WordPress Sicherheit – #1 – Was macht man eigentlich, wenn die WordPress Seite gehackt wird und über die Seite massenweise Spam versendet wird? Es passiert immer mal wieder dass WordPress-Webseiten „gekapert“ werden und von Web-Piraten genutzt werden um ihr Unwesen im Netz zu treiben.

Hierbei werden von eurer E-Mail Adresse Spam Mails versendet – etwas schlimmeres kann eigentlich gar nicht passieren denn was da im Netz passiert bleibt nie unentdeckt. Wenn von eurem Server Spam Mails ausgehen, kann es schnell passieren dass er auf einer Blacklist und eure Mails fortan im Spam-Ordner der Empfänger landet oder sogar schon vorher ausgefiltert wird.

Im Folgenden möchte ich euch eine Handlungsanleitung zur Hand geben, was ihr in einem solchen Fall machen könnt und meiner Meinung nach auch solltet.

Inhalt:
1. Das Leck ausfindig machen
2. Die üblichen Verdächtigen
3. WordPress scannen mit dem Ninja Scanner
4. Infizierte / Verdächtige Dateien wiederherstellen
5. WordPress Sicherheit mit Security Ninja

1. Das Leck ausfindig machen

Als erste müsst ihr rausfinden wie und wo der Hacker bzw. sein Bot in euer System eindringen konnte. Sobald ihr es gefunden habt werden sort wahrscheinlich angepasste Dateien vorliegen die wieder gegen das original auszutauschen sind. Es kann auch sein dass zusätzliche Datei ins System geschleust wurden. Diese müssen auch gefunden und gelöscht werden.

2. Die üblichen Verdächtigen

Es gibt einige, wenn nicht sogar zahlreiche, bekannte Schlupflöcher wie automatisierte Skripte einen Weg in dein WordPress System finden. Diese sind die üblichen Verdächtigen:

  1. Es wird eine alte Version von WordPress verwendet – Je älter eine Version ist, desto wahrscheinlicher ist, dass sich bestimmte Sicherheitslücken zu der Version rumsprechen und entsprechende Skripte im Netz umschwirren um eine Seite zu infizieren.
  2. Alte Plugins oder Themes – Hier besteht das gleiche Problem wie bei der WordPress installation selbst. Alle Komponenten des Systems sollten immer up to date sein. Plugins die nicht mehr aktualisiert werden sollten gegen alternative Plugins ausgetauscht werden.
  3. Formulare – Kontakt & Kommentar- oder Bewertungsformulare sind beliebte Eingänge für ungebetene Gäste. Diese kann man zum Beispiel mit Captchas schützen.
  4. Weitere Software Installationen – Ihr habt auf dem gleichen Webspace noch einen Statistik Software von anno pief? Besser weg damit, oder auf eine anderen Server installieren. Mindestens aber auf einem getrennten FTP Zugang und eigener Sub-Domain.

3. WordPress scannen mit dem Ninja Scanner

Wenn wir wissen wollen, woher das Problem kam, oder wenigstens wo der Schadcode nun liegt brauchen wir Tools um unsere WordPress-installation zu prüfen. Das erste Tool, das ich euch vorschlagen möchte ist der Ninja Scanner.

Mit dem Ninja Scanner könnt ihr mit einem Klick eure Seite prüfen. Das Plugin ist kostenlos und euer erste Schritt zu mehr Durchblick als Grundlage für eine erhöhte WordPress Sicherheit.

Wie man sieht kann man die Scans (bei der kostenpflichtigen version) auch automatisieren. Preislich liegen wir bei 19.5 $ / Jahr für die Einzellizenz. Bei Mehrfachlizenzen sinkt der Preis ab bis auf 5 $ / Jahr (bei +50 Lizenzen) was ein fairer Preis ist.

Wordpress Sicherheit #1 - System-Check mit Ninja Scanner

Der Scan geht recht schnell von statten (je nach Seitengröße natürlich) und man bekommt eine Liste von verdächtigen Dateien angezeigt. Ist die Meldung rot markiert, sollten die Dateien schnell wiederhergestellt werden.

Von oben nach unten bekommt ihr, sofern schlimmstenfalls vorhanden, verdächtige WordPress core Dateien, verdächtige WordPress Plugin Dateien, verdächtige WordPress Theme Dateien und sonstige Dateien und Ordner angezeigt. Abgerundet wird das ganze von einem Blick auf Ant-Malware Software Dateien und einem File-Snapshot mit einem Blick auf neue und gelöschte Dateien, seit dem letzen Scan. Definitiv ein cooles und kostenloses Plugin.

4. Infizierte / Verdächtige Dateien wiederherstellen

4.1 WordPress core files integrity
Dieser erste Punkt in der Liste zeigt Dateien an, die im Haupt System von WordPress verändert wurden. Sofern ihr die angezeigten Dateien nicht zufällig selber angepasst habt solltet ihr das ganze zumindest einmal prüfen. Hierfür könnt ihr eine Datei in der Liste anklicken, was dazu führt dass zusätzliche Buttons angezeigt werden. Mit einem Klick auf „View Change“ könnt ihr sehen was sich verändert hat. Außerdem bekommt ihr neben den Buttons auch angezeigt, wann die entsprechende Datei geändert wurde. Wenn die Änderung weit in der Vergangenheit liegt ist es z.B. recht unwahrscheinlich, dass das der Grund für den Spam-Versand war.

