Vor zwei Tagen erhalte ich eine Mail meines Webhosters Hostpoint: Ich solle Kontakt aufnehmen, meine Seiten seien gehackt worden. Auf meinem Hosting laufen recht viele Seiten, wichtig davon sind für mich:
- meine persönliche Webseite philippe-wampfler.ch, weil ich damit via phwa.ch und Pretty Link auch Kurzlinks generiere
- meine Fachdidaktik-Seite fd.phwa.ch
- die Seite fürs Elternforum, bei dem ich mitwirke
- die Literaturseite eines Freundes, limotee.ch.
Bei allen anderen Seiten kann ich gut mit einem Ausfall von 1-2 Monaten leben, auch wenn das ärgerlich ist. Diese Seite läuft aus verschiedenen Gründen über wordpress.com (Domain dort gekauft und sehr stabil auch bei kurzfristig anschwellenden Zugriffen).
Ich rufe also bei Hostpoint an. Der Angriff, so wird mir mitgeteilt, sei wohl letzte Woche erfolgt – bemerkt hätten sie ihn, weil über meine Seiten Spam verschickt worden sei. Wer die Angreifer seien und wie sie sich Zugriff verschafft hätten, wüssten sie nicht. Grund: Nach dem Zugriff sei eine so genannte Webshell installiert worden, über welche die Aktivitäten abgewickelt worden seien, weshalb nicht klar ist, was die Hacker genau gemacht hätten.
Mögliche Schwachstellen seien:
- Passwörter.
- Andere User.
- Plugins für die WordPress-Seiten.
- Themes der WordPress-Seiten.
- Alte Version der Software.
Sofort erinnere ich mich an die »Hack the Police«-Folge von Reply All. Sie erzählt von einem Hacker, der verurteilt wurde. Bedingung seiner Bewährung war, dass er aus jeden Internetzugang verzichtet. Auf die Frage, was er denn täte, könnte das Internet wieder benutzen, war seine Antwort: Er würde alle Software auf allen Geräten updaten.
Nun gut – das mache ich sehr unregelmäßig und unsystematisch. Die Hacker hatten wohl mit einem alten Plugin leichtes Spiel. Ich erklärte mich bereit, 100 Franken für eine Wiederherstellung eines alten Backups meiner Seiten zu zahlen und ging die Seiten durch, führte die Updates durch, änderte die Passwörter, installierte das Sucuri-Plugin auf einen netten Hinweis hin.
Heute habe ich mehrere Benachrichtigungen erhalten, dass sich jemand von einer türkischen IP-Adresse aus versucht hat, auf einer der Seiten anzumelden.
Wie auch immer der Hack verlaufen ist: Er führte zu unnötigen Ausgaben, viel verlorener Zeit, viel Ärger – aber mehr noch zur Einsicht, dass ein Heavy-User, der für ein Projekt innerhalb einer Stunde eine anständige Homepage hochziehen kann, komplett damit überfordert ist, diese Seiten zu sichern.
Keine gute Ausgangslage für smarte Haushalte, in denen auch die Luftbefeuchter und Kaffeemaschinen ans Netz angeschlossen werden und mit Updates versorgt werden sollten. Ein Vorsatz: Ungebrauchtes schlicht zu löschen oder zu deinstallieren. Nur Vereinfachung kann dabei helfen, den Überblick zu bewahren und diszipliniert zu agieren, denke ich.
Schule Social Media 
Du schreibst: „Diese Woche wurden meine Webseiten gehackt“. Laut Report deines Hosts fanden aber Web App Attacks statt. Web Applikationen sind Anwendungsprogramme, die auf einem Webserver installiert. Das heisst, nicht deine Webseiten, sondern das auf dem Webserver deines Hosts installierte WordPress resp.Teile davon wurden angegriffen. Wer ausser dir auch noch unter dieser Attacke gelitten hat, ist aus dem Report nicht ersichtlich.
„… bemerkt hätten sie [der Host] ihn, weil über meine [deine] Seiten Spam verschickt worden sei.“ – Wir wissen nicht, ob noch weitere Web App User deines Hosts betroffen sind.
Nun. Was lernen wir aus der Geschichte?
Beliebteste Angriffsziele sind Plugins, veraltete Plugins, die zudem mit der aktuellen Version von WordPress nicht getestet worden sind. In den allermeisten Fällen solcher Attacken sinds solche Plugins, allen voran Kontaktformulare. Man gehe sparsam und achtsam um mit der Installation von Plugins, installiere nie Plugins, die ähnliche Ziele verfolgen und lösche (nicht nur deaktivieren) nicht verwendete Plugins.
