WordPress gehackt: Die Gründe, die Hacks, die Kosten, die Lösung

„Ein Kunde rief an und fragte nach, ob wir das Geschäftsfeld gewechselt hätten, auf unsere Webseite wären erotische Inhalte zu sehen.“

Das ist etwas, was man nicht hören und beim Besuch der Webseite bestätigt haben will. Kommt aber immer mehr in letzter Zeit vor. In dem Artikel reden wir mal ein wenig über die Ursachen, die Hacks, die Kosten und Abwehrmaßnahmen.

Deine WordPress-Seite wurde gehackt und du brauchst umgehend Hilfe? Dann nimm mit mir Kontakt auf!

Hilfe anfordern

Ursache von gehackten WordPress-Seiten

WordPress ist ein kostenloses Content-Management-System mit der Möglichkeit dieses durch Plugins zu erweitern. Durch die starke Verbreitung erfreuen sich auch Hacker an WP.

Plugins und Themes werden nicht weiterentwickelt

Ist ein Plugin oder Themes einmal erstellt, braucht es nie wieder weiterentwickelt werden – so ist der Traum. Denn da sich sehr oft und schnell die technischen Gegebenheiten (Server, WordPress-Core,..) ändern, müssen die Plugins oder Themes stetig weiterentwickelt und angepasst werden.

Ein Plugin oder Theme, welches min. 2 Jahre nicht upgedatet wurde, ist in der Regel nicht mehr vertrauenswürdig. Da sollte dann eine aktuelle Alternative her.

Updates werden nicht gemacht

Kostenlos heißt nicht, dass man selbst nichts dafür tun muss. Denn man sollte regelmäßig die Updates einspielen, die von Entwicklern zur Verfügung gestellt werden. Denn diese Updates schließen manchmal auch Sicherheitslücken. Mancher macht diese Updates gar nicht und noch weniger Datensicherungen.

WordPress Wartungsservice
ab 15,50€/Monat

erfahre mehr

Unsichere Passwörter

Passwörter müssen sicher sein, sonst wäre das Passwort nur ein Wort.

Zuletzt hatte ich einen Kunden, dessen Passwort war die Kombination aus seinem Namen und seiner Gewerbeart. Alles kleingeschrieben, 8 Zeichen lang und keine Sonderzeichen Diese Kombi war natürlich x-mal auf der Internetseite genannt worden. Und viele denken, dass Hacking nur etwas mit technischen Voodoo zu tun hat. Auch die Ausnutzung verbreiteter menschlicher Verhaltensweisen gehört zum Handwerk eines Hackers.

Technisch lässt sich ein 8 Zeichen langes Passwort, kleingeschriebene Buchstaben, ohne Sonderzeichen und Zahlen in nur 4 Minuten knacken. Schon die Verwendung von Großbuchstaben verlängert es auf 15 Stunden!

Also Passwörter immer so sicher wie möglich erstellen:

  • 8 – 10 Zeichen
  • Buchstaben, klein und groß
  • Zahlen
  • Sonderzeichen

Beispiel:

„tehling“: Gehackt in theoretisch 4 Minuten

„4Gjs#3$OpQ“: Gehackt in theoretisch 2108 Jahren

Weitere Dinge mit Einfluss auf die Sicherheit

Dann gibt es noch etliche weitere Gründe, welche negativen Einfluss auf die Sicherheit der WordPress-Seite haben können:

  • mangelhaft eingestellter/gepflegter Webserver
  • Nutzung von veralteten PHP-Versionen
  • falsche Nutzung und Aufbau der WordPress-Benutzerrollen
  • Plugins und Themes aus unsicheren Quellen
  • schlechte Programmierung

Hacks – was wird überhaupt gemacht

In den meisten Fällen werden auf der WordPress-Seite, die Dateien für das Frontend so verändert, dass die Webseiten-Besucher mit anderen Inhalten konfrontiert werden. Das kann also Werbung von irgendwelchen Erotikportal sein oder diesen wird ein Virus verseuchtes Programm untergejubelt.

Weiterhin ist das Ausspionieren von Daten ein beliebter Bereich, vor allem bei Onlineshops.  In der Regel fällt ein Hack auch erst mal nicht auf, denn Ziel ist ja das langfristige Sammeln von Daten. Was wird gesammelt? Name, Adressen, Geburtsdaten, Zahlungsdaten – mit diesen Datensätzen lässt sich Geld bei Adresshändlern machen.

In der Regel wird das Hacking-Objekt nach der Möglichkeit des Hacks ausgesucht. Aber es gibt auch gezielte Hack, wo zum Beispiel dann der Konkurrenz Schaden zugefügt werden soll. Denn ist die Seite nicht erreichtbar, verliert man im Ranking der Suchmaschinen Plätze. Laufende Advertisings gehen ins Leere, Reputationsschaden und so weiter.

Wie so sowas aus?

Es werden wenige Zeilen Code an den Anfang einer vorhandenen PHP-Datei gesetzt, damit werden dann Daten mit Schadcode nachgeladen.

Meist versucht man den Code zu maskieren, in dem dieser verschlüsselt wird. Damit, so die Hoffnung der Server diesen nicht so schnell findet.

Wordpress Hacking Beispiel 01
Verschleierungsversuch durch Codierung des Programmcodes

Mancher Hacker ist auch eitel und hinterlässt seinen Tag.

