Sicherheit ist ein wichtiges Anliegen für WordPress-Site-Besitzer, und das zu Recht: Jede Stunde gibt es über 7,5 Millionen Cyber-Angriffe auf WordPress-Sites. Es überrascht nicht, dass WordPress aufgrund seines Open-Source-Charakters und seiner Flexibilität anfällig für eine Vielzahl unterschiedlicher Angriffe ist. Der Kern der Anwendung ist jedoch recht sicher, da das WordPress-Team darauf bedacht ist, die strukturelle Integrität der Anwendung zu bewahren. Das gilt jedoch nicht für alle WordPress-Themes und -Plugins.
Ein Malware-Angriff wurde kürzlich von John Castro von Sucuri entdeckt. Die Malware platziert 10-12 Codezeilen am Anfang der Header.php-Dateien anfälliger WordPress-Themes, um Besucher auf bösartige Websites umzuleiten.
In diesem Artikel finden Sie Einzelheiten zu diesem Angriff sowie Tipps, wie Sie Ihre Website in Zukunft vor solchen Angriffen schützen können.
Wie der Malware-Angriff funktioniert
Wie bereits erwähnt, platziert die Malware 10-12 Codezeilen oben in der Datei header.php eines aktiven WordPress-Themes. Der Code sieht wie folgt aus:
Die Malware leitet Besucher beim ersten Besuch auf default7.com um (nicht das endgültige Umleitungsziel). Anschließend setzt sie das Cookie "896diC9OFnqeAcKGN7fW", um wiederkehrende Besucher ein Jahr lang zu verfolgen, und testet auf Suchmaschinen-Crawler. Wenn es keine Crawler gibt, wird die Kopfzeile des Benutzeragenten überprüft.
Die Weiterleitungen sind für alle zufällig. Außerdem ist default7 .com nur das erste Umleitungsziel. Die Besucher werden auf die folgenden Domains weitergeleitet (je nach IP-Adresse und Browser):
- test246.com
- test0 .com
- distinctfestive .com
- ableoccassion.com
Besonders interessant ist das Verhalten der Malware im Internet Explorer. Wenn der Besucher den Internet Explorer verwendet, wird er auf eine Website umgeleitet, die ein bösartiges Flash- oder Java-Update bereitstellt.
Ein weiteres interessantes Verhalten tritt bei Facebook auf. Wenn Sie einen Link zu einer infizierten Website auf Facebook teilen, sehen Sie möglicherweise das Posting-Snippet von einer anderen Website - einer der fünf Umleitungsseiten. Facebook leitet die Nutzer weiterhin auf die bösartige Website um, auch wenn Sie die Malware von Ihrer Website entfernt haben. Das liegt daran, dass der Cache gemeinsam genutzt wird. Sie können den Cache hier zurücksetzen.
Es wird Sie vielleicht überraschen, dass diese Art von Infektion recht häufig vorkommt, wenn sich Hacker Zugang zu einer WordPress-Verwaltungsoberfläche verschaffen. Mit den richtigen Anmeldeinformationen können sie eine Theme-Datei (ganz einfach) bearbeiten.
Welche Websites sind infiziert?
Die jüngste Sicherheitslücke ist nicht die einzige Malware-Bedrohung auf infizierten Websites. In der Mehrzahl der Fälle wiesen die infizierten Websites mehrere Sicherheitslücken auf, die zu einer Reihe weiterer Infektionen führten. Nur bei einer Minderheit der Websites wurde die Infektion nur in der Datei header.php des Themas gefunden.
Wie man die Malware erkennt
Der Code der Malware ist nicht fehlerfrei. So testet er oft auf Parameter, die nicht existieren, was zu einem PHP-Fehler führt. Da auf einigen Servern die PHP-Hinweise deaktiviert sind, wird der Fehler nicht immer angezeigt; aber eine Google-Suche nach "Notice: Undefinierter Index: 6FoNxbvo73BHOjhxokW3" kann den Malware-Code auf Ihrem Server aufdecken.
Sucuri teilte mit, dass einige Google-Suchergebnisse Fehler in der Fußzeilendatei des Themes aufzeigen könnten. Das liegt daran, dass die Malware zuvor footer.php-Dateien infizierte und einen ähnlichen Umleitungscode am Anfang dieser Dateien platzierte. Der Angriff verlagerte sich auf header.php-Dateien und infizierte erneut Websites, die den Malware-Code in ihrer footer.php-Datei hatten. Obwohl die Malware aktualisiert wurde, leiten die Weiterleitungen die Besucher auf genau dieselben Seiten.
