Meine WordPress Seite wurde gehackt.

Meine WordPress Seite wurde gehackt.

Manchmal ist es schön wenn man in Google Analytics hineinschaut, manchmal auch eher nicht so schön. Den Blick, den ich neulich in Google Analytics ertragen musste, gehört er zu den nicht so schönen Anblicken.

Bei mir hat sich folgendes zugetragen: Mein neues Projekt hatte am Tag ungefähr 400 Besucher über Google. Innerhalb von zwei bis drei Tagen sind die Zugriffe auf nur noch 100 bis 150 Besucher abgefallen.

Die Spurensuche, was ist mit meiner Webseite passiert?

Im ersten Schreck Moment gehen einem natürlich die verschiedensten Gedanken durch den Kopf: Hat hier der Pinguin zugeschlagen oder sogar der Panda? Was ist passiert? Oder wurde ich vielleicht doch einfach nur gehackt, wie schon öfters in der Vergangenheit? Meistens sind ja die WordPress Hacks immer nur meinem Provider aufgefallen, weil auf einmal sehr viele E-Mails über meinen Server versendet werden. Dass die Seite darunter leidet, habe ich allerdings bisher noch nicht gehabt.

Außer es war so offensichtlich, dass komplett alle Inhalte entfernt wurden, und eine neue Startseite mit irgendwelchen Inhalten mich angelächelt hat.

Ich entschied mich also, zuerst die Möglichkeit eines Hacks zu untersuchen, da diese Variante für mich bedeutet, dass die Seite von Google noch geliebt wird. Eine kaputte Seite lässt sich schnell beheben, wenn Google einen nicht mehr mag, kann das ja viele Jahre dauern, bis wieder alles in Ordnung ist.
Ein erster Aufruf der Seite war leider nicht zu meiner Zufriedenheit, sie sah noch immer so aus wie zuvor.
Danach entschied ich mich, die Seite einmal unter Google Gesichtspunkten zu betrachten. Ich begab mich also zu der Google Suche, rief die Seite mit dem site: Befehl auf, und erlebte eine kleine Überraschung.

Diese Seite wurde offensichtlich gehackt, aber nur Google sieht die fremden Inhalte.

Hier ist also ein klassischer Fall von cloaking passiert. Cloaking bedeutet, dass die Suchmaschine Google andere Inhalte sieht im Vergleich zu dem normale Besucher. Lasst uns mal im Detail anschauen, was auf den jeweiligen Seiten für Google zu sehen war.
Dazu genügt es ja, die Cache Version der Seite in Google zu betrachten. Eine andere Möglichkeit wäre über die Webmaster Tools die Seite abzurufen, und von Google rendern zu lassen. Auch dort würde diese Anomalie sofort bemerkbar werden.

Gehackte Seite mit Links zu chinesischen Produkten

Dies ist also eine Seite wie Sie Google zu Gesicht bekommt. Bemerkenswert dabei ist, dass dort ein Bild von einem chinesischen Web Auftritt eingebunden ist, und zwar per Hotlinking. D.h. Das Bild liegt auf dem chinesischen Server, und wurde nur per Verweis auf meiner Seite integriert.
Des Weiteren befinden sich noch viele Text links im Fließtext, der unter dem Bild platziert wurde.

Anscheinend wird auch hier versucht, durch umgeben den Linktext den eigentlichen Link noch zu stärken. So wie es aussieht, wird auch hier extrem auf den Long Tail optimiert, und gute Verkaufsquoten zu erzielen.

Wie bekomme ich nun WordPress wieder sauber?

Wie bekomme ich nun WordPress wieder sauber?

Ich wollte nur natürlich möglichst schnell wieder mit einer sauberen Seite in Google an den Start gehen. Hierfür bieten sich jetzt mehrere Möglichkeiten. Einerseits wäre es natürlich interessant gewesen, den Einbruchsweg sowie die Technologie die dahinter steckt zu erforschen.

Aber wie immer fehlt leider die Zeit dazu. Deswegen habe ich mich für einen Mittelweg entschlossen. Ich habe nicht komplett die ganze Seite neu aufgesetzt, sondern einfach nur den WordPress Core (Installationsdateien) neu aufgespielt. Alle vorhandenen Plugins, sowie eventuell durch den Einbruch aufgespielt in Dateien sind damit noch vorhanden. Was ich nach der Neuinstallation gemacht habe ist, dass ich alle unnötigen Plugins deaktiviert beziehungsweise gelöscht habe, und nur noch die notwendigsten Plugins zum Betreiben der Seite aktiv sind.

Ich bin jetzt etwas paranoid geworden, und kontrolliere jeden zweiten Tag wie Google meine Seite rendert. Seit 10 Tagen ist diese wieder clean. Daher bin ich ganz guter Dinge, das mit der jetzigen Konfiguration der Plugins und des Themes keine weiteren Probleme mehr auftreten. Natürlich werden Plugins und Theme automatisch geupdatet.

Erkentnisse aus dem WordPress Hack

  • Sobald ein paar mehr Besucher auf eine WordPress Seite aufschlagen, kann es sehr gut möglich sein, dass diese gehackt wird (ist schon mehrmals passiert)
  • Ich habe leider noch keine Alternative gefunden, zu den teilweise automatisierten Systemen die ich in WordPress habe, bzw. es würde sehr lange dauern alles auf neue Systeme zu migrieren.
  • Nutze immer nur vertrauenswürdige Plugins für WordPress. Dies hatte ich bei dieser Seite leider nicht beherzigt
  • Automatisierter, extremer Longtail, wie er im Beispiel der chinesischen Seiten zu sehen ist, lohnt sich anscheinend noch immer
  • Cloaking hat wohl auch heute noch eine weite Verbreitung, und es funktioniert immer noch Gut, Inhalte vor Google, oder aber auch vor menschlichen Besuchern zu verstecken.

Wer hat ähnliche Erfahrungen wie ich gemacht, oder kann auch etwas zu dem Spam-Muster sagen? Ich würde mich sehr über Kommentare und Hilfen freuen.

Update 28 Oktober Wordfence Security

Ich habe einen Tipp aus der Community bekommen, das Plugin wordfence Security zu verwenden. Dieses kann wohl veränderte oder ergänzte Dateien erkennen. Nach einem Einbruch ist dies sehr häufig der Fall, das Dateien verändert werden. Dies sollte ein weiteres Stück Sicherheit für meine Seite bringen.
Ich habe auch sogleich einen Scan gestartet, damit wird Wordfence Security den aktuellen Status meines Systems scannt. Es ist live verfolgbar, was das System gerade so anstellt.

27. Oktober 2016 / Allgemein

Comments

No comment yet.

Leave a Reply

Your email address will not be published. Required fields are marked *