Letzte Aktualisierung 26. Mai 2023
Da komme ich entspannt aus dem Wochenende, gehe als erstes auf meine Website und logge mich ein, um den Umbau des geschützten Bereichs für meine Marketing-Zauber-Zirkel-Mitglieder fortzusetzen und stelle fest:
Upsi! Da bin ich wohl gehackt worden!
Wenn Du Dich jetzt fragst, was man in so einem Fall macht, warum sich Hacker überhaupt für meine (oder auch Deine!) Website interessieren und welche Auswirkungen das auf Dich und Dein Online-Business hat, dann lies einfach weiter.
Inhalt
Woran habe ich das Hacking gemerkt?
Zunächst einmal: Attacken auf Websites sind nicht die Ausnahme, sondern die Regel. Jede einzelne Website wird täglich mehrere tausend Mal angegriffen.
Meine – und ja, auch Deine!
Und nicht nur WordPress-Websites sind gefährdet. Auch die Baukästen Jimdo und Wix beispielsweise können und werden angegriffen, allerdings sind die Methoden da andere und erfolgreiche Hackings wohl auch seltener. Wenn Du ein unsicheres Passwort verwendest, lädst Du Hacker geradezu ein. Egal, womit Du Deine Website erstellt hast. Aber das ist ein anderes Thema, das ich heute hier nicht weiter verfolgen werde.
Meine Verwunderung war zunächst groß, als ich – noch etwas müde – versehentlich auf den Dashboard-Link in meinem WordPress Backend klickte. Ich wollte eigentlich auf den Seiten-Link klicken, um an meinen Umbau-Arbeiten für den Marketing-Zauber-Zirkel weiter zu machen. Jedenfalls war dieser "Fehlklick" ein Segen, denn ohne hätte ich den Hack wahrscheinlich erst viel später bemerkt.
So landete ich auf einer Website, die wahrscheinlich gefälschte Medikamente anbietet.
Hä?
Ich wieder zurück. Worauf habe ich gerade geklickt?
Klick auf den Dashboard-Link.
Wieder die Pillenseite!
Halllloooo??!!
Dann habe ich erstmal meinen Tandem-Partner Jonas Tietgen von WP-Ninjas kontaktiert, der natürlich auch einen Administrator-Zugang zu meiner Website hat. Hier siehst Du, wie unsere Konversation verlaufen ist:
Ich hatte nun drei Optionen:
1) ich spiele ein Backup ein und hoffe, dass da noch kein Hack erfolgt war
2) ich mache mich selbst schlau und versuche den Hacker rauszuwerfen oder
3) ich beauftrage einen Profi.
Und ewig grüßt das Murmeltier
Option 1 war tatsächlich keine. Zwar mache ich automatisch wöchentliche Backups und habe auf meinem Cloudspeicher noch alle Versionen bis vor ungefähr einem Jahr gespeichert (ja, ich bin ein Hamster …) aber diese Möglichkeit fiel aus zwei Gründen sofort durchs Raster.
Denn erstens hinterlassen Hacker ja keine Nachricht im System, wann der Hack erfolgt ist. So im Stil von
+++++++++ Achtung - wichtige Meldung! ++++++++++++
++ Diese Website wurde von mir am 27.02.2021 gehackt! ++
++ Ich, Dein freundlicher Hacker aus der Nachbarschaft ++
+++++++++ Ende der wichtigen Meldung! ++++++++++++
Nein, so nett sind die Schurken nur in den Superhelden-Comics meiner Kindheit.
Außerdem bin ich seit dem Jahresbeginn dabei, regelmäßig meine älteren Blogartikel zu überarbeiten und für Google nach meinen neuesten Erkenntnissen zu optimieren. Da würden sich mit dem Einspielen des Backups viele, viele Stunden wertvoller Arbeit einfach so in Luft auflösen. Keine Option!
Option 2 – war tatsächlich auch keine. Nicht nur, dass ich gerade sowieso viel zu tun habe und ein Projekt dieser Art mich einfach zu viel Zeit kosten würde. Nein, ich habe das bereits einmal erlebt und versucht:
2008 war meine damalige WordPress-Website ebenfalls gehackt worden. Ich befand mich in der Schlussredaktion für ein Buch, das ich damals im Verlagsauftrag geschrieben habe, war also voll im Stress und in Zeitnot. Da ich kein Geld für einen Profi hatte, habe ich dann mit Unterstützung einiger netter Menschen aus einem WordPress-Forum versucht, den Hacker wieder loszuwerden. Obwohl ich viel Zeit und Nerven investiert habe: Es gelang mir nicht. Also hab ich nach vier Wochen "Hampelei" entnervt alles gelöscht.
