Webseite gehackt – Wie Sie eine Infektion Ihrer Webseite verhindern

Wie schlimm sind WordPress-Hacks?

WordPress geniesst eine enorme Verbreitung. Und was von vielen genutzt wird, bietet natürlich umso mehr Potenzial, um für ungewollte Zwecke missbraucht zu werden.

Ärgerlich und unschön, aber selten dramatisch

Die meisten WordPress-Hacks erfolgen automatisiert, indem bekannte Sicherheitslücken ausgenutzt werden. Bösartige Skripts nutzen Sicherheitslücken in Plugins, um Schadcode einzuschleusen, der die Inhalte und Funktionen der betroffenen Webseite verändert. Dadurch werden Webseitenbesucher beispielsweise auf andere Seiten weitergeleitet, es werden Spam E-Mails versendet oder Besucher schürfen unbemerkt Kryptowährungen, solange sie die betroffene Webseite geöffnet haben. Diese Hacks betreffen vor allem Ihre Webseitenbesucher und können entsprechend negative Auswirkungen auf das Vertrauen haben, das Ihrer Webseite entgegengebracht wird. Der Schaden, den solche Hacks anrichten, ist sachlich betrachtet jedoch überschaubar.

Datendiebstahl und Missbrauch

Eine andere Art von Hacks bedroht Sie und Ihr Unternehmen hingegen direkt. Und zwar sind es solche, bei denen Angreifer Zugriff auf Ihre Webseite erhalten und Daten entwenden. Dies ist besonders problematisch, wenn Sie Kundendaten auf der Webseite speichern – beispielsweise die Daten von Mitgliedern einer Online-Plattform oder die Adressen von Kunden eines Online Shops. Passwörter werden von WordPress meistens codiert gespeichert und lassen sich kaum entschlüsseln. Persönliche Daten wie die E-Mail oder Postadresse hingegen sind in den meisten Fällen als Klartext gespeichert und sind damit leichte Beute für Angreifer, die diese Daten danach im Darknet verkaufen oder anderweitig nutzen wollen. Mit den gestohlenen Daten können beispielsweise fingierte E-Mails erstellt werden, um ahnungslose Opfer in Ihrem Namen auf gefährliche Webseiten weiterzuleiten, Ihren Kunden sensible Daten zu entlocken oder im Fall von Kreditkartendaten sogar Käufe zu tätigen.

Laut den Bestimmungen der DSGVO sind Sie verpflichtet, Vorfälle umgehend zu melden, bei denen Kundendaten gestohlen wurden oder die Chance dazu bestand.

In einem solchen Fall gilt es schnell zu handeln und alle potenziell betroffenen Personen zu informieren. Damit geben Sie diesen die Möglichkeit, ihre Passwörter zu ändern, die Kreditkartenabrechnung auf allfällige Unregelmässigkeiten zu prüfen sowie weitere Sicherheitsmassnahmen einzuleiten.

Gehackte Webseiten erkennen

Moderne Browser und Antiviren-Software erkennen infizierte Webseiten häufig noch vor dem Aufrufen und warnen den Besucher. Suchmaschinen wie Google markieren schädliche Webseiten sogar, wenn sie in den Suchresultaten erscheinen. Nutzen Sie die Google Search Console, werden Sie umgehend informiert, sollte Ihre Webseite als schädlich eingestuft werden. Dies ist insbesondere zu empfehlen, wenn Sie nicht regelmässig auf Ihrer eigenen Webseite unterwegs sind.

Völlig klar ist, dass Sie eine gehackte Webseite möglichst schnell bereinigen sollten. Um Ihre Webseitenbesucher nicht weiter zu gefährden, empfiehlt sich, den Zugriff auf die Webseite vorübergehend einzuschränken. Wie Sie dabei am besten vorgehen, erfahren Sie hier.

Wie Sie WordPress-Hacks verhindern

Keine Webseite zu haben, ist selten eine Option. Eine reine HTML-Webseite ohne Skripte und CMS bietet zwar weniger Angriffsmöglichkeiten und Einfallstore, aber macht eine sinnvolle Bewirtschaftung der Webseite beinahe unmöglich. Daher sind CMS so verbreitet, da sie Ihnen ermöglichen, über ein Backend die Inhalte auf Ihrer Webseite zu verwalten. Grundsätzlich sind alle aktuellen und verbreiteten CMS wie WordPress, Typo3, Joomla oder Drupal sehr sicher.

Angriffsfläche bieten jedoch zu wenig komplexe Passwörter sowie Dritt-Komponenten. Letztere – im Fall von WordPress sind damit Plugins und Themes gemeint – werden von Entwicklern auf der ganzen Welt zu WordPress beigesteuert. Viele Projekte werden sehr professionell vorangetrieben, immer mal wieder werden Plugins jedoch nicht mehr weiterentwickelt oder Programmierer nutzen (unbewusst) kritische Funktionen, die mit entsprechendem Know-how ausgenutzt werden können.

Aus diesem Grund sollten Sie sich genau überlegen, welche Plugins Sie nutzen möchten und installieren. Kostenpflichtige und regelmässig gepflegte Plugins sind kostenlosen oder veralteten Alternativen vorzuziehen. Allgemein gilt jedoch, dass Plugins, die ein paar Designeinstellungen liefern, im Zweifel weniger risikobehaftet sind, als ein Plugin, welches die Benutzerverwaltung beeinflusst.

Achten Sie bei der Wahl von Plugins immer auf das Datum der letzten Aktualisierung, lesen Sie die Reviews durch und überprüfen Sie Ihre installierten Plugins regelmässig. Übernimmt ihre Webseite eine kritische Funktion, z. B. in Form eines Online Shops, der einen grossen Teil Ihres Umsatzes verantwortet, empfiehlt sich allenfalls, auf kostenlose Drittkomponenten zu verzichten. Premium-Plugins und Eigenentwicklungen können zwar auch Sicherheitslücken aufweisen, die Chancen sind jedoch geringer, dass sie Opfer grossflächiger Angriffswellen werden.

Risiko vermindern mit WordPress

Um das Risiko für Sicherheitsprobleme zu minimieren, gelten bei Webseiten die genau gleichen Regeln wie bei allen anderen IT- und softwarebasierten Anwendungen. Nutzen Sie sichere Passwörter, halten Sie alle Systeme aktuell und lassen Sie gesunden Menschenverstand walten.

Sichere Passwörter

Nutzen Sie für jeden Service ein anderes Passwort. Sollte irgendwo ihr Passwort gestohlen werden, können die Angreifer damit auf keine anderen Ihrer Services zugreifen. Sichere Passwörter bestehen aus Buchstaben, Zahlen und Sonderzeichen. Generieren Sie Passwörter mit Services wie diesem von Norton. Falls Sie sich die Passwörter nicht merken können, nutzen Sie einen Passwortmanager wie Zoho.

Systeme Aktuell halten

WordPress

Genauso wie Sie Ihr Betriebssystem regelmässig Updates einspielen lassen oder Ihr Handy auf den neusten Stand bringen, sollten Sie auch Updates Ihrer Webseite vornehmen. WordPress (und jedes andere CMS auch), wird Sie über ausstehende Aktualisierungen informieren. Diese Updates sind sicherheitsrelevant und bringen vielfach Verbesserungen mit oder sorgen für Kompatibilität mit neuen Technologien. Daher sollten Sie so rasch wie möglich updaten. Beachten Sie jedoch, dass viele Drittanbieter-Lösungen häufig einige Tage hinter den offiziellen Releases hinterherhinken. Berücksichtigen Sie das, wenn Sie Komponenten updaten, die miteinander interagieren. Ein klassisches Beispiel sind Ihr Online Shop und Plugins, die dessen Funktionsumfang erweitern. Updaten Sie den Online Shop, kann es sein, dass Zusatzfunktionen nicht mehr funktionieren, solange diese Komponenten noch kein Update erhalten haben.

Hosting / Server

Ihre Webseite kann perfekt geschützt sein, die beste Vorsorge nützt aber nichts, wenn das Umfeld nicht stimmt. Die meisten Webseitenbetreiber hosten ihre Webseite auf einem Server eines professionellen Hosting-Anbieters. Weit verbreitet sind Shared-Hostings, bei denen Ihre Webseite zusammen mit hunderten anderen auf dem gleichen Server liegen. Die meisten Anbieter stellen Ihnen moderne Systeme zur Verfügung, die meistens nichts besonders schnell, dafür aber aktuell und sicher sind. Alles andere wäre fatal. Denn veraltete Software und Systeme – und dafür benötigt es verschiedene, um einen Server zu betreiben – können unter Umständen alle Ihre Sicherheitsbestrebungen untergraben, wenn auf Serverebene Sicherheitslücken bestehen. Achten Sie bei der Wahl Ihres Hosters daher auf die Sicherheit und vor allem darauf, dass die Technologien aktuell sind. Im Zweifelsfall fragen Sie nach und vergleichen verschiedene Anbieter. Die bekannten Schweizer Anbieter Hostpoint oder cyon beispielsweise sind sehr zuverlässig und gemäss unserer Erfahrung absolut kompetent in dem Bereich.

Gesunder Menschenverstand

Ihr Apple-Konto wurde gesperrt? Ihr Hosting-Account wird gelöscht? Die Polizei braucht Ihre Hilfe? E-Mails wie diese wirken bedrohlich und verleiten uns dazu, überhastet und unüberlegt zu handeln. Schnell ist der Link angeklickt und das Unheil nimmt seinen Lauf. Daher prüfen Sie jede E-Mail, ob Sie erstens überhaupt Sinn macht (Die Polizei würde Ihnen niemals unaufgefordert per E-Mail schreiben!), ob der Absender legitim wirkt (ist es apple.com oder ist es aplle.com?) und wohin führen allfällige Links (fahren Sie mit der Maus über den Link, wird Ihnen eine Vorschau der URL angezeigt, wenn diese nicht eindeutig ist, ist Misstrauen angebracht). Im Zweifelsfalls kontaktieren Sie den vermeintlichen Absender per Telefon oder über die offizielle E-Mail Adresse und fragen nach.

Was können Sie tun, um einen Angriff zu verhindern?

Angriffe können Sie nicht verhindern. Sobald Ihre Webseite über das Internet aufgerufen werden kann, steht sie potenziellen Angreifern offen. Das bedeutet aber nicht, dass die Angreifer auch ihr Ziel erreichen.

Nutzt eine WordPress-Webseite Sicherheitsplugins, konnten wir auch schon beobachten, dass eine Sicherheitslücke zwar ausgenutzt wurde und beispielsweise Schadcode ins CMS eingeschleust wurde, dieser aber nie ausgeführt wurde, weil dies von der Sicherheitslösung automatisch unterbunden wurde. Rein theoretisch kann es daher sein, dass Ihre Webseite bereits Opfer eines Angriffs war, dies jedoch keine sichtbaren Auswirkungen hatte.

Gute Erfahrungen gemacht haben wir mit iThemes, Wordfence sowie Sucuri.

Was tut Weitblick, um Hacks zu verhindern?