Wie man Malware entfernt
Die Entfernung von Malware ist ein mehrstufiger Prozess, für den Sie vielleicht einen WordPress-Experten zu Rate ziehen sollten. Wenn Sie selbst nicht so viel Erfahrung mit Sicherheit haben, werden Sie die Dinge wahrscheinlich nur noch schlimmer machen. Auf WordPress spezialisierte Unternehmen wie unser eigenes Semper Fi Web Design-Team können sich um all Ihre Sicherheitsbedenken kümmern.
Aber jetzt wollen wir uns erst einmal ansehen, was Sie generell tun können, um Ihre Website vor solchen Angriffen zu schützen.
Wie Sie Ihre WordPress-Website sicher halten
Schützen Sie Ihr WordPress Admin Interface
Ihr WordPress-Administrationsbereich ist eine Goldgrube für Kriminelle. Daher müssen Sie den Zugriff darauf so weit wie möglich einschränken: Nur diejenigen, die darauf zugreifen müssen, sollten dazu in der Lage sein. Auf jeden Fall sollten Sie die Möglichkeit, Änderungen an Ihrer Datei header.php vorzunehmen, für alle einschränken.
Wie wir bei diesem jüngsten Angriff gesehen haben, können Hacker mit Admin-Zugangsdaten zu Ihrer Website direkt und einfach Änderungen an der Datei header.php Ihres Themes vornehmen. Sie können die Fähigkeit eines Benutzers, PHP-Dateien in Ihrer Verwaltungsoberfläche zu bearbeiten, mühelos deaktivieren, indem Sie Ihre wp-config.php-Datei anpassen. Kopieren Sie einfach den folgenden Code und fügen Sie ihn in Ihre wp-config.php-Datei ein:
# Theme-Bearbeitung deaktivieren define( 'DISALLOW_FILE_EDIT', true );
Weitere Tipps für die Sicherheit Ihrer Verwaltungsoberfläche:
- Verwenden Sie sichere Passwörter
- Ändern Sie alle Passwörter regelmäßig
- Begrenzen Sie die Anzahl der Anmeldeversuche
- Überprüfen Sie, ob keine gefälschten Administratorkonten erstellt worden sind.
- Verwenden Sie nicht "admin" als Ihren Benutzernamen
- Aktivieren Sie die Zwei-Faktor-Authentifizierung
WordPress, Themes und Plugins auf die neuesten Versionen aktualisieren
Es ist wichtig, WordPress und alle Ihre Themes und Plugins auf die neuesten Versionen zu aktualisieren. Neben verbesserten Funktionen werden die meisten Updates bereitgestellt, um Sicherheitsbedenken und Schwachstellen zu beheben. Aktualisieren Sie also auf die neuesten Versionen, sobald sie verfügbar sind.
Stellen Sie sicher, dass Ihr(e) Computer frei von Viren und Malware sind
Alle Vorsichtsmaßnahmen, die Sie zum Schutz Ihrer Website vor Malware ergreifen, sind hinfällig, wenn Ihr Computer Viren oder Malware enthält. Denn ein Hacker könnte sich von Ihrem Computer aus Zugang zu den Anmeldedaten Ihrer Website verschaffen und diese dann schnellstens infizieren. Daher ist es wichtig, auf allen Computern, mit denen Sie sich in Ihre WordPress-Website einloggen, ein gutes Antivirenprogramm zu installieren.
Die meisten von uns lieben WordPress für seine Flexibilität, neben vielen anderen Gründen. Es ist in der Tat das beliebteste Open-Source-Content-Management-System (CMS), das es gibt. Die Gründe, warum wir es so sehr lieben, sind jedoch genau die Gründe, die es anfällig für Cyberangriffe machen. Es ist wichtig, sich dessen bewusst zu sein und die notwendigen Schritte zum Schutz Ihrer Website zu unternehmen.
Möchten Sie AIOSEO kostenlos testen?
Geben Sie die URL Ihrer WordPress-Website ein, um AIOSEO Lite zu installieren.
