In diesem Beitrag behandeln wir sieben Anzeichen von Angriffen auf Ihre WordPress-Website und wie Sie den Schaden möglichst schnell beheben, wenn Sie feststellen, dass Ihre Website gehackt wurde.
Inhalt
So erkennen Sie einen Hack
Der große Erfolg von WordPress ist Segen und Fluch zugleich. Dank der weiten Verbreitung von WordPress ist das CMS ein beliebtes Angriffsziel für Hacker. WordPress ist grundsätzlich sicher, wenn Sie unsere Tipps „So schützen Sie WordPress“ befolgen. Eine 100-prozentige Sicherheit gibt es jedoch nicht. Nur wie erkennt man, ob die eigne Website gehackt wurde? Ist das immer offensichtlich?
ACHTUNG: Um größere Schäden zu verhindern, kommt es bei einer gehackten Website auf Schnelligkeit an. Denn je schneller eine Website von einem Hack bereinigt wurde, desto weniger Unheil wird angerichtet.
Ihre Startseite sieht anders aus
Hacker haben häufig das Ziel, Bekanntheit zu erlangen. Deswegen hinterlassen sie auf gehackten Startseiten ihre „Visitenkarte“ wie zum Beispiel unerwünschte Texte oder Bilder. Doch es können auch politische Botschaften sein, mit denen Sie nicht wirklich die Besucher Ihrer Website kompromittieren möchten.
Änderungen durch Hacks an Ihrer Startseite (oder „Homepage“) sind meistens offensichtlich. Aber wie oft überprüfen Sie eigentlich gründlich Ihre Startseite? Gehören Sie nicht auch zu denjenigen, die normalerweise direkt Ihre Login-URL öffnen? Dort loggen Sie sich ein, aktualisieren Plug-ins oder schreiben einen Beitrag. Haben Sie Ihre Aufgabe erledigt, verlassen Sie direkt wieder Ihre Website. Die Startseite haben Sie nicht gesehen.
Deswegen: Regelmäßig die Startseite überprüfen!
Die Geschwindigkeit Ihrer Website ist gesunken.
Ein weiteres Indiz ist, dass Ihre Website langsamer geworden ist. Dafür kann es mehrere Gründe geben:
- Bei einem Brute-Force-Angriff wird versucht, Benutzernamen und Passwörter durch automatisiertes, wahlloses Ausprobieren herauszufinden. Das belastet Ihren Server.
- Ein auf Ihrer Website eingeschleustes Skript verwendet Ihre Server-Ressourcen für rechenintensive Aufgaben, wie zum Beispiel das Kryptowährung-Mining.
- Ähnlich verhält es sich mit einem DDoS-Angriff (oder Denial-of-Service-Angriff), bei dem ein großes Netzwerk von Servern gleichzeitig Anfragen an Ihre Website sendet, um diese zum Absturz zu bringen.
Läuft Ihre Website langsam, überprüfen Sie (eventuell mit Hilfe Ihres Hosters) die Server-Zugriffsprotokolle auf eine unerwartete Anzahl von Anfragen. Das Risiko von Brute-Force-Angriffe können Sie mit dem Plug-in „Limit Login Attempts Reloaded“ reduzieren. Der Schutz for DDoS-Angriffen (sie sind allerdings auch recht selten) ist etwas komplizierter. Aber auch hier gibt es ein Plug-in (das wir allerdings nicht getestet haben): „Protection Against DDoS“.
Beachten Sie aber, dass ein Leistungsabfall nicht unbedingt bedeutet, dass jemand Ihre Website gehackt hat. Möglicherweise benötigen Sie nur einige Tipps, wie Sie eine WordPress-Site beschleunigen können.
Ihre Website enthält Spam-Pop-up-Anzeigen.
Gehackte Websites zeigen den Besuchern häufig unerwünschte Pop-ups, die sie auf eine bösartige Website weiterleiten. Das Ziel dieser Art von Angriff ist es in diesem Fall, den Traffic von Ihrer Online-Präsenz auf die Website des Angreifers umzuleiten, um zum Beispiel durch Klick-Betrug Geld über dort geschaltete Pay-per-Click-Werbung zu ergaunern.
Das Frustrierende an diesen Hacks ist, dass Sie möglicherweise die Pop-ups selbst nicht sehen. Ein Pop-up-Hack kann so programmiert werden, dass die Pop-ups für angemeldete Benutzer nicht angezeigt werden. Selbst wenn Sie sich später ausloggen, werden die Pop-ups nicht angezeigt. So verringern die Angreifer die Wahrscheinlichkeit, dass Sie die Pop-ups sehen und entfernen können.
Bei einem Verdacht müssen Sie Ihre Website entsprechend mit einem Browser kontrollieren, über den Sie sich in Ihre Website vorher nicht eingeloggt haben. Oder Sie löschen zunächst den Browser-Cache. Das Auffinden der Pop-ups kann auch durch Werbeblocker Ihres Browsers eingeschränkt werden, weshalb Sie diese für Ihre eigene Website deaktivieren sollten.
Sie bemerken einen Rückgang Ihres Website-Traffics
Wenn Sie einen starken Rückgang des Website-Verkehrs feststellen, kann es gut sein, dass Ihre WordPress-Website gehackt wurde. Verantwortlich könnte ein bösartiges Skript auf Ihrer Website sein, welches Besucher von Ihrer eigenen auf eine andere Website weiterleitet. Oder aber, Google könnte dies bereits selbst tun. Sobald Google merkt, dass Ihre Website gehackt wurde, setzt es Ihre Website auf die schwarze Liste, bis der Hack behoben wurde. Ein weiterer Grund, den Hack schnell zu beheben.
Kontrollieren Sie entsprechenden Anzeichen den ausgehenden Traffic Ihrer Website. Der einfachste Weg, den ausgehenden Traffic auf Ihrer WordPress-Website zu überwachen, ist die Verwendung eines Analyse-Tools wie Google Analytics. Diese Werkzeuge ermöglichen es Ihnen, die Traffic-Verläufe Ihrer Website zu verfolgen.
Zusätzlich sollten Sie sich ein Konto bei der Google Search Console einrichten. Sie können sich dort u.a. anderen nützlichen Dingen eine Nachricht zusenden lassen, wenn Google bei Ihnen schadhafte Software oder andere Anzeichen einer gehackten Website feststellt.
Unerwartete Dateiänderungen
Wenn Dateien auf Ihrer Website geändert, hinzugefügt oder entfernt wurden, kann dies ein Zeichen dafür sein, dass Ihre Website infiziert ist. Da die reine Sichtkontrolle auf Ihrem Server mithilfe eines FTP-Zugangs eher mühselig ist, ist der Einsatz eines Plug-ins ratsam.
Ein Spezialist für die Überwachung der Dateien Ihrer WordPress-Installation mit guten Bewertungen ist „WordPress File Monitor“. So können Sie alle unerwarteten Änderungen an Ihren Dateien untersuchen und ggf. die geänderte Datei mit einer Version in einem aktuellen Backup vergleichen.
Das Plug-in informiert Sie allerdings über ALLE Änderungen, die an Ihren Dateien vorgenommen wurden. Um die Anzahl der Benachrichtigungen zu regulieren, können Sie in den Einstellungen bestimmte Dateien und Verzeichnisse von der Benachrichtigung über Dateiänderungen ausschließen. So macht es Sinn, Verzeichnisse auszuschließen, die wie Backup- und Cache-Dateien regelmäßig aktualisiert werden.
Unbekannte neue Benutzer
Wenn auf Ihrer Website unbekannte neue Admin-Benutzerkonten hinzugefügt wurden, ist das ein weiteres Zeichen dafür, dass Ihre WordPress-Website gehackt wurde. Hat sich der Hacker zum Beispiel durch die Ausnutzung eines schwachen Passworts eines bestehenden Benutzers zu Ihrer Website Zutritt verschafft, kann der Angreifer einen neuen Admin-Benutzer anlegen. Mit diesem Benutzerkonto mit Administratorrechten ist der Hacker in der Lage, in Ihrer Website großen Schaden anzurichten.
Doch nicht nur schwache Passwörter führen zu diesem Hack, auch über veraltete und gehackte Plug-ins können sich Angreifer Zugang zum Inneren Ihrer Website verschaffen und einen neuen Benutzer anlegen.
Daher sollten Sie regelmäßig die Liste der Benutzer Ihrer Website überprüfen. Zur Erleichterung dieser Überprüfung ist es ratsam, von Vornherein möglichst wenig Benutzer zu registrieren.
Admin-Benutzer entfernt
Wenn Sie sich – selbst nach einem Passwort-Reset – nicht mehr in Ihre WordPress-Website einloggen können, kann dies ein ernsthaftes Anzeichen eines Hacks sein. Ihr Benutzerkonto wurde einfach gelöscht, nachdem sich der Angreifer Zugang verschafft hat.
Um das Risiko zu minimieren, sollten Sie für jeden Benutzer ein eigenes, starkes Passwort verwenden. Und nutzen Sie unbedingt für jeden Dienst und jede Website ein eigenständiges Passwort. Dank vieler Hacks von zum Beispiel Sozialen Medien sind Millionen von Benutzernamen und Passwörtern im Umlauf, die Hacker leicht kaufen können. Sie können auf der Website „‚;–have i been pwned?“ überprüfen, ob auch Zugangsdaten von Ihnen geklaut und im Umlauf sind. Verwenden Sie Passwortmanager wie Enpass, um Ihre Passwörter zu verwalten!
Minimieren Sie zudem die Anzahl der Benutzer mit Administrationsrechten auf das Nötigste. Pflegen mehrere Personen eine Website, dann vergeben Sie je nach Aufgaben Benutzerrollen mit weniger Zugriffsrechten. Ein gehacktes Benutzerkonto mit weniger Rechten kann auch nur weniger bis keinen Schaden anrichten.
Einen noch höheren Schutz bietet die „Zwei-Faktor-Authentifizierung“. Diese Methode erfordert einen zusätzlichen Code, zusammen mit Ihrem Benutzernamen und Ihren Kennwort-Anmeldeinformationen, um sich anzumelden. Im Plug-in-Verzeichnis von WordPress.org finden Sie eine Vielzahl entsprechender Lösungsangebote: https://de.wordpress.org/plugins/search/Two+Factor+Authentication/.
1 Kommentar. Wir freuen uns über Ihren Kommentar
Leider ist mein Hack nicht dabei. Ich komme nicht einmal mehr in die WordPress Anmeldung. Meine wp-login Datei ist geändert in wp-loglin und eine andere wp-login Datei mit tonnenweise kryptischem Text liegt da.
Ersetzt man diese Datei durch die Richtige und schmeißt den kryptischen Kram weg, wird sofort der kryptische Zustand wieder hergestellt. Offensichtlich aus der Datenbank.
Ich habe schließlich den Provider gewechselt und fange jetzt ganz neu an.