WordPress: Was, wenn die Webseite gehackt wurde?

WordPress ist so weit verbreitet, dass es Angreifer nahezu anlockt wie das Licht die Motten. Man muss sich schützen. Denn WordPress wird angegriffen. Jetzt kann man natürlich viel darauf geben, dass man irgendeine kostenpflichtige Firewall-Lösung permanent auf seinen Blog draufschauen lässt. Aber vielleicht geht es auch ganz anders? Ich will den Firewall-Lösungen nicht die Daseinsberechtigung absprechen, aber jeder Betreiber einer Webseite kann genügend selbst tun.

Hackerangriffe auf WordPress

Dieser Tweet hat mich aufgeschreckt. „Carta“ ist ein professioneller Blog. Das heißt, dass da eventuell Leute extra dafür da sind, sich mit der Technik und der Sicherheit zu beschäftigen. Und dann denkt man eigentlich, dass solchen Blogs nichts passieren kann. Denkste, wie man sieht. Ich habe verschiedene Dinge mitbekommen, die besagen, dass derzeit eine riesige Angriffswelle in Richtung WordPress-basierten Blogs unterwegs ist. Verfallen wir nun in Panik? Oder was können wir besseres tun? Was denken Sie?

Es gibt unzählige Blog-Artikel zu dem Thema. Alle lauten mehr oder weniger „Blog gehackt – was nun?“ oder so ähnlich. Ich habe es denkbar oft hier im Blog geschrieben: Updates können viel verhindern. Suchen Sie einfach mal hier im Blog. Und außerdem habe ich immer wieder erzählt, dass man automatisch Backups vom Datenbestand und der Datenbank machen sollte, um möglichst schnell zurückkehren zu können, sollte wirklich mal etwas mit dem Blog sein.

Davon ausgehend, kann man viel abbügeln, sodass die Chance auf einen Angriff und damit auf einen Ausfall denkbar gering ist. Wir dürfen natürlich niemals vergessen, dass es keine absolute Sicherheit gibt. Angriffsversuche wird es immer geben. Man kann nur versuchen, so gut wie möglich Vorkehrungen zu treffen, damit nicht auch noch Fahrlässigkeit dazu kommt. Was würde ich also tun?

Updates

Es gibt die WordPress-Aktualisierungen. Dort finden wir alles mögliche, was aktualisiert werden kann. Jedes Update, dass zur Verfügung steht, wird über diese Seite aufgelistet. Hier finden wir folgende Arten an Updates:

  • WordPress-Updates
  • Plugin-Updates
  • Theme-Updates
  • Aktualisierte Übersetzungen

So lange unter Dashboard -> Aktualisierungen irgendeine Zahl in weißer Schrift auf rotem Untergrund neben dem Wort „Aktualisierungen“ steht, haben wir nicht alles getan, um auf der Software-Seite sicher zu sein. Es gibt für mich keine Ausrede, die Updates sind einfach mal zu installieren. Aber das habe ich schon oft genug erzählt, das wiederhole ich nicht.

Backups

Ich erzähle mal kurz, wie ich Backups mache. Das habe ich jahrelang mit „BackWpUp“ gemacht, bin aber umgeschwenkt auf „UpdraftPlus“. Das kann man sich hier herunterladen. Nach der Aktivierung kann man sich einen „Plan“ erstellen:

  • Über die Einstellungen des Plugins kann ich einen Datei-Sicherungsplan und einen Datenbank-Sicherungsplan einrichten. Beides sollte die gleichen Werte haben, also zum Beispiel „Täglich“ mit der gleichen Anzahl aufzubewahrender Sicherungen.
  • Es sollte ein externes Ziel ausgewählt werden. Ich nutze hier Google Drive. UpdraftPlus bietet selbst eine Anleitung an, wie man beide Dienste miteinander verknüpft. Mancher Screenshot hat sich inzwischen geändert, aber vom Prinzip hier funktioniert das noch so.
  • In UpdraftPlus trägt man alle Authentifizierungsinformationen aus Google Drive ein und wählt dann die Dinge aus, die gesichert werden sollen. Am besten alle. Und man gibt an, ob man per Email informiert werden will, wenn ein Backup erfolgt ist.

