Okay, Ihre WordPress-Website wurde gehackt. Das ist Scheiße. Zweifellos Fragen wie: ‚Warum sitzen Hacker immer mit Maske hinter dem eigenen Computer im Dunkeln?‘ lauf dir durch den kopf. Aber Sie könnten noch neugieriger sein: Wie machen sie das? In diesem Artikel erklären wir in ’normaler Sprache‘, wie Hacker (und ihre Bots) arbeiten.
Übrigens, vielleicht haben Sie es bereits gelöst und sind nur neugierig, wie Hacker funktionieren. Wenn Ihre Website jedoch immer noch nicht zugänglich ist, voller Junk (SEO-Spam) ist oder Sie sich nicht sicher sind, ob Sie sie richtig bereinigt haben: Fühlen Sie sich frei uns zu kontaktieren.
1. Brute force wp-login.php form
Brute Forcen eines Formulars ist der einfachste Weg, Ihre WordPress-Sicherheit zu knacken. Diese ‚rohe Gewalt‘ geht buchstäblich mit roher Gewalt einher und ist nicht besonders intelligent. Nachdem Sie Ihre Benutzernamen gefunden haben, werfen Hacker – mit Bots und Tools – einfach eine riesige Liste häufig verwendeter Passwörter gegen Ihr Anmeldeformular, in der Hoffnung, dass 1 bleibt. Die Benutzernamen sind oft über http://example.com/?author=1 oder https://example.com/wp-json/wp/v2/users zu finden oder auch einfach weil sie in einem Blogbeitrag erwähnt werden.
Die Passwörter werden bei großen Datenschutzverletzungen gesammelt. Neugierig, was auf einer solchen Liste steht? Sehen Sie sich hier die Top 100 der am häufigsten verwendeten Passwörter an. Möchten Sie wissen, ob Ihr Passwort möglicherweise auf einer solchen Liste steht? Geben Sie Ihre E-Mail-Adresse unter haveibeenpwned.com ein, um zu sehen, ob Ihre Daten jemals durchgesickert sind. Seien Sie nicht beunruhigt, aber wenn Sie schon länger auf Linkedin aktiv sind, besteht eine gute Chance, dass Ihr Passwort durchgesickert ist.
Tipps:
– Verwenden Sie vorzugsweise eines der Passwörter, die WordPress für Sie generiert. Sie sind unmöglich zu merken, aber Sie wissen sicher, dass sie nicht auf einer Liste stehen.
– Überlassen Sie das Erinnern einem Passwort-Manager oder dem eingebauten Passwort-System Ihres Browsers. Ein solcher Passwort-Manager benachrichtigt Sie sogar, wenn das von Ihnen verwendete Passwort im Falle einer Datenpanne unerwartet durchgesickert ist.
2. Exploit WordPress Plugin
Plugins, Themes und der Kern von WordPress enthalten viele Codezeilen, die von vielen Entwicklern aus der ganzen Welt geschrieben wurden. Die Verfügbarkeit dieser Plugins macht WordPress großartig, bietet aber auch – wenn Sie zu lakonisch sind – eine Chance für Hacker. Leider kommt es manchmal vor, dass Entwickler sich nicht so sehr auf die Sicherheit ihres Plugins konzentrieren.
Es hängt natürlich ganz davon ab, wie viele Plugins Sie auf Ihrer Website installiert haben, aber auch, wo und von wem Sie diese heruntergeladen haben. Die Auswirkungen einer Schwachstelle in einem Plugin sind unterschiedlich, können aber weitreichende Folgen haben.
So finden Sie heraus, ob Sie ein Plugin mit einer Sicherheitslücke verwenden:
Sobald eine Schwachstelle in einem Plugin oder Theme gefunden wird, wird der Entwickler (in der Regel) benachrichtigt und aufgefordert, ein Update zu veröffentlichen. Wenig später erscheint eine Meldung in einer Datenbank wie der von WPScan oder ExploitDB Benutzer über die Schwachstelle zu informieren. Gut, denn dann wissen wir, dass etwas nicht stimmt. Dies bietet Hackern jedoch sofort eine schöne Liste von Schwachstellen, nach denen sie aktiv suchen können. Diese Suche kann über Scans erfolgen, manchmal aber auch ganz einfach über Google.
Example:
Das Plugin WP DB Manager hat in 2 alten Versionen ein Leck laut WPScan database. Websites mit diesem Plugin sind über ein Google Dork recht einfach zu finden: inurl:wp-content/plugins/wp-dbmanager/.
Tipps:
– Stellen Sie sicher, dass Sie Ihren WordPress-Code, Plugins und Themes regelmäßig aktualisieren.
– Fehlt Ihnen ein Lizenzcode? Stellen Sie sicher, dass Sie es kaufen, damit Sie es erneut aktualisieren können.
– Sie haben ein Plugin, das nicht mehr gepflegt wird? Suchen Sie nach einer Alternative.
– Verwenden Sie ein Plugin mit einer Version aus dieser Liste https://wpscan.com/plugins? Hör auf zu lesen und lösch das Ding!
Wie wir sicherstellen, dass Websites sicher sind und bleiben
Plugins und Updates
Bei der Entwicklung von WordPress-Websites, Wir verwenden gerne so wenige Plugins wie möglich und die von uns verwendeten Plugins sind oft Premium und daher von einem zuverlässigen Entwickler lizenziert. Auf diese Weise wissen wir mit Sicherheit, dass das Plugin gewartet und aktualisiert wird. Darüber hinaus bieten wir Kunden immer einen Wartungsvertrag an, bei dem wir Backups erstellen und alle Updates durchführen. Auf diese Weise wissen unsere Kunden sicher, dass ihre Website auf dem neuesten Stand ist. Wussten Sie, dass Sie nach der DSGVO verpflichtet sind, Ihre Software auf dem neuesten Stand zu halten, wenn Ihre Website personenbezogene Daten verarbeitet?
Eine Firewall
Es gibt verschiedene Firewall-Plugins die frühzeitig erkennen können, ob Ihre Website von Besuchern/Bots besucht – bzw. Eine solche Firewall schirmt Dateien ab, nach denen niemand suchen muss, und blockiert Besucher, die verdächtige Aktionen ausführen.
Brauchen Sie Hilfe?
Dieser Artikel gibt einen Einblick in 2 der beliebtesten Methoden für Hacker, aber dies sind sicherlich nicht die einzigen 2 Optionen. Möchten Sie wissen, ob Ihre WordPress-Website Plugins mit bekannten Sicherheitslücken verwendet? Zögern Sie nicht, uns für einen Scan Ihrer Website zu kontaktieren. Sie können auch das untenstehende Kontaktformular verwenden, um Hilfe beim Einrichten einer Firewall oder beim Bereinigen / Überprüfen Ihrer gehackten WordPress-Website zu erhalten.