ST-Page.de Blog gehackt

Seit zwei Tagen habe ich in der App Google Analytics für Android keine organischen Zugriffe mehr gefunden. Jeden Tag habe ich mehr als 20 direkte Zugriffe, wo ich nicht weiß, was sie auf meiner Homepage wollen. Mein WordPress Blog wird durch ein Plugin geschützt, jedoch konnte dieses den Angriff nicht verhindern, da Dateien geändert wurden. Es wurden die PHP von WordPress ausgetauscht und manipuliert, wie der Schadcode in das WordPress-Ökosystem gelangen konnte ist mir unklar. Aber nach einer halben Stunde Arbeit war mein Blog wieder online, was mich sehr freute.

Der eigene Blog gehackt, was jetzt?

Wenn der eigene Webseite oder Blog gehackt wird, ist erstmal Ratlosigkeit an der Tagesordnung, wie konnte das nur passieren. Durch einen Selbstversuch im SQL Hacking von früher wurde mir sehr schnell klar, wie schnell man anderen Schaden zufügen kann. Letztendlich wird von einer Software eine Funktion genutzt, welche vom Programmierer nie dafür vorgesehen war, jedoch dafür genutzt wird. Im Fachjargon wird von einer Lücke in der Software gesprochen. Bevor eine Software auf dem Markt erscheint, sollte diese getestet werden, oft reicht die Zeit dafür nicht und die Software kann Lücken enthalten.

Je mehr Schnittstelle eine Software zur Verfügung stellt, desto leichter kann man diese Hacken. Bei WordPress gibt über zehn verschiedene Applikationbibliotheken welche über sehr viele verschiedene Schnittstellen verfügen (sogenannte Hocks). Diese Hocks werden von drittanbietern Software verwendet, welche zum Teil die Software nicht testen und keine Ahnung von Softwaresicherheit verfügen. WordPress hat selber einige Softwarelücken, welche sehr schnell geschlossen werden aber immer wieder auftauchen, Hacker können diese besonders gut nutzen, da der Quellcode frei im Internet verfügbar ist.

Negative Auswirkungen von einem Hack

Wenn eine Seite gehackt ist, ist sie nicht online und Google kann die Inhalte nicht indexieren. Bei Google wird die Seite abgestrafft und es kommen in Zukunft weniger oder gar keine Besucher mehr.

Sich vor einem Hack schützen

Im Internet gibt es viele verscheidene Anleitungen, wie man seine Homepage oder Blog schützen kann. Grundlegend ist man sehr gut geschützt, wenn man keine Opensource System verwendet, da der Hacker sehr viel Arbeit machen muss. Die viele Arbeit ist für einen Hacker unattracktiv wenn er nur eine Homepage oder Blog hacken kann. Für sehr viele Homepages werden die gleichen Opensource Content-Management-Systeme verwendet, dadurch sind diese sehr angreifbar.

Bei WordPress kann sehr gute Informationen von Sergej Müller erhalten. Er ist einer der großen Programmierer von WordPress und kennt sich im Code sehr gut aus. Auf seiner Seite (wpcoder.de) und eBiene kann man mehr zu seinen Projekten rund um WordPress erfahren. Auf seinen Seiten findet man keinen Link zu Github, wo er sehr aktiv ist und viele Tipp gibt, hier geht es zu seinem Github Account.

Herzlichen Glückwunsch an den Hacker, du musst etwas Kleines an Dir haben, zum Ausgleich schadest Du anderen Menschen.