Backdoor in WordPress

Shownotes

Heute geht es um Martin, der als Coach eine WordPress-Website betreibt.

Vor ein paar Wochen wurde er Opfer eines Hackerangriffs und das war eine Menge Arbeit. Aber er hat es geschafft, seine Seite wiederherzustellen und alles wieder zum Laufen zu bringen. Gott sei Dank!

Doch plötzlich bemerkt er wieder seltsame Aktivitäten. Unerklärliche Änderungen im Code, merkwürdige Zugriffe und Daten, die nicht stimmen – fast so, als hätte jemand heimlich eine Hintertür eingebaut.

In dieser Folge sprechen wir über Backdoor-Angriffe, wie diese Hintertüren installiert werden, warum regelmäßiges Scannen und gründliches Aufräumen nach einem Hack so wichtig sind und wie du deinen digitalen Raum mit Backups und Sicherheits-Plugins schützen kannst.

Transkript

Beschreibung Situation und Akteure

Heute sind wir bei Martin, einem engagierten Kleinunternehmer, der sich mit viel Hingabe um seine WordPress-Website kümmert. Mit seiner Website bietet er seinen Kunden wichtige Informationen über sein Coaching, einen Online-Shop und einen persönlichen Blog – alles, was sein Geschäft ausmacht.

Nachdem Martin einmal Opfer eines Hackerangriffs geworden war, gelang es ihm, seine Website wiederherzustellen und alle offensichtlichen Sicherheitslücken zu schließen. Er dachte, das Schlimmste sei überstanden.

Doch hinter den Kulissen lauerte eine unsichtbare Bombe: Eine Hintertür, die der Angreifer heimlich in den Code eingebaut hatte, ermöglichte ihm später einen erneuten Zugriff.

In dieser Episode beleuchten wir die Geschichte aus beiden Perspektiven – der des Opfers und der des Angreifers – und erklären, warum es so wichtig ist, kontinuierlich an der Sicherheit der eigenen Website zu arbeiten.

Angriff aus Sicht des Opfers

Ein hoffnungsvoller Neustart

Martin beginnt seinen Tag wie immer. Nach dem verheerenden Hackerangriff vor einigen Wochen hat er seine WordPress-Webseite mit viel Mühe und technischer Unterstützung seines Webdesigners wieder auf Vordermann gebracht. Alle bekannten Sicherheitslücken wurden geschlossen, veraltete Plugins aktualisiert und Passwörter zurückgesetzt.

Zunächst scheint alles in Ordnung zu sein – die Besucherzahlen steigen und auch das Feedback der Kunden ist positiv. Martin ist erleichtert und glaubt, dem Hacker endgültig das Handwerk gelegt zu haben.

Erste Anzeichen des Wiederangriffs

Doch nach einigen Wochen passieren seltsame Dinge: Martin bemerkt, dass wieder unerklärliche Aktivitäten auf seiner Website stattfinden. Es beginnt harmlos – kleine Veränderungen in den Log-Dateien, gelegentliche Zugriffe von ungewöhnlichen IP-Adressen. Zunächst tut er es als normale Schwankungen im Netzverkehr ab.

Doch dann häufen sich die Auffälligkeiten: Besucher berichten, dass sie auf Seiten geleitet werden, die nie zuvor existiert haben, und im Admin-Bereich tauchen unbekannte Einträge im Code auf. Als er dann auch noch Änderungen an seinen Blogartikeln entdeckt, die er nicht vorgenommen hat, Links zu seltsamen Webseiten und einen Admin-Benutzer, den er nicht angelegt hat, ist er sich sicher: Er wurde wieder gehackt!

Diesmal will er es richtig machen. Er vereinbart einen Termin mit einer WordPress-Sicherheitsfirma. Es kann doch nicht sein, dass seine Website innerhalb weniger Wochen zum zweiten Mal Ziel eines Cyberangriffs wird. Wie soll es weitergehen?

