Tipps für Blogger um einen Angriff (Hack) auf das Blog abzuwehren

Tja, also ich bin nun wirklich kein IT-Experte, das habe ich in den letzten Tagen eindeutig bewiesen, denn der Trojaner hat mehr Schaden angerichtet, als unbedingt nötig. Das passiert, wenn man nicht genau weiß, was man macht. Dass die Artikel der letzten zwei Jahre nun verloren sind, bin ich sozusagen selber Schuld, was die Sache aber auch nicht besser macht.

Ich bin mit dem Problem nicht alleine, in der letzten Angriffswelle im Herbst 2014 hat es wohl 50.000 Blogs erwischt. Oft wurde ich gestern gefragt, warum jemand mir Schaden zufügen wollte, allerdings war ich in dem Sinne persönlich gar nicht das Ziel, aber ich habe einen Blog und der war nicht sicher genug. Damit lässt sich viel Geld verdienen, in meinem Fall wurde nur die Sichtbarkeit für google manipuliert, normale Besucher waren nie in Gefahr oder konnten überhaupt etwas bemerken, so ist es auch mir einige Tage entgangen, dass etwas nicht stimmte. Jeder Blogger sollte sich seine Seite hin und wieder aus der Sicht von google anschauen. ;)

Damit anderen Bloggern das nicht auch (so leicht) passiert, möchte ich die wichtigsten Tipps kurz auflisten. Hilfeseiten zu dem Thema, was man machen muss, wenn ein WordPress-Blog gehackt wurde, gibt es reichlich, auch wirklich gute, die auch Menschen wie ich verstehen. Aber bevor es soweit kommt, kann man vorbeugend einiges erledigen. Ganz genau kann ich nicht sagen, wie der Trojaner seinen Weg gefunden hat, aber drei Varianten sind wahrscheinlich.

 

  1. Ein WordPress-Passwort, das nicht sicher genug war, es hatte nur sechs Ziffern
  2. Ein Theme, das über fünf Jahre kein Update bekommen hatte
  3. Ein altes, von mir nicht mehr verwendetes Plugin, das ich aus Faulheit nicht gelöscht habe

Damit sind wir auch schon bei den drei wichtigsten Tipps für das Vermeiden des Verlustes an Daten, wie es mir passiert ist:

  1. NIEMALS die Datenbank löschen. NIE.
  2. Die Datenbank exportieren und getrennt regelmäßig speichern, nicht nur beim Hoster lagern
  3. Grundsätzlich alle Daten getrennt sichern, die auf dem Server liegen, regelmäßig

Die wichtigsten Plugins für die Sicherheit, die mir enorm geholfen haben:

  1. “Wordfence”, das einzige Plugin, dass den Trojaner gefunden hat
  2. “Antivirus”, für das Blog, nicht den Rechner

Allgemeine Tipps zur Sicherheit von WordPress für Dummies, die ich besser auch stets bedacht hätte:

  1. Passwörter mit mindestens 10 Zeichen, Benutzernamen ändern, auf keinen Fall “Admin” oder so belassen
  2. Alle Passwörter überprüfen: FTP, SQL, SSH, Webserver, WordPress
  3. Sicheren Computer verwenden, wenn man mit CMS arbeitet, zum Beispiel Linux-Mint, das geht auch von CD
  4. Nur ein Theme installiert haben, das auch regelmäßige Updates erhält, keine unnützen Themes “rumliegen” haben
  5. Nur die notwendigsten Plugins aus vertrauenswürdigen Quellen installieren und diese immer aktuell halten
  6. WP-Config-Datei vor Zugriff schützen
  7. Suchmaschinen den Zugang zum Index verweigern (muss ich auch noch einrichten)
  8. Google-Webmaster Tools verwenden, lästig, aber hilft
  9. In WordPress die Zugänge überwachen und die Einlog-Versuche beschränken, auch zeitlich, das macht es Bots erheblich schwieriger
  10. Nicht mehr verwendete “Gast-Schreiber”-Zugänge löschen und bei Bedarf neu erstellen

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.