WordPress gehackt: Die Gründe, die Hacks, die Kosten, die Lösung

„Ein Kunde rief an und fragte nach, ob wir das Geschäfts­feld gewech­selt hät­ten, auf unsere Web­seite wären ero­tis­che Inhalte zu sehen.“

Das ist etwas, was man nicht hören und beim Besuch der Web­seite bestätigt haben will. Kommt aber immer mehr in let­zter Zeit vor. In dem Artikel reden wir mal ein wenig über die Ursachen, die Hacks, die Kosten und Abwehrmaß­nah­men.

Deine Word­Press-Seite wurde gehackt und du brauchst umge­hend Hil­fe? Dann nimm mit mir Kon­takt auf!

Hil­fe anfordern

Ursache von gehackten WordPress-Seiten

Word­Press ist ein kosten­los­es Con­tent-Man­age­ment-Sys­tem mit der Möglichkeit dieses durch Plu­g­ins zu erweit­ern. Durch die starke Ver­bre­itung erfreuen sich auch Hack­er an WP.

Plugins und Themes werden nicht weiterentwickelt

Ist ein Plu­g­in oder Themes ein­mal erstellt, braucht es nie wieder weit­er­en­twick­elt wer­den – so ist der Traum. Denn da sich sehr oft und schnell die tech­nis­chen Gegeben­heit­en (Serv­er, Word­Press-Core,..) ändern, müssen die Plu­g­ins oder Themes stetig weit­er­en­twick­elt und angepasst wer­den.

Ein Plu­g­in oder Theme, welch­es min. 2 Jahre nicht upge­datet wurde, ist in der Regel nicht mehr ver­trauenswürdig. Da sollte dann eine aktuelle Alter­na­tive her.

Updates werden nicht gemacht

Kosten­los heißt nicht, dass man selb­st nichts dafür tun muss. Denn man sollte regelmäßig die Updates ein­spie­len, die von Entwick­lern zur Ver­fü­gung gestellt wer­den. Denn diese Updates schließen manch­mal auch Sicher­heit­slück­en. Manch­er macht diese Updates gar nicht und noch weniger Daten­sicherun­gen.

Word­Press Wartungsser­vice
ab 15,50€/Monat

erfahre mehr

Unsichere Passwörter

Pass­wörter müssen sich­er sein, son­st wäre das Pass­wort nur ein Wort.

Zulet­zt hat­te ich einen Kun­den, dessen Pass­wort war die Kom­bi­na­tion aus seinem Namen und sein­er Gewer­beart. Alles kleingeschrieben, 8 Zeichen lang und keine Son­derze­ichen Diese Kom­bi war natür­lich x‑mal auf der Inter­net­seite genan­nt wor­den. Und viele denken, dass Hack­ing nur etwas mit tech­nis­chen Voodoo zu tun hat. Auch die Aus­nutzung ver­bre­it­eter men­schlich­er Ver­hal­tensweisen gehört zum Handw­erk eines Hack­ers.

Tech­nisch lässt sich ein 8 Zeichen langes Pass­wort, kleingeschriebene Buch­staben, ohne Son­derze­ichen und Zahlen in nur 4 Minuten knack­en. Schon die Ver­wen­dung von Großbuch­staben ver­längert es auf 15 Stun­den!

Also Pass­wörter immer so sich­er wie möglich erstellen:

  • 8 – 10 Zeichen
  • Buch­staben, klein und groß
  • Zahlen
  • Son­derze­ichen

Beispiel:

„tehling“: Gehackt in the­o­retisch 4 Minuten

„4Gjs#3$OpQ“: Gehackt in the­o­retisch 2108 Jahren

Weitere Dinge mit Einfluss auf die Sicherheit

Dann gibt es noch etliche weit­ere Gründe, welche neg­a­tiv­en Ein­fluss auf die Sicher­heit der Word­Press-Seite haben kön­nen:

  • man­gel­haft eingestellter/gepflegter Web­serv­er
  • Nutzung von ver­al­teten PHP-Ver­sio­nen
  • falsche Nutzung und Auf­bau der Word­Press-Benutzer­rollen
  • Plu­g­ins und Themes aus unsicheren Quellen
  • schlechte Pro­gram­mierung

Hacks – was wird überhaupt gemacht

In den meis­ten Fällen wer­den auf der Word­Press-Seite, die Dateien für das Fron­tend so verän­dert, dass die Web­seit­en-Besuch­er mit anderen Inhal­ten kon­fron­tiert wer­den. Das kann also Wer­bung von irgendwelchen Erotik­por­tal sein oder diesen wird ein Virus verseucht­es Pro­gramm unterge­jubelt.

Weit­er­hin ist das Auss­pi­onieren von Dat­en ein beliebter Bere­ich, vor allem bei Onli­neshops.  In der Regel fällt ein Hack auch erst mal nicht auf, denn Ziel ist ja das langfristige Sam­meln von Dat­en. Was wird gesam­melt? Name, Adressen, Geburts­dat­en, Zahlungs­dat­en – mit diesen Daten­sätzen lässt sich Geld bei Adresshändlern machen.

