Schlagwortgehackt

Steigt die Anzahl der gehackten Webseiten?

Geht’s nur mir so, oder gibt es tatsächlich seit einiger Zeit einen spürbaren Anstieg von gehackten Webseiten. Ich habe mich mal auf die Recherchetour gemacht, um der Frage nachzugehen.

Zunächst mal bin ich natürlich hauptsächlich damit beschäftigt unzählige WordPress-Seiten zu betreuen – und damit nicht allein. Mit anderen Worten, wer das am weitesten verbreitete CMS nutzt wird auch mit einer höheren Wahrscheinlichkeit Opfer einer Attacke. Aus dem gleichen Grund warum Windows in der Regel, Apple ab und zu und Linux so gut wie gar nicht mit Viren zu kämpfen haben. Der prozentuale Anteil von WordPress an allen gehackten System ist, nach einer Erhebung von Sucuri, stabil bei über 70%. Ich persönlich kann damit noch recht gut leben, denn die meisten WordPress-Hacks lassen sie relativ leicht lösen und es gibt auch Sicherheitsplugins, die die Gefahr deutlich senken können.

Gehackt zu werden ist wahrscheinlich

Ob Anstieg oder nicht, die Gefahr plötzlich eine gehackte Seite zu haben ist nicht gerade gering. In den USA gibt es Statistiken, nach der 80% der Webseiten von Unternehmen innerhalb eines Jahres Opfer von Hackerangriffen geworden sind. Besonders problematisch ist das natürlich gerade für jene Firmen, die eine Webseite haben, weil man heute halt eine Webseite hat. Bis der Schaden dort dann bemerkt wird, kann mitunter schon eine Ewigkeit vergehen.

Wenn es nur immer so einfach wäre …

Aber gibt es jetzt tatsächlich einen Anstieg? Gefühl, aber eben auch Erfahrung sagen mir, dass es diesen eindeutig geben muss. Denn seien wir ehrlich, in der Vergangenheit ist es eher leichter, als schwieriger geworden sich zum Beispiel die entsprechenden Fähigkeiten anzueignen. Neben Schädlingen die munter das Web nach verwundbaren Seiten durchsuchen, kann man in einschlägigen Foren – ob im Web oder im sog. Dark Web – auch schnell jemanden finden, der sich ganz gezielt zum Beispiel die Seite eines Konkurrenten vornimmt.

Screenshot: Google Transparenzbericht

Und tatsächlich kann man aus dem Transparenzreport von Google auch einen deutlichen Anstieg an gehackten Seiten herauslesen.

Diese Statistik zeigt einen deutlichen Anstieg von Webseiten mit Malware von 2007 bis heute. Während Phishing-Seiten in der Regel von Kriminellen auch als solche ins Netz gestellt werden, kann man bei von Malware-Webseiten davon ausgehen, dass ein großer Anteil eben aus gehackten Seiten besteht.

Während Google hier mein Gefühl bestätigt, muss man allerdings auch erwähnen, dass es andere Statistiken gibt, die keinen klaren Anstieg vermelden, sondern bei denen die Zahl der Hacks prozentual ungefähr gleich bleibt. Was freilich auch nicht unbedingt beruhigend ist, da die Zahl der geknackten Webseiten wie gesagt eben so hoch ist, dass es jeden treffen kann.

Wie sieht es bei euch aus, kennt jemand andere Statistiken oder kann zumindest mein Gefühl bestätigen?

Survival Guide: Mein WordPress wurde gehackt!

Ich liebe WordPress. Es hat aber einen entscheidenden Nachteil, mit dieser Liebe bin ich nicht allein – und so macht die pure Verbreitung aus WordPress ein lohnendes Ziel für Viren und Malware. Was also tun, wenn es einen erwischt hat?

Die gute Nachricht, Viren kann man auch wieder los werden. (Photo via Good Free Photos)

Regel Nummero uno: Kühlen Kopf bewahren. Wenn sich dein Provider bei dir meldet – oder ohne etwas zu sagen gleich die Seite vom Netzt genommen hat – kannst du relativ sicher sein, dass sich dein WordPress etwas eingefangen hat. Ansonsten gilt nicht gleich bei jedem Verdacht den Ernstfall anzunehmen. Ein klares Zeichen für eingeschleusten Schadcode oder ein gehacktes Konto sind nicht von dir veröffentlichte Beiträge. Ich hatte auch schon mal den Fall, dass die Webseite an sich kein merkwürdiges Verhalten gezeigt hat, in den Google Suchergebnissen aber plötzlich Werbung in japanischen Schriftzeichen ausspielte.

Kann ich meine Seite kostenlos checken lassen?
Ja, eine einfache Googlesuche hilft da schon weiter. Wer nicht suchen will ist mit Virus total gut bedient. Die Webseite checkt ob dein WordPress bereits auf einer der zahlreichen Blacklists verzeichnet ist. Weil dabei aber schon jemand mitbekommen haben muss, dass die Seite befallen worden ist, empfiehlt sich der Besuch von Sucuri, dort kann die Seite auch live gescannt werden.

