Meine WordPress-Installation wurde eventuell gehacked. Was soll ich tun?

TL;DR

  • Überprüfen Sie, ob unberechtigte Änderungen an Ihrer Webseite vorgenommen wurden. Einen Hinweis kann das Änderungsdatum der Dateien geben.
  • Überprüfen Sie, ob Sie über eine „saubere“ Sicherung Ihrer Daten verfügen. Im Falle eines Falles: Power-Netz hält Backups Ihrer Daten bis zu 14 Tage vor.
  • Spielen Sie diese ggf. ein und schließen Sie Sicherheitslücken, die über eine veraltete WordPress-Version oder über veraltete Plugins entstanden sein könnten.
  • Sorgen Sie dafür (z.B. über die Auto-Update Funktion von WP), dass Ihre WordPress-Version, sowie alle Plugins fortwährend auf dem aktuellsten Stand sind.

Unsere Techniker helfen gerne weiter: technik@power-netz.de / : +49 5382 9536 03

Beschreibung und Handlungsleitfaden im Fall eines WordPress-Hacks

Das CMS “Wordpress” gehört zu den beliebtesten CMS. Mittlerweile wird lt. Medienberichten ( http://t3n.de/news/cms-marktfuehrer-wordpress-654735/) jede vierte Webseite weltweit mit WordPress betrieben. Die einfache und intuitive Bedienung von WordPress macht es gerade Einsteigern leicht, schnell und einfach eine professionelle Webseite in wenigen Schritten zu erstellen. Gleichzeitig sorgt der hohe Verbreitungsgrad von WordPress auch dafür, dass WordPress-Installationen von Hackern als lohnenswertes Ziel ausgewählt werden. Im nachfolgenden Beitrag gehen wir darauf ein, wie Sie sich gegen solche Angriffe schützen können und was zu tun ist, wenn es doch einmal zu einer Kompromittierung Ihres Accounts kommen sollte.

Ich stelle Veränderungen auf meiner Webseite fest, die ich selbst nicht vorgenommen habe

Sofern Sie Ihre Webseite aufrufen und Änderungen feststellen, die Sie sich nicht erklären können oder Sie ggf. auch eine Warnung Ihres Virenscanners beim Aufruf Ihrer Webseite erhalten, ist davon auszugehen, dass Änderungen von Unbefugten durchgeführt wurden.

Was sollte ich jetzt tun?

Überprüfen Sie zunächst, ob es sich nicht ggf. doch um gewollte Änderungen handelt, die z. B. von Mitarbeitern und / oder Dienstleistern vorgenommen wurden. Ist dies nicht der Fall , sollten Sie Ihre Webseite so schnell wie möglich sperren, um die potentielle Verteilung von Schadsoftware über Ihre Webseite zu unterbinden bzw. zu stoppen. Loggen Sie sich hierfür in das Server-Interface Ihres Accounts ein und versehen Sie den Account oder alternativ das jeweilige Unterverzeichnis mit einem Kennwortschutz:

  • Login Server-Interface: https://servername.xy/server-interface/
  • Klick: “Administration”
  • Klick “Verzeichnisschutz”
  • Legen Sie Benutzername und Kennwort fest und speichern Sie die Änderungen

Ihr Account / die Webseite bzw. das gewählte Verzeichnis ist ab sofort nur noch mit den soeben vergebenen validen Zugangsdaten zu erreichen. Besuchern ohne diese Zugangsdaten ist der Zugriff nicht mehr möglich. Nachdem Sie die Webseite gesperrt haben, sollten Sie zunächst die Zugangsdaten zu Ihrem Account ändern. Klicken Sie dafür, nach dem Login in das Server-Interface, auf der linken Seite im Bereich „Administration“ auf:

  • Zugangskennwort

Geben Sie anschließend Ihr altes und danach das neue Zugangskennwort ein. Der Zugriff von Angreifern, denen Ihre Zugangsdaten evtl. bekannt waren, wird somit verhindert.
(Hinweis: Sollte Ihr PC/Laptop etc. von einem Keylogger oder sonstiger Schadsoftware befallen sein, wird diese Maßnahme ggf. nur kurzzeitig Abhilfe schaffen. Setzen Sie das neue Kennwort daher von einem “sauberen” Rechner und lassen Sie Ihren heimischen Rechner im Zweifel von einem Fachmann überprüfen.)

