Monitoring: Warum wurde mein WordPress gehackt?

WordPress ist eines der Ziele für Hacker, weil es weit verbreitet ist und dadurch eine breite Angriffsfläche liefert. Immer wieder kommt der Hacker davon und die Gründe lassen sich oft nur erraten, außer es wird ein Monitoring betrieben.

Die erste Person welche mitbekommt, dass die Seite gehackt ist, ist der Betreiber selbst. Schnell ruft er seine Agentur an und möchte blitzschnelle Besserung. Das ist kein Problem, denn es gibt sicherlich  ein Backup von gestern. Backups sind innerhalb von Sekunden eingespielt, jedoch ist damit nicht das Problem behoben und das muss sein, damit der Hack morgen nicht noch einmal passiert.

Suche nach der Nadel im Heuhaufenin

Ein Hacker benötigt Zeit auf der Suche nach einer Schwachstelle. Der Server-Admin wird vergleichbare Zeit investieren, um die Lücke zu schließen. Das passiert bei WordPress und seinen Plugins aus aller Welt glücklicherweise sehr oft. Sich häufende Hacks betrüben den Betreiber immer wieder während der Server-Admin ein Schemata erkennt, das er verfolgen kann. Hier die einfachsten und schnellsten:

Versionskontrolle

Die eigene Seite immer unter Versionskontrolle halten. Das erleichtert alles, denn im Falle eines Hacks ist dieser innerhalb von Sekunden gefunden und ebenso schnell wieder entfernt.

Diese zwei Zeilen sind schneller getippt, als der Admin auf das Ergbnis warten muss. Der Server guckt in der ersten Zeile „Was wurde alles geändert?“ und wenn das gezeigte weg soll spulen wir mit der zweiten Zeile zurück zum funktionierenden ungehackten Stand.

Vergleichen mit dem Original

Bei vielen ist das heute leider noch nicht der Fall. Das finde ich persönlich sehr(!) traurig, war dadurch aber gezwungen eine leichte schnelle Alternative zu nutzen. Das vorliegende WordPress mit allen Plugins nochmal runterladen und vergleichen:

Auch wenn 4.0.1 alt ist muss genau die vorliegende Version runtergeladen werden. Wird irgendeine andere Version oder die aktuellste verglichen (letzte Zeile), dann entsteht schnell der Eindruck, dass alles gehackt wurde. Ein klassischer „false negative“ / falscher Fehler.

Durchdrehen!

Es wird immer Zeilen im Code geben, über die sich das System in irgendeiner Art und Weise beeinträchtigen lässt. Wie diese gefunden werden, haben wir beireits im Artikel „RIPS“ gesehen. Darüber hinaus lassen sich mit iThemes Scurity einige Schwachstellen erschlagen, die WordPress nach jeder Installation auch ohne Plug-Ins hat. Wer ganz auf Nummer sicher gehen möchte nach einem Hack, der setzt die Passwörter aller Nutzer zurück. Ebenso die eigenen Passwörter für Datenbank, FTP, SSH und sonstige Zugänge einmal rotieren lassen. Das kann sogar noch mit einem Check vom eigenen System auf Viren vervollständigt werden, für alle die trotz der obigen Bemühungen weiterhin attackiert werden.

Hinterlasse einen Kommentar

*

Nächster ArtikelXML-RPC-Schnittselle von WordPress deaktivieren