Seine Website ist das Herzstück seines Coaching-Geschäfts. Ohne sie weiß er nicht, wie sein kleines Unternehmen überleben soll. Doch was kann er gegen die Hacker tun?

Das Gespräch mit dem WordPress-Experten

Martin setzt sich mit seinem IT-Sicherheitsexperten zusammen, um der Sache auf den Grund zu gehen. Nach eingehender Analyse stellen sie fest, dass sich der Angreifer erneut Zugang verschafft hat – und zwar über eine unsichtbare Hintertür, die er heimlich im Code versteckt hatte.

Trotz aller Wiederherstellungsmaßnahmen konnte der Schadcode nicht entfernt werden. Ein paar kleine, unauffällige Zeilen im Quellcode der WordPress-Seite dienten dem Angreifer als Einfallstor und ermöglichten ihm einen permanenten Zugriff.

Und zwar über einen geheimen Admin-Benutzer. Der Hacker hatte einen neuen Admin angelegt und ihn so versteckt, dass er nicht in der Benutzerübersicht auftauchte.

Martin hat also nicht bemerkt, dass ein Angreifer die ganze Zeit als Admin Zugriff auf seine Website hatte.

Die emotionale Belastung und die ersten Gegenmaßnahmen

Für Martin ist der Schock groß.

In den Wochen nach dem Hack hat er immer wieder nach Veränderungen auf seinem Server und auch in einzelnen Dateien gesucht. Er ist kein Programmierer, hat sich aber über die Jahre ein Verständnis für WordPress angeeignet und dachte bisher immer, dass er manipulierten Code finden würde.

Die Erkenntnis, dass der Angreifer immer noch aktiv ist, bringt eine Mischung aus Wut und Ohnmacht mit sich. Gleichzeitig weiß er, dass jetzt schnell gehandelt werden muss, um den Schaden endgültig zu begrenzen.

Sofort werden weitere Maßnahmen ergriffen:

• Tiefenreinigung:
  Martin beauftragt einen Spezialisten, den gesamten Quellcode Zeile für Zeile zu überprüfen – um sicher zu gehen, dass keine versteckten Hintertüren mehr vorhanden sind.
• Regelmäßige Scans:
  Ein automatisierter Sicherheitsscanner wird installiert, der die Website kontinuierlich überwacht und verdächtige Änderungen meldet.
• Verbesserte Sicherheits-Plugins:
  Neue Tools werden integriert, die nicht nur den aktuellen Status überwachen, sondern auch proaktiven Schutz bieten und bekannte Angriffsvektoren blockieren.

Trotz des erneuten Angriffs arbeitet Martin unermüdlich daran, seine Website dauerhaft zu sichern.

Was sind Backdoors also genau?

Eine Backdoor ist eine versteckte Tür zu deiner Website.

Stell dir deine WordPress-Website als ein Haus vor, in dem alle Türen und Fenster (also die offiziellen Zugangspunkte wie Login oder Admin-Interface) gesichert sind. Eine Backdoor ist wie eine versteckte Tür ins Innere des Hauses – sie mag wie ein normaler Teil des Hauses aussehen (z.B. wie ein Schrank oder eine unscheinbare Wandverkleidung), bietet aber einem Hacker einen geheimen Zugang, den du nicht direkt bemerkst.

Solange die versteckte Tür nicht gefunden und gesichert ist, kann der Angreifer jederzeit wieder in das Haus eindringen, auch wenn du alle anderen Türen (wie dein Login) erneuert und gesichert hast.

30% aller Websites werden aufgrund von Hintertüren und anderen Schwachstellen gehackt. Sie sind also wichtig.

Der Angriff aus Hacker-Sicht

Aus Sicht des Angreifers ist ein Backdoor-Angriff eine raffinierte Methode, um sich langfristig Zugang zu einem System zu verschaffen.

Unser Hacker hatte zunächst Martins Website kompromittiert und sofort alle offensichtlichen Schwachstellen ausgenutzt. Doch anstatt sich nach dem ersten Einbruch zurückzuziehen, installierte er heimlich eine Backdoor – ein verstecktes Stück Code, das wie ein geheimer Schlüssel funktioniert.

Dieser Code war so programmiert, dass er sich unbemerkt in den normalen Betrieb der Website integrieren ließ. Selbst als Martin die offensichtlichen Sicherheitslücken schloss, blieb die kleine Hintertür unentdeckt. Und so hatte der Hacker ständig Zugriff auf Martins Website.

Warum machen Hacker das?

Durch einen solchen unbemerkten Zugang können sie über einen längeren Zeitraum alle Sicherheitsmaßnahmen umgehen und sich jederzeit wieder Zugang zu den gehackten Websites verschaffen.

So können sie zu einem späteren Zeitpunkt beispielsweise neue sensible Daten stehlen, Malware einschleusen und damit weitere Angriffe durchführen oder die Website für ihre Bot-Armee nutzen.

Und das, ohne die Seite erneut hacken zu müssen.

Die Backdoor wird eingerichtet

In Martins Fall fand der Hacker vor einigen Wochen ein nicht mehr verwendetes und nicht aktualisiertes Plugin auf seiner Website, das nicht entfernt worden war. Dieses Plugin hatte eine Schwachstelle, über die der Hacker seinen Code einschleusen konnte.

Wie das genau funktioniert hat, ist eine Geschichte für eine andere Podcast-Episode und für unsere Geschichte nicht relevant.

Wichtig ist, dass er diese Schwachstelle ausgenutzt hat, um seinen Backdoor-Schadcode in eine PHP-Datei des Plugins einzuschleusen.

Und der Schadcode des Hackers hat es in sich. Sein Ziel ist es, einen zusätzlichen Administrator-Account anzulegen, der ihm permanenten Zugriff gewährt – und das möglichst unbemerkt. Der Code bewirkt, dass bei jedem Seitenaufruf geprüft wird, ob der Admin-Benutzer des Hackers, nennen wir ihn Backdoor-Admin, bereits existiert. Ist dies nicht der Fall, wird er automatisch neu angelegt – mit allen Administratorrechten.

Dazu nutzt er eine WordPress-eigene Funktion, einen WordPress-Hook, der automatisch bei jedem Ladevorgang ausgeführt wird.

So stellt der Hacker sicher, dass sein Zugang immer wieder neu generiert wird, auch wenn Martin versucht, ihn zu entfernen.

Der Hacker geht aber noch einen Schritt weiter. Er weiß, dass ein zusätzlicher Admin-Account in der Benutzerübersicht auffallen würde. Also baut er eine Hürde ein, die seinen Backdoor-Admin aus der normalen Benutzerliste herausfiltert. Wenn Martin also in seine Benutzerübersicht schaut, findet er den Admin des Hackers dort nicht.

Und man muss leider sagen, dass selbst wenn Seitenbetreiber neue Admin-Accounts entdecken, sie oft nicht überprüfen, ob der Account legitim ist. Viele Betreiber von WordPress-Websites verstehen die Technik dahinter zu wenig, um bei einem neuen Account nervös zu werden. Wenn ein Hacker den Admin-Account zum Beispiel nach einem wichtigen Plugin benennt, werden viele Website-Betreiber den Account wahrscheinlich stehen lassen, weil sie denken, dass er zu dem Plugin gehört.

Warum sind Backdoors denn jetzt gefährlich?

Backdoors sind besonders gefährlich, da sie Angreifern einen versteckten Zugang zu einer Website ermöglichen, der von herkömmlichen Sicherheitsmaßnahmen oft nicht erkannt wird.

Selbst wenn die ursprüngliche Sicherheitslücke geschlossen wird, bleibt die Hintertür bestehen und der Hacker kann sich weiterhin Zugang verschaffen.

Dies kann schwerwiegende Folgen haben, z. B. den Diebstahl sensibler Daten, die Verbreitung von Malware oder die Nutzung der Website für illegale Aktivitäten. Die versteckte Natur von Backdoors erschwert ihre Entdeckung und Entfernung, was die Sicherheit und Integrität der gesamten Website gefährdet.

Kurz gesagt, eine Backdoor kann einen in einen Teufelskreis bringen, in dem die Website gehackt wird, man sie zeitaufwändig wiederherstellen muss, nur um erneut gehackt zu werden. Das macht Backdoors sowohl ärgerlich als auch gefährlich.

Ausgang der Geschichte

Der Wendepunkt: Martins endgültiger Kampf gegen die Backdoor

Als Martin und sein IT-Sicherheitsexperte den versteckten Code schließlich entdecken, ist das ein herber Rückschlag. Die Entdeckung der Hintertür bestätigt, dass der Angreifer immer noch in seinem System aktiv ist. Doch dieser Moment wird auch zum Wendepunkt: Martin beschließt, dass es nun an der Zeit ist, noch gründlicher vorzugehen.

Zunächst wird ein vollständiges Backup der Website erstellt – ein Schritt, den Martin inzwischen als unverzichtbar kennen gelernt hat.

Dann beginnt eine systematische Bereinigung:

• Code-Review: Jede Datei wird bis ins kleinste Detail überprüft.
• Entfernung aller unbekannten Dateien: Alle Dateien und Skripte, die nicht eindeutig zu Martins Website gehören, werden gelöscht.
• Neuinstallation kritischer Plugins: Veraltete Plugins werden komplett entfernt und durch aktuelle, sichere Versionen ersetzt.

Gleichzeitig wird ein erweitertes Sicherheits-Plugin installiert, das regelmäßige Scans und Alarmmeldungen in Echtzeit ermöglicht. Außerdem implementiert Martin ein mehrstufiges Authentifizierungssystem, um zukünftige Zugriffe besser kontrollieren zu können.

Wiederherstellung des Vertrauens und die langfristige Sicherung

Die intensive Säuberungsphase dauert einige Tage. In dieser Zeit informiert Martin seine Kunden transparent über den Vorfall – ehrlich und offen, ohne Details preiszugeben, die dem Angreifer noch helfen könnten. Durch diese offene Kommunikation gelingt es ihm, das Vertrauen seiner Kunden langsam wieder aufzubauen.

Nach und nach stabilisiert sich die Situation. Die Website läuft wieder reibungslos und die regelmäßigen Sicherheitsscans zeigen, dass es keine weiteren Hintertüren mehr gibt. Martin hat aus diesem Vorfall gelernt, dass IT-Sicherheit ein kontinuierlicher Prozess ist – keine einmalige Aufgabe, sondern eine Verpflichtung, die kontinuierlich gepflegt werden muss.

Learnings

Aus Martins schmerzhaften Erfahrungen mit Backdoor-Angriffen lassen sich viele wichtige Lehren ziehen:

1. Was sind Backdoors und wie werden sie installiert?

Definition:
Eine Backdoor ist ein versteckter Zugang, der es einem Angreifer ermöglicht, unbemerkt in ein System einzudringen, selbst wenn alle offensichtlichen Sicherheitslücken geschlossen wurden.

Techniken:
Backdoors können durch versteckten Code, manipulierte Plugins oder Dateiuploads installiert werden. Der Schlüssel liegt in der Tarnung – sie müssen so unauffällig wie möglich sein.

2. Regelmäßige Scans und gründliche Säuberung

Sicherheitsscans:
Setze auf automatisierte Sicherheitsscanner, die deine Website kontinuierlich überwachen und verdächtige Änderungen melden.

Manuelle Code-Reviews:
Lass den gesamten Code regelmäßig von Experten überprüfen, um sicherzustellen, dass es keine versteckten Hintertüren gibt.

3. Wichtigkeit von Backups

Regelmäßige Datensicherung:
Backups sind dein Sicherheitsnetz. Stelle sicher, dass du regelmäßig vollständige Backups deiner Website und Datenbank erstellst, damit du im Notfall schnell zu einem sauberen Zustand zurückkehren kannst.

4. Einsatz von Sicherheits-Plugins

Erweiterter Schutz:
Nutze Sicherheits-Plugins, die nicht nur den aktuellen Zustand überwachen, sondern auch proaktiv gegen Angriffe vorgehen und bekannte Schwachstellen schließen.

Mehrschichtiger Schutz:
Kombinieren Sie verschiedene Sicherheitsmaßnahmen – von Firewalls über Zwei-Faktor-Authentifizierung bis hin zu regelmäßigen Updates – zu einem robusten Sicherheitskonzept.

5. Ständige Wachsamkeit

Sicherheit als Daueraufgabe:
IT-Sicherheit ist kein einmaliges Projekt. Sie erfordert ständige Aufmerksamkeit, regelmäßige Updates und die Bereitschaft, flexibel auf neue Bedrohungen zu reagieren.

Fazit

Die Geschichte von Martin und der unsichtbaren Hintertür zeigt eindrucksvoll, dass Cyberkriminalität oft vielschichtig und heimtückisch ist. Selbst wenn ein Hackerangriff scheinbar abgewehrt wurde, kann eine versteckte Hintertür jederzeit wieder ausgenutzt werden – wie eine tickende Zeitbombe im Code.

Martins Erfahrung zeigt, dass regelmäßige Scans, gründliche Bereinigungen und ein umfassendes Sicherheitskonzept unerlässlich sind, um langfristig geschützt zu bleiben.

Was nimmst du aus dieser Episode mit?

Kontinuierliche Sicherheit ist ein Muss:
Verlasse dich nicht darauf, dass eine einmalige Wiederherstellung deine Website dauerhaft schützt. Regelmäßige Sicherheitsüberprüfungen und Updates sind unerlässlich, um immer einen Schritt voraus zu sein.

Backups und Sicherheits-Plugins geben dir den nötigen Rückhalt:
Regelmäßige Backups sorgen dafür, dass du im Notfall schnell wieder handlungsfähig bist, und leistungsstarke Sicherheits-Plugins überwachen deine Website kontinuierlich.

Sei wachsam und reagiere schnell:
Sobald verdächtige Aktivitäten erkannt werden, müssen sofort Maßnahmen ergriffen werden. Ein schnelles Eingreifen kann oft größeren Schaden verhindern.

Martin hat seine Website schließlich wieder in einen sicheren Zustand versetzt – und dabei wertvolle Lektionen gelernt, die er nun in seinen täglichen Arbeitsablauf integriert. Seine Erfahrung zeigt, dass IT-Sicherheit eine ständige Aufgabe ist, die niemals vernachlässigt werden darf.

Abschluss

Damit sind wir am Ende unserer Geschichte angelangt.

Ich hoffe, diese Episode hat dir wertvolle Einblicke in die Mechanismen von Backdoor-Angriffen und die Bedeutung einer kontinuierlichen IT-Sicherheit gegeben. Cyberkriminalität ist oft wie eine unsichtbare Bombe, die jederzeit hochgehen kann – und genau deshalb müssen wir immer wachsam sein und unsere Systeme regelmäßig überprüfen.

Bleib wachsam, halte deine Systeme auf dem neuesten Stand und verliere nie aus den Augen, dass IT-Sicherheit ein kontinuierlicher Prozess ist.

Bleib wachsam, halte deine Systeme auf dem neuesten Stand und scheue dich nicht, in Sachen IT-Sicherheit in die Tiefe zu gehen.

Ich wünsche dir einen schönen Tag und hoffe, wir sehen uns nächste Woche wieder.

Deine Frida <3

Hey, ich bin Frida, dein Podcast-Host bei den Hacker-Geschichten.

Wenn du Fragen oder Anregungen hast, schreibe mir gerne eine Nachricht!

Weiterhören

Weitere Folgen

Music

Funky Cyber Mystery – UniqueCreativeAudio

Funky Cyber Mystery Crime Groove – UniqueCreativeStudio