Eine Anleitung, wie du einen Hack erkennst, wie du ihn bereinigst und wie du ihn in Zukunft verhinderst
Als Webentwickler habe ich im Laufe meiner Karriere bereits viele Anfragen von Kunden erhalten, deren Webseiten gehackt wurden. Dabei habe ich nicht nur gelernt, wie man einen Hack erkennt und bereinigt, sondern auch, wie man zukünftig solche Angriffe verhindern kann. Genau aus diesem Grund möchte ich meine Erfahrungen und Kenntnisse mit dir teilen.
In diesem Blogartikel wirst du eine Anleitung finden, die dir genau zeigt, wie du einen Hack erkennst, wie du ihn bereinigst und vor allem, wie du ihn in Zukunft bestmöglich verhinderst.
Ich möchte auch noch auf unseren anderen Blogartikel „Zu regelmäßiger Wartung ist jeder verpflichtet“ hinweisen. Dort geht es darum, dass jeder Webseitenbetreiber generell zu regelmäßigen Updates verpflichtet ist, um unter anderem Hacks zu verhindern. Updates haben aber auch noch weitere Vorteile, wie eine bessere Performance und neue Funktionen.
Verzeichnis
Wie erkenne ich einen Hack?
Als Webseitenbetreiber ist es wichtig, schnellstmöglich zu erkennen, ob die eigene Webseite gehackt wurde. Dabei gibt es einige Anzeichen, auf die du achten solltest. Eines der offensichtlichsten Anzeichen ist eine direkte Weiterleitung von deiner Webseite auf andere dubiose Webseiten. Dies kann zum Beispiel passieren, wenn der Hacker einen bösartigen Code in deine Webseite eingeschleust hat. Ein weiteres Anzeichen ist das Auftauchen neuer, unbekannter Blogeinträge, die von dir oder deinen Teammitgliedern nicht verfasst wurden.
Ein weiterer wichtiger Hinweis ist das Auftauchen von neuen Benutzern im Benutzerverzeichnis deiner Webseite. Diese Benutzer sind oft von außen eingeschleust worden und haben Zugriff auf die Inhalte und Funktionen deiner Webseite. Eine hohe Auslastung des Servers sowie ein erhöhter Speicherverbrauch können ebenfalls ein Indiz für einen Hackangriff sein. Diese Anzeichen deuten darauf hin, dass der Hacker möglicherweise Schadcode auf deiner Webseite platziert hat, um Informationen zu sammeln oder weitere Angriffe durchzuführen.
Es ist jedoch wichtig zu beachten, dass diese Anzeichen nicht immer sofort nach einem erfolgreichen Hackangriff auftreten. Ein Hack kann Wochen oder sogar Monate zurückliegen, bevor der Hacker aktiv wird. Es ist daher ratsam, regelmäßig deine Webseite auf diese Anzeichen zu überprüfen.
In manchen Fällen können Hacker jedoch noch subtiler vorgehen und versuchen, ihre Spuren zu verwischen. So hatte ich beispielsweise mal einen Fall, bei dem der Hacker sich die IP-Adresse des Webseitenbetreibers gemerkt hatte. Dadurch fand die Weiterleitung nur bei Besuchern der Webseite statt, während dem Webseitenbetreiber selbst nichts auffiel. Um sich vor solchen subtilen Angriffen zu schützen, ist es ratsam, entsprechende Security-Scripte auf deiner Webseite aktiv zu haben oder einen guten Hoster zu wählen, der Server auf solche Auffälligkeiten überwacht.
Wenn deine Webseite gehackt wurde, solltest du bedenken, dass der Hauptgrund des Hacks in den meisten Fällen nicht der direkte Diebstahl von Daten ist. Oftmals haben Hacker andere Ziele, wenn sie eine Webseite hacken. Ein häufiges Ziel ist zum Beispiel das Einschleusen von Malware oder Viren auf die Webseite, um sie dann auf die Rechner der Besucher der Webseite zu übertragen. Dies kann dazu führen, dass die Webseite von den Suchmaschinen blockiert wird und die Besucher sich von der Seite abwenden. Ein weiteres Ziel kann darin bestehen, auf der gehackten Webseite Spam-Kampagnen zu starten, um beispielsweise gezielte Phishing-Angriffe auf Nutzer durchzuführen oder unerwünschte Werbung zu schalten. Aus diesem Grund ist es wichtig, einen gehackten Server schnellstmöglich zu identifizieren und die nötigen Schritte zur Bereinigung und Wiederherstellung der Webseite einzuleiten.
Was muss ich tun bei einem Hack?
Wenn man bemerkt, dass die eigene Webseite gehackt wurde, ist schnelles Handeln gefragt. Denn nicht nur können Dritte geschädigt werden, auch das eigene Ranking sowie das Online Marketing können Schaden nehmen. Um dies zu vermeiden und den Schaden so gering wie möglich zu halten, sollten die folgenden 7 Schritte schnell und sorgfältig durchgeführt werden. Denn je länger man wartet, desto größer wird der Schaden und desto aufwendiger wird es, diesen zu beheben.
