„Hey, wenn ich deine Seite aufrufe, lande ich auf einem iPhone-Gewinnspiel.“ So beginnt der Spaß meistens. Ein paar Freunde oder Kund*innen melden sich, du klickst auf deinen Link und nichts. Keine Weiterleitung, keine Werbung, alles läuft wie gewohnt. Aber während du da in Ruhe deinen Content aufrufst, werden andere Besucher deiner Seite plötzlich woanders hingeschickt. Auf Spam-Seiten oder in den Strudel von Malware.
Der Redirect Hack ist so alt wie WordPress selbst, und er kommt in vielen Varianten. Manche Angreifer setzen ihn über die Suchergebnisse ein, andere nur bei Nutzern mit bestimmten Geräten, und dann gibt es noch die geographische Variante. Doch das Prinzip bleibt gleich: Besucher landen nicht auf deinem Content, sondern auf Seiten, die sie nicht sehen sollen.
Woher kommt der Hack?
Es gibt verschiedene Wege, wie der Redirect Hack auf eine Seite gelangen kann. Und jeder dieser Wege ist genauso perfide wie der letzte. Hier einige der gängigsten Methoden, mit denen Angreifer den Redirect durchsetzen.
Cross-Site-Scripting (XSS) und injizierter Code
Ein häufig genutztes Mittel ist Cross-Site-Scripting (XSS). Dabei wird schadhafter JavaScript-Code auf deiner Seite eingebaut. Dies passiert oft durch ein Plugin oder eine Sicherheitslücke in einem System, das eine bestimmte Eingabe nicht abfängt. Der Code wird von Besuchern ausgeführt, ohne dass sie es merken, und schon landen sie auf einer fremden Seite. Der Angriff bleibt unbemerkt, aber der Schaden ist da.
Weiterleitungen über .htaccess und wp-config.php
Die .htaccess ist ein beliebtes Ziel für Angreifer. Über diese Datei lässt sich der Verkehr auf der Seite umleiten. Hier können Weiterleitungen so versteckt eingebaut werden, dass du sie nicht sofort siehst. Auch die wp-config.php ist ein oft genutztes Ziel. Eine Veränderung hier kann die gesamte Konfiguration deiner Seite durcheinanderbringen.
Manipulierter JavaScript-Code im -Bereich
Ein weiterer Trick von Angreifern ist es, JavaScript in den head deiner Seite einzufügen. Das passiert oft über Plugins, die scheinbar keine Bedrohung darstellen. Der schadhafte Code wird verschlüsselt, sodass du ihn nicht sofort entlarven kannst. Meistens werden diese Weiterleitungen über versteckte Kodierungen eingefügt.
Geister-Admin: Wenn der Angreifer Administrator-Rechte bekommt
Gelegentlich gibt es Exploits, die es Angreifern ermöglichen, Administrator-Rechte zu erlangen. Das nennt man dann den „Geister-Admin“. Der Angreifer loggt sich ein, hat die gleichen Rechte wie du und kann jederzeit Weiterleitungen auf deiner Seite einfügen. Diese Art von Angriffen ist besonders schwer zu bemerken, weil der Angreifer sich mit denselben Rechten wie der eigentliche Admin verhält.
Wo suchen?
Falls du nicht weißt, wo der Redirect-Hack versteckt ist, gibt es ein paar Dateien, die du dir besonders genau anschauen solltest. Die gute Nachricht: Meistens ist der Angreifer nicht sonderlich kreativ mit den Verstecken, und du kannst ihm recht schnell auf die Schliche kommen.
Verdächtige Dateien: index.php, wp-config.php und .htaccess
Wenn du den Verdacht hast, dass etwas nicht stimmt, schau als erstes in die index.php. Wenn hier unerklärliche Änderungen vorgenommen wurden, könnte das ein Hinweis auf den Hack sein. Auch die wp-config.php und wp-load.php solltest du unter die Lupe nehmen. Veränderungen hier können darauf hindeuten, dass ein Angreifer versucht, deine Seite von innen heraus zu manipulieren.
Die .htaccess ist ein weiteres wichtiges Dokument. Hier könnten Regeländerungen vorgenommen worden sein, die Besucher auf andere Seiten weiterleiten. Prüfe die Datei auf ungewöhnliche Einträge, vor allem nach Weiterleitungen, die du nicht selbst eingerichtet hast.
JavaScript und verdächtiger Code
Achte darauf, ob sich in den JavaScript-Dateien seltsame Code-Schnipsel finden lassen. Ein beliebtes Mittel, um den Redirect zu verstecken, ist der Einsatz von verschlüsseltem JavaScript-Code. Wenn du auf eval() oder ähnliche Funktionen stößt, kann das ein Hinweis auf einen Hack sein.
Die Datenbank selbst sollte ebenfalls durchsucht werden. Such nach Begriffen wie script, eval, base64_decode und preg_replace. Diese Zeichenfolgen tauchen häufig in schadhafterm Code auf und können dich direkt zur Ursache des Problems führen.
Wie schützen?
Nun, der Hack ist entdeckt und du bist informiert. Aber was kannst du tun, um in Zukunft nicht wieder Opfer solcher Attacken zu werden? Die Antwort ist einfach: Prävention.
Admin-Rechte und Passwörter
Der erste Schritt in die richtige Richtung ist die Verwaltung von Administrator-Rechten. Verändere regelmäßig Passwörter und stelle sicher, dass nur vertrauenswürdige Personen Administrator-Rechte haben. Weniger ist hier mehr. Wenn du den Zugriff über mehrere Leute verteilen musst, achte darauf, dass jeder Nutzer nur die Rechte erhält, die er tatsächlich benötigt. Und auch jeder Nutzer seinen eigenen Zugang besitzt. So kann man später herausfinden, welches Konto kompromittiert wurde.
Sicherheits-Plugins und Web Application Firewall
Ein guter Schutz für deine Seite ist ein Sicherheits-Plugin. Es gibt eine Reihe von Plugins, die regelmäßig nach Sicherheitslücken suchen und deinen Code überprüfen. Besonders hilfreich ist eine Web Application Firewall (WAF), die schadhafte Anfragen direkt blockiert, bevor sie auf deine Seite gelangen. Persönlich empfehle ich in der Free Version Sucuri und oder AIOS Firewall. Die beiden Plugins sorgen schon für ein paar ruhigere Nächte.
Updates und Backups
Halte deine WordPress-Version sowie alle Plugins und Themes immer aktuell. Angreifer suchen oft nach veralteten Versionen, in denen Sicherheitslücken stecken. Und ein regelmäßiges Backup ist Pflicht. Nicht nur für den Fall eines Hacks, sondern auch für den Fall, dass mal etwas schiefgeht. Wenn du ein funktionierendes Backup hast, kannst du deine Seite schnell wiederherstellen, ohne viel Zeit zu verlieren. Und wenn du richtig "krass" bist, dann machst du Backups nach dem Drei Generationen Prinzip.
Wachsam bleiben
Der Redirect Hack ist heimtückisch, weil er sich oft unbemerkt einschleicht. Doch wenn du regelmäßig prüfst, was auf deiner Seite passiert, und ein paar grundlegende Sicherheitsvorkehrungen triffst, kannst du dich vor solchen Angriffen schützen. Ein sauber gepflegtes System, regelmäßige Backups und eine aufgeweckte Haltung gegenüber Sicherheitslücken sind die besten Mittel, um deinen WordPress-Account langfristig sicher zu halten.