienst

Ermöglicht das Einrichten von automatischen E-Mail-Antworten. Dies ist nützlich für automatische Antworten, z.B. bei Abwesenheit im Urlaub.

Mailinglisten*

Verwende eine einzige Adresse, um E-Mails an mehrere E-Mail-Adressen zu senden.

*ACHTUNG: Die Zustellung an eine Mailingliste über deinen Hosting-Account ist nicht ideal, da wir aus Sicherheitsgründen die maximale Anzahl an ausgehenden Nachrichten pro Hosting-Account auf 300 je Stunde limitiert haben.

Wir empfehlen bei höheren Volumina einen speziell für den Versand von Massenmailings konfigurierten Dienst zu nutzen. Gerne beraten wir dich über geeignete Anbieter.

Globale E-Mail-Filter*

Erstelle Filterregeln, welche für sämtliche E-Mail-Konten gelten

*ACHTUNG: Nur für fortgeschrittene Anwender geeignet.

E-Mail-Filter

Erstelle Filterregeln für einzelne E-Mail-Konten. Dies kann nützlich sein, um z.B. Nachrichten von bestimmten Absendern in eigene Unterordner automatisch abzulegen.

Adressenimport

Importiere eine Liste von E-Mail-Adressen, optional inklusive Passwörter, Speicherkontingent oder Weiterleitungsziel im CSV- oder XLS-Format.

Spamfilter*

Konfiguriere deine Spam-Filter.

*ACHTUNG: Nur für fortgeschrittene Anwender geeignet.

Kalender und Kontakte*

Hier findest du die Einstellungsmöglichkeiten für deinen Standard-Benutzer.

*ACHTUNG: Dein Standard-Benutzer sollte nicht für E-Mail, Kalender oder Kontakte genutzt werden. Bitte lege hierfür ein E-Mail-Konto unter deiner eigenen Domain an! Anschließend findest du die jeweiligen Einstellungsmöglichkeiten direkt über das Webmail.

Kalenderstellvertretung*

Diese Schnittstelle ermöglicht es dir, Zugriffsrechte für den Kalender eines Benutzers an andere Benutzer zu delegieren. Dies ist nützlich für Personen, die die Kalender anderer verwalten müssen oder Ressourcen wie Konferenzräume verwalten.

*ACHTUNG: Nur für fortgeschrittene Anwender geeignet.

Speicherplatznutzung durch E-Mails*

Hier kannst du den belegten Speicherplatz je Postfachordner einsehen und freigeben, indem du alte Nachrichten aus deinem Postfach löschst.

*ACHTUNG: Nur für fortgeschrittene Anwender geeignet.

Dateien

Dateiverwaltung / WebFTP (öffnet sich in einem neuen Tab/Fenster)*

Ein webbasiertes Tool zur Verwaltung der Dateien und Verzeichnissen in deinem Hosting-Account. Hier kannst du Dateien und Ordner hochladen, herunterladen, bearbeiten, löschen und verwalten.

*ACHTUNG: Nur für fortgeschrittene Anwender geeignet.

Datenschutz für Ordner*

Lege ein Passwort fest, um bestimmte Verzeichnisse deines Kontos zu schützen. Hiermit kannst du z.B. bestimmte Unterordner deiner Websites gegen den Zugriff von Unbefugten schützen.

Wenn du diese Funktion aktivierst, werden Besucher aufgefordert, einen Benutzernamen und ein Passwort einzugeben, falls sie versuchen, einen geschützten Ordner zu öffnen.

*ACHTUNG: Nur für fortgeschrittene Anwender geeignet.

Speicherplatznutzung

Überwache den verfügbaren Speicherplatz deines Kontos. Dies kann sehr nützlich sein, um etwaige Speicherfresser leichter zu identifizieren und zu reduzieren.

Ein kurzes Erklär-Video zur optimalen Nutzung dieses Moduls findest du hier.

Web Disk / WebDAV

Erstelle ein WebDAV-Konto, um die Dateien auf deinem Webserver über das WebDAV-Protokoll zu verwalten, zu durchsuchen sowie hoch- und herunterzuladen.

Über WebDAV kannst du dein Dateiverzeichnis wie eine externe Netzwerk-Festplatte auf deinem Rechner nutzen.

Das WebDAV-Protokoll gilt als sicherer im Vergleich zu FTP oder FTPS!

FTP-Konten

Füge FTP-Konten hinzu, um externen Personen Zugriff auf das Dateiverzeichnis einer bestimmten Website oder eines bestimmten Ordners zu gewähren.

Datenbanken

Dieser Bereich wird in Kürze ergänzt.

Domains

Site Publisher

Auf dieser Seite kannst du im Handumdrehen eine Webvisitenkarte aus einer Reihe von verfügbaren Vorlagen erstellen. So sehen Besucher einige Basisinformationen, während du deine künftige Website weiterentwickelst.

Beachte, dass die Webvisitenkarte im Basisverzeichnis (Dokumentenstamm) einer Domain gespeichert wird. Wenn du deine Website parallel entwickeln möchtest, nutze hierfür am besten zunächst eine Subdomain mit einem eigenen Basisverzeichnis.

Weitere Möglichkeiten zur einfachen Erstellung einer Website ohne Programmierkenntnisse findest du unter Softaculous & mBuild (siehe unten).

Domains

Hier kannst du neben deiner Hauptdomain noch weitere Domains oder Sub-Domains anlegen, löschen, oder das Basisverzeichnis einer Domain verändern.