1. Webseite nicht erreichbar stellen und Polizei und Kunden informieren
Eine Möglichkeit, um eine gehackte Webseite vor unbefugtem Zugriff zu schützen, ist die Einrichtung eines sogenannten htaccess Passwortschutzes per FTP. Diese htacces Dateien müssen in das Root-Verzeichnis der Webseite eingefügt werden. Eine entsprechende Webseite zur Generierung dieser Dateien findest du unter htpasswdgenerator.de.
Eine weitere Möglichkeit besteht darin, eine IP-Sperre auf dem Server zu integrieren und nur deiner IP den Zugriff zu gestatten. Dies kannst du oder dein Hoster in deinem Hosting bestenfalls hinterlegen.
Es ist jedoch wichtig zu beachten, dass man die Webseite nicht einfach über das CMS-System in den Wartungsmodus versetzt. Denn so kann der Schadcode immer noch aktiv sein und weiteren Schaden anrichten. Darüber hinaus sollten regelmäßige Backups angelegt und Sicherheitsupdates eingespielt werden, um die Webseite langfristig zu schützen.
Es ist jedoch wichtig zu beachten, dass diese Maßnahmen nur als vorübergehende Lösung dienen sollten. Eine langfristige Lösung erfordert die Ursachenbehebung des Hacks und die Implementierung von Maßnahmen zur Vermeidung zukünftiger Angriffe. Darüber hinaus kann eine dauerhaft nicht erreichbare Webseite ihr Ranking bei Google und anderen Suchmaschinen verlieren, was sich negativ auf das Online-Marketing auswirkt.
Wenn deine Webseite erfolgreich gehackt wurde, solltest du nicht nur Maßnahmen ergreifen, um die Webseite zu sichern, sondern auch eine Meldung bei der Polizei erwägen. Ein erfolgreicher Hackerangriff kann nicht nur dazu führen, dass die Webseite nicht mehr erreichbar ist oder dass Daten gestohlen wurden, sondern kann auch erhebliche Auswirkungen auf deine Kunden und Geschäftspartner haben.
Daher ist es wichtig, den Vorfall bei der Polizei zu melden. Die Polizei kann den Vorfall untersuchen und gegebenenfalls weitere Schritte einleiten, um den Täter zu identifizieren und zur Rechenschaft zu ziehen.
Zusätzlich dazu solltest du deine Kunden und Geschäftspartner informieren, wenn es zu einem Datenverlust oder einer Datenschutzverletzung gekommen ist. Hierbei ist Transparenz wichtig, um das Vertrauen deiner Kunden und Geschäftspartner zu bewahren.
2. Hoster kontaktieren
Meistens merkt der Hoster vor dir, dass etwas bei dem Hosting nicht stimmt und hat möglicherweise bereits reagiert und dich informiert. Sollte dies nicht der Fall sein, solltest du den Hoster über deine Vermutung eines Angriffs informieren. Gute Hoster können dann die Webseite vorübergehend deaktivieren und einen Scan auf entsprechenden Schadcode durchführen. Dies wird dir bei der Bereinigung der Webseite helfen.
3. Analyse, was hat der Hacker getan?
Nachdem du den Hoster kontaktiert hast, hast du bestenfalls in kurzer Zeit einen Scannbericht der befallenen Daten. Aber du solltest auch schauen was der Hacker alles getan hat. Sind neue Benutzer angelegt? Beiträge oder Seiten erstellt worden oder wurden Spammails versendet. Dann weist du wo du überall aufräumen musst und was das Ziel des Hackers gewesen ist. So kannst du Kunden oder die Polizei gezielt informieren.
Auch kannst du nun Plugins installieren, die dich bei der Bereinigung unterstützen. So hast du neben dem Scannbericht des Hosters auch die Möglichkeit, Scanning- und Security-Plugins zu installieren. Für WordPress gibt es beispielsweise das Plugin „Wordfence Security„.
4. Daten bereinigen
Nun geht es an das Bereinigen der Daten. Hier sollten dir die Scans aus dem Plugin oder vom Hoster deutlich weiterhelfen. Gehe per FTP auf deinen Server und suche die Dateien und den Schadcode darin. Hier wird es etwas schwieriger und ich empfehle dir unbedingt einen Profi hinzuzuziehen, der den entsprechenden Code erkennt und richtig beseitigt.
Abgesehen vom Schadcode ist es ebenfalls wichtig, sämtliche vom Hacker erstellten Daten zu löschen, einschließlich Beiträgen, Code und Benutzern. Es ist ratsam, auch einen Blick in die Datenbank zu werfen.
Nach der Bereinigung sollten alle Passwörter geändert werden, einschließlich FTP- und Hostingzugängen sowie Datenbankpasswörtern. Hierbei ist es wichtig, möglichst sichere Passwörter zu verwenden. Bitte sende die Passwörter auch nicht per E-Mail an Dritte, sondern nutze sichere Kommunikationskanäle wie Bilder oder verschlüsselte Nachrichten.
Führe zwischendurch auch immer wieder Scanns durch.
5. Sicherheitslücke schließen & updaten
Durch die Scans der befallenen Daten und was genau der Hacker gemacht hat, lässt sich womöglich erkennen, wie der Hacker in das System gekommen ist. Da es hier sehr viele Möglichkeiten gibt, ist es schwer hier einen genauen Tipp zu geben. Am häufigsten liegt es aber einfach daran, dass Systeme nicht aktualisiert wurden. Neben dem Zurücksetzen aller Passwörter ist es also auch wichtig, das System auf den aktuellen Stand zu bringen. Plugins, die keine Updates mehr erhalten, sollten ausgetauscht werden, Templates sollten aktualisiert werden und auch die PHP-Version des Servers sollte überprüft werden. Ein aktuelles System bietet zwar keinen 100%igen Schutz – den gibt es nicht – doch meist konnte so das Problem gelöst werden.
Generell sollte man alle Plugins und Systeme von Drittanbietern überprüfen. Vertrauenswürdige Plugins sind solche mit hoher Nutzerzahl und häufigen Updates. Natürlich sind auch solche oft genug betroffen.
6. Vom Hoster nochmal prüfen lassen
Wenn alles erledigt ist, sollte der Hoster ebenfalls noch einmal einen Scan durchführen. Wenn dieser keine befallenen Daten findet, wird er die Seite wieder freigeben.
7. Seite wieder aktivieren und beobachten
Du kannst die Seite nun wieder aktivieren, ob selbst oder durch den Hoster, hängt von der Art der Sperrung ab, die du gewählt hast. Wichtig ist jedoch, dass die Webseite möglichst kurzzeitig nicht erreichbar sein sollte, um keine negativen Auswirkungen auf das Google-Ranking zu haben. Wir sprechen hier von wenigen Stunden. Natürlich hängt die Dauer der Bereinigung von der Komplexität des Problems ab, aber es ist wichtig, schnell zu handeln.
Sobald die Seite wieder aktiv ist, solltest du in den nächsten Wochen besonders aufmerksam sein und regelmäßige Scans durchführen sowie auf Updates zeitnah reagieren. Auf diese Weise kannst du im Falle eines erneuten Angriffs möglicherweise die Sicherheitslücke genauer identifizieren und durch ein vorhandenes Backup die Daten schneller wiederherstellen.
Wie verhindere ich einen erfolgreichen Hackangriff?
Ein wichtiger Schritt ist die regelmäßige Aktualisierung aller Systeme und Plugins. Veraltete Software stellt oft eine Sicherheitslücke dar, die von Hackern ausgenutzt werden kann. Deshalb solltest du sicherstellen, dass alles auf dem neuesten Stand ist. Verwende auch nur vertrauenswürdige Plugins von seriösen Anbietern mit häufigen Updates. Ein Template von einem vertrauenswürdigen Hersteller ist ebenfalls empfehlenswert.
Weiterhin ist die Verwendung von Security-Plugins wie „Wordfence Security“ eine sinnvolle Maßnahme. Diese Plugins bieten zusätzliche Schutzmaßnahmen wie beispielsweise Firewalls, Malware-Scans und IP-Blockierung.
Ein weiterer wichtiger Aspekt ist die Verwendung von sicheren Passwörtern und einem sicheren Umgang damit. Verwende niemals das gleiche Passwort für verschiedene Konten und ändere dein Passwort regelmäßig. Auch die Verwendung von Passwort-Managern kann dabei helfen, starke und einzigartige Passwörter zu erstellen und zu verwalten.
Und denke daran: Eine Hackbereinigung kann oft sehr kostspielig sein. Eine regelmäßige Wartung durch einen Profi ist daher eine sinnvolle Investition in die Sicherheit deiner Webseite und deines Unternehmens.
Probleme mit deiner Webseite? Dann melde dich gerne!
Du hast Probleme bei der Bereinigung deiner Webseite oder bist dir nicht sicher, ob deine Seite gehackt wurde? Dann ist der erste wichtige Schritt getan und du meldest dich einfach bei mir. Ich kann gerne deine Webseite prüfen oder dir bei der Bereinigung helfen. Auch kurzfristig haben solch wichtige Themen daher bei mir immer Vorrang gegenüber anderen Projekten.
Ansonsten empfehle ich einen Wartungsvertrag, denn regelmäßige Updates und sicherer Umgang mit den Zugängen sind die Grundvoraussetzungen, um nicht Opfer eines erfolgreichen Angriffs zu werden.
Schön das du mich gefunden hast
Mein Name ist Ludwig Seidl und ich leite die Digitalagentur Seidl als Geschäftsführer und Inhaber.
Ich stehe für dich gerne bereit für eine kostenlose und unverbindliche Beratung. Du kannst dich gerne jederzeit per Telefon oder E-Mail melden.
Ich freue mich auf deine Kontaktaufnahme!