Termin vereinbaren
06150 189664
info@karnetzke.de
Learning Center

Hilfe: WordPress gehackt was tun?

Wenn WordPress erst einmal gehackt worden ist, dann ist guter Rat teuer! Doch was muss man tun, wenn man Opfer von Hackern geworden und WordPress gehackt worden ist?

    WordPress wurde gehackt? 
    Das sollten Sie tun.

    Wie Angreifer Zugriff auf Dateien und den Server erlangen

    Hier gibt es viele verschiedene Möglichkeiten, die alle in Betracht gezogen werden müssen und gegen die man sich schützen muss. Einige Möglichkeiten, wie sich Bots und/oder Hacker Zugriff ermöglichen können sind (die Reihenfolge ist zufällig und gibt keinen Aufschluss auf die Relevanz! Einige Punkte implementieren andere):

    • Veraltete WordPress-Version
    • Sicherheitslücken in WordPress Plugins
    • Veraltete Plugins
    • Schlechte oder keine WordPress Sicherheitsoptimierungen
    • Schlechte FTP oder Admin-Passwörter
    • Zugriff auf lokalen Computer durch Viren, Trojaner, Würmer
    • Zugriff auf lokalen Computer durch Dritte Personen direkt im Büro
    • Bei eigenen Servern: Veraltete Server-Software / fehlende Updates oder Patches
    • Bei eigenen Servern: Schlecht konfigurierte Server
    • … und weitere

    Schutz vor Hackerangriffen

    Einen 100%igen Schutz gegen Angriffe gibt es leider nicht. Genau wie die Entwickler von Programmen und Software immer versuchen Ihre Programme möglichst sicher zu machen, versuchen die “Bösen” neue Schwachstellen in Programmen und auch in der Server-Umgebung zu finden und auszunutzen. Das Ganze ist wie ein “Katz & Maus”-Spielchen. Als Blogger kann man trotzdem einiges tun, um seine Installation möglichst sicher zu machen.

    Wie stelle ich fest, dass mein Blog gehackt wurde?

    Je nachdem, was der Angreifer mit seinem Angriff bezweckt, könnten die Auswirkung  auch ganz unterschiedlich ausfallen.

    Gerade vor ein paar Wochen meldete sich ein Unternehmen bei, bei dem der Login in den WordPress Adminbereich nicht mehr möglich gewesen ist. Es wurde beim Login eine andere Maske ausgegeben, als es normalerweise der Fall sein sollte. Der Kunde vermutete daraufhin, dass seine Installation gehackt wurde und gab uns den Auftrag, dies zu analysieren und Gegenmaßnahmen durchzuführen. Der Kunde hatte mit seiner Vermutung recht.

    Bei einem anderen Fall meldete sich Google bei einem Kunden per E-Mail. Darin enthalten war ein Hinweis, dass seine Webseite möglicherweise gehackt wurde. Es sei eine große Anzahl an Spam-Links auf der Webseite gefunden worden. Und tatsächlich, suchte man bei Google nach der Webseite mit beliebten Spam-Begriffen, wurden dann auch unzählige Seiten gefunden. Das sind übrigens ganz beliebte Spam-Begriffe.

    Bei einem weiteren Fall sind wir per Zufall auf geänderte Template-Dateien aufmerksam geworden. Änderungen an den Dateien hätten gar nicht stattgefunden haben dürfen und unbekannt geänderte Dateien sind ein Anzeichen auf Hacker-Angriffe. Also untersuchten wir die betroffenen Dateien und fanden recht schnell Spam-Links. Solche Links sind ein klares Zeichen dafür, dass ein Blog gehackt wurde und unbemerkt Spam-Links integriert wurden. So sammeln die Hacker, für das Google-Ranking wichtige, Backlinks auf Ihre Webseiten. Diese Links sollen die Webseiten im Ranking weiter nach oben bringen.

    Doch Vorsicht: Hier reicht es nicht aus, die Links einfach zu entfernen! Damit hätte man lediglich die Auswirkung entfernt, die Ursache für den Angriff (eine Schwachstelle die der Angreifer ausnutzte) ist noch vorhanden. Also was wird passieren? Der Angreifer wird die Schwachstelle höchstwahrscheinlich einfach erneut ausnutzen und die Links erneut platzieren. Das funktioniert übrigens nicht immer manuell durch eine Person. Oft programmieren sich Hacker sogenannte Bots, die ganz automatisch nach Blogs mit veralteten WordPress Versionen oder Plugins mit Schwachstellen suchen und die dann selbstständig aktiv werden. Man muss also auch die Schwachstellen und die Hintertüren finden und diese unschädlich machen.

    Bei einem Kunden wurden Backdoors installiert, die es dem Angreifer ermöglichten, beliebigen PHP-Code auf dem Server auszuführen. Solcher Schadcode wurde in zahlreichen neuen Dateien und in bereits existierenden Dateien eingefügt

    Mögliche Auswirkungen eines Hackerangriffs

    Es gibt unzählige Auswirkungen eines Angriffs: Steht einem Hacker erst einmal das Tor offen, kann dieser meistens anstellen was er möchte.

    • Integrierung von Spam Links oder Trojanern
      Eine Mögliche Auswirkung haben wir ja eben kennengelernt. Angreifer haben unbemerkt Backlinks in die Webseite integriert. Mit Trojanern infizierte Spam-Webseiten sind eine Gefahr für Besucher und das mag Google gar nicht. Folglich wird die Webseite im Ranking abgestraft oder fliegt (wenn es ganz doof läuft) irgendwann aus dem Index. Für Unternehmen kann eine infizierte Webseite auch schnell einen Imageschaden mit sich ziehen.
    • Dateien manipulieren / Installieren von Backdoors
      Backdoors sind sogenannte Hintertüren, die dem Angreifer den Zugriff auf den Server/Webspace ermöglichen. So kann der Angreifer oft beliebige Änderungen vornehmen.
    • Sensible Daten klauen
      Gerade wenn sensible Daten (zB. Kundendaten) auf dem Webserver abgelegt sind, kann ein Hackerzugriff schnell zu einer echten Gefahr für den Datenschutz werden.
    • Daten übertragen
      Hacker nutzen Ihren Server als Fileserver und bieten darüber Dateien zum Download an. Dies kann besonders dann zum Problem werden, wenn diese Dateien rechtlich problematisch sind.
    • Spam
      Es ist denkbar, dass Hacker über Ihre Webseite SPAM-Mails an fremde Postfächer versenden.
    • Passwörter ausspähen
      Hacker fangen Passwörter von Kundenkonten oder Adminzugängen ab und nutzen diese dann für weitere Angriffe.
    • uvm.

    Was tun wenn WordPress gehackt wurde?

    Das wichtigste ist “nicht in Panik” geraten, denn das bringt niemandem etwas! Der Karren ist sowieso in den Dreck gefahren, jetzt muss er wieder herausgezogen werden. Nun muss festgestellt werden, was der Hacker alles angestellt hat und wie er möglicherweise eingedrungen ist. Normalerweise tendiere ich dazu, gehackte Seiten erst mal direkt vom Netz zu nehmen, bis festgestellt ist, was genau passiert ist und ob und welche Gefahr nun besteht. Schließlich möchte ich nicht, dass Leser/Besucher/Kunden durch meine Webseite Schaden nehmen.

    Jetzt sollte eigentlich jemand hinzugezogen werden, der Ahnung von solchen Situationen hat!

    Warum? Die Auswirkungen können wirklich so unterschiedlich sein, dass das Problem mit einer einfachen To-Do Liste oft nicht in den Griff zu kriegen ist. Ein Backup der Datenbank und der FTP-Dateien sollte man regelmäßig durchführen. Warum wissen wir ja jetzt auch! Viele glauben aber, dass es mit dem Einspielen eines alten Backups von vor X Wochen getan ist und dann alle Sicherheitsprobleme beseitigt sind. Schnell noch WordPress updaten, was sowieso seit Monaten fällig gewesen wäre, und alle Probleme sind behoben…. Leider nein, das ist nicht immer so leicht!