Damals waren es nur ein paar Seiten, deren Inhalte ich natürlich sichern konnte und ein paar Blogartikel, die mir heute wahrscheinlich sowieso peinlich wären. Das war verschmerzbar. Aber heute? Heute hängt mein ganzes Business viel mehr an dieser Website als damals, wo ich sowieso noch größtenteils offline unterwegs war und die Website quasi nur ein besserer Flyer war.
Blieb also nur Option 3: Beauftrage jemanden, der sich damit auskennt.
Und jetzt? Ruhe bewahren!
Jetzt galt es also erst einmal, Ruhe zu bewahren. Nichts ändern, das vielleicht einem Profi seine Arbeit erschweren würde.
Als nächstes habe ich mir dann meine zweite Website angeschaut. Diese lag auf demselben Server und wurde natürlich von mir ebenfalls aktuell gehalten, aber seit fast vier Jahren inhaltlich nicht mehr gepflegt.
Und siehe da! Zwar gab es beim Klick auf den Dashboard-Link dort keine Weiterleitung. Aber ich fand zwei Administrator-Konten in den Benutzer-Einstellungen, die merkwürdige Namen hatten und die ich garantiert nicht selbst angelegt hatte. So war das damals in 2008 auch gewesen. Ergo: Auch hier hatte sich jemand Zutritt verschafft, der da nicht reingehörte.
Professionelle Hilfe holen
Mein Tandem-Partner Jonas hatte dann auch glücklicherweise gleich einen Tipp für mich, an wen ich mich wenden sollte. Und mich dann auch wieder etwas beruhigt:
"Durchatmen 🙂 Ist nur nervig und kostet, aber es passiert nichts schlimmeres."
Jonas via Slack
Gut, wenn man in so einer Situation jemanden an der Seite hat, der einen wieder etwas runter holt.
Also habe ich genau das getan: Einen Dienstleister beauftragt, der die Säuberungsaktion für mich übernimmt. So konnte ich wenigstens an meinen anderen Projekten weiter arbeiten.
Wie kann man sich vor einem Hacking schützen?
Stellt sich aber die Frage, wie kann man sich eigentlich davor schützen?
Die wichtigsten Schutzmaßnahmen habe ich peinlich befolgt:
Ich verwende fürs Login ein langes und wirklich sicheres Passwort. Die PHP-Version halte ich regelmäßig aktuell. Template und Plugins werden von mir fast jeden Tag auf den neuesten Stand gebracht, wenn Updates vorliegen. Sicherheitsupdates von WordPress erfolgen automatisch.
Was habe ich also falsch gemacht oder versäumt?
Was war denn das Einfallstor?
Natürlich wollte ich vom Dienstleister wissen, was denn das Einfallstor gewesen sein könnte. Aber ebenso wie mit dem Zeitpunkt des Hackings gilt auch hier: Hacker hinterlassen keine Logfiles und schreiben irgendwo ein virtuelles Zettelchen, wo genau steht, wie sie eingedrungen sind.
Darum können wir nur Vermutungen anstellen.
Vermutlich war eines dieser teils aus dem Plugin-Repository entfernten und nicht mehr aktualisierten Plugins die Lücke im System:
- Captcha
- Disable Emojis
- Elementor Addons & Templates – Sizzify Lite
- Remove Comment IPs
- External Links
- PopBox For Elementor
Vielleicht hilft Dir das ja – wenn Du eines davon nutzt, löschst Du es besser und ersetzt es durch eines, das weiter gepflegt wird.
Das Problem war also, dass ich im Grunde alles richtig gemacht habe, aber eben nicht darauf geachtet habe, dass die Plugins auch regelmäßig Aktualisierungen anbieten.
Für jemanden, der kein Programmierer ist, ist es tatsächlich auch schwer einzuschätzen, warum ein Plugin oder Theme nicht aktualisiert wird.
Gibt es tatsächlich nichts zu verbessern, keine Lücken zu stopfen? Oder hat der Programmierer einfach nur die Lust an seinem Projekt verloren? Ist er krank oder gar schlimmeres? Wir können es nicht wissen.
Bin ich also hilflos ausgeliefert?
Naja, nicht ganz.