Sind die Ergebnisse leider positiv, solltest du zuallererst ein Backup von WordPress & Datenbank machen. Danach empfiehlt es sich zum Schutz deiner Besucher zumindest auf der Hauptdomain eine kleine Seite vorzuschalten, ehe du ans Bereinigen gehen kannst.

Ein WordPress-Account wurde gehackt

Jetzt kommt es darauf an, was genau passiert ist. Wurde ein Account gehackt? Dann sollte dieser natürlich sofort mit einem neuen Passwort versehen werden. Anschließend müssen alle illegal veröffentlichte Beiträge gelöscht werden. Um ganz sicher zu sein, solltest du danach einen neuen Account mit anderem Benutzernamen anlegen, dem du dann die sauberen Beiträge des gehackten Accounts zuordnest, danach kann der Sündenbock sicher gelöscht werden. Und damit wäre dieser Fall auch schon gelöst, obwohl es nicht schaden kann bei allen anderen Accounts auch zumindest die Passwörter zu ändern.

Wie unsicher ist WordPress eigentlich?
Zunächst mal, WordPress ist an sich in ziemlich sicheres System – solange man alle Updates, auch die der Plugins, mit macht. Wer hier schläft, ist am Ende nicht ganz unschuldig. Das so viele Webseiten gehackt werden ist eher eine erschreckende absolute Zahl, als eine relative. Aber natürlich hat auch jedes System Schwachstellen. Wer das testen möchte, kann seine Seite mal durch den WordPress Security Scan jagen.

Meine WordPress-Seite wurde von Schadcode befallen

Der einfachste aller Wege ist die Einspielung eines Backups, das vom Schadcode noch nicht befallen ist. Hat man das nicht zur Verfügung, muss man sich eben auf die Suche nach den befallenen Dateien machen.

Hauptverursacher für Schadcode sind immer noch „mal eben schnell“ eingespielte Themes oder Plugins. In diesem Fall sollte man sich also per Try & Error auf die Suche nach dem Schuldigen machen, wobei man natürlich bei den zuletzt eingespielten Neuerungen beginnen kann. Ansonsten einfach mal per FTP den gesamten Plugin-Ordner löschen. Ist der Schadcode danach verschwunden, kann man sich im Ausschlussverfahren auf die Suche machen. Ganz ähnlich funktioniert das auch bei den Themes, allerdings sollte man sich hier zuerst ein WordPress Standard-Theme herunterladen und das System drauf umstellen. Ist danach der Schuldige immer noch nicht gefunden, hat sich der Schadcode wahrscheinlich in einer anderen PHP-Datei eingeschleust.

In diesem Fall sollte man sich zuerst einmal die aktuelle Version von WordPress herunterladen und dort die Datei wp-config-sample.php wie bei der ersten Installation in wp-config.php umbenennen und mit den Zugangsdaten zur Datenbank ausstatten. Danach muss man per FTP die Ordner /wp-admin und /wp-include löschen und durch die neue Version austauschen. In 99% der Fälle hat man es spätestens dann hinter sich gebracht. In einem Prozent könnte der Schuldige dann noch im Ordner /wp-content liegen, da man ja aber schon die Themes und Plugins als Schuldige ausgeschlossen hat, sind die Versteckmöglichkeiten dort nur noch begrenzt. Im restlichen Prozent hat man wirklich ein Problem, dann dürfte der Schuldige die Datenbank sein und hier hilft nur der Gang zu einem Experten in Sachen MySQL.

Auch hier gilt übrigens am Ende alle Passwörter zu wechseln. Auch das FTP-Passwort, falls der Schadcode vom eigenen Rechner hochgeladen wurde. Passiert, fragt mal die Typen die glauben Filezilla sei eine gute Erfindung. 🙂

So etwas passiert mir nie wieder

Ich kann mich noch gut an mein erstes gehacktes Blog erinnern, das war eine Menge Stress. So etwas will man nie wieder haben, echt. Aber auch dafür gibt es Hilfe in Form von Plugins.

Die bereits erwähnte Sucuri, Inc stellt gute Tools zur Verfügung, die einen besser schlafen lassen, weil die eigene Seite gecheckt und überwacht wird. Als beste Tools zum Schutz gelten WP Security & Firewall und Wordfence Security. Ich persönlich nutze Wordfence, aber beide Tools bieten eine ganze Reihe von Werkzeugen, die einem selbst in der kostenlosen Version schon einiges abnehmen. Da wäre zum Beispiel natürlich auch ein Scan, oder Funktionen wie das Sperren einer IP nach X misslungenen Anmeldeversuchen, um BruteForch-Attacken zu unterbinden. Regelmäßige Updates sollte man sich aber auch dann nicht sparen. Bitte! Das meine ich ernst!