Offenlegung: Unsere Inhalte werden von unseren Lesern unterstützt. Das bedeutet, wenn Sie auf einige unserer Links klicken, erhalten wir möglicherweise eine Provision. Wir empfehlen nur Produkte, von denen wir glauben, dass sie unseren Lesern einen Mehrwert bieten.
Wow, 7,5 Millionen pro Stunde, das ist beunruhigend, interessanter Beitrag Arnaud, danke für die Warnung 🙂 Prost Tracy
Es war mir eine große Freude, Tracy. Vielen Dank für das Feedback!
Hilfreicher Artikel. Vielen Dank dafür.
Was ist ihr ursprünglicher Angriffsvektor? Geht es einfach darum, sich Zugang zum Administrator-Login zu verschaffen?
Ich frage mich, ob es eine Modsecurity-Regel gibt, die erstellt werden kann, um dies zu verhindern?
Ein intelligenter und gut konfigurierter Modsecurity-Regelsatz ist ein wahrer Albtraum für Hacker 😀 .
Durch einige clevere Regeln, die ich geschrieben habe...wenn ich das mal so sagen darf 😉 sind die Hackerangriffe auf meine WP-Seiten im letzten Jahr deutlich zurückgegangen.
Nochmals vielen Dank.
Hallo Mike
Zunächst einmal vielen Dank, dass Sie einen Kommentar hinterlassen haben.
Das Ziel der Hacker ist es, etwa 12 Zeilen Code zu implementieren, damit Besucher auf andere (möglicherweise bösartige) Websites umgeleitet werden.
Dies ist jedoch nur möglich, wenn sie bereits Zugang zu einem WordPress-Login haben, das in der Lage ist, die PHP-Dateien des Themes zu bearbeiten.
Sie können dieses Problem beheben, indem Sie die Benutzerberechtigungen zum Bearbeiten von PHP-Dateien über wp-admin deaktivieren. Implementieren Sie den folgenden Codeschnipsel in der Datei wp-config.php, um diese Funktion zu deaktivieren:
# Theme-Bearbeitung deaktivieren
define( 'DISALLOW_FILE_EDIT', true );
Noch wichtiger ist, dass Sie Ihre WordPress-Anmeldedaten schützen.
Sollten Sie jemals von einem Angriff betroffen sein, ist es wichtig, alle Passwörter zu ändern, zu überprüfen, ob Dateien angepasst wurden, und nach betrügerischen Administratorkonten zu suchen, wenn Sie mehrere Administratoren haben.
Noch ein paar Tipps zur Sicherung Ihres WordPress-Logins:
- Ändern Sie den Benutzernamen "admin" in etwas weniger Identifizierbares
- Ändern Sie die URL der Anmeldeseite von der Standard-URL wp-login-php
- Erstellen Sie komplexe Passwörter
- Begrenzen Sie die Anzahl der Anmeldeversuche innerhalb eines bestimmten Zeitraums
Prost
Arnaud
Ändern Sie auch Ihre FTP-Passwörter für den Fall, dass der Angreifer auf diese Weise Zugang erhalten hat.
Toller Tipp!
Arnaud,
Vielen Dank für die wertvollen Informationen. Ich weiß es zu schätzen, dass Sie in Ihrer Antwort an Mike eine Umgehungslösung und Tipps gegeben haben. Das ist eine wertvolle Information für mich.
Einen schönen Tag! =)
Herzlich willkommen, Diana!
Sie sagen also, dass sie sich über ein Passwort Zugang verschaffen müssen, ist das richtig? Es gibt keine andere Möglichkeit des Zugangs. Sie können den Schritt mit dem Passwort nicht überspringen?
Das ist die gängigste Methode, aber es gibt auch andere Methoden, um Zugang zu den Dateien Ihrer Website zu erhalten. FTP ist ein gutes Beispiel.
Welches Sicherheits-Plugin würden Sie empfehlen, das keinen Konflikt mit All in One SEO Pack verursacht?
WordFence ist eine großartige Lösung und hat keine Kompatibilitätsprobleme mit All in One SEO Pack.
Wir können auch iTheme Security sehr empfehlen.
Hmmm! Ziemlich hilfreich. Ich bin letzte Woche nur knapp einem Angriff entgangen.
Danke für den nützlichen Beitrag! Ich denke, wir müssen vorsichtig sein, mit nulled oder kostenlose Themen oder Plugins.
Ich habe diesen Beitrag gefunden, weil es ein Skript gibt, das in die header.php jeder Website auf dem Serverkonto injiziert wird. Alle paar Tage muss ich die header.php überprüfen und den Textblock darüber entfernen, normalerweise mit einer Menge Leerzeichen darüber. Das ist unerträglich! Wenn das Skript nicht entfernt wird, setzen Google und andere Sicherheitsscanner die Website für ein paar Tage auf die schwarze Liste, bis es entfernt ist, und bitten Google, die Website erneut zu scannen. Das beeinträchtigt die Rankings erheblich!
Bis jetzt:
1. Ich habe alle WP-Kerndateien gelöscht und die neueste Version der Kerndateien neu hochgeladen.
2. Ungenutzte Plugins gelöscht.
3. Jedes /uploads-Verzeichnis auf .php-Dateien überprüft (da dort nur Bilder sein sollten).
4. Ich habe den Benutzernamen des Administrators geändert.
5. Passwörter geändert.
6. Spam-Benutzer entfernt.
7. FTP-Passwort geändert.
8. Sucuri-Plugin installiert und alles gehärtet, Wordfence installiert, Bad Behavior installiert.
Keines der Sicherheitsplugins blockiert dies, und keines von ihnen meldet sogar, dass die header.php geändert wurde. ES PASSIERT IMMER NOCH WÖCHENTLICH.
Fragen:
1. Wie gelingt es ihnen, dieses Skript in jede Website auf dem Hosting-Account gleichzeitig einzuschleusen, auch wenn diese Websites nicht die gleichen Plugins usw. verwenden? Das ist das Frustrierendste und Ärgerlichste, weil das Skript von allen Seiten entfernt werden muss und alle Seiten auf die schwarze Liste von Google usw. kommen.
2. Wenn sie in der Lage sind, in Ihre Dateien einzudringen und dieses Skript in die header.php einzufügen, und sie merken, dass Sie es immer wieder entfernen, was hält sie dann davon ab, einfach alle Dateien zu verändern oder Sachen zu löschen?
Um Ihre Fragen zu beantworten:
1. Ich bin mir nicht sicher, ob Sie mit dem gleichen Problem konfrontiert sind, das in diesem Artikel beschrieben wird. Wenn Ihre Artikel weiterhin mit Code infiziert werden, handelt es sich wahrscheinlich um eine Infektion mit einem bösartigen Skript auf Ihrem Webserver. Sichern Sie alle Ihre Websites und bereinigen Sie sie nacheinander, bevor Sie Ihre Websites wiederherstellen.
2. Es gibt nichts, was sie aufhalten könnte, aber für die meisten Hacker gibt es keinen Grund, eine Website vollständig zu zerstören oder zu infizieren. Sie wollen immer noch, dass die Besucher Ihre Website besuchen und die Funktionen/Informationen nutzen.
Hallo Arnaud,
Danke für die Mitteilung. Könnte das der Grund sein, warum ich zu viele Spam-Kommentare erhalte?
Nein, bei Spam-Kommentaren handelt es sich lediglich um Bots oder Blogger, die versuchen, ihre Suchmaschinenoptimierung zu verbessern, indem sie Backlinks von anderen Websites zu ihrer eigenen erstellen.
Diese Methode funktioniert im Allgemeinen nicht, da Suchmaschinen diese Täuschung durchschauen und die Qualität der Backlinks überprüfen können.
Wenn Sie WordPress verwenden, empfehle ich Ihnen, ein Plugin wie Akismet zu installieren, um gültige und ungültige Kommentare zu filtern.
Es ist schwer, erfahrene Leute für dieses Thema zu finden,
aber Sie scheinen zu wissen, wovon Sie sprechen! Danke
Hallo, meine Website wurde vor einigen Monaten gehackt und wir haben sie vollständig gesäubert, aber wenn ich ein Add in Facebook mit Link zu meiner Website einstelle, wird es beim ersten Mal auf eine bösartige Website umgeleitet. Ich habe von jemandem gehört, dass diese Umleitung immer 1 Mal pro IP erfolgt. Sollte es noch infizierte Dateien geben, die diese Umleitung verursachen?
Ja, es klingt so, als ob Ihre Website immer noch mit Malware infiziert ist. Wir bieten einen Malware-Bereinigungsservice an. Sie können uns hier für Informationen kontaktieren - https://aioseo.com/contact/
Großartige Erklärung.