Anschließend sind die neuen Zugangsdaten nur noch ihnen bekannt. Ein Zugriff durch Angreifer, die unter Verwendung der Zugangsdaten per FTP oder SSH zugreifen, ist unterbunden.

Loggen Sie sich anschließend per (S)FTP oder SSH auf Ihrem Account ein und prüfen Sie, welche Dateien von den Angreifern kompromittiert wurden. Dabei sollten Sie gründlich vorgehen und ggf. unsere Techniker zu Rate ziehen, da wir Sie ggf. in der Analyse und Bereitstellung von Logfiles unterstützen können.

Konnten Sie die betroffenen Dateien (ggf. mit Hilfe unserer Techniker) identifizieren, bereinigen Sie diese.

Ist dies nicht möglich, kann Ihre Webseite ggf. aus einem Backup wiederhergestellt werden. Setzen Sie sich hierfür bitte ebenfalls mit uns in Verbindung:

Power-Netz Technik:
E-Mail: technik@power-netz.de
Telefon: +49 5382 9536 03

Sollte kein Backuprestore möglich sein, ist es i. d. R. erforderlich, den Account frisch, mit einer neuen WordPress-Installation aufzusetzen. Auch dabei können Ihnen unsere Techniker behilflich sein.

Hierfür sollten Sie jedoch zunächst ein Backup Ihrer Installation anfertigen. Zwar sind diese Daten potentiell kompromittiert, jedoch haben Sie so zumindest noch einen Großteil Ihrer Daten gesichert, bevor Sie sämtliche Daten auf dem Webspace löschen.

Datensicherung:  

  • Loggen Sie sich in das WordPress-Admin-Interface ein
  • Klicken Sie auf “Werkzeuge”
  • Klicken Sie auf “Daten exportieren”
  • Wählen Sie die Option “Alle Inhalte”
  • Klicken Sie auf “Export-Datei herunterladen”

Sie verfügen nun über eine Sicherung Ihrer WordPress-Installation. Dies ist hilfreich, sofern Sie zukünftig noch Inhalte aus Ihrer Installation benötigen.

Wichtig:

Sollten Ihre WordPress-Installation Schadcode enthalten, dann befindet sich dieser auch in der erstellten Sicherung. Agieren Sie daher umsichtig und laden Sie die Sicherung erst dann erneut auf Ihren Account hoch, nachdem die Daten bereinigt wurden. Alternativ hilft Ihnen die Sicherung zumindest dabei, einzelne Webseiten und Texte wiederherzustellen, ohne dass Sie die ggf. kompromittierten Daten erneut hochladen müssen.

Wir kann ich mich vor Angriffen auf meine WordPress-Installation schützen?

WordPress:

Die wichtigste Maßnahme sind regelmäßige Updates von WordPress. So ist sichergestellt, dass Sie die aktuellsten Patches für Sicherheitslücken stehts erhalten und vor bekanntgewordenen Sicherheitslücken geschützt sind. WordPress bietet seit Version 3.7 eine automatische Update-Funktion. Diese sollte unbedingt aktiv sein und nur in Ausnahmefällen deaktiviert werden. Informationen zur Funktionsweise und zum Umfang der Update-Funktion finden Sie auf der Webseite des Herstellers unter: https://codex.wordpress.org/de:Automatische_Hintergrund_Updates_einstellen

WordPress-Plugins:

Ein weiterer wichtiger Aspekt ist die Aktualisierung von (externen) Plugins. Je nach Art des Plugins wird ggf. ebenfalls eine automatische Updatefunktion angeboten und sollte wenn möglich aktiviert werden. Steht eine solche automatische Updatefunktion bei den von Ihnen verwendeten Plugins nicht zur Verfügung, prüfen Sie regelmäßig auf den Webseiten des Plugin-Herstellers und / oder im WordPress-Backend, ob neue Versionen zur Verfügung stehen. Nehmen Sie entsprechende Updates schnellstmöglich vor. Andernfalls ist es möglich, dass Ihre WordPress-Installation, trotz aktueller WordPress-Version, ggf. über ein verwundbares Plugin kompromitiert wird. Zusätzlich empfehlen wir, nur die Plugins zu installieren, die auch tatsächlich benötigt werden. Jede zusätzlich installierte Software kann die Gefahr durch Sicherheitslücken erhöhen.

Tipp: Diesen Beitrag finden Sie, neben vielen anderen hilfreichen Themen auch in unserem Power-Netz Wiki!

Dieser Beitrag wurde unter Allgemein abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.