Joomla gehackt? - Was tun?

Vorgehensweise bei einer gehackten Joomla! Webseite.

https://www.redim.de/images/grafiken/joomla-virusentfernung.png

Dabei haben die Hacker nicht unbedingt die Absicht, an sensible Daten zu gelangen, viel mehr werden die Webseiten genutzt um Spam zu verschicken, auf dubiose Webseiten weiterzuleiten und dort Traffic zu generieren. Da bei Open Source CMS der Quellcode des Systems für jeden frei zugänglich im Internet ist, hat es ein Hacker leicht, Sicherheitslücken aufzudecken. Das bedeutet aber nicht, dass Open Source Content Management Systeme generell unsicher sind. Wenn man sein CMS und die Erweiterungen aktuell hält, muss man sich um potenzielle Hackangriffe nicht Tag und Nacht Gedanken machen.

Joomla! Webseite gehackt?

Woran merke ich, dass meine Joomla Webseite gehackt wurde?

Leider merkt man oft erst zu spät, dass die eigene Webseite gehackt wurde. Das kann durch eine Meldung des Browsers beim Aufruf der Seite passieren, durch einen Vermerk in der Suchmaschine oder das Verschwinden der Webseite in den Suchergebnissen generell. Meist bemerken es die Betreiber der gehackten Webseite aber durch eine E-Mail von Ihrem Provider, der auf den Schadcode auf dieser Webseite aufmerksam macht und Gegenmaßnahmen fordert, da ansonsten die Webseite erst einmal abgeschaltet oder sogar gesperrt wird. Damit es gar nicht erst so weit kommt, müssen Sie sofort aktiv werden.

Joomla Webseite gehackt – Schritt für Schritt Anleitung

Kühlen Kopf bewahren

Bewahren Sie einen kühlen Kopf! Nur so kann das Problem erfolgreich gelöst werden. Sich aufzuregen bringt nichts, die Seite wurde schon gehackt. Wenn Sie selbst versuchen möchten den Schadcode zu bereinigen, dann können Sie unserer kostenlosen Schritt-für-Schritt Anleitung folgen. Als Joomla! Profis kennen wir uns sehr gut mit gehackten Webseiten aus und stehen Ihnen auch gerne für eine schnelle und professionelle Joomla! Virus Entfernung zur Verfügung.

Joomla! Virus Entfernung

Webseite deaktivieren

Was genau der Angreifer mit Ihrer Webseite angestellt hat, ist für Sie erst einmal nicht nachzuvollziehen. Deswegen sollte die Webseite im ersten Schritt deaktiviert werden, um den eigenen Schaden und den Schaden bei Dritten einzudämmen. Hierbei reicht es nicht aus, den Offline-Modus der Webseite im Joomla! Backend einzuschalten. Sie können wie folgt vorgehen:

  1. Backup der Daten und Datenbank erstellen (z.B. mit Akeeba Backup)
  2. Alle Daten inkl. Datenbank vom Server auf den lokalen Rechner sichern
  3. .htaccess Passwortschutz einrichten oder das Basisverzeichnis umbenennen
  4. Eine Wartungsseite einrichten (Am besten geben Sie hier an, dass die Seite vorübergehend wegen Umbauarbeiten nicht zu erreichen ist.)
  5. Alle Dateien vom Server löschen

Einbruch analysieren, Sicherheitslücke finden, Schadcode identifizieren

Nun muss die Sicherheitslücke identifiziert werden. Das ist wohl der kniffligste Part der Virenbeseitigung. Ein Backup der Seite wieder einzuspielen ist nicht ausreichend, da die Sicherheitslücke in dem Backup weiterhin vorhanden ist und somit weitere Angriffe (die meist automatisiert ablaufen) garantiert sind. Sie können folgende Dinge auf auffällige Änderungen überprüfen.

  • Zeitstempel (Timestamp) der Dateien
  • Webserver-Protokoll und FTP-Protokoll
  • Joomla! Benutzer
  • Vergleichen aller Dateien und Inhalte mit dem Stand vor dem Hack
  • Eigenen Rechner mit Antivirus-Programm auf Trojaner oder Viren überprüfen

Die Untersuchung eines Hackangriffes ist nicht zu unterschätzen. Dieser Schritt sollte demnach am besten von einem Profi ausgeführt werden, der Erfahrung im Bereich Virusentfernung hat und weiß, worauf er achten muss.

Zugangsdaten ändern

Ändern Sie alle Zugangsdaten, vor allem Passwörter, damit der Angreifer keinen Zugriff mehr bekommt. Wählen Sie sichere Passwörter! Die Zugangsdaten sollten am besten bei allen Diensten geändert werden, die mit der Webseite in Verbindung sind, also: FTP-Passwort, MySQL-Passwort, Joomla! Zugangsdaten, Provider Zugangsdaten, E-Mail-Postfächer. Sofern Sie nicht die einzige Person sind, die Zugriff auf diese Bereiche hat, sollten auch die anderen Personen für einen sauberen Rechner und aktualisierte Zugangsdaten sorgen.

Sicherheitslücke schließen und Webseite wiederherstellen

Joomla! Bearbeitung

Die Sicherheitslücke muss jetzt wieder geschlossen werden – einerseits, da so die Möglichkeit eines erneuten Angriffs verringert wird, andererseits da so der Missbrauch des Servers durch Dritte verhindert wird.  Erst nach dem erfolgreichen Schließen der Lücke sollte die Webseite wieder freigeschaltet werden. Welche Lücke geschlossen werden muss, hängt ganz von Ihrer Analyse ab. In den meisten Fällen werden veraltete Joomla! Systeme gehackt – hier steckt die Sicherheitslücke im Joomla!-Kern selbst, da auch schon bekannte Sicherheitslücken nicht mehr geschlossen werden!

Bevor Sie die bereinigte Webseite wiederherstellen, sollten Sie die bestehende Joomla!-Installation komplett löschen. Nur so kann gewährleistet werden, dass keine Dateien und Verzeichnisse zurückbleiben, die zu dem befallenen Joomla! System gehören.

Wie kann ich mich vor erneuten Angriffen schützen?

Hier gilt immer das Motto: Vor dem Hack ist nach dem Hack. Es folgen jetzt einige Tipps, die Sie unbedingt beherzigen sollen, um die Joomla! Webseite vor Angriffen zu schützen.

Aktuelle Version

Joomla! verfügt inzwischen über mehrere Hauptversionen. Diese reichen von 1.0 bis hin zu 3.x. Sofern die Joomla! Version Ihrer Webseite noch mit einer Versionsnummer 1 oder 2 beginnt, sollten Sie schnellstmöglich handeln, um sich vor Hackangriffen zu schützen. Diese Versionen sind veraltet und werden nicht mehr unterstützt. Auch schon bekannte Sicherheitslücken werden nicht geschlossen! Das nutzen Hacker natürlich gnadenlos aus. Der erste Schritt zu einer sicheren Webseite ist also, die aktuellste Version draufzuspielen und die Joomla! Webseite regelmäßig auf Updates zu überprüfen und diese Updates auszuführen. Webseiten mit Joomla! Version 1.0 bis 1.7 sollten grundsätzlich lieber offline genommen werden. Auch Joomla! 2.5 Webseiten sind kritisch zu betrachen, weil auch hier der Support für Bug- & Sicherheits-Updates eingestellt wurde.

Wir empfehlen regelmäßige Updates durchzuführen und ein Joomla! Upgrade auf 3.x durchzuführen, sofern Ihre Webseite auf einem alten Stand ist. Wer keine Zeit hat oder sich nicht mit Updates beschäftigen möchte sollte einen Joomla! Update Service bzw. Wartungsvertrag in Anspruch nehmen. Gerne beraten wir Sie zu den verschiedenen Möglichkeiten.

Joomla! Update Service / Wartungsvertrag

Erweiterungen

Nicht nur der Joomla! Kern ist ein Ziel für Hacker, sondern auch installierte Erweiterungen wie Plugins, Module und Komponenten auf dem Joomla! System. Diese Erweiterungen müssen natürlich auch auf Updates überprüft und aktuell gehalten werden. Es empfiehlt sich, unbrauchbare Erweiterungen zu entfernen. Besonders der JCE-Editor ist ein beliebtes Ziel für die Hacker.

Es gibt eine offizielle Liste von Joomla mit Erweiterungen, die als anfällig gelten. Es wird empfohlen, diese Erweiterungen zu deinstallieren. https://vel.joomla.org/index.php/live-vel

Sichere Zugangsdaten

Um vor Hackangriffen geschützt zu sein, sollten die Zugangsdaten sicher sein. Es ist zum Beispiel nicht ratsam, als Benutzernamen „admin“ zu verwenden, auch wenn Ihnen das bei der Installation vorgeschlagen wird. Der Angreifer hätte in diesem Fall schon die Hälfte der Daten, die er benötigt, um sich Zugriff zu verschaffen. Verwenden Sie einen anderen Benutzernamen und ein Passwort mit Sonderzeichen und Groß- und Kleinbuchstaben.

Regelmäßige Datensicherung

Ganz wichtig sind auch regelmäßige Backups der Webseite. So können Sie nach dem Angriff wieder den Ursprungszustand Ihrer Joomla! Webseite herstellen. Sind keine Backups vorhanden, muss im schlimmsten Fall die Webseite nochmal neu erstellt werden.

Internetagentur | reDim GmbH
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen