Was für ein Freitag! Ich kam gerade erst ins Büro, da wurde ich bereits virtuell von zwei Mitarbeiterinnen aus dem Homeoffice "überfallen". Unsere eigene Website war offenbar gehackt worden und verlinkte munter zu irgendwelchen Pornoseiten. Ein Alptraum und ganz sicher das, was niemand erleben möchte.
Bisher war ich mir sicher gewesen, dass uns so etwas nicht passieren würde, da wir in Sachen Sicherheit immer ganz vorne dabei sind. Gibt es nicht hunderte schlecht gesicherter Websites, in die das Eindringen mit Leichtigkeit gelingt? Unsere Website, die immer über die aktuellsten Sicherheitsupdates verfügt und auch sonst gut abgesichert ist… nun war es also geschehen. Ich war fassungslos.
Doch was tun, um das Problem schnellstmöglich in Griff zu bekommen und den Schaden zu begrenzen?
Der erste Schritt war, die Website zu sperren. Sie auf Wartungsarbeiten zu setzen, damit auf keinen Fall Kunden oder potenzielle Kunden auf unserer Website diese Links anklicken und so ein (Image-) Schaden entsteht. Mein Interesse war natürlich, den Stand der Website in der manipulierten Form zunächst zu erhalten, um alles für die Ursachenforschung zu erhalten.
Dann kam die Hauptarbeit. Ich wollte herausfinden, wie es dem Angreifer gelungen war, in unsere Website einzudringen und sie zu manipulieren. Ich musste mich dafür durch hunderte von Log-Dateien wühlen und nach Auffälligkeiten suchen. Das hat fast den ganzen Freitag gedauert. Dann hatte ich den vermutlichen Verursacher (die Sicherheitslücke) gefunden. Das gemeine war: Der erfolgreiche Hack lag bereits ca. 4 Wochen zurück. Backups liegen zumeist nur für 2 Wochen vor. Offenbar hatte der Hacker sich erstmal ruhig verhalten, damit man das Problem nicht durch Einspielen eines Backups beheben kann. Darüber hinaus hat er sich auch sonst so verhalten, dass wir als Betreiber der Website den Hack nicht bemerken würden: Die bösen Links tauchten nur auf, wenn man als nicht eingeloggter Nutzer auf der Website war.
Der nächste Schritt war dann, herauszufinden, wie die Sicherheitslücke, die der Hacker genutzt hatte, um in unser System einzudringen, geschlossen werden kann. Ich habe also ein Backup von einem Zeitpunkt vor dem Hack eingespielt und die Sicherheitslücke geschlossen. Darüber hinaus haben wir nun eine Firewall installiert, die noch wesentlich genauer überwacht, was auf der Website passiert, und bei Auffälligkeiten per E-Mail warnt.
Abschließend blieb nur noch, alle Passwörter zu ändern. Dabei haben wir - wie bisher auch - komplexe Passwörter verwendet, die Buchstaben, Ziffern und Sonderzeichen enthalten.
Und auch, wenn uns das in diesem Fall nicht geholfen hat: Mindestens einmal im Monat sollten in einer Website die aktuellsten Updates eingespielt werden, damit Sicherheitslücken, die durch WordPress selbst oder die ergänzenden Plugins entstehen, zeitnah geschlossen werden.
(Erlebnisbericht von Catharina von Hobe, Geschäftsführerin von CvH Design GmbH & Co. KG)