Klingt ja schön und gut, aber wo ist das Problem?<\/p>\n
Wie meine Website in nur 30 Sekunden gehacked wurde<\/strong><\/h2>\nAls ich heute Morgen gediegen, mit einem Kaffee in der Hand, von meiner aktuellen Website Daten prüfen wollte, sah ich eine überraschende Mail in meinem Postfach. Schaut sie euch mal an:<\/p>\n
![\"\"](\"https:\/\/wolf-of-seo.de\/wp-content\/uploads\/2019\/05\/Bildschirmfoto-2019-05-31-um-14.56.33.png\")
<\/p>\n
Ich dachte erst fälschlicherweise, dass ich eventuell einen Lead über mein frisch eingerichtetes „Covert Plus“ Plug-in generiert hätte. Diese erschien mir jedoch komisch, da die eingestellten Kampagnen nichts mit Benutzerregistrierungen zu tun hatten.<\/p>\n
Aus diesem Grund prüfte<\/strong> ich dann in meinem WordPress Interface<\/strong>, unter den Tab Benutzer<\/em>, wer wohl dieser seltsame Samuel gewesen sein mag. Im Benutzer Tab angekommen, traf mich fast der Schlag, es hatte rein gar nichts mit meinem Covert Plus Plug-in zu tun gehabt. Durch irgendeine Methode gelang es jemandem, meine Seite von WordPress hacken<\/strong> zu können und einen neuen User mit Adminrechten anzulegen<\/strong>. Mit einem Mix aus Schrecken, Verwirrung und der Laune eines Morgenmuffels, löschte ich diesen Nutzer so schnell es ging<\/strong> wieder.<\/p>\nVöllig perplex und erschrocken fragte ich mich, wie zur Hölle kam dieser Typ jetzt in Meine Website?<\/strong> Man hört viel über Hacking, liest viel im Netz, dass so etwas jedoch wirklich mal einem selbst passiert, erlebt man selten.<\/p>\nDa es viele Wege in eine WordPress-Website hinein gibt, setzte ich erstmal schnellstmöglich die Basics um:<\/h3>\n\n- Neuer Log-in Pfad<\/em> (Du solltet Ihn in jedem Fall niemals bei \/wp-admin belassen!)<\/em><\/strong><\/li>\n
- Passwortänderung in WordPress<\/em><\/strong><\/li>\n
- Passwortänderung im Hosting<\/em><\/strong><\/li>\n
- Neues Passwort im FTP<\/em><\/strong><\/li>\n
- 2-Faktor Authentifizierung im Hosting<\/em><\/strong><\/li>\n
- 2-Faktor Authentifizierung in WordPress<\/em><\/strong><\/li>\n
- Alle offenen Plug-ins updaten<\/em><\/strong><\/li>\n
- Neues Passwort für die Datenbank<\/em><\/strong><\/li>\n<\/ul>\n
Hierbei blieben lediglich die Updates der üblichen im Theme enthaltenen Plug-ins offen<\/strong>, jeder der ein Themeforest Theme verwendet, wird es kennen. Zu den üblichen Verdächtigen gehören Plug-ins<\/a> wie WP Bakery Page Builder, Ultimate Addons for WPBakery Page Builder, Convert Plus und ähnliche Plug-ins<\/em>. Die fordern eigentlich eine individuelle Lizenz ab, sind aber in vielen Themes automatisch enthalten. Ohne Lizenz können diese zwar verwendet werden, aber nicht manuell selbst ge-updated werden.<\/strong><\/p>\nDa ich diesen Plug-ins aus irgend einem Grund mehr vertraue, vermutlich da sie paid sind, machte ich mir an dieser Stelle jedoch erstmal weniger Sorgen, dass jemand durch Hilfe dieser, meinen Account von WordPress hacken konnte. Nachdem ich alle oben genannten Maßnahmen getroffen hatte, dachte ich, ich hätte die Gefahr abgewendet.<\/p>\n
\n- Falsch gedacht. <\/em><\/li>\n
- Der Laptop machte ein Ping-Geräusch. <\/em><\/li>\n
- Eine neue Mail flattert rein:<\/em><\/strong><\/li>\n<\/ol>\n
![\"\"](\"https:\/\/wolf-of-seo.de\/wp-content\/uploads\/2019\/05\/Bildschirmfoto-2019-05-31-um-14.56.41.png\")
<\/p>\n
