Schützt Eure WordPress Installation!

WordPress Sicherheit erhöhen

Unter dem Titel Careless Webmasters as WordPress Hosting Providers for Spammers beschreibt der Autor des Blogs Unmask Parasites, wie Spammer WordPress oder Joomla Websites hacken und für Spam-Zwecke einsetzen. Gegen Ende des Artikels führt er an, wie man sich eventuell vor solchen Angriffen schützen kann.

So gehen die Hacker vor

Die Hacker installieren in unverdächtig aussehenden Verzeichnissen der Original-Websites  Doorway-Wordpress Websites, mit dem Ziel, deren Seiten für Begriffe wie beispielsweise „buy cheap Fendi Boston“ bei Google gleich auf mehreren Ergebnisseiten der Suchmaschine zu positionieren.

Gelangt ein User dann auf solche Doorway-Seiten und klickt ein Produkt an, wird er in das eigentliche Zielshop geleitet (wo dann „Replika“ der teuren Originalmarken verkauft werden). Die Besitzer der seriösen Original-Websites, wie AcademyOfHawaiianArts.org oder ClevelandCatholicPriesthood.com ahnen nichts (Status 20.05.2012: noch immer nichts) von den Kuckucks-Kindern auf ihrem Hosting-Server.


Und so nisten sich die Spammer ein:

  1. Sie knacken das admin-Passwort (mittels brute-force-Attacke)
  2. Sie legen mit Hilfe des WordPress-Editors eine Webshell an (zumeist in einem Plugin wie Akismet). Damit können sie am Server arbeiten.
  3. Sie legen unverdächtig aussehende Unterverzeichnisse an (/wp-content/upgrade/2012/, /wp-content/upgrade/new/, /wp-content/upgrade/css/, etc.)
  4. Das WordPress-Installationspaket wird hochgeladen
  5. MySql-Verbindungsdaten werden aus wp-config.php der Original-Installation ausgelesen
  6. Die Angreifer installieren eine neue WordPress-Website parallel zur Original-Website
  7. Ein Doorway-Theme wird angelegt. Beispiel:
  8. Das Remote Publishing wird für die SpamInstallation aktiviert
  9. Ab jetzt werden Spam-Artikel bzw. oft genug auch Phishing-Formulare veröffentlicht

Der Autor des Sicherheitsblogs konnte auch beobachten, dass sich die Herkunft der Hacker zumeist auf chinesische Server zurückführen lässt.

Was tun?

Die Empfehlungen des Experten lauten:

  • Starke Passworte für Administratoren wählen (Mix aus Buchstaben, Ziffern, Sonderzeichen. Tipp: Merksatz)
  • Den Benutzer „admin“ vollständig aus der Installation löschen.
  • Veränderungen in der Dateistruktur am Webserver monitoren (dabei helfen Plugins, wie WordPress File Monitor,
  • WordFenceAnti-Malware Security and Brute-Force Firewall, Sucuri, iThemes Security oder das Service von WebsiteDefender)
  • Immer wieder Google nach den Dateien der eigenen Website absuchen [site:ihre-domain.de]. Vielleicht finden Sie fremde Seiten unter Ihrer Domain, die von Google bereits indexiert wurden.
  • Die Berichte der Google Search Console (Webmaster Tools) ansehen. Diese Tools berichten im Gegensatz zu Google Analytics auch über Seiten, die keinen Analytics-Trackingcode beinhalten (den die Hacker ja unter allen Umständen auf den Doorway-Seiten vermeiden).
    • Bericht „Suchanfragen“ – seltsame Suchmuster aufspüren.
    • Bericht „Links zu Ihrer Website“ – seltsame externe Links feststellen.
    • Bericht „Interne Links“ – Alien-Bereiche der Website aufspüren.
  • Wenn möglich, dann auch die Rohdaten Ihrer Webserver-Logs ansehen. Sie sind schwerer zu lesen, aber deren Analyse kann ebenfalls helfen, bösartige Dateien aufzuspüren und Sicherheitslöcher zu finden.

Unsere zusätzlichen Empfehlungen:

Glauben Sie, dass Sie ein sicheres Passwort einsetzen? Machen Sie doch folgenden Test:

  1. Lassen Sie sich beispielsweise hier oder hier den MD5 und den SHA-1 Code Ihres Passworts anzeigen.
  2. Suchen Sie anschließend bei Google nach den erzeugten Codes.

Wie war das Ergebnis?

Weitere Artikel zum Thema:

Ähnliche Artikel:

5 Antworten auf „Schützt Eure WordPress Installation!“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.