So identifizieren Sie eine gehackte WordPress-Site

Veröffentlicht: 2017-04-14

Eine gehackte WordPress-Seite weist meistens mehrere Symptome auf. In diesem Beitrag beschreiben wir, was diese Symptome sind, und geben Ihnen einige Tools, mit denen Sie feststellen können, ob Ihre Website von einigen oder allen davon betroffen ist.

Symptome einer gehackten WordPress-Seite

Bei den meisten Symptomen handelt es sich um ein seltsames Verhalten Ihrer Website sowie um seltsam aussehende Dateien und HTML-Code, die links und rechts angezeigt werden. Sehen wir sie uns nacheinander an!

1. Ihre Website beginnt, Spam zu senden

Obwohl es viel einfacher ist, eingehenden als ausgehenden Spam zu identifizieren, gibt es ein paar Dinge, die Sie tun können, um zu sehen, ob jemand Ihre Website zum Versenden von Spam verwendet:

  • Überprüfen Sie Ihre E-Mail-Protokolle (sie befinden sich normalerweise unter /var/log). Es wird eine ungewöhnliche Anzahl von E-Mails angezeigt, die mit einer 550 Absender verboten durch SPF -Fehlermeldung blockiert werden gilt als verdächtig. Vor allem, wenn Sie SPF-Einträge für Ihre Domain konfiguriert haben. Dann ist es definitiv eine rote Fahne.
  • Es gibt verschiedene Websites wie MXToolbox und UltraTools RBL Database LookUp, die Ihnen mitteilen können, ob Ihre Website als Spam-Quelle auf die schwarze Liste gesetzt wurde. Es sind mehrere davon verfügbar, und Sie müssen in so vielen suchen, wie Sie finden können. Nicht auf einer schwarzen Liste zu stehen, bedeutet nicht, dass Sie 100% klar sind.

2. Ihre Website leitet Sie an einen anderen Ort weiter.

Dies ist wahrscheinlich das am einfachsten zu erkennende Symptom. Wenn Sie Ihre Website besuchen, werden Sie an einen seltsamen Ort weitergeleitet, anstatt Ihre Webseite anzuzeigen. Überprüfen Sie zunächst, ob sich Ihre DNS-Einträge geändert haben und nun auf eine andere IP-Adresse verweisen.

 Wenn Ihre DNS-Einträge in Ordnung zu sein scheinen, ist es sehr wahrscheinlich, dass etwas in Ihrer HTML-Seite diese Weiterleitung verursacht. Versuchen Sie, die Javascript-Unterstützung Ihres Browsers zu deaktivieren, und prüfen Sie erneut, ob Ihre Website Sie weiterleitet. Wenn die Weiterleitung weiterhin besteht, ist dies ein Zeichen dafür, dass andere Bereiche Ihrer Website höchstwahrscheinlich manipuliert wurden (entweder Ihre Datenbank, die .htaccess-Datei Ihrer Website oder Ihre Webserverkonfiguration).

3. Ihre Website enthält verdächtige Iframes.

Ein Iframe ist ein „eingebettetes“ HTML-Dokument in einem anderen HTML, das verwendet wird, um Inhalte aus einer anderen Quelle anzuzeigen, normalerweise Werbung. Sichtbare Iframes sind leicht zu erkennen, die meisten von ihnen sind jedoch so klein (manchmal nehmen sie nur ein paar Pixel ein!), dass Sie sie leicht übersehen können. Öffnen Sie Ihre HTML-Datei in einem Editor und suchen Sie nach <iframe>-Tags, die versuchen, eine Verbindung zu unbekannten oder verdächtig aussehenden URLs herzustellen. Kommentieren Sie sie aus, indem Sie sie in HTML-Kommentar-Tags einfügen <!–. Sie sollten hier nicht aufhören, denn wenn Sie HTML-Dateien manipuliert haben, bedeutet dies wahrscheinlich, dass Ihre Website definitiv kompromittiert ist und dass es andere Stellen geben könnte, an denen Ihre Website manipuliert wurde.

4. Ihre Website öffnet Pop-ups beim Laden.

Dies ist auch ein leicht zu erkennendes Zeichen. Ihre Website lädt Popup-Fenster, die eindeutig fehl am Platz sind. Einige von ihnen, Pop-unders genannt, sind heimtückischer. Diese sind beim Besuch Ihrer Website nicht sichtbar, werden aber im Hintergrund geladen. Wenn Sie jedoch Ihren Browser minimieren, sehen Sie sie sofort und nehmen normalerweise einen großen Teil Ihres Bildschirms ein.

Hosten Sie Ihre Website mit Pressidium

60- TÄGIGE GELD-ZURÜCK-GARANTIE

SEHEN SIE UNSERE PLÄNE

5. Verstümmelte und seltsam aussehende PHP-Dateien.

Die Entdeckung scheinbar unverständlich aussehender PHP-Dateien wie im folgenden Beispiel ist immer ein eindeutiges Warnzeichen dafür, dass jemand Ihre Website manipuliert hat:

<?php eval(“\145\166\141\154\050\142\141\163'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz […]

Der Fachausdruck für diese Art von Dateien ist „obfuskiert“. Verschleierung ist eine gängige Technik, die von Hackern verwendet wird, um die Quelle eines normalerweise böswilligen Codes zu verbergen oder es sehr schwierig zu machen, seine Funktion zu lesen und zu verstehen

6. Hintertüren, Webshells, Administratorkonten

Webshells sind Programme, die von Hackern verwendet werden können, um sich aus der Ferne zu verbinden und vollen administrativen Zugriff auf Ihre Website zu erhalten. Diese Programme ermöglichen den Remote-Webzugriff auf die Shell Ihres Servers (daher der Begriff Webshell), sodass jeder, der sich mit ihnen verbindet, Befehle ausführen kann. Wenn Sie irgendwo eine verschleierte PHP-Datei finden, handelt es sich wahrscheinlich um eine Webshell.

Hacker können auch Konten mit Administratorrechten erstellen, um sie als Hintertüren zu verwenden. Diese sind relativ einfach zu finden, da sie im WordPress-Backend oder in Ihrer Datenbank sichtbar sind.

Tools, mit denen Sie verdächtige Aktivitäten identifizieren können

Es gibt mehrere Tools, mit denen Sie feststellen können, ob Ihre Website manipuliert wurde. Wenn Sie glauben, dass Sie kompromittiert oder infiziert wurden, ist es eine gute Idee, Ihre Website zu überprüfen, indem Sie alle verwenden. Auf diese Weise erhalten Sie ein abgerundeteres Bild, da nicht alle diese Dienste die gleichen Dinge überprüfen. Alle unten aufgeführten Ressourcen können kostenlos verwendet werden und erfordern lediglich die Eingabe Ihrer Website-URL.

Insbesondere wenn Sie glauben, dass Sie mit bösartigen Iframes, Popups, Weiterleitungen und anderen Javascript-Biesten infiziert sind, werden Sie die folgenden Websites sofort darüber informieren:

  1. Sucuris SiteCheck und unmaskparasites . Diese prüfen auf bekannte Malware, ob Ihre Website auf der schwarzen Liste steht und vieles mehr.
  2. Google Transparenzbericht . Dies zeigt Ihnen, ob Ihre Website laut Google als „gefährlich für den Besuch“ eingestuft wird.
  3. VirusTotal ist ein kostenloser Dienst, der URLs und Dateien analysieren kann, um festzustellen, ob sie schädliche Inhalte enthalten.
  4. Kostenloser Online-Website-Malware-Scanner von PC Risk. Durchsucht Ihre Website nach „bösartigem Code, versteckten iFrames, Schwachstellen-Exploits, infizierten Dateien und anderen verdächtigen Aktivitäten“.
  5. Qutteras kostenloser Website-Malware-Scanner. Durchsucht Ihre Website nach „verdächtigen Skripten, schädlichen Medien und anderen Sicherheitsbedrohungen für das Internet, die in legitimen Inhalten versteckt sind und sich auf Websites befinden“. Es erstellt einen Sicherheitsbericht, in dem jeder Befund nach Bedrohungsstufe kategorisiert wird.

Es gibt auch mehrere WordPress-Plugins, die Ihnen helfen, Ihre WordPress-Site sicher zu halten. Sehen Sie sich auch diesen hervorragenden Leitfaden zu den 7 besten WordPress-Sicherheits-Plugins von InfoSec an.

Es ist von größter Bedeutung, Ihre Website zu bereinigen, sobald Sie schädliche Inhalte finden, und ihre Schwachstellen zu patchen. Eine kompromittierte Website bedeutet Ausfälle oder anormales Verhalten, die letztendlich die Existenzgrundlage Ihres Unternehmens beeinträchtigen können und werden!