„Verdammte Axt<\/strong>“ – <\/em>dachte ich mir.<\/p>\n„DAS KANN DOCH NICHT SEIN<\/strong>“ – <\/em>ging mir durch den Kopf.<\/p>\n„Jetzt werden nichtmal mehr Pinkelpausen gemacht, bis das gelöst ist<\/strong>“ – <\/em>dachte ich mir.<\/p>\n„Einmal das Wordfence Plug-in zum Mitnehmen bitte.“<\/strong><\/h3>\nNachdem ich anschließend in die PRO-Version von Wordfence investiert hatte, schaute ich mir das Live Tracking an:<\/p>\n
![\"\"](\"https:\/\/wolf-of-seo.de\/wp-content\/uploads\/2019\/05\/Bildschirmfoto-2019-05-31-um-13.29.58-1.png\")
<\/p>\n
Da vergeht sich doch tatsächlich eine Niederländische IP mit einem russischen Hostnamen an meinen Admin Files. <\/strong><\/p>\nAls ich mit fragendem Blick: „\/wp-admin\/“ erspähte, wusste ich, es muss schnellstmöglich der Bannhammer in Richtung Niederlande<\/strong> fliegen.<\/p>\n![\"\"](\"https:\/\/wolf-of-seo.de\/wp-content\/uploads\/2019\/05\/Bildschirmfoto-2019-05-31-um-17.45.43.png\")
<\/p>\n
Phew, das fühlte sich gut an. Die Frage ist jedoch, hat es etwas gebracht?<\/strong><\/p>\n![\"\"](\"https:\/\/wolf-of-seo.de\/wp-content\/uploads\/2019\/05\/Bildschirmfoto-2019-05-31-um-17.47.58.png\")
<\/p>\n
Ja, hat es. <\/strong><\/p>\nDie Person versuchte noch über eine andere IP-Adresse auf meine Seite zuzugreifen, doch da diese in den Niederlanden lagen, gelang dies nicht.<\/p>\n
Wichtig: Ein Country-Ban wird niemals ausreichen. Jeder kann beliebig auf VPNs zugreifen um eine IP aus einem anderen Land zu bekommen.<\/strong> Somit hätte der Angreifer einfach beliebig weiterverfahren können. Deshalb erschien es mir logisch, vor allem auch nach Rücksprache mit ein paar Leidensgenossen, dass es an einem Plug-in liegen muss.<\/p>\nDer Übeltäter: das Convert Plus Plug-in<\/strong><\/h2>\nNach einer kleinen Diskussion in den Online-Marketing<\/span>-Gruppen gab es vielerlei Ansätze. So überprüfte ich, ob es irgendwelche Neuigkeiten über Plug-ins, die ich verwendete, gab – und siehe da:<\/p>\n![\"\"](\"https:\/\/wolf-of-seo.de\/wp-content\/uploads\/2019\/05\/Bildschirmfoto-2019-05-31-um-17.59.59.png\")
(29.05 – Quelle: Wordfence<\/a>)<\/em><\/figcaption><\/figure>\n![\"\"](\"https:\/\/wolf-of-seo.de\/wp-content\/uploads\/2019\/05\/Bildschirmfoto-2019-05-31-um-18.01.07.png\")
(30.05 – Quelle: Bleepingcomputer<\/a>)<\/figcaption><\/figure>\nKlingt vielleicht seltsam, aber nach dem ich das gelesen hatte, war ich beruhigt.<\/strong> Nichts ist schlimmer in solch einer Situation, als nicht zu wissen, wo das Problem liegt.<\/p>\nNun löschte<\/strong> ich schnurstracks, das eben erwähnte Convert Plus<\/strong> Plug-in<\/strong> und schaute mal auf der offiziellen Seite, ob es denn ein Update zu diesem Problem<\/strong> gäbe.<\/p>\n![\"\"](\"https:\/\/wolf-of-seo.de\/wp-content\/uploads\/2019\/05\/Bildschirmfoto-2019-05-31-um-18.07.44.png\")
Neues Update auf der offiziellen Plug-in Seite und bei CodeCanyon<\/a><\/em><\/figcaption><\/figure>\nIn einem offiziellen Beitrag von Wordfence<\/a> wurde dieses Problem etwas genauer beleuchtet, für jeden den es interessiert. Zudem stellt Wordfence deutlich klar, dass die Entwickler von Convert Plus umgehend auf diesen Bug reagierten<\/strong>, ihn binnen weniger Tage lösten, das Plug-in updateten<\/strong> und es in einem eigenen Beitrag<\/a> Ihren Nutzern mitteilten.<\/p>\nWeiterhin zeigte das Team von Wordfence in Ihrem Beitrag sogar exemplarisch mit einem Video auf, wie dieser Hacking Vorgang ablief.<\/strong> Hierbei wird einem selbst erst mal klar, wie schnell<\/strong> und einfach<\/strong> jemand sich Zugriff auf eure Website verschaffen kann<\/strong>. Es musste einfach eine Schwachstelle in Plug-ins<\/strong> gefunden werden, und schon war es den Personen möglich deinen Account von WordPress hacken zu können. Gruselig, aber wichtig zu wissen.<\/p>\nAlso habt Ihr zwei Möglichkeiten,<\/strong> falls Ihr das Convert Plus Plug-in in der Version 3.4.2<\/strong> oder früher habt, nämlich UPDATEN oder LÖSCHEN.<\/strong><\/p>\nUnd die Moral von der Geschicht …<\/strong><\/h3>\n\n- „Zu viele Plug-ins, installiert man nicht“.<\/em><\/li>\n
- „Veraltete Plug-ins nutzt man nicht.“<\/em><\/li>\n
- „Wordfence und 2-Faktor-Authentifizierung, du besser nutzt, du Wicht.“<\/em><\/li>\n
- „Personen aus den Niederlanden, vertraut man nicht“<\/em> (Joke)<\/li>\n
- „Ein alternativer Login-Pfad ist schön und schlicht“<\/em><\/li>\n<\/ol>\n
Aber Spaß beiseite. Man hört so oft, dass es wichtig ist die Plug-ins auf dem neusten Stand zu behalten<\/strong>. Dieses Beispiel sollte euch zeigen, dass diese Aussage wirklich stimmt – und nicht nur von Agenturen verwendet wird um Kunden laufende Kosten für die „Wartung“ anzudrehen.<\/p>\nGlücklicherweise verbringe ich workaholisierter Nerd annährend jede wache Stunde vor dem Laptop und war quasi Live dabei, als versucht wurde, meine Seite zu infiltrieren. Es hat in diesem Fall, wenn Ihr euch das Video von Wordfence<\/strong> anschaut, wirklich nur 30 Sekunden gedauert um einen Admin Zugang anzulegen<\/strong>. Wie das möglich war\/ist, seht Ihr in folgendem Video:<\/p>\n
<\/p>\nVöllig perplex und erschrocken fragte ich mich, wie zur Hölle kam dieser Typ jetzt in Meine Website?<\/strong> Man hört viel über Hacking, liest viel im Netz, dass so etwas jedoch wirklich mal einem selbst passiert, erlebt man selten.<\/p>\n Hierbei blieben lediglich die Updates der üblichen im Theme enthaltenen Plug-ins offen<\/strong>, jeder der ein Themeforest Theme verwendet, wird es kennen. Zu den üblichen Verdächtigen gehören Plug-ins<\/a> wie WP Bakery Page Builder, Ultimate Addons for WPBakery Page Builder, Convert Plus und ähnliche Plug-ins<\/em>. Die fordern eigentlich eine individuelle Lizenz ab, sind aber in vielen Themes automatisch enthalten. Ohne Lizenz können diese zwar verwendet werden, aber nicht manuell selbst ge-updated werden.<\/strong><\/p>\n Da ich diesen Plug-ins aus irgend einem Grund mehr vertraue, vermutlich da sie paid sind, machte ich mir an dieser Stelle jedoch erstmal weniger Sorgen, dass jemand durch Hilfe dieser, meinen Account von WordPress hacken konnte. Nachdem ich alle oben genannten Maßnahmen getroffen hatte, dachte ich, ich hätte die Gefahr abgewendet.<\/p>\n „Verdammte Axt<\/strong>“ – <\/em>dachte ich mir.<\/p>\n „DAS KANN DOCH NICHT SEIN<\/strong>“ – <\/em>ging mir durch den Kopf.<\/p>\n „Jetzt werden nichtmal mehr Pinkelpausen gemacht, bis das gelöst ist<\/strong>“ – <\/em>dachte ich mir.<\/p>\n Nachdem ich anschließend in die PRO-Version von Wordfence investiert hatte, schaute ich mir das Live Tracking an:<\/p>\n Da vergeht sich doch tatsächlich eine Niederländische IP mit einem russischen Hostnamen an meinen Admin Files. <\/strong><\/p>\n Als ich mit fragendem Blick: „\/wp-admin\/“ erspähte, wusste ich, es muss schnellstmöglich der Bannhammer in Richtung Niederlande<\/strong> fliegen.<\/p>\n Phew, das fühlte sich gut an. Die Frage ist jedoch, hat es etwas gebracht?<\/strong><\/p>\n Ja, hat es. <\/strong><\/p>\n Die Person versuchte noch über eine andere IP-Adresse auf meine Seite zuzugreifen, doch da diese in den Niederlanden lagen, gelang dies nicht.<\/p>\n Wichtig: Ein Country-Ban wird niemals ausreichen. Jeder kann beliebig auf VPNs zugreifen um eine IP aus einem anderen Land zu bekommen.<\/strong> Somit hätte der Angreifer einfach beliebig weiterverfahren können. Deshalb erschien es mir logisch, vor allem auch nach Rücksprache mit ein paar Leidensgenossen, dass es an einem Plug-in liegen muss.<\/p>\n Nach einer kleinen Diskussion in den Online-Marketing<\/span>-Gruppen gab es vielerlei Ansätze. So überprüfte ich, ob es irgendwelche Neuigkeiten über Plug-ins, die ich verwendete, gab – und siehe da:<\/p>\n Klingt vielleicht seltsam, aber nach dem ich das gelesen hatte, war ich beruhigt.<\/strong> Nichts ist schlimmer in solch einer Situation, als nicht zu wissen, wo das Problem liegt.<\/p>\n Nun löschte<\/strong> ich schnurstracks, das eben erwähnte Convert Plus<\/strong> Plug-in<\/strong> und schaute mal auf der offiziellen Seite, ob es denn ein Update zu diesem Problem<\/strong> gäbe.<\/p>\n In einem offiziellen Beitrag von Wordfence<\/a> wurde dieses Problem etwas genauer beleuchtet, für jeden den es interessiert. Zudem stellt Wordfence deutlich klar, dass die Entwickler von Convert Plus umgehend auf diesen Bug reagierten<\/strong>, ihn binnen weniger Tage lösten, das Plug-in updateten<\/strong> und es in einem eigenen Beitrag<\/a> Ihren Nutzern mitteilten.<\/p>\n Weiterhin zeigte das Team von Wordfence in Ihrem Beitrag sogar exemplarisch mit einem Video auf, wie dieser Hacking Vorgang ablief.<\/strong> Hierbei wird einem selbst erst mal klar, wie schnell<\/strong> und einfach<\/strong> jemand sich Zugriff auf eure Website verschaffen kann<\/strong>. Es musste einfach eine Schwachstelle in Plug-ins<\/strong> gefunden werden, und schon war es den Personen möglich deinen Account von WordPress hacken zu können. Gruselig, aber wichtig zu wissen.<\/p>\n Also habt Ihr zwei Möglichkeiten,<\/strong> falls Ihr das Convert Plus Plug-in in der Version 3.4.2<\/strong> oder früher habt, nämlich UPDATEN oder LÖSCHEN.<\/strong><\/p>\n Aber Spaß beiseite. Man hört so oft, dass es wichtig ist die Plug-ins auf dem neusten Stand zu behalten<\/strong>. Dieses Beispiel sollte euch zeigen, dass diese Aussage wirklich stimmt – und nicht nur von Agenturen verwendet wird um Kunden laufende Kosten für die „Wartung“ anzudrehen.<\/p>\n Glücklicherweise verbringe ich workaholisierter Nerd annährend jede wache Stunde vor dem Laptop und war quasi Live dabei, als versucht wurde, meine Seite zu infiltrieren. Es hat in diesem Fall, wenn Ihr euch das Video von Wordfence<\/strong> anschaut, wirklich nur 30 Sekunden gedauert um einen Admin Zugang anzulegen<\/strong>. Wie das möglich war\/ist, seht Ihr in folgendem Video:<\/p>\nDa es viele Wege in eine WordPress-Website hinein gibt, setzte ich erstmal schnellstmöglich die Basics um:<\/h3>\n
\n
\n
<\/p>\n„Einmal das Wordfence Plug-in zum Mitnehmen bitte.“<\/strong><\/h3>\n
<\/p>\n<\/p>\n<\/p>\nDer Übeltäter: das Convert Plus Plug-in<\/strong><\/h2>\n
Und die Moral von der Geschicht …<\/strong><\/h3>\n
\n