Es lebt!: Mein Blog, der Hack & endlich Entwarnung

Ich war das letzte Wochenende nicht online und, zack, war das Blog gehackt. Und zwar so richtig: Mein Admin-Zugang zum Blog war Geschichte, ich konnte mich also nicht anmelden und hatte auch keinen Zugriff auf mein WordPress-Dashboard. Obendrauf leitete meine Seite meine Leser.innen außerdem auf eine Phishing-Seite weiter. Deshalb habe ich die Seite gestern Nachmittag offline genommen und in Gedanken schon zu den Akten gelegt. Dass ich “Stürmische Seiten” wiederbekommen könnte, habe ich wirklich nicht geglaubt. Wie ihr wahrscheinlich bereits unschwer erraten habt: Ich habe sie am Ende doch wiederbekommen. Alle Posts und mein Theme waren weg, aber ich bin so froh, mein Blog doch noch wiederzuhaben, dass ich sie gerade alle von Hand neu hochlade und mich nicht einmal beschwere. Aber was genau ist jetzt passiert?

ICH WURDE GEHACKT… 

Ich kann ehrlich gesagt nur raten. Ich vermute (!), dass es mit der Sicherheitslücke in einem DSGVO-Plug-In zusammenhängt, die in den letzten Wochen schon öfter für Hacks gesorgt hat, kann das aber nicht mit Sicherheit sagen. Was ich aber kann, ist euch meine Methode erklären, mit der ich mein Blog wiederbekommen habe, ohne den Support meines Providers bemühen zu müssen, was oft zeitaufwendig ist und Nerven kosten kann. Dazu muss ich aber sagen: Schreibt eurem Provider oder ruft ihn an, falls ihr euch nicht selbst an die Reparatur wagt, denn dabei kann viel schiefgehen. Ich bin mir ziemlich sicher, dass es Methoden gegeben hätte, “Stürmische Seiten” zurückzubekommen, bei dem das Design und die Posts nicht kaputt gegangen wären – meine Methode ist dafür aber schnell und vor allem wirksam, falls es sich um einen Hack wie in meinem Fall handelt.

Was war das jetzt für ein Hack. Vorweg: Ich bin keine Spezialistin in diesem Bereich und kenne mich kaum aus. Falls ihr euch gleich beim Lesen denkt: “Boah, Kat, das war eindeutig so und so und du hättest nur dies und das machen müssen!”, dann schreibt mir das gern in die Kommentare, wer weiß, ob sowas nicht nochmal passiert. Aber anyways, hier ist, was passiert ist:

In meinem Fall handelte es sich wie gesagt um ein bösartiges Script, das die Hacker in mein Blog eingebaut haben. Dieses sorgte dafür, dass mein Blog und all seine Unterseiten auf eine Phishing-Seite umleiteten. Rausgefunden habe ich das, indem ich mir den Quelltext habe anzeigen lassen. Normalerweise bekommt man den ganz einfach geliefert, wenn man auf der Website die rechte Maustaste klickt und “Quelltext anzeigen” wählt. Wird die Website aber gar nicht angezeigt, sondern sofort umgeleitet, bringt einem das ja aber null komma gar nix. Was man dann machen kann, ist oben in die Adresszeile vor die URL ganz einfach “view-source:” eingeben und, zack, Quelltext da. Ich habe den Übeltäter in meinem dann auch relativ schnell entdeckt, indem ich nach dem Code-Stückchen “<script” (absichtlich offen) gesucht habe.

Und siehe da: Ich hatte das bösartige Script, dass die Umleitung auslöste, gefunden. Angegeben war dort auch der Pfad, in dem es in der Datenbank des Blogs gespeichert war. Und genau dort musste ich dann hin. Die Datenbank lässt sich am besten über das FTP (File Transfer Protocol) einsehen. Je nachdem, bei welchem Provider ihr seid, lässt sich dieses leicht öffnen. Mein Provider stellt FTP im Dashboard bequem zur Verfügung, sodass ich es einfach nur noch öffnen musste, bei anderen Providern kann es sein, dass ihr es euch selbst einrichten und mit eurem Blog verknüpfen müsst, aber dafür gibt es gut verständliche Tutorials. Ist FTP dann auf, könnt ihr die betroffene php-Datei öffnen und das bösartige Script entfernen. Es kann sein, dass das Script verschlüsselt ist. Wie sowas aussieht, lässt sich auch schnell googeln. Bei mir war es leider nicht nur verschlüsselt und deshalb nicht einfach zu erkennen, sondern es kam außerdem erschwerend hinzu, dass das Script nicht nur an einer Stelle saß, sondern in verschiedenen php-Dateien untergebracht war, die ich kaum alle ausfindig machen konnte.

SINNBILD: (╯°□°)╯︵ ┻━┻

Was ich dann tat, tat ich aus reiner Verzweiflung, denn ich war zu der Überzeugung gekommen, dass mein Blog eh nicht mehr zu retten war: Ich habe die WordPress-Installation gelöscht, beziehungsweise, ich habe WordPress einfach neu installiert und neu mit meiner URL verknüpft. Ich war also praktisch das table-flip-emoji, nur war der Tisch mein Blog. Dabei wurde alles alte überschrieben und eine neue, saubere Datenbank angelegt, in der sich das verschlüsselte, bösartige Script natürlich nicht mehr finden ließ. Dazu kommt, dass bei einer Neuinstallation auch die Administratoren neu angelegt werden. Und das hieß natürlich: Hacker raus und ich wieder drin in meiner Website. Hossa! Ja, alle Posts und Seiten sind weg. Ja, mein Design musste ich ebenfalls from scratch neu machen. Aber es funktioniert und vor allem geht es relativ schnell, einfach und es ist gründlich.

Und es wäre noch schneller und einfacher gegangen, hätte ich ein aktuelles Backup gehabt. Mein letztes Backup stammt aus dem Mai. Würde ich nach jedem neuen Post auch ein neues Backup machen, müsste ich jetzt nicht jeden Post zwischen Mai und November 2018 von Hand neu formatieren und hochladen. Meine ganzen Kommentare wären nicht weg und auch nicht, und das ist für mich das Schlimmste, meine fertigen Entwürfe, die ich nicht zurückbekommen werde. Ich hätte die Backup-Datei bequem hochladen können und alles wäre in wenigen Minuten vollständig wieder da gewesen. Also, Leute, macht verdammt nochmal Backups! “Hab ich jetzt aber keine Lust zu” ist schön und gut, aber bringt euch auch nichts, wenn das Blog erstmal weg ist. Denn selbst, wenn ihr eure URL doch verlieren solltet: Habt ihr ein aktuelles Backup könnt ihr alle Seiten, Posts, Entwürfe und Kommentare auch problemlos auf ein neues Blog übertragen.

“Aber Kat? Du hast doch gesagt, du hattest kein Backup? Wieso sind deine Posts trotzdem wieder da?” Das Zauberwort heißt in diesem Fall Google Cache. Wir wissen ja alle: Das Internet merkt sich alles und das ist nicht immer gut, in diesem Fall aber schon. Denn auch, wenn du etwas löschst, bleibt es im Cache noch eine bestimmte Zeit erhalten. Ich habe also, und dafür bin ich mehr als dankbar, nur meine eigenen Posts einen nach dem anderen googlen müssen. Wenn Google den Post anzeigt, klickt man ihn dann nicht einfach normal an, sondern geht auf den kleinen Pfeil hinter der URL. So gelangt man zum im Cache gespeicherten Text. Kann man so machen, ist aber sehr aufwendig und vor allem keine sichere Methode. Ich habe das Glück, dass ich 95% meiner Posts so rekonstruieren konnte, aber eben leider nicht alle. Wie es aussieht, ist “Der historische Roman im Stillstand” auf ewig über den Jordan und das allein macht mich traurig, weil es einer meiner besten Teegedanken war. (Ich habe den Post doch noch retten können!) Nun tja. Mit Backup wäre das nicht passiert.

WIE ES GAR NICHT ERST SO WEIT KOMMEN MUSS…

Sicherlich ist das nicht die beste Methode, ein gehacktes Blog zurück zu bekommen. Es ist aber durchaus eine Methode, wenn gar nichts anderes mehr zu funktionieren scheint. Den Support eures Providers zu benachrichtigen ist aber in jedem Fall als erster Schritt sinnvoller, als wie ich panisch in der Datenbank rumzufuchteln und resigniert die Neuinstallation zu starten. Vielleicht hätte man meine Posts retten können, wenn ich nicht direkt aufgegeben hätte, wer weiß. Vielleicht aber auch nicht. Jedenfalls habe ich mein Blog wieder. Mit Backup wäre es auch gar nicht so viel zusätzliche Arbeit gewesen. Und vielleicht hilft dieser Post ja jemandem, der ebenfalls am Rande der Verzweiflung steht, weil der Zugriff aufs eigene Blog verwehrt bleibt. Wenn nicht, habt ihr jetzt wenigstens ein Update nach dem ganzen Stress. Und die gute Nachricht ist: 95% der Posts konnte ich retten. Und, für alle, die mich verlinkt haben (danke <3): Die Links funktionieren noch und werden wieder zu den jeweiligen Posts führen, sobald ich sie hochgeladen habe. Nochmal hossa!

Aber ja, ich kann nur sagen: Seid nicht wie Kat, nehmt die Gefahr durch Hacker ernst und sichert euch ab. Macht Backups. Haltet eure Plug-Ins und WordPress aktuell. Denkt nicht “Ach, wird schon nichts passieren”, wenn ihr hört, dass es eine Sicherheitslücke gibt, sondern investiert die Zeit und schließt sie, so gut es geht. In meinem Fall war der Beinahe-Verlust von “Stürmische Seiten” 50% Pech und 50% Eigenverschulden, weil ich die Absicherung der Seite immer wieder aufgeschoben habe, bis es zu spät war. (Ja, ICH als AUTORIN, die ständig allen sagt, sie sollen Backups von ihren Romanprojekten machen… ich weiß, ich weiß.) Jetzt bin ich jedenfalls nur froh mein Blog relativ unbeschadet wiederzuhaben und werde die Nacht wohl damit verbringen, die Posts von August bis Mai nachzutragen, damit hier alles so schnell wie möglich beim Alten ist.

2 Kommentare zu „Es lebt!: Mein Blog, der Hack & endlich Entwarnung“

  1. Erst einmal Glückwunsch, dass es geklappt hat, den Großteil wiederherzustellen! Mit den Backups wäre es mir auch ähnlich ergangen, nun ja…

    Drücke die Daumen, dass das einfach nie wieder passiert! Ist auch ein bisschen egoistisch der Wunsch – hatte deinen Blog vor kurzem erst entdeckt, wollte mit dem Stöbern anfangen und der Rest ist Geschichte 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.