Wenn Sie denken, dass Hacker
kein Thema bei Ihrem WordPress-
Blog oder HTML-Seite sind,
dann sollten Sie unbedingt weiter lesen…

 

In der Regel denken wir, dass Hacker kein Thema für den normalen Internetunternehmer sind, da unterstellt wird, dass sich Hacker nur hoch frequentierte oder wichtige Seiten aussuchen.

Um größer ist die Überraschung, wenn dann das eigene WordPress-Blog nur noch eine weiße Seite oder einen Link zu einer beschädigten PHP-Datei zeigt.

Aber auch vor Ihrer HTML-Seite
machen die Hacker nicht Halt…

… wenn Sie eine Einfalltür über WordPress gefunden haben.

Wie Sie sich vor Hackerangriffen über Ihr WordPress-Blog schützenWeil ich in den letzten 6 Wochen 3 Hackerattacken erlebt habe die mich viel Zeit und Geld gekostet haben, gebe ich Ihnen die wirksamsten Gegenmittel gegen Hackerangriffe, damit Sie im Vorhinein geschützt sind und sich in Ruhe auf den Verkauf Ihrer Produkte und Dienstleistungen konzentrieren können.

In meinem Fall haben sich die Hacker Zugang zu meiner WordPress-Installation über die verschiedenen Layouts verschafft und die offene Tür genutzt, die vorhanden war, um Bilder in WordPress hoch zu laden.

Einmal auf meinem Server haben Sie dann alle index.php und Footer- und Header-Dateien (insgesamt über 2.000 Dateien) mit ihrem Schadcode unbrauchbar gemacht.

Da aber auch meine HTML-Seiten die index.php oder index.html Dateien nutzen, waren diese ebenfalls betroffen.

Natürlich gibt es viele verschiedene Möglichkeiten über die Hacker auf Ihren Server gelangen können, um Ihre Internetseiten zu zerstören. Da sich diese auch immer wieder ändern ist es schwierig ein Patentrezept zu geben.

Grundsätzlich gibt es zwei verschiedene Arten von Angriffen:

  • Angriffe die mit Hilife erbeuteter FTP-Zugangsdaten erfolgen, die z.B. im Rahmen einer Supportanfrage herausgegeben wurden und auf verschiedenen Wegen zu den falschen Menschen gelangt sind und
  • Angriffe über Schwachstellen im System, z.B. bei WordPress.

 

Das sind die wirkungsvollsten Gegenmaßnahmen

  1. Gehen Sie sorgfältig mit Ihren FTP-Zugangsdaten um, wenn Sie diese an einen fremden Support geben, dann erstellen Sie immer einen Unternutzer, der nur Zugang zum entsprechenden Bereich hat der vom Supportmitarbeiter bearbeitet werden muss.

    Denn manchmal weiß der Mitarbeiter gar nicht, dass er eine Spyware auf seinem Rechner hat, die die Daten ausliest und dann weiter leitet.

    Nach dem der Supportfall gelöst ist, sollten Sie die FTP-Nutzer löschen.

     

  2. Ändern Sie regelmäßig Ihre Passwörter und verwenden Sie möglichst kryptische Passworte. Das beste Passwortmanagementsystem, das auch wunderbar in einem verstreuten Team und über die Computer hinweg funktioniert ist LastPass. Ich nutze es seit einigen Monaten und bin sehr zufrieden, da ich jedem Mitarbeiter den Zugang zu bestimmten Passwörtern erlauben kann und es in allen Browsern und auch auf verschiedenen PC's nutzbar ist.

    Selbst auf dem Iphone und Co. können Sie die Passwortsoftware einsetzen.

     

  3. Erstellen Sie wenn möglich Unterbereiche auf Ihrem Server oder Webhosting-Konto. Mich hat es z.B. gerettet, dass nur ein fünftel meines Servers betroffen war, da sich der Virus nur auf einem bestimmten Bereich ausbreiten konnte.

     

  4. Aktualisieren Sie Ihre WordPress-Version und Ihre Plugins regelmäßig. Denken Sie auch unbedingt an die verschiedenen Themes, die bei den Aktualisierungen schnell vergessen werden.

     

  5. Installieren Sie die folgenden Plugins auf allen WordPress-Blogs, denn wenn Sie nur eines vergessen ist die Struktur Ihres Webkontos bekannt und ein Einfallstor vorhanden.

