![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Momentan werden nicht gesicherte WordPress-Installationen massenweise gehackt. Und Google sorgt bei manchen Betreibern mit einer E-Mail f\u00fcr zus\u00e4tzliche Verwirrung. Zum Wochenabschluss noch eine Nachbetrachtung zum Thema WordPress und dem Umstand, dass tausende WordPress-Sites weltweit gehackt wurden. <\/p>\n
<\/p>\n
Nicht aktualisierte WordPress-Installationen oder WordPress-Sites, die nicht gegen Angriffe abgesichert sind, k\u00f6nnen durch Dritte gehackt werden. Es gibt momentan wohl drei Hackergruppen, die Kommentar-Spam und Eintr\u00e4ge wie hacked<\/em> by w4l3XzY3<\/em>, By+NeT.Defacer<\/i>, By+Hawleri_hacker <\/i>in kompromittierten Sites hinterlassen. <\/p>\n Auf einigen Seiten waren Bekenntnisse der Hacker als Artikel gepostet. Neu sind mir hacked by magelang6etar <\/em>und MuhmadEmad<\/em> aufgefallen. Obiger Screenshot zeigt nur einen ver\u00e4nderten Titel. Auf der nachfolgend gezeigten Webseite wird zus\u00e4tzlich eine animierte Flagge als politisches Statement gezeigt. <\/p>\n Bei Recherchen, die ich die Tage durchgef\u00fchrt habe, fanden sich WordPress-Auftritte, die gleich durch alle drei Gruppen kompromittiert waren. Auch der Hacker MuhmadEmad scheint aktiv und hat tausende WP-Blogs mit \"Long Live to peshmarga. KurDish HaCk3rS WaS Here\" versehen. <\/p>\n Dann findet sich auf der Website so etwas wie in obigem Screenshot gezeigt. Eine Suche in Google nach den obigen Begriffen wirft zur Zeit auch noch viele deutsche Websites aus. Ich habe vor Tagen eine gr\u00f6\u00dfere Anzahl von Betreibern angemailt (auch wenn mir das als Internet-Polizei von einem Kommentator<\/a> angelastet wurde). Eine Reihe Betreiber hat sofort reagiert \u2013 und bei einer Kontrolle sind viele Seiten zwischenzeitlich bereinigt \u2013 Google hat die Inhalte noch nicht neu indiziert und liefert Spuren des Hacks. <\/p>\n Der Artikel bei Bleeping Computer<\/a>, dass \u00fcber 1,5 Millionen Websites gehackt seien, sollte also mit etwas Vorsicht genossen werden. Aber: Zwischenzeitlich bin ich auch auf Webseiten gesto\u00dfen, die von Google Chrome bereits als Phishing-Sites blockiert werden. Ganz so harmlos, wie einige Leute das empfinden, scheint die ganze Geschichte also nicht (obwohl diese Sites m\u00f6glicherweise eine ganze Reihe weiterer Sicherheitsl\u00fccken aufweisen). <\/p>\n<\/blockquote>\n Die REST-API erm\u00f6glicht Hackern bequem Informationen zu einem Blog zu sammeln, die zwar allgemein verf\u00fcgbar sind, aber nun in einem gut durchsuchbaren Format vorliegen. Diese Site<\/a> geht auf die M\u00f6glichkeiten ein. Was auff\u00e4llt: Es wird zwar berichtet, dass die Entwickler in WordPress Version 4.7.2 eine L\u00fccke heimlich geschlossen haben. Aber Betroffene teilten mir per E-Mail mit, dass diese WordPress Version installiert gewesen sei. Bei heise findet sich ein \u00e4hnlicher Kommentareintrag<\/a> und auch hier<\/a>. <\/p>\n Es gibt zwar einen weiteren Hack des Plug-In-Anbieters BlogVault, \u00fcber den heise.de z.B. hier berichtet<\/a>. Auch andere Plugins k\u00f6nnten f\u00fcr so was ausgenutzt werden. Nach den Angaben von Sucuri<\/a> sollen Schwachstellen in der REST-API durch das WP-Update in der Version 4.7.2 geschlossen sein. So ganz sicher bin ich mir aber nicht. <\/p>\n Da es schon mal nachgefragt wurde, hier noch einige Hinweise, was man als Betreiber einer WordPress-Site noch tun kann. <\/p>\n Es gibt eine Reihe weiterer Anbieter von Plugins, die man bei WordPress zur Pr\u00fcfung der Site auf Malware-Infektion einsetzen k\u00f6nnte (einfach im Plugin-Bereich von WordPress nach \"malware\" suchen lassen). Ein gewisses Problem ist \u2013 speziell bei Wordfence \u2013 dass h\u00e4ufig Fehlalarme produziert werden. Da hat Wordfence nur die englischsprachigen Dateien in seiner Datenbank und schl\u00e4gt bei lokalisierten Dateien an. Oder es werden .txt-Dateien oder .orig-Dateien, die nicht f\u00fcr den WordPress-Betrieb gebraucht werden, bem\u00e4ngelt. Man muss also h\u00e4ufiger nachschauen, was Sache ist \u2013 nicht immer ganz einfach und manchmal recht verwirrend. <\/p>\n Was ich auch praktiziere (siehe mein Kommentar hier<\/a>): Sobald eine Benutzermeldung, dass die Site in diversen Sicherheitstools geblockt wird, hereinkommt, verwende ich Virus Total und weitere externe Scanner zum Gegencheck. Dort kann man die URL der Website eintragen und analysieren lassen. Bei WordPress gibt es zudem diese FAQ<\/a> (Englisch) mit Fragen rund um \"Website gehackt\". Dort werden auch Tools zur \u00dcberpr\u00fcfung genannt. Und hier<\/a> gibt es noch Hinweise, bezogen auf Sucuri.<\/p>\nSeit gut einer Woche ist eine neue WordPress-Version 4.7.2 verf\u00fcgbar (siehe Blog-Beitrag WordPress Version 4.7.2 verf\u00fcgbar<\/a>), in der die Entwickler stillschweigend eine L\u00fccke geschlossen haben. Auch \u00fcber diesen Fall hatte ich im Artikel WordPress 4.7.2 und die verschwiegene Sicherheitsl\u00fccke \u2013 deutsche Sites betroffen<\/a> berichtet. Hintergrund ist, dass in der neu eingef\u00fchrten WordPress REST API M\u00f6glichkeiten bestehen, Konten aufzulisten (siehe WordPress: REST API erm\u00f6glicht \"Konten-Harvesting\"<\/a>). <\/p>\n
![\"Kompromittierte](\"https:\/\/i.imgur.com\/6dTaMD2.jpg\"\/ "\\"Kompromittierte")
<\/p>\n![](\"https:\/\/i.imgur.com\/xSFC0eN.jpg\"\/)
<\/p>\n![](\"https:\/\/i.imgur.com\/DVDdaTw.jpg\")
<\/a> <\/p>\n![](\"https:\/\/i.imgur.com\/iZj9HzS.jpg\"\/)
<\/p>\n\n
Hack trotz WordPress 4.7.2?<\/h3>\n<\/p>\n
WordPress absichern und ggf. \u00fcberpr\u00fcfen<\/h3>\n
\n
Sch\u00fcrt Google Panik?<\/h3>\n