Am Rande.
Wir sollten auch achtsam mit dem Begriff „Hacking“ umgehen. Eine Attacke auf ein Loch im Zaun ist eine Attacke, mehr nicht.
https://youtu.be/nb-a9rxnLmU ab 4:35:00 und andere Stellen.
installiere doch cloudflare als webdienst, welcher der webpage vorgeschaltet ist….
Das ist sehr ärgerlich! Kommt gleich nach der Erfahrung von Hilflosigkeit, wenn Google beschlossen hat, deine Website nicht mehr zu listen. 😉
Ich habe dank eines Freundes am Anfang relativ viel Zeit damit verbracht, meine beiden Blog-Websites sicher aufzusetzen – fand ich auch ganz schön nervig, aber war’s wert. Updaten bleibt aber das A und O, ist aber bei WordPress doch recht simpel zu handhaben, das lässt sich doch neben dem Twitter lesen mal eben alle paar Tage machen. 🙂
Drei Sicherheits-Plugins, die ich auf Empfehlung hin nutze:
https://wordpress.org/plugins/better-wp-security/
https://wordpress.org/plugins/login-lockdown/
https://wordpress.org/plugins/security-protection/
Vielleicht hilft’s was für die Zukunft.
Hi Philippe, WPengine ist definitiv ein guter WordPress Spezialist kommt aber aus den USA. Nachteile sind vor allem Datenschutz und Supportsprache sowie auch die Supportzeiten. Du darfst dich darauf einstellen zwischen 6-8 Stunden auf Antworten zu warten, allein wegen dem Zeitunterschied. Natürlich ist die Verbindung auch gemindert denn die muss erst über den Atlantik oder kommt aus GB. Ich mache dir den Vorschlag mal bei RAIDBOXES vorbeizuschauen. WPengine nur aus Deutschland. Inklusive kostenloser Migration, SSL, Staging und Support sowie Servern aus Deutschland. Einen schönen Vergleich gibts auch hier: https://hootproof.de/wordpress-hosting-vergleich-wpengine-raidboxes/. VG Torben & Team
Ich bin nicht von WP-Engine und mir ist es egal, wer welchen Dienst nutzt. Aber die Aussage die hier betr. Support gemacht wird stimmt so wohl nicht. Ich erlebe den WP-Engine Support als extrem responsive und kompetente. Sie bieten 24×7 Support an und ich kann das Support-Team jederzeit und sofort via Chat erreichen. Bei fast jedem Problem konnte man mir sofort helfen. Und lustigerweise steht ja sogar in dem hier publizierten Link im Fazit, dass der grossartige Customer-Service für WP-Engine sprechen 🙂
Hi Philippe, WPengine ist definitiv ein guter WordPress Spezialist kommt aber aus den USA. Nachteile sind vor allem Datenschutz und Supportsprache sowie auch die Supportzeiten. Du darfst dich darauf einstellen zwischen 6-8 Stunden auf Antworten zu warten, allein wegen dem Zeitunterschied. Natürlich ist die Verbindung auch gemindert denn die muss erst über den Atlantik oder kommt aus GB. Ich mache dir den Vorschlag mal bei RAIDBOXES vorbeizuschauen. WPengine nur aus Deutschland. Inklusive kostenloser Migration, SSL, Staging und Support sowie Servern aus Deutschland. Einen schönen Vergleich gibts auch hier: https://hootproof.de/wordpress-hosting-vergleich-wpengine-raidboxes/. VG Torben
Was ist bei Euch in Bezug auf den Datenschutz anders als bei WP Engine?
Hi Martin, alle unsere Server stehen ausschließlich in Frankfurt und München und sind damit dem deutschen Datenschutz unterlegen. Des weiteren sind wir eine GmbH anstelle einer Inc. was ebenfalls Vorteile gegenüber dem amerikanischen System bedeutet. VG
Naja, die Antwort hast Du Dir selbst gegeben:
WordPress erlaubt Dir, alle Aktualisierungen automatisch einzuspielen. Und WordPress zeigt Dir Aktualisierungen jedes Mal an, wenn Du Dich einloggst. Insofern ist diese Angriffsfläche bei vorhandenen Aktualisierungen sehr einfach zu schliessen.
Ob Sucuri Security hilft, ist für mich unklar. Mit jedem Plugin erhöht man die Angriffsflächen.