Zum einen hat mir der Dienstleister nun ein Sicherheitsplugin installiert und entsprechend konfiguriert, mit dem es Hackern sehr viel schwerer gemacht wird, mein System zu kompromittieren (auf Deutsch, sich Zugang zu verschaffen). Dieses Plugin führt auch eine Log-Datei über die Zugriffsversuche auf meine Website. Hier im Screenshot siehst Du, dass in den letzten zwei Tagen schon wieder etliche Versuche unternommen wurden, sich Zutritt zur Website zu verschaffen. Und auch meine drei fehlerhaften Passwort-Eingaben (ich hatte noch das alte verwendet), kannst Du ganz oben erkennen.
Die IP-Adresse darunter stammt übrigens aus Korea! Hacker sind global unterwegs!
Ich habe mir jetzt zusätzlich vorgenommen, zu protokollieren, wann welches Plugin aktualisiert wurde – und vierteljährlich zu schauen, ob da vielleicht eines auffällt, das keine Liebe seines Programmierers mehr erfahren hat. Dann werde ich danach googlen und es gegebenenfalls durch ein anderes ersetzen. Erfordert etwas Mehrarbeit und Umsicht, ist aber machbar.
Warum machen die das überhaupt?
Ja, das ist eine gute Frage. Jedenfalls ist der Grund nicht, wie jemand auf meinem privaten Facebook-Profil vermutete und schrieb: "… da steckt System dahinter, um es erfolgreichen Marketern schwer zu machen und sie zu schädigen." Hacking ist ein globales Problem und die meisten Attacken stammen aus ganz anderen Ecken dieser Erde.
Was immer noch die Frage offen lässt: Was erhoffen die sich?
Bei mir ist doch nichts zu holen! Das denken viele, bis der Einbrecher dann da war und die Wohnung ausgeraubt hat. (auch das musste ich mal erleben, damals lebte ich noch bei meinen Eltern – aber das ist eine Story für ein anderes Mal).
So ähnlich verhält es sich auch mit Deiner Website.
Ich habe in meinem Facebook-Profil über das Hacking berichtet – und klar, es kamen jede Menge Fragen dazu. Unter anderem auch die, warum sich Hacker überhaupt für unsere Websites interessieren. Da ist doch nichts zu holen …
Leider doch – und zwar jede Menge!
Beispielsweise wird Schadcode auf der Website hinterlegt und die Besucher fangen sich einfach im Besuchen der Website einen Virus oder Trojaner ein. Mit diesem wird dann wiederum der PC des Besuchers ferngesteuert – nicht, um da Daten auszulesen, sondern um diesen Rechner und seine Leistung als ferngesteuerten Zombie bei Angriffen beispielsweise auf Regierungsserver oder Server von Kreditkartenunternehmen oder auch Facebook und Co. zu nutzen.
Die Hacks passieren auch nicht "plötzlich", sondern über einen längeren Zeitraum. Zunächst passiert (leider) erst einmal gar nichts. Je länger die Eindringlinge warten, bevor sie aktiv werden, desto sicherer können sie sein, dass man sie nicht ohne weiteres wieder los wird. Da werden – wie auf meiner zweiten Website – vielleicht erst mal nur weitere Admin-Accounts angelegt und wenn der Administrator die nicht bemerkt, passieren erst später weitere Veränderungen im System.
Oder wie bei der Marketing-Zauber-Site werden zunächst nur unauffällig Verlinkungen in den PHP-Code eingebaut, die auf Seiten führen, auf denen beispielsweise gefälschte Medikamente verkauft werden. Später wäre dann vielleicht sogar ein ganzer Medikamenten-Shop unter meiner Domain eingebaut worden – ohne, dass es mir oder Dir direkt aufgefallen wäre. Oder vielleicht wäre dort eine Seite erstellt worden, die vorgibt, eine Service-Seite eines Logistik-Unternehmens wie DHL, DPD oder UPS zu sein. Mit solchen Phishing-Seiten werden ja gerade mit den aktuell massenhaft versendeten SMS massiv Daten abgefischt.
Welche Auswirkungen hatte der Hack auf mein Business und was hätte sein können?
Aktuell sage ich mal: Ich bin mit einem blauen Auge und ein paar Hundert Euro Verlust davon gekommen.
Natürlich ist es ärgerlich, dass sich meine Arbeiten am Marketing-Zauber-Zirkel-Bereich jetzt wieder verschieben – ich hatte mir extra diese Woche für die Umbau-Arbeiten reserviert – jetzt muss ich schauen, wann ich wieder Zeit dafür finde.
Klar hätte ich das Geld für den Dienstleister lieber anderweitig investiert (in hilfreiche Tools beispielsweise, oder in Facebook-Ads).
Aber wenn ich bedenke, was noch alles hätte passieren können, habe ich ziemliches Glück gehabt. Wahrscheinlich lag der Zeitpunkt des Hackings noch nicht so lange zurück, so dass noch nicht allzuviel passiert ist.
Was hätte auf meiner Website noch passieren können?
Der oder die Hacker hätten alle Inhalte löschen können. Da auch die Backups verseucht sein dürften, hätte es viel Arbeit bedeutet, alles wieder herzustellen.
Der oder die Hacker hätten einen sogenannten "Drive by Virus" einbauen können, mit dem die Rechner Leser meiner Website mit einem Virus infiziert worden wären.
Die Inhalte meiner Website hätten komplett mit anderen getauscht werden können – oder beispielsweise Werbung und Verlinkungen zu Produkten, mit denen ich nicht in Verbindung gebracht werden möchte, hätten in meine Texte eingebaut werden können.
Egal, was im Detail weiter passiert wäre – der Reputationsverlust wäre sicher sehr schmerzhaft gewesen.
Hackings sind übrigens gar nicht so selten. Nur reden nicht alle so offen darüber wie ich.
Noch ein Wort zur DSGVO
Weil durch den Hack auch personenbezogene Daten für die Hacker verfügbar wurden, musste ich mich auch mit der DSGVO beschäftigen. Als erstes habe ich einen "Bericht zur Erstellung von IT-Sicherheitsvorfällen" erstellt. Geholfen hat mir dabei ein Formular, das mir meine Netzwerk-Kollegin und zertifizierte externe Datenschutzbeauftragte Karen Falkenberg von Computer-Zauber zur Verfügung gestellt hat.
Ich habe versucht einzuschätzen, wie hoch das Risiko für die betroffenen Personen ist, deren Daten auf meiner Website gespeichert waren. Nach Lektüre dieses Dokuments von der Landesdatenschutzbehörde NRW, die für mich zuständig ist, bin ich zur Einschätzung gekommen, dass das Risiko gering und nicht meldepflichtig ist.
Meine Kunden und Abonnenten der Website informiere ich über die Social Media, diesen Artikel und meinen Newsletter. Auf Facebook habe ich das Thema versucht, humorvoll anzugehen:
Du siehst, so eine gehackte Website kann einen ganz schön beschäftigen und in Atem halten, auch wenn man jemanden damit beauftragt, die Hacker wieder vor die Tür zu setzen und hoffentlich dauerhaft auszusperren.
Schreib mir also gern einen Kommentar, ob Du auch schon mal ein Website-Hacking hattest und wie es Dir dabei ergangen ist. Oder schreib mir einfach, wie Dir dieser Blogbeitrag gefallen hat und ob Du ihn hilfreich findest.
Vielen lieben Dank für diesen so ausführlichen Artikel, liebe Birgit. Wie gut, dass Du Dir zu helfen wusstest. Fachleute zu beauftragen ist und bleibt auch meine Wahl, egal ob Website oder qualifizierte Handwerker fürs Haus.
Ich habe Deinen Artikel gleich an meinen Admin weitergeleitet, der meine Website pflegt
Alles Liebe und Gute und allseits verriegelte Website-Türen.
Margaretha
Sehr gern geschehen, liebe Margaretha. Ich hoffe, damit etwas Aufklärung betreiben zu können und das Problembewusstsein zu wecken, auf jeden Fall zeitnah alles rund um WordPress aktuell zu halten. Und sich bewusst zu sein, dass selbst das manchmal nicht ausreicht.
Beste Grüße
Birgit
Liebe Birgit,
herzlichen Dank für Deinen Erfahrungsbericht, da konnte ich wieder einiges dankbar "mitnehmen"!
Weil Du schreibst, dass Du Dir vorgenommen hast, nun vierteljährlich zu protokollieren, wann welches Plugin aktualisiert wurde, kann ich nicht umhin, ohne eigenen Nutzen, einfach weil ich begeisterte Kundin bin, zu erwähnen, dass beim Hoster Raidboxes den Kunden u. a. auch eine Übersichtsseite zur Verfügung stellt mit den verwendeten Plugins und Themes inklusiv der Angaben, ob aktiv, ob Updates verfügbar und und wann das letzte Mal aktualisiert worden ist!
Natürlich kann das Vorhandensein einer solchen Übersichtsseite nicht der Grund sein, von einem Hoster zu einem anderen zu wechseln und ich habe ja mitbekommen, dass Du beim ebenfalls sehr empfehlenswerten Hoster All-Inkl Kundin bist.
Aber vielleicht gibt es ja Leser*innen Deines Blogbeitrags, die überlegen, zu einem anderen Hoster zu wechseln, sodass die Empfehlung von Raidboxes, eines auf Wordpress spezialisierten Hosters, bei dem man seinen Server nicht mit anderen Kunden teilt, das Kundendashboard multifunktional und gleichzeitig auch für reine Anwenderinnen angenehm durchschaubar strukturiert ist und innerhalb von meist nur Minuten der Support auf Anfragen reagiert, durchaus sinnvoll sein kann …
Mit herzlichen Grüßen aus Dortmund
Marie
Herzlichen Dank für Deinen Kommentar und den wichtigen Hinweis, Marie! Tatsächlich erwäge ich sogar schon länger, zu Raidboxes zu wechseln. Noch ein Grund mehr, um das vielleicht zu priorisieren.
Liebe Grüße
Birgit
Hallo Birgit j bin gerade in dieser für mich schrecklichen Situation; mein Blog ist ebenfalls gehackt worden und ich habe nicht die Möglichkeit etwas Brauchbares zu finden, um die Sache loszuwerden. Bin absolut kein "Technik Freak "deshalb bin ich mächtig erschrocken und weiß keine Handlungsfähigkeit wie du! Dein Wissen um die Dinge habe ich nicht auch die Situation ist mehr als bescheiden! Was würdest du mir raten wollen? Meine finanzielle Lage ist aufgrund unserer Pandemie so eingeschränkt, dass ich eher am Verzweifeln bin! Danke für deine Info's hoffe, dass ich es irgendwie hinbekomme!
Hallo Uschi,
oh, das tut mir wirklich leid. Im Grunde geht es Dir so wie mir 2008: Für einen Profi hatte ich kein Geld und mein Wissen hat nicht ausgereicht.
Rückblickend kann ich Dir aber nur empfehlen: Wenn Dein Business an dieser Website hängt – was ich vermute – dann gehe auf jeden Fall zu einem Spezialisten. Auch mit Hilfe netter Menschen in Foren oder Facebook-Gruppen wirst Du alleine kaum weiter kommen. Notfalls frag nach einer Ratenzahlung. Oder schau, ob Dir jemand das Geld leihen kann. Es ist auf jeden Fall gut investiert.
Ich hoffe, dass Du schnell eine Lösung findest!
Herzliche Grüße
Birgit
Liebe Birgit,
das ist ja mal wieder richtig gut erklärt! Da werde ich mich doch mal gleich dran machen, so diverse Dinge bei uns zu prüfen!
Liebe Grüße, Kornelia
Herzlichen Dank, Kornelia! Mach das bitte unbedingt!
Liebe Grüße
Birgit
Liebe Birgit, vielen Dank für diesen ausführlichen und super spannenden Artikel. Mir ist dies ebenfalls mal passiert. Ich wusste zuerst nicht, was ich machen soll und habe mich dann auch an einen Profi gewandt. Der Schaden war zum Glück nicht so krass wie befürchtet und ich bin schnell wieder von den blacklists entfernt worden.
Liebe Monika,
vielen lieben Dank für Dein Feedback! Da freue ich mich, dass Du die richtige Entscheidung getroffen hast und ebenfalls mit einem blauen Auge davon gekommen bist!
Herzliche Grüße
Birgit
Vielen Dank, liebe Birgit. Wie immer deutlich, klar, hilfreich!
Was machst du nun mit deinen vielen Backups? Welchen Umgang empfiehlst du in einem solchen Fall mit den Backups, vermutlich alles löschen, oder?
Hallo Petra,
vielen Dank für Dein positives Feedback. Wahrscheinlich werde ich alle Backups löschen. Kommen ja wöchentlich neue dazu.
Beste Grüße
Birgit
Hallo Birgit,
Danke für Deinen ausführlichen Bericht.
Ja, diese Möglichkeit besteht leider für uns alle.
Das ist tatsächlich so, Annette. Leider.
Herzliche Grüße
Birgit
Hallo Birgit,
vielen Dank für Deinen ausführlichen Erfahrungsbericht. Ich beschäftige mich schon länger mit dem Thema und freue mich immer über so lebensnahe Darstellungen. Deine Entscheidung Dir professionelle Hilfe zu holen war bestimmt die richtige. Und wenn Dir dann noch bessere Sicherheitseinstellungen mitgegeben wurden, dann klingt das doch sehr seriös. Denke damit bist Du jetzt sehr gut abgesichert.
Grüße
Mihael
Hallo Mihael,
vielen Dank für Deinen Kommentar und die aufmunternden Worte. Ich hoffe auch, dass meine Website nun so sicher ist, wie es aktuell möglich ist.
Beste Grüße
Birgit