Zum Inhalt

Google Search Console: „Gehackte Inhalte erkannt“

Heute bekam ich eine beunruhigende E-Mail von Googles Search Console. Diese überwacht aus meiner Sicht sehr gut was auf der eigenen Homepage los ist. Inhalt dieser Nachricht war, dass auf meiner Seite gehackter Inhalt gefunden wurde. In einem kurzen Post zeige ich euch wie ich darauf reagiert haben.

So sieht die ganze Mail aus:

Screenshot der Mail "Gehackter Inhalt" von Google Search Console
E-Mail von Google Search Console

Auf der Suche nach Hinweisen

Als erstes gingen mir viele Gedanken durch den Kopf welches Ausmaß dieser Hack wohl hatte. Schnell wurde ich jedoch fündig auf meiner Seite und konnte Entwarnung geben. Im Footer waren unsichtbare Links als einfacher HTML-Code zu sehen. (nutzt dafür z.B. mit die Chrome DevTools) Diese Links zeigten auf Internetseiten mit aus Sicht von Google eher negativen Inhalten. Daher auch der Hinweis durch die Search-Console.

Mit Referenzen zu anderen Seiten bewertet Google wie wertvoll die eigenen Seiten sind und wie interessant der Inhalt für andere im Netz ist. Sind auf meinen Seiten nun Links zu weniger oder eher schlecht bewertete Seiten zu finden wirkt sich das eben auch auf mein Google Ranking aus.

Nachdem ich also schon einen Hinweis gefunden habe sich wo der besagte „gehackte Inhalt“ befand ging ich nun auf die Suche nach „Spuren“ um gegebenenfalls noch mehr Schaden zu identifizieren. Auf ähnliche Weise arbeitet auch die Google Search-Console. So wie ein Google-Bot regelmäßig eine Seite besucht um neue interessante Inhalte zu indexieren prüft Google also auch für Webseiteninhaber ob gefährliche oder unpassende Inhalte gefunden werden. Eine Anmeldung bei Googles Webmaster Tools vorausgesetzt.

Spuren im Access Logs

Mein nächster Blick richtete sich dann in die Access Logs auf meinem FTP-Server. Diese protokollieren jeden Zugriff auf die Homepage, so z.B. auch Schreibzugriffe auf eine Datei. In den meisten Fällen werden die Dateien täglich archiviert. So gibt es für jeden Tag eine eigene Log-Datei. So habe ich mir zunächst alle Dateien der letzten zwei drei Wochen heruntergeladen und nach Stichwörtern durchsucht (z.B. mit NotePad++).

Mit dem Suchbegriff  „footer“ bin ich schnell auf einen Zugriff gestoßen der am 17.09.2016 um ca. 6:18 Uhr an der footer.jsp meines neuen WordPress Theme Änderungen vornahm. Dort war dann auch protokolliert, dass sich der Anwender oder Bot über ein Linux System mit FireFox online angemeldet hatte. Mutmaßlich über eine Sicherheitslücke im WordPress? Oder war mein Passwort zu schwach? Dazu weiter unten mehr.

Im weiteren Verlauf des access.log fanden sich glücklicherweise keine weiteren Hinweise auf ähnliche Aktivitäten. In der Hoffnung das es sich damit zunächst getan hat ging es nun darum den „Hack“ zu beheben.

Identifizierung & Behebung

Ich hatte nun ein genauen Hinweis wo der „Hack“ stattfand und konnte ihn so schnell beheben. Über die Einstellungen meines WordPress Theme war es als Admin möglich die Änderungen in der footer.jsp zurückzunehmen d.h. zu entfernen.

Genauso gut kann man auch direkt über den Server gehen und die Datei bearbeiten. Ich nutze dazu auf dem Mac Coda oder FileZilla (für Mac OS und Windows).

Suche nach der Ursache

Mit regelmäßigen und automatischen Updates des WordPress Systems sollten zumindest die Sicherheitslücken keine Grund für diesen Hack sein. Als ich die Mail erhielt dachte ich zunächst als unsichere Plugins und habe – um das auszuschließen – zunächst alle unwichtigen und verdächtigen Plugins abgeschaltet. Der zugeschleuste Inhalt war jedoch immer noch da. Letztlich zeigte sich ja, dass der Inhalte „legal“ durch eine Anmeldung am System vonstatten ging. Somit schieden die Plugins glücklicherweise (??) aus.

Somit muss wohl mein Passwort nicht mehr das sicherste sein. Nachdem ich bereits vor kurzen erst alle Server Kennwörter anpasste (auf Anraten meines Betreibers) habe ich noch nach weiteren Möglichkeiten gesucht zukünftigen Hacks entgegenzuwirken.

2-Faktor Authentifizierung mit WordPress

Bei Google und Dropbox bereits Standard ist für mich die 2-Faktor Authentifizierung die komfortabelste Lösung in Sachen Sicherheit. Das Smartphone und mittlerweile auch andere Smart-Devices sind ja immer griffbereit. Auf Anfrage generieren diese einen Code den einem mit dem Login bei genannten Systemen zusätzlich authentifiziert.

MiniOrange 2 Factor Authetification

Nach einer kurzen Suche in den WordPress Plugins bin ich auf mini orange gestoßen. Dieses WordPress Plugin bietet kostenlos für einen Anwender (mehre zeitlich sind recht teuer, daher schaue dir auch die Alternativen an). Dieses Plugin hat mich zunächst überzeug und reicht für mich als einzigen Benutzer meines Blogs vollkommen aus. Die Einrichtung war sehr simpel. Zudem bietet das Plugin nicht nur die 2-Factor Authentifizierung mittels generierten Code an sondern auch noch zahlreiche weitere Features:

mini orange Features

Damit sollten diese Art von Hacks verhindert werden können. Wie schützt ihr eure Internetseite?

Published inTechnik

Schreibe den ersten Kommentar

Kommentar verfassen