Antworten auf Ihre häufigsten Fragen

Meine Joomla Webseite wurde gehackt – was kann ich tun?

Bitte beachten Sie, dass die nachfolgenden Links auf externe Seiten führen. Host Europe übernimmt für die Richtigkeit und die Aktualität der Inhalte keine Verantwortung. Dieser Artikel bezieht sich auf Joomla-Anwendungen, die auf einem Webhostingprodukt von Host Europe betrieben werden.

Wenn Ihre Joomla-Webseite bereits gehackt wurde, also Fremde Zugriff auf Ihre Webseite erlangen konnten, handeln Sie schnell! Sie schaden mit einer gehackten Webseite nicht nur sich selbst, sondern vielleicht auch anderen. Folgende Schritte sollten Sie durchführen, wenn Sie betroffen sind:

1) Webseite vom Netz nehmen: Da Sie in erster Instanz nicht genau wissen, was der Angreifer mit Ihrer Webseite getan hat, sollte diese sofort vom Netz genommen werden. Angreifer könnten die Seite für SPAM-Mails, Phishing, DDoS-Attacken, usw. ausnutzen - dieses könnte auch eine Sperrung der Seite sowie rechtliche Konsequenzen nach sich ziehen. Daher geht es hier in erster Linie um Schadensbegrenzung. Um den Einbruch untersuchen zu können sollten Sie umgehend einen Zugriffsschutz auf Ihre komplette Webseite erstellen. Hier reicht es nicht aus nur den Administrationsbereich abzusichern, sondern es ist notwendig die gesamte Webseite nach „außen“ nicht erreichbar zustellen.

Wenn Sie im KIS über die folgenden Menüpunkte gehen

Produktverwaltung - Ihr Produktbereich - Konfigurieren - Domains - Domainzuordnungen editieren

können Sie einsehen, wo auf dem Server Ihre Joomla Webseite liegt.

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

In diesem Fall unter /www/joomla – das bedeutet wir müssen einen Zugriffsschutz für das folgende Verzeichnis anlegen: /www/joomla

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Es ist ratsam, eine Wartungsseite zu erstellen. Geben Sie nicht gleich öffentlich bekannt, dass Sie gehackt wurden, da dies nur ein schlechtes Licht auf Sie werfen würde. Erstellen Sie lieber eine Seite auf der Sie zum Beispiel angeben, dass die Seite wegen Umbauarbeiten vorübergehend nicht erreichbar ist.

2) Einbruch untersuchen und Sicherheitslücke finden: Die Sicherheitslücke, über die sich der Hacker Zugriff verschafft hat, muss nun gefunden werden! Es ist nicht empfehlenswert ohne eine Überprüfung des Vorfalls, einfach wieder ein Backup einzuspielen. Ohne genaue Kenntnis, wann der Angriff stattgefunden hat, läuft man Gefahr ein Backup mit der gleichen vorhandenen Sicherheitslücke einzuspielen und dies kann dazu führen, dass die Webseite schnell erneut gehackt wird. Man kann folgende Punkte auf auffällige Änderungen überprüfen:

  • Wann wurden die Dateien geändert (Zeitstempel = Timestamp kontrollieren)
  • FTP-Protokoll überprüfen
  • Webserver-Protokoll (Access- und Error-Logs)

Einen unterstützenden FAQ Artikel zu der Thematik hier: Wo kann ich Logfiles einsehen und Einstellungen zu den Logfiles vornehmen?

4) Lücken schliessen und Seite wieder freigeben: Es ist mehr als wichtig, dass die Sicherheitslücken geschlossen werden, da Sie so nicht nur die Möglichkeit selbst wieder gehackt zu werden verringern, sondern auch den Missbrauch Ihres Server durch Dritte verhindern. Deshalb ist es wichtig, dass alle Sicherheitslücken geschlossen werden und erst danach darf die Website wieder freigeschaltet werden.

Die Sicherheitslücken befinden sich meist in veralteten Erweiterungen oder sogar im Joomla-Kern selbst. Das bedeutet, dass Sie Joomla immer zeitnah aktualisieren müssen, sobald eine neue Version veröffentlicht wurde. Das Gleiche gilt auch für Erweiterungen!

Es gibt inzwischen mehrere Hauptversionen des beliebten CMS Joomla:

  • 1.0.x (keine Aktualisierung mehr)
  • 1.5.26 (keine Aktualisierung mehr)
  • 1.6.x (keine Aktualisierung mehr)
  • 1.7.x (keine Aktualisierung mehr)
  • 2.5.x (keine Aktualisierung mehr)
  • 3.x (die neuste Version)

Wenn Sie eine Joomla 1.0.x Webseite betreiben müssen wir leider ehrlich sagen, nehmen Sie diese offline. Diese Version wird in den meisten Fällen gar nicht mehr korrekt arbeiten, jedenfalls kann man hier nicht mehr von sicher reden. Bei der Version 1.5.26 kann man mit den beschriebenen Methoden noch eine einigermaßen akzeptable Sicherheit erzielen, aber auch diese Version sollte man upgraden. Wenn Sie aber eine ältere 1.5.xer Version einsetzen, stellen Sie bitte sicher dass Sie die letzten Updates eingespielt haben und so die letzte Version dieser Reihe verwenden – 1.5.26. Die Versionen 2.5.x (hier sollte immer die aktuellste Version genutzt werden) sowie 3.x können bedenkenlos verwendet werden, wenn man sich an einige Sicherheitsregeln hält.

Nun ist es leider so, dass sobald es eine Aktualisierung gibt, auch die potenziellen Angreifer von dieser Sicherheitslücke erfahren und diese suchen dann nach ggf. vorhandenen neuen Sicherheitslücken. Es ist hier also wirklich wichtig, dass man regelmäßig prüft, ob es Aktualisierungen gibt. Bei den Versionen 1.0.x, 1.5.x, 1.6.x sowie 1.7.x werden die Aktualisierungen noch per FTP auf den Server geladen, ab der Version 2.5.x ist dies komfortabel über das Joomla-Backend möglich und somit innerhalb weniger Minuten erledigt. Allein aus dieser Sicht ist es ratsam die Webseite mindestens auf die Joomla-Version 2.5.x umzustellen, da ab dieser Version die Pflege deutlich vereinfacht wurde. Neben der Aktualisierung des Joomla-Kerns ist es auch wichtig, die installierten und verwendeten Module, Plug-Ins sowie Komponenten auf dem aktuellen Stand zu halten. Auch dies ist ab der Version 2.5.x über das Backend möglich. Denken Sie auch daran, den unten Punkt 1 erstellten Zugriffsschutz wieder zu entfernen bzw. auf den Administratorbereich umzustellen.

5) Webseite gegen Angriffe absichern: Nachdem Sie nun Ihre Joomla Webseite bereinigt haben und diese wieder online ist, möchten Sie sicherstellen, dass Sie in Zukunft möglichst sicher sind vor Angriffe Dritter, die Ihnen nur schaden möchten. Beachten Sie diesbezüglich unsere oben genannten Schritte zum Schutz Ihrer Joomla Webseite. Tipps dazu erhalten Sie im nachfolgenden FAQ-Artikel, welcher ebenfalls als PDF-Dokument bereitgestellt wird.


Diese Artikel könnten Sie auch interessieren:
Wie schütze ich meine Joomla Webseite?

otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de