Beachte folgendes:

  • Um eine neue Domain zu registrieren oder von einem externen Hosting-Anbieter in deinen Macbay-Account zu übertragen, muss diese zunächst bestellt werden über das entsprechende Formular
  • Aus technischen Gründen kann das Basisverzeichnis deiner Hauptdomain nicht verändert werden, nur die deiner Sub-Domains oder zusätzlichen Domains
  • Auf deiner Hauptdomain wird zunächst eine temporäre Website angelegt, die entsprechende Datei findest du über die Dateiverwaltung im Verzeichnis public_html

Umleitungen

Du möchtest die Besucher beim Aufruf einer deiner Domains auf ein anderes Ziel umleiten? In diesem Modul findest du die entsprechenden Einstellungsmöglichkeiten.

Zoneneditor*

In diesem Modul kannst du die DNS-Einträge (Zonen) einer Domain anpassen. Solange du deine Websites und Mail-Konten innerhalb deines Macbay-Hosting-Accounts verwaltest, wirst du diese Fuktion voraussichtlich nicht benötigen.

*ACHTUNG: Nur für fortgeschrittene Anwender geeignet.

Messwerte

Dieser Bereich wird in Kürze ergänzt.

Sicherheit

Dieser Bereich wird in Kürze ergänzt.

Software (Websites)

Softaculous Apps Installer*

Mit Softaculous kannst du mit wenigen Klicks beliebte Open-Source-Anwendungen (WebApps) wie WordPress, PrestaShop, Matomo, Piwigo oder Nextcloud auf einer Domain oder Sub-Domain installieren und verwalten.

Bitte beachte: Diese WebApps werden von externen Programmierern entwickelt, über Softaculous stellen wir lediglich die Möglichkeit zur Verfügung, diese WebApps einfach zu installieren.

Solltest du Hilfe bei der Konfiguration, Betrieb oder Problemen mit einer WebApp (außer WordPress, siehe unten) benötigen, empfehlen wir den jeweiligen Software-Support zu konsultieren. Ein Link zur entsprechenden Support-Seite der WebApps findest du in der Übersicht jeder WebApp.

Lösungen bei einfachen Problemen mit WordPress, die über Modifikationen deines Hosting-Accounts gelöst werden können, erhältst du kostenlos über unseren Support.

Bei schwerwiegenderen Problemen mit WordPress kannst du gerne unseren kostenpflichtigen mPress-Service konsultieren (25 € netto / 15 Min).

*ACHTUNG: Nur für fortgeschrittene Anwender geeignet.

PHP-Version wählen*

In diesem Modul kannst du eine PHP-Version für deinen Hosting-Account wählen. Zudem kannst du für jede PHP-Version eine Vielzahl an PHP-Erweiterungen aktivieren oder deaktivieren.

Über die PHP-Optionen kannst du verschiedene Parameter wie memory_limit, upload_max_filesize und andere Werte definieren. Beachte hierbei die Limits, welche entsprechend deines Tarifes gelten.

*ACHTUNG: Nur für fortgeschrittene Anwender geeignet.

mBuild (öffnet sich in einem neuen Tab/Fenster)

mBuild ist unser Website-Baukasten, bei dem du – ähnlich wie beim Site Publisher oder Softaculous (siehe oben) – mit wenigen Klicks eine Homepage oder je nach Tarif eine komplette Website für deine Domain oder Sub-Domains erstellen kannst.

Bei mBuild stehen dir über 150 stylische Vorlagen für verschiedene Branchen und Anwendungsbereiche zur Verfügung. Du kannst dir gerne einen ersten Überblick über unsere Demo verschaffen.

Erweiterte Optionen

Dieser Bereich wird in Kürze ergänzt.

Einstellungen

Password & Security

Hier kannst du dein Kontopasswort ändern. Beim Webhosting ist es sehr wichtig, ein starkes Passwort auszuwählen.

Wir empfehlen daher dringend, einen Passwort-Manager wie 1Password, Bitwarden oder enpass zu verwenden!

Bei enpass kannst du deinen Passwort-Tresor sogar in deinem Hosting-Account speichern. Deine enpass-Clients (Desktop, Browser, Mobil etc.) können dann über WebDAV auf die Passwörter zugreifen und diese zentral an einem gesicherten Ort verwalten.

Kontaktinformationen (wichtig für Passwort-Resets!)

Hier kannst du bis zu 2 alternative E-Mail-Adressen hinterlegen. Zudem kannst du hier einstellen, bei welchen Ereignissen, die deinen Account betreffen, du per E-Mail benachrichtigt wirst.

Als alternative E-mail-Adresse kannst natürlich ein E-Mail-Konto einer Domain verwenden, die in deinem Hosting-Account angelegt ist.

Wir raten hiervon jedoch ausdrücklich ab, da du möglicherweise keine Nachrichten erhältst, wenn Probleme in deinem Account oder auf dem Server auftreten.

Falls dein Postfach beispielsweise das Kontingent überschreitet, erhältst du keine neuen E-Mails und auch keine Benachrichtigungen mehr.

Solltest du keine alternative E-Mail-Adresse bei einem externen Anbieter führen, kannst du gerne eine extern betriebene Adresse mit der Endung @macbay.de bei uns registrieren (ab 3 GB Speicher für 12,- € netto / Jahr).

Falls du aus welchen Gründen auch immer keinen Zugriff auf deinen Hosting-Account mehr haben und ein Passwort-Reset durchführen wollen, findest du hier eine entsprechende Anleitung.

Dieser Bereich wird in Kürze ergänzt.