Gehackte Homepage? Typische Ursachen

Gehackte WBCE-Websites sind sehr selten und es liegt praktisch nie am CMS, wenn es doch einmal passiert. 

Der Klassiker: Vergessene Testinstallationen

Man schaut sich ja nicht nur WBCE an, sondern vielleicht auch Wordpress oder Joomla. Und weil man das ja vielleicht noch mal brauchen könnte, wird der Test notdürftig in ein Verzeichnis verschoben – und liegt dann jahrelang herum. Ohne jemals wieder ein Update zu erfahren.
Du solltest nicht glauben, dass das niemand findet. Räum das restlos weg.

Das Sahnehäubchen: Externe Tools

Ein steinalter Adminer – installiert und vergessen. Das 15 Jahre alte PageEar, das damals alle haben wollten und das voller Sicherheitslücken war. Funktioniert zwar nicht mehr – abgesehen von den Sicherheitslücken, die gehen immer noch.
Schreibe einfach ein paar wirre Buchstaben vor die Datei oder das Verzeichnis – und schaue, ob es Fehler gibt. Wenn nein: Endgültig löschen.

Der Staub: Alte Module

Besonders erwähnenswert sind dabei Module, die mit der heißen Nadel gestrickt wurden, die also „schnell mal“ einen Wunsch aus dem Forum erfüllt haben und danach kaum mehr weiterentwickelt wurden. Oder anders gesagt: Module, die etwas Spezielles für eine sehr kleine Zielgruppe machen.

Ein oder zwei kleine Versionssprünge Rückstand sind keine Katastrophe – viel verdächtiger sind Module, die seit Jahren unverändert sind oder die gar nicht mehr im AOR verfügbar sind.
Das Admin-Tool Module Update Check gibt Auskunft und sollte in jedem Fall installiert werden.

Die Kernschmelze: Vergessene User

Verärgerte Mitarbeiter oder (Vereins-)Mitglieder, Kollegen, ehem. Freunde… DAS kann eine richtige Katastrophe werden. 
Fast alle Inhalte stehen in der Datenbank, und die lassen „normale Hacker“ in Ruhe. Das macht eine vollständige Wiederherstellung der Website zumindest möglich.

Etwas anderes ist es, wenn ein richtig verärgerter Nutzer mit weitreichenden Rechten (und vielleicht auch KnowHow) reinfährt: Der kann nicht nur die Inhalte unwiderruflich löschen, sondern sogar die Backups. 
Wenn man schnell reagiert, kann man die Website noch stückchenweise aus dem Google-Cache kratzen, wenn man Glück hat aus archive.org. Mühsam, aber besser als nichts.

Wer mehrere Nutzer mit weitreichenden Berechtigungen hat, sollte immer wieder mal in die Nutzerverwaltung reinschauen und auch bei leichtem Zweifel den Nutzer auf inaktiv stellen. 

Der Feinstaub: Übersehene Berechtigungen

Das ist ein Thema, über das nicht gerne geredet wird… ich tue es hier dennoch mal:

WBCE ist nach außen gut abgesichert. 
Ein Problem, das von WebsiteBaker mitübernommen wurde, ist die etwas unscharfe Trennung zwischen den verschiedenen Berechtigungen für angemeldete Nutzer; hier gilt allzu leicht: Wir sind ja alle Freunde und tun nichts Böses. Nunja – was wenn es nicht so ist?

Unter ungünstigen Umständen kann ein angemeldeter Nutzer ohne besondere Berechtigungen „originelle“ Dinge tun, er kann eventuell sogar Administrator-Rechte erlangen.
Das liegt daran, dass Berechtigungen zum Teil als „darf NICHT“ gespeichert werden, wenn aber nachträglich Module installiert werden, dieses Nicht eben nicht gilt. 

Du solltest daher gelegentlich (nachdem du etwas installiert hast oder ein Upgrade gemacht wurde!) in den Gruppenberechtigungen nachsehen, ob das alles sinnvoll ist. Achte dabei besonders auf die Modulberechtigungen und da vor allem auf die, die heikle Möglichkeiten eröffnen, wie etwa Code oder Code2. Auch die Droplets oder der Add On File Editor können problematisch sein. Alles, wo man PHP-Code einschleusen kann.

Zurück