Heute schon gehackt wurden?(TB): Es ist tatsächlich passiert – meine Webseite ist gehackt wurden 🙁 Der Umstand, dass Sie das jetzt hier lesen können bedeutet: ich hab´s gemerkt und hab´s gefixt 🙂Ich möchte gern zu Anfang diese Seite zitieren: „Der Schock ist groß: du stellst fest, dass deine WordPress-Website gehackt wurde. Eine neue Startseite empfängt dich mit den Worten: Hacked by XYZ. Der Schweiß bricht dir aus und dein Herz schlägt schneller. Du kannst nicht mehr klar denken und weißt nicht, was nun zu tun ist…“

So ging es mir ungefähr gestern morgen, als ich meine Seite aufrufen wollte…Nur das bei mir nicht „Hacked by XYZ“ stand. Meine Seite behrli.de (oder genauer gesagt www.behrli.dsmynas.com) war einfach nicht mehr da, stattdessen erschien die Seite eines Escort-Service aus Ankara (a*n*k*a*r*a*t*r*e*s*c*o*r*t.c*o*m) mit „schmuddeligen“ Bildern. Die bösen Jungs hatten also irgendwo in meinem Quelltext eine Umleitung (redirect) auf diese türkische Seite platziert…

Aufgefallen ist es mir sofort, da mein Arbeitgeber diese Seite gar nicht erst anzeigen wollte, wofür ich ihm sehr dankbar bin… Nach dem oben beschriebenen Schweißausbruch habe ich erst einmal auf meiner NAS den Webdienst beendet (das kann ich auch aus der Ferne über mein Smartphone)  und dann fleißig Dr. Google bemüht, was in solchen Fällen wohl zu tun ist.

Zum Glück finden sich hier alle möglichen Tipps, wie man wieder ordnungsgemäß online gehen kann, also wie man eine solche Verseuchung erfolgreich beendet. Empfehlen kann ich diesen Link, nach dem habe ich die Ordnung wieder hergestellt.

Wirklich wichtig ist ein Backup des gesamten Content, den ich – glücklicherweise – regelmäßig mit dem Plugin BackWPup Free mache. Nur so kann man die manipulierten Dateien durch Restore einer noch funktionierenden Version einfach ersetzen, was ich nach Update auf die neueste WordPress-Version auch getan habe. Leider war in meinem Fall das Problem danach nicht behoben und erneute Schweißausbrüche stellten sich ein.

Warum? Der Schadcode befand sich nicht in meinem Content oder in den Core-Dateien von WordPress sondern in einem Plugin welches ich zum Anzeigen von Bildern verwende – durch das Deaktivieren aller und schrittweises Aktivieren jedes einzelnen Plugins bin ich auf FancyBox gestoßen – das war der Übeltäter.

Allerdings (und das ist einen Eintrag in die Ewige Liste wert) war es indirekt meine Schuld: ich hatte das Plugin nicht regelmäßig geupdatet, wie eigentlich dringend empfohlen wird. Durch eine bereits am 06.02.2015 erkannte und publizierte Sicherheitslücke sind die bösen Jungs in mein System gelangt.

Ich werde nun ein anderes Plugin zum Anzeigen von Bildern nutzen.

Abschließend noch zwei Tipps:

1. Es empfiehlt sich ein Security-Plugin in WordPress zu verwenden, seit diesem hier beschriebenen Erlebnis tue ich das auch und zwar hab´ ich dieses hier genommen. Damit bekommt man sein Blog-System relativ sicher und kann sich potentielle Angreifer wirksam vom Hals halten.
2. Ein regelmäßiger Check der eigenen Webseite mit einem guten URL RISK ANALYZER wie z.B. Zulu von zscaler trägt ungemein zum guten Bauchgefühl bei 🙂 Erst wenn man dort nur noch das Wort „Benign“ liest, kann man sich wieder hinlegen und weiterschlafen 🙂

In dem Sinne: ein glückliches und hackermäßig zwischenfallfreies Neues Jahr 🙂