Ich hatte ja vor ein paar Monaten schon einmal das „Vergnügen“, die Folgen eines Hackerangriffs zu (er)tragen; obwohl diverse Sicherheitsmaßnahmen eingeleitet wurden, kam es die letzten Tage zum „Hackerangriff reloaded“, und betroffen waren dieses Mal sogar zwei Domains, weshalb dann serverseitig gleich mein komplettes Hostingpaket für satte drei Tage gesperrt wurde. Damit durfte ich dann noch drei weitere aus der Online-Welt verbannte Internetpräsenzen „betreuen“. Nach ein paar Luftsprüngen der Freude, machte ich mich wiederholt ans Werk und entfernte alle bösartigen Skripte.
Dieses Mal hatten sich nicht nur in fast allen index.php-Dateien welche eingenistet, sondern admin.php und footer.php waren ebenso mit schadhaftem Code versehen. Schaut also gegebenenfalls gründlich in diesen Dateien nach, falls Ihr bzw. Eure Website(s) auch mit tollen Codes versehen wurden, die dann u.a. bei Google dafür sorgen, dass sie als „schädlich“ eingestuft werden und man den Besuch tunlichst unterlassen sollte.
Foto: „a modern hacker #1“ von Davide Restivo unter einer CC BY-SA 2.0 Lizenz auf flickr.com.
Neben diversen Mitleidsbekundungen von Bekannten und Freunden wurde ich auch von einem gefühlten Dutzend an weiteren Leuten darauf hingewiesen, dass einige meiner Seiten wohl „gefährlich“ wären. „Ob mir das schon aufgefallen sei?!“ Am liebsten hätte ich manchmal gesagt: „Nein, ich bin eigentlich nur an Feiertagen online und schaue mir meine Domains auch nur alle drei Monate an, was soll da sein?!“
Aber nein, in Wahrheit bin ich ja eigentlich dankbar dafür, dass es so viele Leute da draußen gibt, die sich meine Blogs ansehen und sogar noch die Muße finden, mich bei derartigen Vorkommnissen prompt zu informieren. Nun zum eigentlichen Kern dieses Blogposts: wie kann ich mich vor Hackerangriffen schützen?
Ich muss gleich vorausschicken: auf dem Gebiet, das ich vermutlich allzu lange sträflich vernachlässigt habe, bin ich ein echtes Greenhorn. Doch ich habe mir gedacht, einfach mal ein paar Punkte (die für einige selbstverständlich sein mögen) hier aufzuführen, damit sich andere Blogger nicht mit Viren, Trojanern bzw. mit der verzweifelten Entfernung dieser herumschlagen müssen.
Gute erste Schritte kann man wie bei anderen WordPress-Themen auch auf crazytoast nachlesen, wobei ich jedoch glaube, dass es sich in meinem Fall evtl. um eine „Weiterzüchtung“ des erwähnten Virus / Trojaners handelt. Wie schon angemerkt, dieses Mal waren nicht nur alle index.php Dateien befallen, sondern auch admin.php und etwa footer.php im Theme-Ordner. Der schädliche Code befand sich entweder ganz am Ende oder sogar irgendwo mitten im Quellcode – die Beseitigung dieser Codeschnipsel kann also wie in meinem Fall viele Stunden in Anspruch nehmen.
Individueller FTP-Zugang und Passwörter regelmäßig ändern
Wer mehrere Domains auf seinem Webspace herumliegen hat, sollte auch für jede Domain einen eigenen FTP-Zugang anlegen. Die Gefahr, dass ein sogenanntes „Masterpasswort“ geknackt wird und Hacker dadurch Zugang zu allen Domains haben, ist einfach zu groß. Wer seine Domain(s) über ein FTP-Programm konnektiert hat, sollte auch darauf achten, dass keine Einträge / Zugangsdaten gespeichert werden, und am besten den kompletten Verlauf löschen.
