WordPress wurde gehackt?

Im Moment verzeichnen viele WordPress Webseiten Betreiber einen stetigen Anstieg von Einbruchsversuchen in ihren Systemen. In den Foren und Diskussionsgruppen häufen sich die Anfragen, wie man ein gekapertes WordPress wieder sauber bekommt.

Ernesto Ruge hat auf seiner Webseite Sectio Aurea eine To-Do Liste mit Erklärungen veröffentlicht, was im Falle einer gehackten (ja, gehackt – denn das mit dem Virus deckt erstens nicht alles ab und erinnert von der Wortwahl zu stark an die Betriebssystemviren) Webseite getan werden sollte.

Wir können aus diesem Artikel festhalten, das vor allem folgende Punkte oft sträflich unterschätzt und vernachlässigt werden:

  • Sicherheit stellt man nicht her, indem man einfach ein entsprechendes Plugin installiert und aktiviert.
  • Es ist immanent wichtig herauszufinden, wie die Webseite kompromitiert wurde. Ohne dieses Wissen und die Abstellung der Sicherheitslücken wird in naher Zukunft wieder dasselbe passieren.
  • Es ist unerlässlich, ein eigenes Sicherheitskonzept zu erarbeiten und anzuwenden. Dazu gehören auch die Benutzerrollen im WordPress selbst, die Verwendung abgesicherter Hardware (PC, Smartphone, Tablet) in sicheren Netzwerken (öffentliches WLAN, Internetcafe …) und nicht alles an Plugins und Themes zu installieren, was nicht bei 3 auf den Bäumen ist. Man muss es den bösen Menschen nicht leichter machen als nötig.