WordPress-Seite gehackt: Die Gründe, die Hacks, die Kosten

WordPress-Seite gehackt: Die Gründe, die Hacks, die Kosten

„Ein Kunde rief an und fragte nach, ob wir das Geschäftsfeld gewechselt hätten, auf unsere Webseite wären erotische Inhalte zu sehen.“

Das ist etwas, was man nicht hören und beim Besuch der Webseite bestätigt haben will. Kommt aber immer mehr in letzter Zeit vor. In dem Artikel reden wir mal ein wenig über die Ursachen, die Hacks, die Kosten und Abwehrmaßnahmen.

Ursache von gehackten WordPress-Seiten

WordPress ist ein kostenloses Content-Management-System mit der Möglichkeit dieses durch Plugins zu erweitern. Durch die starke Verbreitung erfreuen sich auch Hacker an WP.

Plugins und Themes werden nicht weiterentwickelt

Ist ein Plugin oder Themes einmal erstellt, braucht es nie wieder weiterentwickelt werden – so ist der Traum. Denn da sich sehr oft und schnell die technischen Gegebenheiten (Server, WordPress-Core,..) ändern, müssen die Plugins oder Themes stetig weiterentwickelt und angepasst werden.

Ein Plugin oder Theme, welches min. 2 Jahre nicht upgedatet wurde, ist in der Regel nicht mehr vertrauenswürdig. Da sollte dann eine aktuelle Alternative her.

Updates werden nicht gemacht

Kostenlos heißt nicht, dass man selbst nichts dafür tun muss. Denn man sollte regelmäßig die Updates einspielen, die von Entwicklern zur Verfügung gestellt werden. Denn diese Updates schließen manchmal auch Sicherheitslücken. Mancher macht diese Updates gar nicht und noch weniger Datensicherungen.

WordPress Wartungsservice
ab 24,99€/Monat

Unsichere Passwörter

Passwörter müssen sicher sein, sonst wäre das Passwort nur ein Wort.

Zuletzt hatte ich einen Kunden, dessen Passwort war die Kombination aus seinem Namen und seiner Gewerbeart. Alles kleingeschrieben, 8 Zeichen lang und keine Sonderzeichen Diese Kombi war natürlich x-mal auf der Internetseite genannt worden. Und viele denken, dass Hacking nur etwas mit technischen Voodoo zu tun hat. Auch die Ausnutzung verbreiteter menschlicher Verhaltensweisen gehört zum Handwerk eines Hackers.

Technisch lässt sich ein 8 Zeichen langes Passwort, kleingeschriebene Buchstaben, ohne Sonderzeichen und Zahlen in nur 4 Minuten knacken. Schon die Verwendung von Großbuchstaben verlängert es auf 15 Stunden!

Also Passwörter immer so sicher wie möglich erstellen:

  • 8 – 10 Zeichen
  • Buchstaben, klein und groß
  • Zahlen
  • Sonderzeichen

Beispiel:

„tehling“: Gehackt in theoretisch 4 Minuten

„4Gjs#3$OpQ“: Gehackt in theoretisch 2108 Jahren

Weitere Dinge mit Einfluss auf die Sicherheit

Dann gibt es noch etliche weitere Gründe, welche negativen Einfluss auf die Sicherheit der WordPress-Seite haben können:

  • mangelhaft eingestellter/gepflegter Webserver
  • Nutzung von veralteten PHP-Versionen
  • falsche Nutzung und Aufbau der WordPress-Benutzerrollen
  • Plugins und Themes aus unsicheren Quellen
  • schlechte Programmierung

Hacks – was wird überhaupt gemacht

In den meisten Fällen werden auf der WordPress-Seite, die Dateien für das Frontend so verändert, dass die Webseiten-Besucher mit anderen Inhalten konfrontiert werden. Das kann also Werbung von irgendwelchen Erotikportal sein oder diesen wird ein Virus verseuchtes Programm untergejubelt.

Weiterhin ist das Ausspionieren von Daten ein beliebter Bereich, vor allem bei Onlineshops.  In der Regel fällt ein Hack auch erst mal nicht auf, denn Ziel ist ja das langfristige Sammeln von Daten. Was wird gesammelt? Name, Adressen, Geburtsdaten, Zahlungsdaten – mit diesen Datensätzen lässt sich Geld bei Adresshändlern machen.