Gleichzeitig dürfte WordPress von Anfang an sicherer daherkommen, zum Beispiel sollten 2FA- und Limit Login Attempts-Funktionalität standardmässig vorhanden sein. Ausserdem sollte WordPress Plugins, die nicht mehr gepflegt werden, aus dem Katalog nehmen und vor veralteten Plugins warnen. Leider gibt es in einigen Bereichen kein einziges Plugin mehr, das gepflegt wird. Bei Premium-Plugins ist häufig nicht so klar, inwiefern sie gepflegt werden, aber ein Abonnementsmodell hilft in dieser Hinsicht, weil es wirtschaftliche Anreize für die Pflege gibt.
WP Engine ist gut und ist auch für Privacy Shield zertifiziert.
Ein paar aktuelle Tipps von Cyon: https://www.cyon.ch/blog/Brute-Force-Attacken
Danke für die Hinweise. Ich werde WP Engine einmal ansehen. Ich denke nicht, dass ich auch bei disziplinierterer Arbeit irgend eine Form von Sicherheit hätte – weil ich ja gerade nicht weiß, welche Plugins wie davon betroffen sind. Wenn ich Plugins installiere – und ohne geht es kaum, dann vertraue ich jemandem, dem ich unmöglich vertrauen kann. Das Problem ist nicht einfach so lösbar.
Lieber Philipp, das ist mühsam und ärgerlich und man fühlt sich danach ähnlich wie nach einem Einbruch. Was auch zur negativen Stimmung beiträgt, so finde ich, sind die Leute, die einem zu verstehen geben, dass man halt selber schuld sei, wenn man nicht genügend Sicherheitvorkehrungen trifft. Dabei ist die ganze Aufrüsterei letztendlich nur ein ‚race to the bottom‘. Aber ich habe leider auch keine andere kurzfristige Lösung und darum auch von mir noch ein Tipp. Die meisten Schweizer Hoster machen es sich m.E. zu einfach. Sie bieten einfach etwas Server-Ressourcen an und lassen die Leute dann damit alleine. Aber nur schon ein WordPress so zu betreiben, dass die Chance klein ist, von solchen Problemen, wie du geschildert hast, belästigt zu werden, ist eine komplexe Sache. Für die meisten User kommt daher nur ein sogenannter Managed Service in Frage. Der m.E. beste Anbieter zur Zeit für managed WordPress Hosting ist neben wordpress.com WP-Engine. Dort hast Du zum Beispiel „one click“ Backups, die Du schnell machen kannst, bevor Du ein Plugin upgradest und so notfalls zurückfahren kannst, wenn was nicht klappt. Du hast eine Staging Umgebung um neue Plugins und Themes auzuprobieren, ohne das Live System zu beeinträchtigen. Du kannst auch getrost alles auf „auto-update“ laufen lassen, weil Du jederzeit durch die automatischen backups die vor jeder Änderung gemacht werden, ohne Spezialwissen wieder zurückfahren kannst, usw. Gerade bei Systemen, die im Web stehen, ist es wichtig, möglichst rasch die Updates die verfügbar sind zu fahren. Wenn Du sicher bist, dass Du damit keine Probleme bekommst und jederzeit wieder zurückfahren kannst, ist die Chance, dass Du diese Updates machst auch höher. Darum sind solche managed WordPress Hosting Anbieter die bessere Wahl. Auch wenn das beim Provider mehr kostet, ist es wohl insgesamt gesehen trotzdem günstiger.
Danke sehr. Ich werde das mal in Erwägung ziehen, wenn ich etwas Zeit habe.
Für viel wichtiger halte ich Plugins, die dir dein WordPress automatisiert aktuell halten. Sucuri war bei einem Hack, den ich erlebt habe, relativ machtlos (und macht die Seite schneckenlahm). Zudem ist nicht auszuschließen, dass die Backdoor schon im gerade eingespielten Backup enthalten ist. Was Sucuri anzeigt, ist im Netz Grundrauschen. Mücken, die gegen deine Scheiben fliegen, würden dir ja auch nur Angst machen, wenn eine App dir die schiere Menge anzeigt.
In den letzten Tagen beobachte ich bei meinen verschiedenen WordPress Blogs vermehrt Loginversuche. Das meldet mir ein spezielles Plugin.
Lieber Philippe, dürfen wir erfahren, was du mit „meine Seiten seien gehackt worden“ meinst und was du gekauft hast „… wordpress.com (Domain dort gekauft…)? und warum du davon ausgehst, dass ein veraltetes Plugin eine Sicherheitslücke darstellte?
Ich habe die Domain dort gekauft. Was verstehst du daran nicht? Wenn ich genau weiß, wie der Angriff verlaufen ist, teile ich das gerne mit. Ich gehe davon aus, weil mir das die Hostpoint-Leute so gesagt haben.