Die jeweiligen Passwörter sollten auch regelmäßig geändert und nicht auf dem Computer abgespeichert werden, da sie sonst von speziellen Programmen gefunden und ausgelesen werden können.
Es gibt auch schon diverse WP-Plugins zu dem Thema WordPress-Sicherheit, eines davon habe ich neulich auf netzpanorama gefunden: nämlich „AntiVirus“ für WordPress von Sergej Müller. Dieses Plug-In schützt jedoch offenbar nur die Theme-Dateien, was mir nach dem erneuten Hackerangriff zu wenig war. Nach ein wenig Recherche bin ich dann auf dem Blog von Sergej auf diverse weitere Artikel gestoßen, die sich um WordPress-Sicherheit drehen.
WordPress-Sicherheit durch Schutz des Admin-Bereichs
Ein sehr interessanter Ansatz ist in diesem Artikel zu finden, der sich um den „Admin-Schutz“ dreht. Die Idee ist, dass die wp-login.php per .htaccess und .htpasswd (kann auch anders genannt werden) geschützt wird. Das heißt: bevor man überhaupt auf die Login-Seite der WordPress-Installation kommt, muss man sich erst einmal mit separaten User- und Passwortdateien einloggen – eine doppelte Sicherung sozusagen, die für potenzielle Hacker eine weitere Hürde darstellt.
Ich habe mich gleich an die Umsetzung dieser WordPress-Sicherungsmaßnahme gemacht und bin nach mehreren Fehlversuchen endlich auf die richtigen Einstellungen gekommen. Wichtig sind bei u.a. zwei Dinge: Euer jeweiliger Webhoster muss ermöglichen, dass die .htaccess geändert werden kann (wenn nicht – dann evtl. gleich einen neuen Hoster suchen); außerdem muss der absolute Pfad zur .htpasswd ermittelt und angegeben werden – fragt dazu am besten gleich Euren Webhoster oder schaut ggf. in den FAQs nach. Für mich stellt die „Zugangssperre“ des Login-Bereichs eine durchaus sinnvolle Maßnahme dar, die ich nur weiterempfehlen kann. An dieser Stelle wieder einmal ein großes Lob an Sergej, der vielen Bloggern im virtuellen Kampf gegen Viren, Trojaner & Co. solides Rüstzeug mitgibt;)
Bemerkung am Rande: ich habe übrigens keine 24 Stunden nach dem Virenvorfall eine eMail von einem anderen großen deutschen Hostinganbieter erhalten, der mir ein Sicherheitspaket gegen Viren und Trojaner für ein „sicheres Surfen“ anbieten wollte. Ein Schelm, wer jetzt irgendwelche Zusammenhänge sieht…wer übrigens weitere sinnvolle Tipps zur WordPress- bzw. Domain-Sicherheit auf Lager hat, der möchte hier gerne das Kommentarfeld bepflügen. Vielen Dank!
Das wichtigste ist die Reihenfolge zu beachten, das machen die meisten falsch und wundern sich warum immer wieder sie betroffen sind. Als aller erstes sollte der eigene Rechner richtig geprüft werden, hast Du da nämlich nen Bock nutzt alle Sicherheit des Servers nichts. Der letzte große Virus war genau so einer, der saß auf dem eigenen System und kam nicht von irgendwo auf den Server.
Hi Markus,
das ist allerdings richtig. Der Schutz des eigenen Rechners und die regelmäßige Überprüfung wäre sicherlich noch einen eigenen Beitrag wert; ich hab standardmäßig mindestens zwei Programme installiert – eines davon ist SpyBot Search & Destroy; doch es gibt vermutlich immer irgendwelche Viren und Trojaner, die man nur mit wenigen oder gar keinem Anit-Viren-Programm entdecken kann…
wichtig ist auch zu wissen, wo der Hack herkommt. Spätestens sobald Rechner und Server sicher sind, sollte man das herausfinden.