In der Regel wird das Hack­ing-Objekt nach der Möglichkeit des Hacks aus­ge­sucht. Aber es gibt auch gezielte Hack, wo zum Beispiel dann der Konkur­renz Schaden zuge­fügt wer­den soll. Denn ist die Seite nicht erre­icht­bar, ver­liert man im Rank­ing der Such­maschi­nen Plätze. Laufende Adver­tis­ings gehen ins Leere, Rep­u­ta­tion­ss­chaden und so weit­er.

Wie so sowas aus?

Es wer­den wenige Zeilen Code an den Anfang ein­er vorhan­de­nen PHP-Datei geset­zt, damit wer­den dann Dat­en mit Schad­code nachge­laden.

Meist ver­sucht man den Code zu mask­ieren, in dem dieser ver­schlüs­selt wird. Damit, so die Hoff­nung der Serv­er diesen nicht so schnell find­et.

Wordpress Hacking Beispiel 01
Ver­schleierungsver­such durch Codierung des Pro­gramm­codes

Manch­er Hack­er ist auch eit­el und hin­ter­lässt seinen Tag.

Wordpress-Seite Gehackt: Die Gründe, Die Hacks, Die Kosten
Hier wurde der Schad­code in Hexa­dez­i­mal codiert

„x6ax33x6dx62x30x33x64x7ax20x6dx34x77x30x74x7ax20x73x68x33x31x31“ ist umge­wan­delt „j3mb03dz m4w0tz sh311“.

Sucht man das auf Google, find­et man über 80.000 Ergeb­nisse – erschreck­end. Dieser Hack­er hin­ter­lässt mit seinem Skript einen Online-FTP-Edi­tor, der ziem­lich viele Möglichkeit­en bietet.

Kosten für die Bereinigung, Rekonstruktion

In den meis­ten Fällen ist die Bere­ini­gung der Word­Press-Seite zeit­in­ten­siv, sodass direkt eine saubere Kopie erstellt wird. Aber die Kosten sind den­noch da. Aus den Fällen der let­zten 3 Wochen kann ich zwei Beispiele nen­nen:

Fall A

Web­vis­itenkarte, Daten­ver­ar­beitung von Seit­enbe­such­ern nur über Kon­tak­t­for­mu­lar, Daten­bank nicht betrof­fen, täglich 100 – 120 Besuch­er, keine Daten­sicherung,

Aufwand: 4 Arbeit­stun­den – über 300 Euro Kosten

Fall B

Onli­neshop, Daten­bank betrof­fen, täglich min. 2500 Besuch­er, Daten­sicherung vorhan­den, aber falsches Konzept. Dadurch waren die Dat­en teil­weise 4 Wochen alt.

Aufwand: über 24 Stun­den – mehr als 2500 Euro Kosten
Dieser Fall kon­nte auch nur mit der Man-Pow­er ein­er befre­un­de­ten Agen­tur gelöst wer­den.

Die Kosten sind auch nur auf die Behe­bung bezo­gen, der weit­ere Schaden durch Rep­u­ta­tionsver­lust, Auf­tragsver­luste, ggf. Schadenser­satzahlun­gen oder durch Anzeigen wegen Ver­stoß gegen DSGVO sind da noch nicht berück­sichtigt und kom­men da noch dazu.

In bei­den Fällen war ein fehlen­des, zeit­na­h­es Update eines Plu­g­ins mit bekan­nter Sicher­heit­slücke die mut­maßliche Ursache.

Word­Press Wartungsser­vice
ab 15,50/Monat

erfahre mehr

Prävention und Abwehrmaßnahmen

Die erste Maß­nahme, es muss in jedem Fall Word­Press sein. Bei ein­fachen Web­vis­itenkarten reicht in der Regel auch eine sta­tis­che Web­seit­en­er­stel­lung aus.

Sind dynamis­che Webin­halte mit Word­Press doch die Wahl, dann sollte man immer das Sys­tem aktuell hal­ten. Regelmäßig auf Updates prüfen und instal­lieren. Daten­sicherun­gen sind auch ein absolutes Muss, keine Option!

Ver­wen­dung von sicheren Pass­wörtern, sowie die richtige Nutzung der Benutzerver­wal­tung und Benutzer­rollen in Word­Press.

Absicherung des Ord­ners /wp-admin/ mit­tels .htac­cess auf Serverebene.

Nutzung eines Sicher­heit­splu­g­ins, wie zum Beispiel Word­Fence zur Unter­stützung.

Dadurch läßt sich das Risiko min­imieren und den Aus­fall der Word­Press-Seite reduzieren.

WordPress gehackt worden?

Deine Word­Press-Seite wurde gehackt und du brauchst umge­hend Hil­fe? Dann nimm mit mir Kon­takt auf!

Hil­fe anfordern
Autor: Tim Ehling
Der Autor: Tim Ehling

Seit 2000 beschäftige ich mich mit Webentwicklung und seit 2006 mit WordPress. Neben Webentwicklung und Wartung mache ich auch Schulungen in WordPress.
Ich optimiere Webseiten und Social Media Kanäle, so das Kunden und auch die Suchmaschinen zufrieden sind.

  • Webentwicklung
  • Update-Service für WordPress
  • WordPress-Schulungen
  • Social-Media Checkups
  • Suchmaschinenoptimierung(SEO)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert