Hacks und Sicherheit, da möchte man eigentlich nicht drüber nachdenken, aber es muss einfach stimmen! Deshalb erhalten Sie bei uns eine WAF-Firewall und ein 2-Faktor-Login als Standard.

Es ist möglich, den 2-Faktor-Login zu deaktivieren. Wir haben unten ein Stück des Server-Logs (keine Sorge, wir erklären, was es bedeutet), damit Sie sehen können, warum Sie einen 2-Faktor-Login haben wollen. Dieses Serverprotokoll ist ein echter Hacking-Versuch aus dem Jahr 2016, wir haben die Domain als domain.co.uk anonymisiert.

Aus Gründen der Lesbarkeit haben wir die IP-Adresse des Spambots und auch den langen User-Agent (den Browser „Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/49.0.2623.75 Safari/537.36 OPR/36.0.2130.32“) entfernt, da er in jeder Zeile gleich ist.

Das Serverzugriffsprotokoll eines WordPress-Site-Hacks

1) [30/Jun/2016:09:01:11 +0200] "POST /wp-login.php HTTP/1.0" 302 - "www.domein.nl/wp-login.php" 2) [30/Jun/2016:09:01:11 +0200] "GET /wp-admin/ HTTP/1.0" 200 140605 "www.domain.co.uk/wp-login.php" 3) [30/Jun/2016:09:01:13 +0200] "GET /wp-admin/theme-editor.php HTTP/1.0" 403 3330 "-" 4) [30/Jun/2016:09:01:14 +0200] "GET /wp-admin/theme-editor.php?file=404.php&theme=zwanzigdreizehn HTTP/1.0" 403 3330 "-" 5) [30/Jun/2016:09:01:14 +0200] "POST /xmlrpc.php HTTP/1.0" 503 - "-" "-" 6) [30/Jun/2016:09:01:14 +0200] "GET /wp-admin/theme-install.php?upload HTTP/1.0" 200 122180 "-" 7) [30/Jun/2016:09:01:16 +0200] "POST /wp-admin/update.php?action=upload-theme HTTP/1.0" 200 106431 "www.domein.nl/wp-admin/theme-install.php?upload" 8) [30/Jun/2016:09:01:21 +0200] "GET /wp-content/themes/wiles/db.php HTTP/1.0" 200 120 "-" 9) [30/Jun/2016:09:01:21 +0200] "POST /wp-content/themes/wiles/db.php HTTP/1.0" 200 28075 "www.domein.nl/wp-admin/theme-install.php?upload" 10) [30/Jun/2016:09:40:59 +0200] "GET /robots.txt HTTP/1.0" 200 2978 "-" 11) [30/Jun/2016:09:41:00 +0200] "GET /wp-content/plugins/formcraft/file-upload/server/php/upload.php HTTP/1.0" 503 - "-" 12) [30/Jun/2016:09:42:00 +0200] "GET /wp-content/plugins/wp-symposium/server/php/mVHkvNjQTptiaw.php HTTP/1.0" 503 - "-"

Was für ein Hack ist auf dieser Website passiert?

Sie sehen eine erfolgreiche Anmeldung (1,2), dann will der Hacker sofort den Themen-Editor öffnen (3, 4). Der ist bei uns standardmäßig ausgeschaltet, so dass Sie eine 403 (forbidden)-Meldung sehen.

Dann geht der Hacker zu den Anzeigeeinstellungen (6) und lädt ein infiziertes Thema (7) namens „wiles“ hoch. In der Zwischenzeit kommt ein anderer Spambot/Hacker daher und versucht etwas mit xmlrpc (5), das wir ebenfalls standardmäßig deaktivieren, und gibt sofort eine 503-Meldung aus.

Nachdem nun das infizierte Theme hochgeladen wurde (und Achtung: das Theme ist nur vorhanden, es ist NICHT eingeschaltet, so dass die Seite immer noch gleich aussieht), sehen Sie einen erfolgreichen Datenaufruf an wiles/db.php (8,9). Danach erwartet der Hacker zwei Plugins, die Malware enthalten (11,12). Die Aufrufe funktionieren nicht, weil unsere Software sie als falsche php-Aufrufe in Plugin-Verzeichnissen erkennt und wiederum eine 503-Meldung zurückbekommt.

Wie konnte dieser Hack passieren?

Wir stellen fest, dass für die Verwaltung der WordPress-Site ein sehr schwaches Passwort verwendet wurde (und damit volle Berechtigungen). Dieser Kunde hatte bereits zuvor die 2FA deaktiviert. Dadurch konnte sich der Hacker ganz einfach anmelden und musste nicht in das E-Mail-Postfach des Kunden gehen, um das temporäre Login-Token mit zufälligen Zeichen abzurufen, das er im zweiten Schritt des Anmeldevorgangs eingeben musste.

Wie kann ich einen solchen Hack verhindern?

Aus dem Zugriffsprotokoll können Sie ersehen, dass wir eine ganze Reihe von Versuchen erkennen und sie automatisch mit einer 403- oder 503-Fehlermeldung blockieren. Bei diesem Hack gab es keine erfolgreichen Aufrufe, und wir haben dem Kunden geholfen, die Website zu bereinigen.

Verhindern Sie auch, dass sich ein Hacker Zugang zu Ihrer wp-admin-Administrationsumgebung verschafft:

Wählen Sie außerdem ein sicheres WordPress-Hosting

Ihre Website ist uns willkommen! Wurde Ihre Website gerade gehackt? Kein Problem, wenden Sie sich direkt an uns und wir werden sie sauber übertragen.