Hilfe ein Kurde hat mein Blog gehackt was muss ich jetzt tun?

von | Feb 7, 2017 | Technik | 1 Kommentar

Schlagwörter: featured - Hack - WordPress

Am Samstag war ich ja beim 1. Schweizer Medien Barcamp und den Sonntag über habe ich schön verschlafen. Aber vorhin so zwischen 22 und 23 Uhr explodierte mein Twitter und Facebookfeed mal wieder. Nein, nicht weil die Journalisten von Gestern mich in ihren Zeitungsartikel verwurstet haben 🙂 Nein weil anscheinend am Wochenende ein Kurdischer Hacker mal wieder Deutschland und auch die Schweiz unsicher gemacht hat und Blogs gehackt hat. Viele Blogs – ich bin bisher auf 8 Fälle gestossen – ich denke es gibt sicher noch mehr Opfer.

Zuerst muss ich sagen, dieser Hacker hat es mal gut gemeint – er hat nicht wirklich einen Schaden angerichtet sondern einfach 1 Blogbeitrag verändert. Glaubt mir es hätte noch viel schlimmer kommen können. Also ihr habt wirklich Glück gehabt.

Was muss ich nun tun?

Macht ein Backup

Nun zuerst hoffe ich mal, dass ihr ein neues Backup habt – eines das wenige Tage alt ist. Und dann macht ihr am besten gleich jetzt nochmal ein neues Backup. Ihr wisst ja wie, PHP Files vom Webserver runterladen und lokal speichern sowie die Datenbank runterladen. Denn ohne einem Backup ist es immer sehr kritisch wenn man am Blog arbeitet. Macht man nämlich was kaputt und man hat kein Backup ist alles weg, hat man aber ein Backup kann man den Blog wieder reaktivieren. Darum liebe Leser – ich hoffe ihr macht regelmässig 1x in der Woche ein komplettes Backup.

Artikel deaktivieren

Damit eure Leser nicht mit einem komischen Beitrag begrüsst werdet, schaltet ihr den Beitrag aus und stellt den Status auf Entwurf. Damit könnt ihr den Beitrag bearbeiten aber er ist für die Leser nicht mehr sichtbar

Benutzer checken und Passwort ändern

Jetzt gebt ihr euch ein neues Passwort und schaut ob ihr einen komischen neuen Benutzer drin stehen habt. Wenn jemand drin steht den ihr nicht kennt, sofort ihn sperren und einen Fachmann informieren (also zb mich) – denn dann ist der Hack schlimmer als der von diesem Kurde.

Am Besten gebt ihr eurem Admin Account ein neues Passwort und deaktiviert eure Gastautoren (ihr könnt denen später neue PW’s geben).

Ich habe es schön öfters gesehen, dass der Adminloginname der gleiche ist wie der Autorenname – das solltet ihr nie machen. So weiss nämlich jeder Hacker dass er nicht mit Admin rumspielen muss sondern mit eurem Name – und ihr habt somit dem Hacker die Arbeit wirklich sehr erleichtert. Benutzernamen kann man nicht so einfach ändern, das müsst ihr am Besten via DB direkt machen. Aber Achtung – da solltet ihr wissen was ihr tut – die Datenbank ist ja das Gehirn eures Blogs !!!

Ändert dabei auch FTP, DB Passwort usw.

Und bitte verwendet nicht überall das gleiche Passwort !!! Wer trotzdem überall das gleiche PW verwendet, sollte jetzt überall das PW ändern und danach sein Mund mit Seife ausspülen (damit ihr sowas NIE wieder macht)

Aktualisiert euren Blog

Ich kann es noch nicht genau sagen – aber ich habe das Gefühl dieser Hacker verwendet eine alte Sicherheitslücke von WordPress. Alle Blogs die vom Hack betroffen sind, hatten eine veraltete WP Version im Einsatz. Darum aktualisiert jetzt euer WP auf die neueste Version, auch alle Plugins und alle Themes sollten jetzt aktualisiert werden. Und dann löscht ihr auch gleich noch alle ungenutzten Plugins.

Artikel via Revisionen retten

WordPress hat eine geile Funktion eingebaut, die Revisionen. Das ist eine Art Visionierung der Beiträge und man kann zu jeder Zeit auf einen Punkt „zurückspringen“. Damit eurer Beitrag nicht verloren ist, stellt ihr ihn mit der Revision Funktion wieder her und schaltet dann den Beitrag wieder online.

Wenn ihr ganz sicher sein wollt, dann könnt ihr auch ein Backup einspielen. Dann seid ihr sicher, dass der Hack keine php Files verändert hat. Aber ich diesem Fall von diesem Kurde ist das nicht nötig – ich habe den Code angeschaut und nichts komisches gefunden.

Danach solltet ihr evtl noch ein Plugin wie Limited Login Attempts installieren, damit könnt ihr einstellen wie oft jemand sich mit eurem Loginformular austoben kann bis er gesperrt wird.

Wenn ihr das alles durchgespielt habt, dann seid ihr auf dem richtigen Weg. Als Laie kann man dann nichts mehr wirklich tun. Ich persönlich halte nichts davon die Loginseite zu verstecken. Haltet einfach eure WordPress Installation inkls aller Plugins immer auf dem neuesten Stand und macht regelmässig ein Backup!

1 Kommentar

Antworten auf Marion Antworten abbrechen

Du kannst auf Fediverse-Profile verlinken, indem du fl:@benutzername in deinem Kommentar eingibst.

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert