15
20

Gehackt und als Spamschleuder missbraucht

65 / 100

Ich konnte es kaum glauben, aber heute erhielt ich doch tatsächlich eine E-Mail von meinem Hosting-Provider mit der unschönen Nachricht, ich würde über einen bestimmten Mail-Account ungeniert SPAM-Mails versenden.

Ich war zunächst erstaunt. Dieses Gefühl wechselte dann schlagartig zu einem gewissen Sckockzustand, als mein Provider mir erklärte, was da passiert war.

Offensichtlich ist es einem Angreifer gelungen, einen meiner WordPress-Accounts zu hacken und dann über die WordPress Admin-Area eine Datei auf dem Server abzulegen, die für den Spamversand verantwortlich war. Die Datei hörte auf den schlichten Namen „5.php“ und war im Stammverzeichnis der WordPress Installation abgelegt.

Jeder halbwegs WordPress versierte Anwender weiss natürlich, dass eine solche Datei im WordPress Verzeichnis nichts zu suchen hat.

Die Datei war schnell gelöscht, aber der beinahe komplette restliche Tag ging drauf für diverse Sicherheitsmaßnahmen.

Folgendes habe ich durchgeführt:

1. Update jeder WP-Installation auf die aktuelle Version
2. Update aller Plugins
3. Austausch des Admin-Passwortes in jeder WP-Installation
4. Individuelle Passwörter für jede einzelne Datenbank
5. Austausch der Passwörter für die FTP-Zugänge
6. Löschen brachliegender Datenbanken
7. Löschen brachliegender Webverzeichnisse

Zum Glück war die WordPress Installation, die gehackt wurde, nicht besonders wichtig und auch anderweitig gesichert. Daher entschloss ich mich dazu, die Installation komplett zu löschen.

Wie der Zufall es will, las ich heute Abend den Newsletter von Vladimir Simovic (perun.net). Dieser enthielt u.a. den Beitrag „Brute-Force-Attacken auf WP-Installationen“ mit dem Rat, das Plugin „Limit Login Attempts“ zu installieren und für den Admin möglichst einen anderen Namen als „admin“ zu verwenden.

Das werde ich natürlich für alle meine WP Installationen sofort durchführen, wobei ich den Namen „admin“ wirklich nur für ganz unwichtige Installationen verwende, aber egal.

Die Begrenzung der Login-Versuche ist hoffentlich ein wichtiger Schritt zu mehr Sicherheit, denn um einen Account zu hacken, werden nach der Methode „irgendein Passwort wird schon passen“ sicherlich hunderte, wenn nicht sogar tausende Login-Versuche unternommen.

Wenn aber nach drei oder vier Login-Versuchen das System keine weiteren Versuche mehr annimmt, dann ist Ende für den Hacker. Er wird sich dann andere, leichtere Opfer suchen. Das ist in etwas so wie bei den SIM-Karten in den Handys. Um das Gerät einzuschalten, muss man eine vierstellige Nummer eingeben. Nach drei Fehlversuchen ist das Gerät automatisch gesperrt.

Zum Glück war der Angriff auf meinen Account noch halbwegs harmlos und die Spamschleuder wurde von meinem Provider auch ziemlich schnell entdeckt (Danke liebes Hosteurope-Team, Ihr seid die besten!). Aber wenn es dem Hacker auch nur gelungen ist, 1 000 Mails zu versenden, mit irgendwelchen dubiosen Angeboten und jedes Mal steht da meine Absenderadresse drin, dann macht mir das schon ein wenig Kopfschmerzen.

Tatsache ist auf jeden Fall, dass es gerade bei WordPress viele Anwender den Hackern schlicht und ergreifend viel zu einfach machen. Damit ist zumindest bei mir jetzt Schluss und ich hoffe, bei Ihnen auch.

Informieren Sie sich, es gibt zahlreiche Sicherheits-Plugins für WordPress, aber einige Basics sollten auf jeden Fall befolgt werden.

Abschließender Tipp

Achten Sie wie immer bei der Auswahl eines Plugins auf folgende Parameter:

  • Anzahl der Downloads ( i.d.R. je mehr desto besser)
  • Datum der letzten Aktualisierung (sollte möglichst nicht allzu weit in der Vergangenheit liegen)
  • Bewertungen der anderen User

Im Idealfall testen Sie das neue Plugin in einer WordPress-Testumgebung und nicht direkt in Ihrem Projekt. Ich weiß, Faulheit siegt, ich mache es auch oftmals direkt in dem Projekt. Aber das Aufsetzen einer Testumgebung erfordert nur einen minimalen Zeitaufwand und Sie können diese Umgebung immer wieder nutzen, auch z.B. für das Testen von Themes. Einmal installiert, werden Sie eine solche Testumgebung nicht mehr missen wollen.