Wordpress-Seite Gehackt: Die Gründe, Die Hacks, Die Kosten
Hier wurde der Schadcode in Hexadezimal codiert

„x6ax33x6dx62x30x33x64x7ax20x6dx34x77x30x74x7ax20x73x68x33x31x31“ ist umgewandelt „j3mb03dz m4w0tz sh311“.

Sucht man das auf Google, findet man über 80.000 Ergebnisse – erschreckend. Dieser Hacker hinterlässt mit seinem Skript einen Online-FTP-Editor, der ziemlich viele Möglichkeiten bietet.

Kosten für die Bereinigung, Rekonstruktion

In den meisten Fällen ist die Bereinigung der WordPress-Seite zeitintensiv, sodass direkt eine saubere Kopie erstellt wird. Aber die Kosten sind dennoch da. Aus den Fällen der letzten 3 Wochen kann ich zwei Beispiele nennen:

Fall A

Webvisitenkarte, Datenverarbeitung von Seitenbesuchern nur über Kontaktformular, Datenbank nicht betroffen, täglich 100 – 120 Besucher, keine Datensicherung,

Aufwand: 4 Arbeitstunden – über 300 Euro Kosten

Fall B

Onlineshop, Datenbank betroffen, täglich min. 2500 Besucher, Datensicherung vorhanden, aber falsches Konzept. Dadurch waren die Daten teilweise 4 Wochen alt.

Aufwand: über 24 Stunden – mehr als 2500 Euro Kosten
Dieser Fall konnte auch nur mit der Man-Power einer befreundeten Agentur gelöst werden.

Die Kosten sind auch nur auf die Behebung bezogen, der weitere Schaden durch Reputationsverlust, Auftragsverluste, ggf. Schadensersatzahlungen oder durch Anzeigen wegen Verstoß gegen DSGVO sind da noch nicht berücksichtigt und kommen da noch dazu.

In beiden Fällen war ein fehlendes, zeitnahes Update eines Plugins mit bekannter Sicherheitslücke die mutmaßliche Ursache.

WordPress Wartungsservice
ab 15,50/Monat

erfahre mehr

Prävention und Abwehrmaßnahmen

Die erste Maßnahme, es muss in jedem Fall WordPress sein. Bei einfachen Webvisitenkarten reicht in der Regel auch eine statische Webseitenerstellung aus.

Sind dynamische Webinhalte mit WordPress doch die Wahl, dann sollte man immer das System aktuell halten. Regelmäßig auf Updates prüfen und installieren. Datensicherungen sind auch ein absolutes Muss, keine Option!

Verwendung von sicheren Passwörtern, sowie die richtige Nutzung der Benutzerverwaltung und Benutzerrollen in WordPress.

Absicherung des Ordners /wp-admin/ mittels .htaccess auf Serverebene.

Nutzung eines Sicherheitsplugins, wie zum Beispiel WordFence zur Unterstützung.

Dadurch läßt sich das Risiko minimieren und den Ausfall der WordPress-Seite reduzieren.

WordPress gehackt worden?

Deine WordPress-Seite wurde gehackt und du brauchst umgehend Hilfe? Dann nimm mit mir Kontakt auf!

Hilfe anfordern
Autor: Tim Ehling
Der Autor: Tim Ehling

Seit 2000 beschäftige ich mich mit Webentwicklung und seit 2006 mit WordPress. Neben Webentwicklung und Wartung mache ich auch Schulungen in WordPress.
Ich optimiere Webseiten und Social Media Kanäle, so das Kunden und auch die Suchmaschinen zufrieden sind.

  • Webentwicklung
  • Update-Service für WordPress
  • WordPress-Schulungen
  • Social-Media Checkups
  • Suchmaschinenoptimierung(SEO)

Ähnliche Beiträge

4 Tipps für WordPress Datensicherung

VonTim Ehling

Das Wichtigste bei einer Webseite mit WordPress ist eine ordentliche Datensicherung. Denn die WordPress Backups sind eine Versicherung, wenn mal etwas nicht mehr funktioniert.3 häufige Gründe für einen WordPress-CrashUpdate-FehlerUpdates werden in der Regel zum Teil automatisch eingespielt. Nur kann es vorkommen, dass neue Funktionen nicht mehr mit dem Rest von WordPress zusammenspielen. Oder eine fehlerhafte…

WordPress Uploadfilter: Upload bestimmter Dateitypen zulassen

VonTim Ehling

Bestimmte Dateitypen können in der WordPress-Standartinstallation nicht über die Mediathek hochgeladen werden. Es erscheint dann folgende Fehlermeldung: „Aus Sicherheitsgründen ist dieser Dateityp nicht erlaubt“Dies muss nicht zwingend beim Upload in die Mediathek passieren. In manchen Plugins kann man z.B. Einstellungen exportieren und importieren. Das Plugin greift dann meistens auf die Uploadfunktion von WordPress zu. Ist…

11 Gründe Für Eine Langfristige Partnerschaft Mit Einer Wordpress-Agentur

11 Gründe für eine langfristige Partnerschaft mit einer WordPress-Agentur

VonTim Ehling

Eine hochwertige Webseite kann für Unternehmen aller Formen, Größen und Nischen Wunder bewirken. Schließlich ist deine Website der Haupteingang, über den die Nutzer/innen deine Produkte und Dienstleistungen kennenlernen können. Außerdem erwirtschaften Unternehmen mit erstklassigen Websites mehr Umsatz und bauen eher gute Beziehungen zu ihren Kunden auf.Bedenke, dass die Entwicklung und Pflege einer Website ein zeitaufwendiges…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert