Mit diesem Artikel wollen wir Ihnen eine Hilfestellung geben, wenn Ihre Joomla!-Website gehackt bzw. kompromittiert wurde.
Folgende Schritte sollten Sie durchführen, wenn Ihre Website gehackt wurde:
1. Website vom Netz nehmen
Da Sie in erster Instanz nicht genau wissen, was der Angreifer mit Ihrer Webseite getan hat, muss die Website sofort vom Netz. Angreifer könnten die Seite für SPAM-Mails, Phishing, DDoS-Attacken, usw. ausnutzen - dieses könnte auch rechtliche Konsequenzen nach sich ziehen. Daher geht es hier in erster Linie um Schadensbegrenzung.
Um den Einbruch untersuchen zu können sollten Sie eine Kopie der gehackten Seite erstellen.
- Datenbank sichern (mit phpMyAdmin, MySQLDumper, usw.)
- Verzeichnis umbennen und durch Htaccess schützen
- Wartungsseite erstellen (Geben Sie nicht gleich öffentlich bekannt, dass Sie gehackt wurden, da dies nur ein schlechtes Licht auf Sie werfen würde. Erstellen Sie lieber eine Seite auf der Sie zum Beispiel angeben, dass die Seite wegen Umbauarbeiten vorübergehend nicht erreichbar ist.)
- Daten auf den lokalen Rechner sichern
- Danach alle Dateien vom Server löschen
2. Einbruch untersuchen und Lücke finden
Die Sicherheitslücke, wo sich der Hacker Zugriff verschaft hat, muss gefunden werden! Einfach wieder ein Backup einzuspielen, mit der vorhandenen Lücke, kann dazu führen, dass die Website schnell erneut gehackt wird.
Die Lücke zu finden ist nicht immer ganz einfach. Aber man kann folgendes auf aufällige Änderungen überprüfen:
- Wann wurden die Dateien geändert (Zeitstempel = Timestamp)
- FTP-Protokoll überprüfen
- Webserver-Protokoll (Access- und Error-Logs)
3. Passwörter ändern und Backup wiederherstellen
Damit der Angreifer keinen Zugriff mehr bekommt, sollten Sie alle Passwörter ändern. Denken Sie an die Sicherheit des Passworts!
- FTP-Passwort
- MySQL-Passwort
- Joomla!-„Super Administrator“-Passwort*
- Zugang zum Hostinganbieter
- E-Mail-Postfächer
Hier treten oft Probleme auf, weil keine Backups bzw. nur unzureichende Backups erstellt wurden. Mehr zum Thema Backup finden Sie hier: Backup
Sollten keine Backups vorhanden sein, werden Sie es schwer haben alle Aktionen des Angreifes nachvollziehen zu können und die Änderungen rückgängig zu machen. Dabei können Sie nie sicher sein, dass Sie alle gefunden und gelöscht haben!
4. Lücken schließen, Seite wieder freigeben
Es ist mehr als wichtig das die Sicherheitslücken geschlossen werden, da Sie so nicht nur die Möglichkeit selbst wieder gehackt zu werden verringern, sondern auch den Missbrauch Ihres Server durch Dritte verhindern. Deshalb ist es wichtig das die Lücke geschlossen wird und erst danach darf die Website wieder freigeschaltet werden.
Die Lücken befinden sich meist in veralteten Erweiterung oder sogar im Joomla!-Core selbst. Das bedeutet das Sie Joomla! immer zeitnah aktualisieren müssen, sobald eine neue Version veröffentlicht wurde. Das Gleiche gilt auch für Erweiterungen!
5. Website gegen Angriffe absichern
Sie sollten sich jetzt mehr mit dem Thema Sicherheit beschäftigen, damit Ihre Website nicht noch ein mal gehackt wird.
Eine Website kann man an vielen Punkten absichern, wie genau, können Sie auf unseren Seiten hier nachlesen.