WordPress Sicherheit

Wer lange genug Webseiten betreibt kennt das vielleicht auch schon. Plötzlich passieren komische Dinge. Das Passwort zum Login, welches immer funktioniert hat, tut dies auf einmal nicht mehr. Es kommen plötzlich hunderte Emailrückläufer im eigenen Postfach an, obwohl wir niemanden angeschrieben haben…
Dies sind Zeichen, dass unsere Webseite wahrscheinlich, und hoffentlich auch ’nur‘, einem Scriptkiddy zum Opfer gefallen ist. Das ist ärgerlich und kann dramatisch sein.
Meist wird hier die Funktionsweise von populärer Software zur Erstellung von Webseiten genutzt, in unserem Fall halt WordPress.
Mit ein paar Abweichungen vom Standard, machen wir es zumindest diesen Bastlern, die nur spielen wollen, deutlich schwerer. Ein Einfallstor ist die bekannte Login-Seite von WordPress.
Schritt 1 sollte somit sein, diese umzubenennen. Hierfür gibt es u.a. das Plugin rename wp-login.
Nach der Aktivierung lässt sich ein beliebiger Name für die Login-Seite vergeben und die bisherige Loginseite funktioniert nicht mehr.
Dann ist es noch sinnvoll die Anzahl von Loginversuchen zu begrenzen. Hierfür installieren wir z.B. das Plugin login-lockdown.
Damit können wir einstellen, nach wie vielen Versuchen die IP-Adresse des Angreifers für wie lange gesperrt wird und diverse andere Dinge, welche zumindest automatischen Angriffstools das Leben erschweren.
Meist wird die Seite dann schon in Ruhe gelassen und der potentielle Angreifer schaut sich nach lohnenderen Zielen um. Schließlich will uns im Regelfall niemand direkt schaden, sondern einfach nur unseren Server für eigene Zwecke nutzen, z.B. für Spam-Versand. Sozusagen auch eine Art von Geld verdienen im Internet. 😉

WordPress gehackt – Was nun?

Vielleicht ist Dir ja aber gerade dies passiert und Hinweise zur Verhütung nutzen Dir jetzt auch erstmal nichts.
Die erste Sofortmaßnahme ist: Webseite abschalten.
Wenn Du einen vernünftigen Webhoster hast, wird dieser sich auch umgehend mit Dir in Verbindung setzen und Deine Seite vom Netz nehmen.
Er stellt Dir Informationen zur Verfügung, wo sich der Schädling befindet.
Deine Aufgabe ist es nun jedoch, eventuell den angerichteten Schaden zu beseitigen und eine erneute Infizierung weitestgehend auszuschließen.
Wenn der Schaden groß ist, solltest Du eine Sicherung einspielen lassen, die noch nicht verseucht ist.
Hier musst Du unter Umständen schnell sein, da Provider die Sicherungen meist nur einige Tage vorhalten.
Solltest Du selbst Hand anlegen wollen, benötigst Du zumindest bei einem Linux-System Zugriff auf die Console.
Logge Dich via Putty auf Deinen Server ein.
Jetzt kannst Du z.B. mit dem Linux-Befehl

find . -name irgendwas.php -type f

Deine Verzeichnisse nach der Datei ‚irgendwas.php‘ durchsuchen und anschließend bereinigen.
Oftmals werden jedoch Dateiinhalte geändert, bzw. unterschiedliche Dateinamen für den Schädling verwendet. In diesem Fall kanns Du mit dem folgenden Befehl nach markanten Wörtern suchen, welche auf den Schädling schließen lassen:

find . -name ‚*.php‘ -type f -exec grep -H SUCHWORT {} +

Aus eigener Erfahrung kann ich Dir jedoch nur empfehlen, es gar nicht erst dazu kommen zu lassen. 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.