In der Regel wird das Hacking-Objekt nach der Möglichkeit des Hacks ausgesucht. Aber es gibt auch gezielte Hack, wo zum Beispiel dann der Konkurrenz Schaden zugefügt werden soll. Denn ist die Seite nicht erreichtbar, verliert man im Ranking der Suchmaschinen Plätze. Laufende Advertisings gehen ins Leere, Reputationsschaden und so weiter.

Wie so sowas aus?

Es werden wenige Zeilen Code an den Anfang einer vorhandenen PHP-Datei gesetzt, damit werden dann Daten mit Schadcode nachgeladen.

Meist versucht man den Code zu maskieren, in dem dieser verschlüsselt wird. Damit, so die Hoffnung der Server diesen nicht so schnell findet.

Verschleierungsversuch durch Codierung des Programmcodes

Mancher Hacker ist auch eitel und hinterlässt seinen Tag.

WordPress-Seite gehackt: Die Gründe, die Hacks, die Kosten
Hier wurde der Schadcode in Hexadezimal codiert

„\x6a\x33\x6d\x62\x30\x33\x64\x7a\x20\x6d\x34\x77\x30\x74\x7a\x20\x73\x68\x33\x31\x31“ ist umgewandelt „j3mb03dz m4w0tz sh311“.

Sucht man das auf Google, findet man über 80.000 Ergebnisse – erschreckend. Dieser Hacker hinterlässt mit seinem Skript einen Online-FTP-Editor, der ziemlich viele Möglichkeiten bietet.

Kosten für die Bereinigung, Rekonstruktion

In den meisten Fällen ist die Bereinigung der WordPress-Seite zeitintensiv, sodass direkt eine saubere Kopie erstellt wird. Aber die Kosten sind dennoch da. Aus den Fällen der letzten 3 Wochen kann ich zwei Beispiele nennen:

Fall A

Webvisitenkarte, Datenverarbeitung von Seitenbesuchern nur über Kontaktformular, Datenbank nicht betroffen, täglich 100 – 120 Besucher, keine Datensicherung,

Aufwand: 4 Arbeitstunden – über 300 Euro Kosten

Fall B

Onlineshop, Datenbank betroffen, täglich min. 2500 Besucher, Datensicherung vorhanden, aber falsches Konzept. Dadurch waren die Daten teilweise 4 Wochen alt.

Aufwand: über 24 Stunden – mehr als 2500 Euro Kosten
Dieser Fall konnte auch nur mit der Man-Power einer befreundeten Agentur gelöst werden.

Die Kosten sind auch nur auf die Behebung bezogen, der weitere Schaden durch Reputationsverlust, Auftragsverluste, ggf. Schadensersatzahlungen oder durch Anzeigen wegen Verstoß gegen DSGVO sind da noch nicht berücksichtigt und kommen da noch dazu.

In beiden Fällen war ein fehlendes, zeitnahes Update eines Plugins mit bekannter Sicherheitslücke die mutmaßliche Ursache.

WordPress Wartungsservice
ab 24,99€/Monat

Prävention und Abwehrmaßnahmen

Die erste Maßnahme, es muss in jedem Fall WordPress sein. Bei einfachen Webvisitenkarten reicht in der Regel auch eine statische Webseitenerstellung aus.

Sind dynamische Webinhalte mit WordPress doch die Wahl, dann sollte man immer das System aktuell halten. Regelmäßig auf Updates prüfen und installieren. Datensicherungen sind auch ein absolutes Muss, keine Option!

Verwendung von sicheren Passwörtern, sowie die richtige Nutzung der Benutzerverwaltung und Benutzerrollen in WordPress.

Absicherung des Ordners /wp-admin/ mittels .htaccess auf Serverebene.

Nutzung eines Sicherheitsplugins, wie zum Beispiel WordFence zur Unterstützung.

Dadurch läßt sich das Risiko minimieren und den Ausfall der WordPress-Seite reduzieren.

Das interessiert dich vielleicht auch:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.