Website gehackt: Was tun?

31. März 2021

Website gehackt. Was tun?

283520241 / © MaksymFilipchuk / stock.adobe.com

Was für ein Freitag! Ich kam gerade erst ins Büro, da wurde ich bereits virtuell von zwei Mitarbeiterinnen aus dem Homeoffice “überfallen”. Unsere eigene Website war offenbar gehackt worden und verlinkte munter zu irgendwelchen Pornoseiten. Ein Alptraum und ganz sicher das, was niemand erleben möchte.

Bisher war ich mir sicher gewesen, dass uns so etwas nicht passieren würde, da wir in Sachen Sicherheit immer ganz vorne dabei sind. Gibt es nicht hunderte schlecht gesicherter Websites, in die das Eindringen mit Leichtigkeit gelingt? Unsere Website, die immer über die aktuellsten Sicherheitsupdates verfügt und auch sonst gut abgesichert ist… nun war es also geschehen. Ich war fassungslos.

Doch was tun, um das Problem schnellstmöglich in Griff zu bekommen und den Schaden zu begrenzen?

Website vom Netz nehmen

Der erste Schritt war, die Website zu sperren. Sie auf Wartungsarbeiten zu setzen, damit auf keinen Fall Kunden oder potenzielle Kunden auf unserer Website diese Links anklicken und so ein (Image-) Schaden entsteht. Mein Interesse war natürlich, den Stand der Website in der manipulierten Form zunächst zu erhalten, um alles für die Ursachenforschung zu erhalten.

Was ist passiert und wann war das?

Dann kam die Hauptarbeit. Ich wollte herausfinden, wie es dem Angreifer gelungen war, in unsere Website einzudringen und sie zu manipulieren. Ich musste mich dafür durch hunderte von Log-Dateien wühlen und nach Auffälligkeiten suchen. Das hat fast den ganzen Freitag gedauert. Dann hatte ich den vermutlichen Verursacher (die Sicherheitslücke) gefunden. Das gemeine war: Der erfolgreiche Hack lag bereits ca. 4 Wochen zurück. Backups liegen zumeist nur für 2 Wochen vor. Offenbar hatte der Hacker sich erstmal ruhig verhalten, damit man das Problem nicht durch Einspielen eines Backups beheben kann. Darüber hinaus hat er sich auch sonst so verhalten, dass wir als Betreiber der Website den Hack nicht bemerken würden: Die bösen Links tauchten nur auf, wenn man als nicht eingeloggter Nutzer auf der Website war.

Schließen der Sicherheitslücke

Der nächste Schritt war dann, herauszufinden, wie die Sicherheitslücke, die der Hacker genutzt hatte, um in unser System einzudringen, geschlossen werden kann. Ich habe also ein Backup von einem Zeitpunkt vor dem Hack eingespielt und die Sicherheitslücke geschlossen. Darüber hinaus haben wir nun eine Firewall installiert, die noch wesentlich genauer überwacht, was auf der Website passiert, und bei Auffälligkeiten per E-Mail warnt.

Alle Passwörter ändern

Abschließend blieb nur noch, alle Passwörter zu ändern. Dabei haben wir – wie bisher auch – komplexe Passwörter verwendet, die Buchstaben, Ziffern und Sonderzeichen enthalten.

Die 5 wichtigsten Schlussfolgerungen:

  • Es ist auf jeden Fall sinnvoll, regelmäßig wie ein Kunde (also nicht eingeloggt) die eigene Website zu besuchen, damit man solche Manipulationen bemerkt.
  • Tools zum Protokollieren von Aktivitäten sind absolut sinnvoll und helfen bei der Ursachensuche.
  • Backups sollten nicht nur täglich für 14 Tage zurück, sondern zusätzlich noch monatlich für z.B. die letzten 6 Monate vorliegen.
  • Wenn es passiert, dann muss ein Profi ran. Sonst kann man die Website schlechtesten Falls wegschmeißen, weil man nicht weiß, ob sich der Hacker irgendwo ein Hintertürchen eingebaut hat.
  • Es empfiehlt sich, alles Erdenkliche im Vorwege zu tun, um den Hackern das Leben schwer zu machen. Eine Firewall bietet zusätzlichen Schutz.

Und auch, wenn uns das in diesem Fall nicht geholfen hat: Mindestens einmal im Monat sollten in einer Website die aktuellsten Updates eingespielt werden, damit Sicherheitslücken, die durch WordPress selbst oder die ergänzenden Plugins entstehen, zeitnah geschlossen werden.

Ihnen soll das nicht passieren? Dann profitieren Sie von unseren Erfahrungen:

    Ihr Name (Pflichtfeld)

    Betreff

    Ihre Nachricht

    Ihre E-Mail-Adresse (Pflichtfeld)

    Ihre Website (Pflichtfeld)

    Zum Schutz vor SPAM-Mails setzen wir ein auf künstliche Intelligenz basierendes ReCaptcha-Verfahren ein. Zu diesem Zweck wird eine Verbindung zu einem Google-Server hergestellt. Mit der Benutzung des Formulars stimmen Sie diesem Datenaustausch zu. Details dazu entnehmen Sie bitte unserer Datenschutzerklärung.

    (Erlebnisbericht von Catharina von Hobe, Geschäftsführerin von CvH Design GmbH & Co. KG)

    Lesen Sie weitere Beiträge zu diesen Themen:

    © 2005 CvH Design GmbH & Co. KG, Ahrensburg bei Hamburg - www.cvh-design.de - Impressum - Datenschutz