Sofern da aber Dateien geändert wurde sollte der WordPress core grundsätzlich einmal frisch installiert und der Scan noch einmal neu durchgeführt werden. Insbesondere wenn es bereits eine neue WordPress Version gibt.

Hierfür geht ihr auf Dashboard > Aktualisierungen und klickt dort auf „erneut installieren“.

4.2 Plugin files integrity
Bei den Plugins könnt ihr ähnlich vorgehen. Wenn es viele Dateien sind, muss man jede Datei einzeln wiederherstellen, was länger dauern kann. Bei Plugins kann es sich dann lohnen es zu löschen und neu zu installieren, da das Wiederherstellen einer Datei ca. 30 Sekunden dauert.

Wenn es sich um ein ungenutztes oder aber ein Plugin handelt, das lange nicht mehr aktualisiert wurde sollte es gelöscht werden.

Dann kann es auch passieren, dass ein Plugin nicht gleich vom System erkannt wird. Wenn man z.B. ein kostenpflichtiges / Premium Plugin verwendet, wird dieses nicht automatisch vom Ninja erkannt und man muss sich erst einmal in das Thema einlesen.

Wer diesem Link folgt, kann sich dort schlau machen:
https://blog.nintechnet.com/ninjascanner-powerful-antivirus-scanner-for-wordpress/#integrity

Man muss das Plugin einmal neu von der Seite runterladen, die Zip Datei in dem Format das dort gezeigt wird benennen und dann in den Ordner /wp-content/ninjascanner/local hochladen.

Am Beispiel des Plugins No Category Base (WPML) geht man also zuerst auf doie Plugin Seite: https://de.wordpress.org/plugins/no-category-base-wpml/ und lädt dort die aktuelle Version des Plugins runter. Wenn man dort auf der Seite auf den Reiter Entwicklung klickt sieht man auch welche Version die aktuelle ist. In diesem Fall ist es aktuell die Version: 1.3.

Das heißt also ich muss die geladene Datei mit dem Namen no-category-base-wpml.zip umbenennen in no-category-base-wpml.1.3.zip und dann in den Ordner /wp-content/ninjascanner/local hochladen, damit der Ordner beim Scan berücksichtigt werden kann.

Hier sehen wir noch, dass das Plugin nicht ausgelesen bzw. gescannt werden kann:

20 - WordPress Sicherheit - Ninja Scanner - Scan - Plugins-Liste

20 – WordPress Sicherheit – Ninja Scanner – Scan – Plugins-Liste

Nachdem man das Plugin mit dem angepassten Dateinamen in den besagten Ordnet lädt kann es auch gescannt werden.

4.3 Theme files integrity
Auch hier ist wieder das gleiche Spiel – wie bei den Punkten zuvor. Alles was verdächtig bzw. rot ist sollte geprüft, gelöscht, austauscht oder in Karantäne verschoben werden.

Man muss i Endeffekt das Theme einmal neu von der Seite runterladen, die Zip Datei in dem Format das dort gezeigt wird benennen und dann in den Ordner /wp-content/ninjascanner/local hochladen. Bei Divi nenne ich die Datei z.B.: Divi.3.11.1.zip

4.4 Files and folders
Hier werden auffällige versteckte, ausführbare sowie nicht lesbare Dateien / Ordner und symbolic links (was auch immer das sein soll) angezeigt.

4.5 Anti-malware
Ja auch in euren Schutz-Programmen kann der eine oder andere Wurm drin stecken. Hier bekommt ihr angezeigt, um welchen Wurm es sich handelt und wie viele davon an Bord sind.

Zusätzliche Funktionen der Premium Version:
– Bearbeitung per über Kommandozeile / WP-CLI Integration
– Regelmäßige Scans
– VIP Support

5. WordPress Sicherheit mit Security Ninja

Das Plugin Security Ninja ist hervorragend dafür geeignet um die grundsätzliche Sicherheit der WordPress Seite transparent anzeigen zu lassen. Aktuell werden bei der kostenlosen Version hierbei 45 verschiedenen Kriterien geprüft.

Hat das System die Prüfung bestanden wird es grün angezeigt, und dann gibt es noch orangene und rote Meldungen, wenn eine potentielle Gefahr entdeckt wurde. Man sollte hier also mindestens alle roten Punkte so lange bearbeiten bis die Gefahr gebannt ist. Das kann natürlich, je nach Anzahl der Problem-Zonen einiges an Zeit verschlingen.

Weiterführende Links:
Kostenlose Firewall: „Anti-Malware Security and Brute-Force Firewall“ von Eli Scheetz:
https://de.wordpress.org/plugins/gotmls/
wp-hostvergleich.de – „WordPress gehackt?“
https://wp-hostvergleich.de/wordpress-gehackt/

Weitere Infos zu NinjaScan:
Wordpress Plugin Seite: https://de.wordpress.org/plugins/ninjascanner/
NinTechNet Webseite: https://nintechnet.com/ninjascanner/