Joomla! wurde gehackt! Was muss ich tun?

Für Anfänger geeignet
 

Mit diesem Artikel wollen wir Ihnen eine Hilfestellung geben, wenn Ihre Joomla!-Website gehackt bzw. kompromittiert wurde.

Achtung!: Wenn Joomla! gehackt wurde, handeln Sie schnell! Sie schaden nicht nur sich selbst, sondern vielleicht auch anderen mit einer gehackten Website!

Folgende Schritte sollten Sie durchführen, wenn Ihre Website gehackt wurde:

1. Website vom Netz nehmen

Da Sie in erster Instanz nicht genau wissen, was der Angreifer mit Ihrer Webseite getan hat, muss die Website sofort vom Netz. Angreifer könnten die Seite für SPAM-Mails, Phishing, DDoS-Attacken, usw. ausnutzen - dieses könnte auch rechtliche Konsequenzen nach sich ziehen. Daher geht es hier in erster Linie um Schadensbegrenzung.

Um den Einbruch untersuchen zu können sollten Sie eine Kopie der gehackten Seite erstellen.

  • Datenbank sichern (mit phpMyAdmin, MySQLDumper, usw.)
  • Verzeichnis umbennen und durch Htaccess schützen
  • Wartungsseite erstellen (Geben Sie nicht gleich öffentlich bekannt, dass Sie gehackt wurden, da dies nur ein schlechtes Licht auf Sie werfen würde. Erstellen Sie lieber eine Seite auf der Sie zum Beispiel angeben, dass die Seite wegen Umbauarbeiten vorübergehend nicht erreichbar ist.)
  • Daten auf den lokalen Rechner sichern
  • Danach alle Dateien vom Server löschen

2. Einbruch untersuchen und Lücke finden

Die Sicherheitslücke, wo sich der Hacker Zugriff verschaft hat, muss gefunden werden! Einfach wieder ein Backup einzuspielen, mit der vorhandenen Lücke, kann dazu führen, dass die Website schnell erneut gehackt wird.

Die Lücke zu finden ist nicht immer ganz einfach. Aber man kann folgendes auf aufällige Änderungen überprüfen:

  • Wann wurden die Dateien geändert (Zeitstempel = Timestamp)
  • FTP-Protokoll überprüfen
  • Webserver-Protokoll (Access- und Error-Logs)

Information: Sollten Sie kein Zugriff auf die Protokoll-Dateien bei Ihrem Hoster haben, wenden Sie sich an ihn, ob er Ihnen Auskunft geben kann.
Tipp: Denken Sie an installiere Erweiterungen von Joomla!, da einige als generell unsicher gelten könnten. Überprüfen Sie daher, ob Sie die aktuellesten Versionen installiert hatten.

3. Passwörter ändern und Backup wiederherstellen

Damit der Angreifer keinen Zugriff mehr bekommt, sollten Sie alle Passwörter ändern. Denken Sie an die Sicherheit des Passworts!

  • FTP-Passwort
  • MySQL-Passwort
  • Joomla!-„Super Administrator“-Passwort*
  • Zugang zum Hostinganbieter
  • E-Mail-Postfächer

Achtung!: * Ändern Sie das Passwort vor dem Wiederherstellen des Backups!

Hier treten oft Probleme auf, weil keine Backups bzw. nur unzureichende Backups erstellt wurden. Mehr zum Thema Backup finden Sie hier: Backup

Sollten keine Backups vorhanden sein, werden Sie es schwer haben alle Aktionen des Angreifes nachvollziehen zu können und die Änderungen rückgängig zu machen. Dabei können Sie nie sicher sein, dass Sie alle gefunden und gelöscht haben!

4. Lücken schließen, Seite wieder freigeben

Es ist mehr als wichtig das die Sicherheitslücken geschlossen werden, da Sie so nicht nur die Möglichkeit selbst wieder gehackt zu werden verringern, sondern auch den Missbrauch Ihres Server durch Dritte verhindern. Deshalb ist es wichtig das die Lücke geschlossen wird und erst danach darf die Website wieder freigeschaltet werden.

Die Lücken befinden sich meist in veralteten Erweiterung oder sogar im Joomla!-Core selbst. Das bedeutet das Sie Joomla! immer zeitnah aktualisieren müssen, sobald eine neue Version veröffentlicht wurde. Das Gleiche gilt auch für Erweiterungen!

5. Website gegen Angriffe absichern

Sie sollten sich jetzt mehr mit dem Thema Sicherheit beschäftigen, damit Ihre Website nicht noch ein mal gehackt wird.
Eine Website kann man an vielen Punkten absichern, wie genau, können Sie auf unseren Seiten hier nachlesen.


Weiterführende / Verwandte Artikel