Schon anfang letzter Woche haben wir in unserem Blogbeitrag zum Thema „Regelmäßiges Einspielen von Updates und Backups“ auf die Gefahren hingewiesen, die von ungeschützten weil „ungepflegten Systeme“ ausgehen.
Außerdem sollte immer – ebenfalls wie bei lokalen Rechnern – ein aktuelles Backup vorhanden sein. Dies um im Fall einer Infektion, wenn ohne Absicht Inhalte gelöscht wurden oder andere Probleme auftreten, das System samt Inhalten wiederherstellen zu können.
Hackerangriff am Wochenende
Am Wochenende ist leider unsere Ahnung, bzw. Warnung zu dieser „Fragestellung“ zur Realität geworden.
Am Samstag erreichte uns ein Anruf eines Kunden, das auf einer Website ein Hackerangriff erfolgt war. Schnell konnten wir dies bestätigen und feststellen das noch andere WordPress-Websites betroffen waren.
Als erstes wurden dann die bestehenden Systeme vom offenen Webzugriff abgekapselt, um den Zugang einzuschränken und weitere Einbrüche zu verhindern. Parallel wurde mit dem Hostingcenter die Vorgehensweise des Angreifers überprüft – um nach Analyse die entsprechenden Gegenmaßnahmen einleiten zu können.
Ein Problem der lokalen Rechner? Nein – die internen Securitymaßnahmen haben gegriffen!
Während dieser ersten Minuten wurde aber auch das Szenario eines Einbruchs in eines unserer lokalen Computersysteme durchgespielt und ebenfalls Gegenmaßnahmen ergriffen. Unsere Rechner wurden vom Netz genommen haben, Virenscanner überprüften die Systeme, alle Zugangsdaten zu Mailserver, FTP-Server usw. wurden geändert.
Schnell stellte sich aber heraus, das es kein Angriff über ein lokales System oder Lücken auf dem Server waren, sonder das der Angriff über die Websites selber kam. Lokal haben also unsere grundsätzlich getätigten umfangreichen Sicherungsmaßnahmen gegriffen.
Die Vorgehensweise und Ursache der Angriffe
Der Angriff erfolgte auf Teilkomponenten des System , die nicht auf den neuesten Stand waren. Das waren entweder das Redaktionssystem selber, Plugins für weitere Funktionen oder auch Themes – auch solche die nicht in Nutzung waren.
Dadurch konnte ein sogeannter Cross-Site-Skript Angriff auf die Website erfolgen, der JavaScript Schadecode auslöst und als Folge Benutzerdaten veränderte und unter anderem Templatedateien austauschte. Als Resultat erschienen auf den Websites die nebenstehenden Inhalte samt Sounddateien.
Infos zu dieser Art der Angriffen finden Sie z.B. auf der Golem Website.
Fakt ist, das für alle diese „Lücken“ schon Upgrades vorlagen, die diese absicherten und so waren gewartete Seiten auch nur durch entsprechende Kommentare in Nachrichten betroffen – auch dies bei nicht aktuellen Systemen ein „Einfallstor“. Diese mussten dann bei diesen Systemen einfach nur gelöscht werden -.
Bei nicht gewarteten Systemen mussten die überschriebenen Template Dateien aus einer vorhandenen Sicherung zurückgespielt, das System, die Plugins und die Themes auf den neuesten Stand gebracht und die Benutzerzugänge geändert werden.
Leider lagen bei mehreren Systemen keine Backups, so dass dieser Prozess hier noch mehr erschwert wurde.
Das Fazit: regelmäßiges Einspielen von Updates ist notwendig
Wie beschriebenen waren regelmäßig gewartete Seiten vom dem Angriff gar nicht oder nur marginal betroffen. So dass es nochmal deutlich wird – ein regelmäßiges Einspielen von Updates und regelmäßige Backups schützen Ihr System und eine stetige Überprüfung dieser beiden Maßnahmen ist von hoher Bedeutung für Ihre Websites.
Ihr Auto wird doch auch regelmäßig gewartet und fährt nicht mit uralten Reifen ohne Profil und ohne Bremsbeläge durch die Gegend!
Wartungsverträge für WordPress – für die Sicherheit Ihrer Website
Um dieses – zugegebenerweise – nicht unaufwändigen Prozess zu optimieren, setzen wir seit ca. 2 Monaten ein Monitoring- und Verwaltungstools ein, das täglich überprüft ob Backups und Updates notwendig sind, ob alle Securitymanßnahmen getroffen sind, ob die Seite auf Spamblacklists steht und vieles mehr.
Auf dieser Basis bieten wir Ihnen deshalb unsere Wartungsverträge für WordPress in verschiedenen Leistungsstufen an!