Mein letzter Angriff kam nach der Installation des Plugins WP Super Cache von WordPress. Krass, dass das Plugin sogar auf der WP org-Site empfohlen wird. Daraufhin wiesen alle meine Seiten zu einem kanadischen Viagra-Vertrieb.
Gut war zu wissen, dass es durch WP Super Cache verursacht wurde, denn hätte ich das neu installiert, wär ich wahrscheinlich in dieselbe Falle gelaufen.
Hi myblogtrainer,
das ist aber erstaunlich. Wie finde ich denn die Quelle genau heraus? Ich bin alle Dateien durchgegangen und habe nichts mehr finden können. Zudem tauchte das Problem auf zwei Domains auf, bei denen nicht die gleichen Plug-Ins installiert waren (u.a. WP Super Cache); es muss also eine andere Quelle gewesen sein…
John, ich habe diese Woche zwei TBs erhalten, die scheinbar Deinen Artikel geklaut und die Absätze nur etwas umgestellt haben:
–
http:// politik-news.net/hackerangriff-reloaded-mehr-wordpress-sicherheit-vor-virus-trojaner-co/
–
http:// www. webspace-anonyme-domain.com/hackerangriff-reloaded-mehr-wordpress-sicherheit-vor-virus-trojaner-co/
Hoffe, mit dieser Schreibweise baut WordPress keine Links in Dein Kommentarfeld… Bei mir habe ich diese Links gleich mal schön als Spam gelöscht, wollte Dir aber schnell mitteilen, dass sich wohl jemand bei Dir vergreift 😉
Hallo Tanja,
vielen Dank für den Hinweis…jetzt werde ich auf jeden Fall aktiv; ganze Artikel kopieren ist einfach unglaublich…
Hi myblogtrainer, das ist aber erstaunlich. Wie finde ich denn die Quelle genau heraus? Ich bin alle Dateien durchgegangen und habe nichts mehr finden können. Zudem tauchte das Problem auf zwei Domains auf, bei denen nicht die gleichen Plug-Ins installiert waren (u.a. WP Super Cache); es muss also eine andere Quelle gewesen sein…
Super Artikel. Sicherheit ist bei mir auch ganz groß geschrieben. Vor allem darf man niemals den Benutzernamen bei admin belassen. Automatische Bots versuchen sich immer mit diesem Username anzumelden. Ich wähle auch immer ein sehr sicheres Passwort mit 30 Zeichen und Special-Zeichen. Das speichere ich dann in einer Passwort Datenbank. Das kann sich ja niemand merken. Ich habe auch noch ein paar Plugin Tipps. Ich werde jetzt hier aber nicht alles mit Links zu bomben. Ich nenne nur die Plugin Namen. Die könnt ihr euch dann kopieren und im WP Suchfenster eingeben.
1. BulletProof Security
2. Secure WordPress
3. Limit Login Attempts
4. Antispam Bee
5. AntiVirus
Und zwischendrin die Backups nicht vergessen. Dazu eignet sich dieses Plugin sehr gut – BackWPup
Ihr könnt eure Website auch mal einen Sicherheitscheck unterziehen. Hier zu finden – sitecheck.sucuri.net/scanner
Ich hoffe, ich konnte auch noch ein paar gute Tipps geben.
Wow, mit diesem Thema habe ich mich als WP Nutzer noch nie beschäftigt. Werde mich wohl gleich mal mit dem passenden Plugin eindecken. .htaccess und .htpasswd sind für mich eher spanische Dörfer, ich hoffe, das ein Plugin genau so wirkungsvoll ist.
Das ist auch gerade ein Thema mit dem ich mich gerade beschäftige. Ich habe bei mir limit login attempts installiert und das merke ich schon wie viele automatische Bots versuchen sich bei mir einzuloggen. Das ist wirklich nervig. Zusätzlich kann ich jedem nur raten, immer alles auf dem neuesten Stand zu halten und brav die WordPress Updates zu machen.