 

Dieses Plugin schließt die Tür für Hacker bei WordPress

Secure-WordPress-Plugin Schutz vor Hackerangriffen über WordPress-BlogsMeist sind es nur Kleinigkeiten, die die Türen für Hacker schließen. So versperrt das WP-Plugin "Secure-WordPress" mit einer kleinen Datei den Eingang über die Themes auf Ihr Blog.

Darüber hinaus wird die WordPress-Versions-Angabe entfernt, so dass der Hacker nicht weiß, durch welche versionstypische Schwachstelle er eindringen kann.

Das Plugin ist kostenlos und über folgenden Link erhältlich: Zum Plugin Secure-WordPress

Die Installation ist denkbar einfach und wie bei jedem Plugin über WordPress direkt oder per FTP möglich.

Ich empfehle Ihnen, die Standardeinstellungen einfach zu übernehmen, so sind Sie bereits nach der Aktivierung des Plugins direkt geschützt.

 

Ich hoffe, dass Ihnen mit diesen Informationen und Tools die Erfahrung eines erfolgreichen Hackerangriffs erspart bleibt, denn nicht jeder hat wie ich zum einen von jedem Blog eine aktuelle Sicherung und zum anderen findige Programmierer, die schnell mal ein Tool basteln können, dass 2.000 + Dateien repariert und stundenlange Handarbeit vermeidet.

Machen Sie nicht wie ich den Fehler zu denken, dass Sie ein uninteressantes Blog haben und Ihre HTML-Seiten gut geschützt sind, mit einem kleinen Aufwand können Sie sich für die Zukunft mit diesem Plugin zuverlässig schützen.

Machen Sie es gut.

Ihr

Dirk Henningsen Softwarehersteller und Internetunternehmer von Nextgenerationmarketing und ONBETOO

Dirk Henningsen

P.S. Wie immer freue ich mich über Ihre Kommentare und weitere Hinweise zum Thema Hackerangriffe und Gegenmaßnahmen.

Bild: Hacker, Copyright Gerd Altmann pixelio.de

16 comments… add one

  • Hallo Dirk,
    ein wichtiger Beitrag!
    Zwei Anmerkungen habe ich dazu. Das Plugin „Secure WordPress“ ist zwar nicht schlecht, jedoch nützt die Entfernung der WordPress Version durch das Plugin nichts, sofern die Datei „liesmich.html“ und „readme.html“, die bei jeder WP-Installation Bestandteil ist, vom Webserver nicht gelöscht wird. Teste es einfach mal bei Dir und rufe http://dirk-henningsen.de/liesmich.html auf. Da steht ganz oben fett gedruckt die WP Version.

    Also Leute, löscht unbedingt die Datei „liesmich.html“ und die englische Fassung „readme.html“ auf Eurem Webserver!

    Für fortgeschrittene Anwender:
    Die Entfernung der WordPress Version geht im übrigen auch ohne Plugin, da zuviele Plugins auch immer Performanceverlust bedeutet. Im Dashboard bei „Design > Editor“ auf die functions.php klicken und an einer freien Stelle folgenden Codeschnipsel einfügen:

    // Remove the version number of WP
    remove_action(‚wp_head‘, ‚wp_generator‘);

    Danach „Datei aktuallisieren“, fertig!

    Hinweis:
    Vorher am besten die functions.php mittels FTP-Programm vom Webserver auf den eigenen PC kopieren, falls bei der Änderung ein Fehler passiert, dann kann anschleißend die Originaldatei wieder hochgeladen werden.

    Beste Grüße
    Werner

    • Dirk

      Hi Werner,

      vielen Dank für die guten Insidertipps.

      Gut, dass du als WordPress-Profi noch ein paar Ergänzungen hast. Bei diesem Thema kann man nicht gut genug vorbereitet sein.

      Viele Grüße

      Dirk Henningsen

    • Autsch! Vielen Dank auch für diesen Tip

  • Danke für die Informationen.
    Last pass kann ich auch nur empfehlen.

    Wünsche ein sonniges Wochenende
    Christa Pistor

  • Hallo Dirk,
    es ist wohl tatsächlich so, dass es Hacker gibt, die es gezielt auf Datenklau abegesehen haben.
    Ich kann ebenfalls nur empfehlen 1. nicht den Benutzernamen bei „admin“ zu lassen und 2. ein gutes und sich änderndes Passwort zu nehmen.

    Ein Hinweis dazu mag Leet-Speech auch 1337 genannt sein. Diese Sprache stammt selbst aus Hackerkreisen und wurde dazu verwendet sich vor den Crawlern der Suchmaschinen zu verstecken.

    Sie gilt heute als veraltet, jedoch gibt es einige Variationen. Wer Probleme hat immer ein neues intelligentes PW zu finden, dem rate ich sich mal Leet-Speech anzuschauen. „Leet“ bedeutet übrigens eigentlich „Elite“ denn diese Kreise bezeichnen sich als elitäre Poweruser.

    Ansonsten nutze ich ebenfall WP-Secure und dieses tut einen gutes Dienst.

    In diesem Sinne.

    5ru3553 4u5 |)3m R|-|31n74n|)
    (Grüße aus dem Rheinland:)
    Mario

  • Oh ha, wenn man das so liest, kann einen ja Angst und Bange werden. Bisher habe ich in dieser Hinsicht noch keine Erfahrungswerte vorzuweisen, gut das ich jetzt Möglichkeiten kenne, damit das so bleibt. Dafür ein herzliches Dankeschön! 🙂
    Beste Grüße
    Jörg Krage

  • Vielen Dank. Das empfohlene Plugin habe ich gleich installiert. Vor ein paar Jahren hatten ich auch einen Hacker-Angriff – böse Sache.

  • Hey Dirk,

    danke für den Hinweis. Auch meine Server und Webseiten inkl. Blogs wurden letzte Woche gehackt! Habe auch viel Zeit verloren dadurch 🙂

    Es scheint ich war nicht der einzige…

    Sonnige Grüsse aus Brasilien

    Dennis

    • Dirk

      Hi Dennis,

      schön von dir zu hören, auch wenn der Anlass nicht der Beste ist…

      Ich hoffe du konntest alles gut wieder herstellen und dein Business läuft wieder rund.

      Viele Grüße aus dem sonnigen Kiel nach Brasilien.

      Viele Grüße

      Dirk

  • Kay

    Hallo,

    es gibt alternativen zu PHP und man hat mit der Sicherheit erheblich weniger Aufwand ubd Arbeit. Das schlechte Software erfolgreich ist, ist ja nichts Neues.

    Wer vergleichen möchte wie unsicher seine Software ist:
    http://nvd.nist.gov/

    Mein Tip:

    Bevor man Sachen für seinen Internetauftritt installiert, sollte man mal schauen, ob etwas Base64 codiert ist. Wenn ja, sollte man mal schauen was der Code so anstellt (leider haben die meisten den benötigten Sachverstand nicht), und schon hat der Webspace im schlimmsten Fall Tag der offenen Tür.

    Kay

  • Vielen Dank für den Beitrag,

    werde das Plugin mal testen.

    Beste Grüße
    T.Lasaridis

  • Ich denke darüber hinaus sollte man einige Regeln beachten.

    1) Die auf dem Server installierte Software z.B. Plesk sollte in der aktuellsten Version vorliegen.
    2) Wenn möglich sollte vor den Server eine Hardware Firewall eingerichtet werden. Damit kann man auch schon viele Standard Attacken abwehren.
    3) Der heimische PC sollte mit aktueller Virenschutzsoftware häufiger gescannt werden. Ein noch so aktuelles Passwort nützt einem gar nichts, wenn dies per Keywordlogger ausgelesen wird. Aktuelle Virenschutzsoftware erkennt, wenn sich Trojaner auf dem PC eingenistet haben.
    5) Man sollte nicht wahrlos Module, patches, Programme ect. auf dem PC, Server oder direkt im Webauftritt integrieren, ohne diese hinreichend überprüft zu haben.
    4) Generell sollte man dem Thema Sicherheit eine gewisse Aufmerksamkeit widmen. Das zahlt sich auf jeden Fall aus!

    LG

    Oscar

  • Ein bisschen dürftig. Ich glaube, dass hier viele Dinge fehlen. Zum Beispiel der zusätzliche Schutz vor dem Admin-Login. Aber auch der IP-Adressschutz für den Admin. Ich bin heute gehackt worden, und werde mich gerne noch mal melden, wenn ich wieder online bin. Eins ist sicher: Zeit und Geld hat diese unnötige Aktion gekostet. Aber hinterher ist man immer schlauer!

    • Dirk

      Hallo Andreas,
      vielen Dank für dein Feedback.
      Ich freue mich auf neue Infos von dir.
      Viel Erfolg beim Reparieren.
      Viele Grüße

      Dirk

  • Ich kann noch empfehlen seine Webseite beim CDN-Anbieter Cloudflare anzumelden. Auch hier ist man wirksam gegen Attacken geschützt.

  • Dirk

    Danke für den Hinweise, wurde sofort geändert.
    Viele Grüße
    Dirk Henningsen

Leave a Comment