Meine Seite wurde gehacked und ich habe gelernt

Eines Sonntag Morgens wollte ich mich etwas um diese Seite kümmern. Sofort sprang mir ein neuer Blogpost ins Auge „Hacked by…“ (siehe Screenshot).
Unmittelbar war ich hellwach: Der Puls stieg, vermutlich war auch etwas Adrenalin dabei. Den Beitrag verschob ich in den Papierkorb und dachte mir „Was machst du jetzt?“ Ich prüfte die Seite von außen und das, was ich über WordPress sehen konnte: Offenbar waren zwei Beiträge gelöscht, sonst schien alles normal zu funktionieren. Ich lies WordPress ein Update machen und fasste mir an den Kopf: Da war vermutlich der Hund begraben!


Da diese Seite nicht die einzige WordPress-Seite ist, die ich auf meinem Webspace betreibe überprüfte ich z. B. auch klesch-Hochzeitsreportagen und den Förderkreis bei dem ich im Vorstand sitze: Offenbar alles gut! Da ich auf allen Webseiten keine sensiblen Daten verarbeite war ich (nach der ersten Aufregung) relativ entspannt.
Dann rief ich die Hotline von Hosteurope an. Freundlich bot man mir an ein Backup zurück zu spielen. Ich bat um Geduld, da man nicht wissen kann, ob dieses Update ebenfalls schon befallen ist. Deshalb wurde vorgeschlagen das Problem von Hosteurope analysieren zu lassen, was sie auch getan haben: Es wurden Einträge der Datenbank verändert. Es stellte sich heraus, dass ich offenbar Opfer dieser Sicherheitslücke geworden bin.
Updates! Verdammt, ich habe ein Updates sträflich vernachlässigt und war deshalb das Opfer. Das erklärte auch, warum andere WordPress-Installationen nicht befallen waren: Ich dachte, ich käme mit der Fotoseite schon hinterher, die anderen Installationen aktualisieren sich automatisch. Im Zuge eines Umzugs vernachlässigte ich die Fotoseite aber sträflich!
Nun herrschte Gewissheit: Es wurden nur Datenbankeinträge verändert. Das war nach dem Update nicht mehr möglich. Also schaute ich mir die Einträge in der Datenbank an und fand ein paar Einträge, die ich bereinigte. Da bin ich wohl noch mal mit einem blauen Auge davon gekommen. Der ein oder andere Hacker hatte seinen Spass.
Ich habe Erfahrungen gemacht, die nicht jeder machen muss. Aus Fehlern lernt man, deshalb hier Tipps:
1. Macht Updates (oder aktiviert die Auto-Update-Funktion)! Updates sorgen nicht nur für schöne, neue Funktionen sondern vor allem für Sicherheit.
2. Macht ein Backup der Datenbank! Das hatte ich mal versucht, lief aber nicht sauber. So verlies ich mich auf die Backups von Hosteurope, die aber nur für 14 Tage vorgehalten werden. Das reichte leider nicht.
3. Sensible Daten, wie Kundeninfos oder -fotos (Akt, Baby z. B.) gehören nicht in eine WordPress-Installation.

Hack ist natürlich nicht gleich Hack aber solltet ihr euch in einer ähnlichen Situation vorfinden, wie ich eines Sonntag Morgen hier ein paar Tipps:
1. Ruhe bewahren! In Hektik machen wir Fehler. Nachdem der Puls einmal hoch gegangen ist, atmet tief.
2. Versucht den Ausmaß des Schadens zu identifizieren: Es kann sehr gut sein, dass Schadcode auf der Webseite eingeschleust wurde, der weiter sein Unwesen treibt. Wenn wie bei mir nur ein paar Beiträge geändert wurden: Hellblaues Auge. Aber das Ausmaß bestimmt maßgeblich das weitere Vorgehen.
3. Informiert immer den Betreiber eurer Webseite: Wenn es ziemlich dicke kommt, kann der Schadcode auf eurer Seite bei ihm weiteren Schaden anrichten. Seit ihr durch verpennte Updates für den Schaden maßgeblich mitverantwortlich habt ihr ein zusätzliches Problem.
4. Die Lücke muss geschlossen werden. Vielleicht geht ihr auf Nummer sicher und macht die Seite erstmal dicht, vor allem, wenn ihr euch unsicher bezüglich des Ausmaßes seid. Wenn (wie in meinem Fall) ein Update die Sicherheitslücke bereinigt, der Schaden nicht weiter auftreten kann und sich nicht selbst weiter streut kann man darauf verzichten.
5. Abhängig vom Ausmaß des Schaden informiert weitere Leute: Ja, das ist peinlich, aber falls Bilder oder andere Daten geklaut wurden, die so nicht für die Öffentlichkeit bestimmt waren ist das eure Pflicht.
6. Bereinigung des Schadens: Spielt ein Backup zurück oder repariert manuell. In meinem Fall fehlt jetzt leider der Beitrag über Kapstadt und der Ausblick 2017. Den Beitrag 2017 werde ich in anderer Form neu schreiben.
D. h. im Endeffekt hat mich die Sache den Kapstadt-Beitrag gekostet. Doof, vermeidbar aber kein immenser Schaden.
Selbstverständlich gilt hier wie auch bei jedem Beitrag: Ich stehe gerne für Fragen zur Verfügung. Wer noch Reste des Hacks in Form von manipulierten Beiträgen findet darf gerne herzlich lachen und mich informieren.

5 Gedanken zu „Meine Seite wurde gehacked und ich habe gelernt

  1. Kai

    Klingt ja so als hätten sie noch mal Glück im Unglück gehabt. Der Beitrag hat mir ein wichtiges Thema wieder Bewusst gemacht was ich selber vernachlässige. Mag gar nicht dran denken welche Folgen das bedeuten könnte.
    Danke das sie mit dem Thema so offen umgehen.

    Antworten
  2. Alex

    Gott sei Dank gibt es gute Backup Tools für WordPress. Ich bekomme zum Beispiel jede Woche ein Backup per Mail zugesendet.
    Aber wenn das dein Hoster für dich übernimmt ist ja noch besser :P.
    Was auch ziemlich helfen soll ist eine SSL verschlüsselte Seite zu haben. Je nach Hoster kostet das aber ordentlich aufpreis (obwohl es sich eigentlich nur um ein simples Zertifikat handelt).

    Updaten lohnt sich also doch :D
    Weiterhin viel Spaß mit deiner Seite und danke für die inspirierenden Bilder!
    Grüße
    Alex von test-systemkamera.de

    Antworten
  3. Pingback: Facebook? Nein! Ja? Vielleicht… | Matthias Schwarze Fotografie

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.