Mit einer Premium-Version von UpdraftPlus kann das Datenbank-Backup verschlüsselt erfolgen und noch weitere Backup-Ziele ausgewählt werden. Aber im Prinzip erfolgt alles immer auf eine ähnliche Art und Weise. Und das Plugin speichert die oben eingestellte Anzahl Sicherungen im FTP-Verzeichnis, sodass wir die dann auch gleich mal herunterladen können. Damit sind wir erstmal gewappnet, einen aktuellen Datenbestand zu haben, den wir dann nur hin und wieder auf Befall und Funktionalität überprüfen sollten.

WordPress absichern

Wir können alle möglichen Kopfstände machen, um WordPress sicher zu bekommen. Wie gesagt, solche Firewall-Lösungen haben ihre Daseinsberechtigung, aber was können wir abseits von ihnen tun?

  • Wir können die Logins beschränken, indem wir Plugins wie „Limit Login Attempts“ oder so verwenden.
  • Wir können Scanner verwenden, die in WordPress selbst laufen. Ein gutes Beispiel dafür ist „Plugin Vulnerabilities“, das nach unsicheren Plugins sucht.
  • Wir können einen zusätzlichen Passwort-Schutz einbauen, wie ich es vor langer Zeit in einem meiner erfolgreichsten Artikel seit Blogbestehen erklärt habe.

Wir müssen uns aber vor Augen halten, dass es niemals einen absoluten Schutz gibt. Wir können uns dessen immer nur weitgehend annähern, aber die 100% werden wir nie erreichen. Im Zusammenspiel mit den Updates und den Backups sollten wir aber auf einem guten Weg sein, unseren Blog weitgehend abgesichert zu haben.

Was sind Auswirkungen?

Wurde ein Blog gehackt, hat das immer Auswirkungen. Wie diese aussehen, kann immer anders sein. Aber es ist erst einmal klar, dass so ein Ausfall immer nachwirkt. Leser, Partner, Kunden bekommen das ja mit und stellen sich ggf. die Frage, ob diese Webseite noch der richtige Anlaufpunkt ist. Ich denke, es handelt sich um diese Auswirkungen:

  • Einnahmerückgänge: Lädt die Seite nicht, ist nicht verfügbar, oder es ist sonstwas, bringt es Besucher immer dazu, gleich wieder zu verschwinden und ggf. nie wieder zu kommen.
  • Reputationsverluste: Wird bekannt, dass eine Seite gehackt wurde, spricht sich das herum. Besucher könnten dann davon absehen, diese Seite überhaupt aufzurufen.
  • Kontrollverluste: Man weiß ja nicht, ob irgendwas nach einem Hackerangriff als Rest übrig bleibt. Und während des Angriffs ist man nicht Herr der Sache. Oft bleibt nur die Wiederherstellung aus einem Backup. Aber hat man dann die volle Kontrolle?
  • Zeitverlust: Solche Angriffe sind immer ärgerlich. Denn sie bedeuten für die Webseiten-Betreiber auch immer einen heiden Aufwand. Wir haben ja nur die Wiederherstellung betrachtet, aber noch nicht nach der Ursache gesucht. Das kommt ja noch mit dazu.

Fazit

Niemand kann vermeiden, dass die eigene Webseite angegriffen wird. Wenn man das jemand zu 100% vermeiden will, muss die Webseite abgeschaltet werden. Aber jeder kann sich schützen. Es fängt bei Selbstverständlichkeiten wie Updates und regelmäßigen Backups an und hört bei solchen Sachen wie der Absicherung von WordPress nicht auf. Und selbst dann hat man lediglich das Risiko reduziert. Das muss jedem klar sein. Nur wer mit einem solchen Verständnis eine Webseite betreibt, kann dies auch relativ gelassen tun.

Dem Blog carta.info wünsche ich, baldmöglich wieder online zu sein. Aber anhand der hier niedergeschriebenen 1000 Worte können Sie sich vorstellen, dass das durchaus auch länger dauern kann.

5 Replies to “WordPress: Was, wenn die Webseite gehackt wurde?”

  1. Hallo Henning,
    diese Thematik ist extremst wichtig und ich wette, dass manche Blog-Admins noch ein paar Passwörter haben, die etwas mit der eigenen Person zu tun haben. Ich generiere meine Passwörter mittlerweile mit einem Generator und notiere sie, aber alles digital und nichts auf Papier. Beim Wordress CMS sollte man die Plugins Wordfence und Edit Author Slug verwenden. Bei mir im Hauptblog versucht man sich mehrmals täglich, den Zugriff zum Backend zu verschaffen. Täglich werde deutsche und ausländische IPs gesperrt und das immer wieder. Wordfence macht das alles und ohne mein Zutun.