    Die Problematik wird deutlich, wenn man sich vorstellt, dass ein Angreifer die Sicherheitslücke/Schwachstelle bereits vor längerer Zeit auf einem Server bemerkt hat. Schlau wie er ist, fügt er eine Backdoor in den Code der Installation ein, die Ihm Zugriff auf den Server ermöglicht. Dann wartet er ruhig einige Wochen oder sogar Monate, bevor er seinen Angriff startet. Was passiert dann? Der Blogger spielt seine Updates von letzter Woche ein und freut sich, dass alles wieder bereinigt ist. Eine Woche später kommt das böse Erwachen und der Blog wurde erneut gehackt. Warum? Weil der Angreifer seine Backdoor schon vor Monaten integriert hat. Alle Backups seit diesem Zeitpunkt sind also bereits mit der Backdoor verseucht. Wird ein Backup hergestellt, ist die Backdoor ebenfalls wieder aktiv.

    Man muss also die gesamten Dateien und die Datenbank auf Schwachstellen und auf bösartigen Code untersuchen. Es gibt eine Menge Befehle, die typisch für bösartigen Code sind und nach denen man suchen kann. Allerdings sind Hacker einfallsreich und wissen unter Umständen auch, wie man das umgehen kann. obwohl der Code vorhanden ist. Hacker sind einfallsreich. In dem Artikel How to find a backdoor in a hacked WordPress berichtet Samuel Wood über einen Hacker, der den Code einfach rückwärts geschrieben in die Datenbank eingefügt hat:

    1
    ..... (edoced_46esab(lave

    Über die PHP Funktion strrev() kehr er den String dann einfach wieder um, bevor er diesen als Befehl ausführt:

    1
    eval(base64_decode( .......

    Das schlaue an dieser Vorgehensweise ist, dass die Befehle eval() oder base64_decode() nicht als solche über eine Textsuche in Dateien oder der Datenbank zu finden sind. wirklich clever nicht wahr? Aber auch dies zeigt, warum eine gehackte WordPress Installation so schwer zu bereinigen ist und warum der Arbeitsaufwand hier so enorm groß ist. Für eine WordPress Installation in normaler Größe muss man da schon mit einigen Stunden Arbeit rechnen.

    Es macht also Sinn, es den Hackern von Anfang an schon so schwer wie möglich zu machen und ihnen so viele Steine in den Weg zu legen, dass sie von einem Angriff ablassen.

    Aktuelle Aktion
    Kostenfreier Website Potenzial-Check für Coaches, Berater, Trainer und IT-Unternehmen.

    Wir prüfen bei einer Potenzialanalyse, ob Ihre Website Ihre Ziele optimal verfolgt und ob Ihr Angebot wirksam an Besucher vermittelt wird.

    Klare Impulse für souveräne Marketingentscheidungen
    Erfahren, wie gut Ihre Website Ihre Ziele verfolgt
    Inklusive unverbindlichem Experten-Call und Nachbesprechung
    Jetzt anfordern
    Das könnte Sie auch interessieren
    Der Autor - Tobias Karnetzke

    Tobias Karnetzke ist seit 2002 Webdesigner, WordPress Entwickler und Online-Marketing Experte für wertschöpfende Online-Positionierung. Bereits 2004 hat er die Digitalagentur Karnetzke gegründet und hilft Unternehmen dabei, das Internet als gewinnbringenden Business-Faktor zu nutzen. Er ist seit mehr als 12 Jahren als Freelancer und externer Berater für mehrere Agenturen im DACH-Raum tätig.

    Tobias Karnetzke, Gründer der Digitalagentur Karnetzke
    envelopephone-handset
    linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram