Suche
Suche Menü

Warum und wie WordPress-Seiten gehackt werden

WordPress Hacker Motivation

Sicherheit in WordPress ist ein großes Thema – und ein lukrativer Markt für Hosting-Anbieter, Plugin-Autoren und Website-Spezialisten. Dabei ist eine gute Grundlage recht schnell geschaffen. Dennoch: vollkommen sicher wird deine Seite vermutlich niemals sein und dieser Illusion solltest du dich auch nicht hingeben, sondern stets wachsam bleiben (und ein Backup haben).

Fragst du dich, warum überhaupt jemand deine Website angreifen würde? Und wie Hacker es oftmals schaffen, unerlaubt in WordPress einzudringen? In diesem Artikel gebe ich dir einen Überblick über häufige Motive und Ansatzpunkte von WordPress-Hackern.

Typische Gründe für Angriffe auf WordPress

Zunächst mal zielen die wenigsten Angriffe direkt auf eine bestimmte Seite ab – oftmals ist es dem Angreifer relativ egal, welche Website genau er hackt. Viele Angriffe sind sogar automatisiert und versuchen nach dem Trial-and-Error-Prinzip, bekannte Schwachstellen möglichst vieler Websites auszunutzen und sich Zutritt zu verschaffen.

Datendiebstahl

Wenn du einen Online-Shop betreibst oder anderweitig sensible Daten deiner Kunden verarbeitest und speicherst, stellt deine Website natürlich ein attraktives Angriffsziel dar. Bank- und Kreditkartendaten oder E-Mail-Adressen sind für viele Hacker genug Motivation, um eine Website gezielt anzugreifen.

Gerade im WordPress-Umfeld bist du zum Glück durch viele Mechanismen automatisch geschützt – z.B. verwendest du mit hoher Wahrscheinlichkeit ein Zahlungs-Gateway (z.B. Stripe, PayPal), statt Bezahldaten selbst zu speichern. Verlass dich aber nicht darauf und kümmere dich aktiv um die Sicherheit deiner Kundendaten. Dazu gehört unter anderem unbedingt ein SSL-Zertifikat.

Ausnutzung deiner Website für eigene Zwecke

Aber auch wenn du auf deinem Webserver keine sensiblen Kundendaten oder sonstigen Geheimnisse speicherst, können erfolgreiche Angreifer deine Seite für ihre Zwecke missbrauchen, z.B. zum

  • Einfügen von schadhaftem Code/Viren, der automatisch deine Website-Besucher infiziert
  • Nutzen der Ressourcen deiner Seite für Angriffe auf andere Server (so genannte DDoS-Attacken oder Brute-Force-Angriffe auf andere Logins)
  • Weiterleiten deiner Website-Besucher auf andere Seiten, z.B. um Affiliate-Einnahmen zu generieren

Häufigste Angriffspunkte

WordPress ist im Prinzip ein recht sicheres und ausgereiftes System, nicht zuletzt durch die häufigen Updates und die kontinuierliche Weiterentwicklung. Dennoch entstehen immer wieder Sicherheitslücken in WordPress, Plugins und Themes. Am häufigsten gelingen die Attacken über folgende Ebenen (Quelle: wptemplate.com):

  • ca. 41% aller erfolgreicher Angreife geschehen über den Webserver bzw. das Hosting. Noch ein Grund mehr für ein WordPress-optimiertes Hosting.
  • 29% der Angriffe gelingen über das Theme. Daher solltest du nur Themes aus vertrauenswürdigen Quellen und von erfahrenen Entwicklern verwenden und es regelmäßig aktualisieren.
  • In 22% der Fälle verschaffen Hacker sich über unzureichend gesicherte Plugins Zugriff. Auch hier gilt: Immer aktuell halten und nur vertrauenswürdige Plugins verwenden. Halte die Zahl der Plugins zudem möglichst gering.
  • Überraschenderweise erfolgen nur ca. 8% der Angriffe über schwache Passwörter. Trotzdem solltest du dein Passwort regelmäßig ändern und ein Plugin wie Limit Login Attempts installieren.

Was, wenn meine Seite gehackt wurde?

Wenn du vermutest oder feststellst, dass deine WordPress-Seite gehackt wurde, informiere zum einen unbedingt deinen Hoster darüber und besprich mit ihm das weitere Vorgehen. In jedem Fall solltest du deine Seite bereinigen – idealerweise, indem du ein Backup von vor dem Angriff einspielst.

In der Praxis kommt es aber immer darauf an, welche WordPress-Komponenten genau angegriffen wurden und wo die Ursache lag. Zudem sollte natürlich möglichst effektiv für die Zukunft vorgesorgt werden.

Wurde deine Seite schonmal gehackt? Konntest du erkennen, woran es lag?

Lade dir die Sicherheits-Checkliste herunter & hake deine Sicherheitsmaßnahmen ab

… und weitere Materialien:

Checklisten herunterladen & Newsletter
Newsletter 1-2 mal monatlich. Kein Spam, versprochen. Du kannst dich jederzeit abmelden. >> Datenschutz

 

Brauchst du WordPress Unterstützung?

10 Kommentare Schreibe einen Kommentar

  1. Hallo Michelle,
    da surft man etwas durch die Weltgeschichte ohne etwa danach zu suchen und findet beim durchstöbern einiger Bloggs diesen Artikel.
    Nicht dass es jetzt etwas außergewöhnliches wäre über Sicherheitslücken in WordPress-Systemen zu berichten, aber genau dieses Problem hatte ich in den vergangenen Wochen.
    Jemand / Eine Gruppe oder wie auch immer ,hat sich an meinem System zu schaffen gemacht und meinen Blogg „übernommen“ Ich habe es leider nicht früh genug bemerkt, da man über .htaccess Dateien nur auf mobile Betriebssysteme abgezielt hat. Naja, diesbezüglich habe ich einiges in meinem Blog umbauen müssen.
    Auf jeden Fall denke ich jetzt nicht mehr, dass es immer nur die Anderen trifft.
    Viele Grüße
    Andre von Affiliatehelp

    Antworten

    • Hallo Andre,
      das tut mir Leid, dass deine Seite angegriffen wurde. Hast du denn herausgefunden, wie dein FTP-Server gehackt werden konnte und mit deinem Hoster gesprochen?
      Ich drücke dir die Daumen, dass jetzt alles in Ordnung ist!

  2. Hallo,
    es kann verschiedene Gründe haben. Denkbar ist ein altes Theme, Plugin oder die alte PHP Version. Inzwischen ist alles auf dem neuesten Stand, Sicherheitsplugin und für den admin-Bereich habe ich noch vor mir eine .htpasswd zu erstellen.
    Derzeit sieht es so aus, als hätte mir der Hack richtig Vertrauen bei Google gekostet,
    Mal sehen, wie es so weitergeht.

    Antworten

    • Hallo Andre,
      all das sind keine Gründe, warum jemand Zugriff auf deinen FTP-Server bekommen kann. Ich würde dir raten, nochmal mit deinem Hoster Rücksprache zu halten.

    • Das kommt am Ende des Tages vor allem auf deinen Geschmack an. Ich bevorzuge ohne www. Definitiv solltest du die nicht gewählte Variante aber auf die Hauptdomain umleiten.
      Neben Themeforest sind z.B. Elmastudio oder Frameworks wie Enfold und Genesis gute Themeanbieter.

  3. Hallo Michelle, danke für die Antwort.
    Könntest Du mir bitte noch mitteilen wie ich die Aufrufe mit www alle auf die Hauptdomain umleiten kann?(Code??).Und wo ich den Code eingeben muss.

    Danke:)

    Antworten

    • Hallo Paul,
      i.d.R. geht das direkt über deinen Hosting-Anbieter und die Domain-Verwaltung, alternativ über die .htaccess-Datei. Das hat im Prinzip nichts mit WordPress zu tun. Da die genauen Schritte von mehreren Faktoren abhängen, müsstest du da selbst etwas recherchieren und ausprobieren oder deinen Hoster um Unterstützung bitten.

  4. Hallo Michelle,
    hast Du eine Idee wie man sein aktives WordPress Theme verbergen kann, sodass es nicht mehr durch Theme Detectoren gefunden werden kann?

    Antworten

    • Du kannst es einfach umbenennen, sodass man im Quellcode nicht mehr wp-content/themes// sieht, sondern etwas anders. Aber was wäre ein sinnvoller Grund dazu?

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Noch mehr WordPress Wissen?
Kein Spam, versprochen. >> Datenschutz
  • Checklisten, Merkzettel & Worksheets
  • Wöchentlicher Newsletter
  • Exklusive Angebote
  • Dein direkter Draht zu mir
Melde dich jetzt an:
Kein Spam, versprochen. >> Datenschutz
Noch mehr WordPress Wissen?
Kein Spam, versprochen. >> Datenschutz
  • Checklisten & Worksheets
  • Wöchentlicher Newsletter
  • Dein direkter Draht zu mir
Checklisten herunterladen & Newsletter
Newsletter 1-2 mal monatlich. Kein Spam, versprochen. Du kannst dich jederzeit abmelden. >> Datenschutz