    Wordfence schützt auch vor Code-Injizierung, auch bei Unterverzeichnissen, wo WP drauf ist. Manchmal kann ich nicht mal Adsense einbinden, ohne dass ich das Plugin deaktivieren und danach wieder aktivieren muss.

    Ich verbringe täglich unzählige Stunden mit den CMS-Updates und verblogge auch solches. Diese müssen stets gemacht werden und auch wenn mein Webhoster etwas hilft, liegt es einzig und allein an mir, ob die Software auf dem Managed Server top aktuell ist. ich grase auch GitHub und SourceForge.net nach aktuellen CMS-Updates ab. Dafür wird sich immer reichlich Zeit genommen, denn wirst du einmal gehackt, hat sich das erledigt mit deinem Ruf oder…

    Recht hast du, zu 100-prozentig kannst du dich nicht schützen, aber macht man das Grundlegendste wie stetige Updates, geht man schon in die richtige Richtung bzgl. mehr Sicherheit des eigenen Projektes.

    Ich finde sehr gut, dass du dieses Thema immer wieder verbloggst, denn du hast hier im Blog vermutlich auch so wie ich auf dem Hauptblog mehr neue Besucher als wiederkehrende. Wenn es Blogbeginner sind, sind diese sich kaum bewusst, dass Updates immer sein müssen. Alte WordPress-Versionen sollen verboten werden. Immer schön updaten ;)

  2. Hallo,

    unser Magento Shop ist gehackt worden. Wir bieten Drohnen und RC Spielzeuge an. Nachdem ein IT Forensiker unser Onlineshop nach dem Hacking Angriff wieder repariert hat, fragte ich mich wie wir dies in Zukunft verhindern können. Die Aktion kostete uns 2900 EUR und ich weiß nicht ob wir Kundendaten verloren haben? Wahrscheinlich ist es.

    Auf meiner Suche habe ich 2 Angebote gefunden. Eines aus Deutschland und eines aus den USA. Kann mir jemand sagen was man von diesen Angeboten halten kann und für welches sollte ich mich entscheiden?

    Nr. 1 Deutschland
    https://janotta-partner.de/projekt-defense.html
    Nr. 2 USA:
    https://sucuri.net/website-firewall/signup

    Freue mich auf Meinungen…
    Gruß Stefan

  3. Hallo Herr Uhle.

    Ich Hoste bei euch. In letzter Zeit hatte ich 2 mal bereits Malware auf meiner Website, und ich schaffe es nicht das Problem in den Griff zu bekommen. Eine WAF wollte ich mir zulegen, aber diese ganzen Lösungen sind wahnsinnig teuer. Auf meiner Suche nach einer WAF habe ich Janotta EBS gefunden, vielleicht haben Sie bereits Erfahrung mit dem Anbieter aus Schweinfurt / Bayern?

    Das Angebot mit DDOS Schutz und Malware Scanner würde mir sehr zusagen. Wie ist Ihre Einschätzung dazu? https://www.janotta-partner.de/Website-schutz-defense.html

    Was ich im Internet so gelesen habe, ist der Anbieter bekannt für Penetrationstest und Lösungen, Seriös scheint er zu sein, aber ist eine solche Lösung Ratsam oder was würden Sie mir als Ahnungslosen empfehlen der sein Malware Problem auf dem Server in den Griff bekommen will?

    Für Eine Antwort wäre ich Ihnen dankbar.
    Viele Grüße
    Rainer K.

    1. Hallo Herr Kleinhenz, hier liegt ein Irrtum vor. Ich bin nicht der Hoster. Ich bin bei Alfahosting seit ein paar Jahren und hatte in dieser Zeit noch nie einen Befall.
      Das Angebot könnte passen. Allerdings ist bei so etwas immer darauf zu achten, dass es wohl beim Shared Webhosting vielleicht andere Installationen auf dem gleichen Server negativ beeinflussen könnte.
      Wenn Sie bei Alfahosting hosten, kann ich Ihnen nur empfehlen, sich mit dem Support in Verbindung zu setzen. Der ist der Hauptgrund, warum ich dort vorerst bleibe. Die helfen Ihnen sicherlich weiter.

      Viele Grüße,
      Henning Uhle

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert