Dass auch bei den ganz „Großen“ technikmäßig nicht immer alles nach Plan läuft, hat sich zuletzt erst bei der „Meta-Gruppe“ um Facebook, Instagram und WhatsApp mit einem weltweiten Ausfall, bei dem die Facebook-Datenzentren vom Internet getrennt wurden, bemerkbar gemacht. Nun wurde bekannt, dass der Serviceprovider GoDaddy Ziel eines Hacks wurde. GoDaddy ist der weltweit größte Domain-Registrar und Anbieter zahlreicher Hosting-Dienstleistungen mit nach eigenen Angaben über 20 Millionen Kunden.
Während bei Facebook lediglich die Verfügbarkeit des Services betroffen war, wurden bei diesem Hack unverschlüsselte Kundendaten bei GoDaddy gestohlen. Genauer gesagt hat sich der Hacker Zugriff auf die Kundennummer und E-Mail-Adresse von 1,2 Millionen aktiven und inaktiven Kunden des Managed-Wordpress-Services verschafft. Dazu wurden außerdem das WordPress-Passwort, welches bei Erstinstallation vergeben wurde, der Benutzername und das Passwort von SFTP- und Datenbank-Zugang, sowie von einigen Kunden der private SSL-Schlüssel offengelegt. Besonders brisant ist, dass der vulnerable SFTP-Zugang in unverschlüsseltem Plaintext oder einem Format, aus dem dieser ableitbar ist, gespeichert wurde und nicht, wie es in der Industrie Standard sein sollte, als verschlüsselter Hash.
Der Vorfall wurde am 17. November entdeckt und eine anschließende Untersuchung ergab, dass der Hacker bereits seit rund zwei Monaten Zugang zu den Servern hatte. GoDaddy hat die betroffenen Zugänge mittlerweile zurückgesetzt.
Betroffen von diesem Sicherheitsvorfall sind außerdem GoDaddy-Reseller, wie die im deutschsprachigen Raum bekannte Host Europe Group mit u.a. den Marken Host Europe und Domain Factory. Managed-Wordpress Kunden dieser Unternehmen sollten prüfen, ob ihre Services Teil des Vorfalles sind.
Handlungsempfehlungen bei einem WordPress-Hack
Was müssen Sie nun tun, wenn Ihre WordPress-Installation von einem Hack betroffen ist?
- Zuerst muss jedes Passwort und jeder Zugang geändert werden. Dies inkludiert jeden User-Account der Seite, sowie den Hosting-Account, den SFTP-Zugang und den Datenbank-Zugang. Für eine Änderung des Datenbank-Zugangs ist außerdem die nötige Änderung in der wp-config.php durchzuführen.
- Anschließend sollten Sie die Website visuell prüfen um zu sehen, ob sich etwas im Frontend geändert hat
- Im Backend ist zu prüfen, ob neue verdächtige Plugins oder Themes installiert wurden. Über diese kann im laufenden Betrieb immer wieder schadhafter Code eingeschleust werden.
- Ein Malware-Check mit einem der gängigen Tools gibt Aufschluss darüber, ob sich in den Files und im Code Schadsoftware befindet.
- Ein Test sämtlicher Inputs und Formulare sollte ebenfalls durchgeführt werden.
Ausblick
Nachdem GoDaddy schon bisher unter Experten nicht den besten Ruf bei WordPress-Hosting genoss, wird sich dies durch den aktuellen Vorfall auch nicht ändern. Es bleibt abzuwarten, wie groß der Datendiebstahl tatsächlich ausgefallen ist, aber schon jetzt lässt sich sagen, dass viele personenbezogene und sicherheitsrelevante Daten nicht ausreichend geschützt und gestohlen wurden.
Sollten Sie eine Frage zu WordPress-Hosting haben, oder auf der Suche nach professionellem Industrie-Standard-Hosting sind, sind wir Ihr kompetenter Partner. Auch wenn Sie Fragen zu WordPress-Security haben, sind wir für Sie da. Kontaktieren Sie uns für ein kostenloses Erstgespräch!