Eine kompromittierte WordPress-Website macht selten auf sich aufmerksam. Der Angreifer will so lange wie möglich unsichtbar bleiben, denn jeder weitere Tag Zugriff bedeutet mehr Gelegenheit, Spam zu versenden, Ihr Hosting zu missbrauchen oder Suchrankings auf Ihrer Domain aufzubauen. Je früher Sie eine Kompromittierung entdecken, desto geringer der Schaden. Hier sind zwölf praktische Warnsignale, die Sie auf jeder WordPress-Website prüfen sollten, die Sie besitzen oder betreuen.
1. Unbekannte Seiten oder Ordner im Stammverzeichnis
WordPress legt seine Dateien in einem bekannten Satz von Ordnern ab. Alles außerhalb von wp-admin, wp-content, wp-includes und den Standard-Core-Dateien im Stammverzeichnis sollte untersucht werden. Ein kürzlich durchgeführtes Audit auf der Website einer Sydneyer Agentur förderte fünf neue Verzeichnisse im Root zutage, jedes benannt nach echten WordPress-Seiten. Die Dateien darin waren der gesamte Angriff. Die Ordner selbst waren der verräterische Hinweis.
2. Dateien mit .php-Endung in wp-content/uploads
Der Uploads-Ordner ist für Medien da. PHP sollte dort nicht ausgeführt werden. Wenn Sie .php-Dateien im Uploads-Baum finden, besonders mit seltsamen Namen oder kürzlichen Änderungsdaten, behandeln Sie sie als verdächtig, bis das Gegenteil bewiesen ist. Die Ausnahme ist eine kleine Menge absichtlicher Platzhalterdateien, die Hardening-Plugins hinzufügen, um direkten Zugriff zu blockieren. Alles darüber hinaus ist eine Untersuchung wert.
3. Neue Admin-Benutzer, die Sie nicht angelegt haben
Öffnen Sie „Benutzer“ in Ihrer WordPress-Verwaltung. Sehen Sie sich jedes Konto mit Administratorrolle an. Steht dort jemand, den Sie nicht erkennen, mit einer E-Mail-Adresse auf einer unbekannten Domain oder mit einem Registrierungsdatum, das zu keinem Onboarding passt, an das Sie sich erinnern — das ist ein Warnsignal. Angreifer legen häufig ein Hintertür-Adminkonto an, um zurückkehren zu können, selbst nachdem der ursprüngliche Einstiegspunkt geschlossen wurde.
4. Einbrüche oder Ausschläge in der Search-Console-Leistung
Die Google Search Console ist das Frühwarnsystem, das die meisten Website-Betreiber ignorieren. Plötzliche Einbrüche bei Impressionen oder Rankings können bedeuten, dass eine manuelle Maßnahme verhängt wurde. Plötzliche Ausschläge bei Impressionen für Suchanfragen, die nichts mit Ihrem Geschäft zu tun haben, können bedeuten, dass Google nun verschleierte Inhalte unter Ihrer Domain rankt. So oder so: nachforschen.
5. Unbekannte indexierte URLs
In der Search Console listet der Abdeckungsbericht jede URL auf, die Google unter Ihrer Domain indexiert hat. Sehen Sie URLs, die Sie nicht erstellt haben, besonders in Fremdsprachen oder mit ungewöhnlichen Pfaden, ist das ein starkes Zeichen, dass Ihre Domain verschleierte Inhalte beherbergt. Der erwähnte Fall aus Sydney zeigte sich zuerst in indexierten URLs, die der Inhaber nie gesehen hatte.
6. Auffälligkeiten auf der Hosting-Rechnung
Ein plötzlicher Sprung bei Bandbreite oder Speicher auf Ihrer Hosting-Rechnung ohne entsprechende Traffic- oder Inhaltsänderung kann bedeuten, dass der Server für etwas anderes als Ihre Website genutzt wird. Angreifer nutzen kompromittierte WordPress-Websites mitunter, um Phishing-Seiten, Malware oder Spam-Inhalte zu hosten — und die Bandbreite taucht in Ihrer Nutzungsstatistik auf.
7. Spam-Kommentare oder -Registrierungen trotz aktiver Filter
Wenn Spam-Filter installiert sind, aber trotzdem Spam erscheint — besonders automatisch freigegebene Kommentare oder Benutzerregistrierungen, die Ihre Einstellungen umgehen —, hat etwas den normalen WordPress-Ablauf ausgehebelt. Das kann eine Plugin-Fehlkonfiguration sein, aber auch eine Kompromittierung, die Ihre Schutzmaßnahmen deaktiviert oder umgangen hat.
8. Veränderte WordPress-Core-Dateien
Die Dateien in wp-admin und wp-includes gehören zum WordPress-Kern. Website-Betreiber sollten sie nie bearbeiten, und Routine-Updates sollten sie in einem bekannten, sauberen Zustand hinterlassen. Ein seriöses Sicherheits-Plugin wie Wordfence kann Ihre Core-Dateien mit den offiziellen Versionen vergleichen und Ihnen sagen, welche verändert wurden. Jede Änderung, die Sie nicht erklären können, ist ein Warnsignal.
9. Seltsame Einträge im Aktivitätsprotokoll
Wenn Ihr Sicherheits-Plugin oder Ihr Hoster ein Aktivitätsprotokoll bereitstellt, lesen Sie es. Logins aus Ländern, in denen Sie nicht tätig sind, Logins zu Uhrzeiten, die zu keinem üblichen Muster Ihres Teams passen, Einstellungsänderungen, die Sie nicht vorgenommen haben, Plugins, die außerhalb der Wartungsfenster installiert oder aktiviert wurden — jedes davon ist eine Untersuchung wert.
10. Unerwartete Weiterleitungen aus Suchergebnissen
Klicken Sie Ihre eigene Website in einem Google-Suchergebnis an, idealerweise in einer frischen Browser-Sitzung oder auf einem Mobilgerät. Landen Sie auf einer anderen Domain, einer unbekannten Landingpage oder einer Seite, die nicht zum angeklickten Titel passt, fängt etwas den Suchverkehr ab. Angreifer schreiben oft Weiterleitungsregeln, die nur bei Besuchern aus Suchmaschinen greifen — deshalb sieht dieselbe URL normal aus, wenn man sie direkt eingibt.
11. Browser-Warnungen bei Ihrer URL
Chrome, Firefox und Safari zeigen eine rote Warnseite, wenn Google Safe Browsing Ihre Domain wegen Malware oder Phishing markiert hat. Meldet jemand eine solche Warnung auf Ihrer Website, behandeln Sie das als bestätigte Kompromittierung, bis das Gegenteil bewiesen ist. In der überwiegenden Mehrheit der Fälle ist die Warnung kein Fehlalarm.
12. Kunden melden seltsame Inhalte
Manchmal ist der zuverlässigste Detektor ein verwirrter Kunde. Wenn jemand fragt, warum Ihre Website themenfremde Inhalte zeigt, Produkte bewirbt, die Sie nicht verkaufen, oder in einem unbekannten Formular Zugangsdaten abfragt, hören Sie genau hin. Kunden sehen die öffentliche Seite Ihrer Website unter Bedingungen, die Sie womöglich nicht testen.
Was tun, wenn Sie eines dieser Signale entdecken
Erscheint eines dieser Warnsignale, geraten Sie nicht in Panik und versuchen Sie nicht aufzuräumen, bevor Sie das Ausmaß verstanden haben. Der wichtigste erste Schritt ist ein Schnappschuss des aktuellen Zustands, einschließlich einer vollständigen Sicherung von Dateien und Datenbank, damit ein forensisches Audit nachvollziehen kann, was der Angreifer getan hat. Ändern Sie dann alle Zugangsdaten. Beginnen Sie anschließend mit der systematischen Bereinigung, idealerweise mit jemandem, der das schon einmal gemacht hat.
Wer zu schnell aufräumt, zerstört die Beweise, die nötig sind, um den Einstiegspunkt zu finden. Ohne den Einstiegspunkt ist der Angreifer binnen Tagen zurück.
Brauchen Sie Unterstützung?
Wenn eines dieser Warnsignale auf Ihrer WordPress-Website aufgetaucht ist, kann das Team von Defyn ein forensisches Audit durchführen, den Einstiegspunkt identifizieren und Sie durch eine saubere Wiederherstellung begleiten. Melden Sie sich, sobald Sie etwas bemerken. Zeit zählt.
