Die meisten Angriffe auf WordPress passieren nicht aus persönlichen Motiven. Nur selten steckt ein gezielter Angriff dahinter wie z. B. bei politischen Seiten. Meistens geht es den Angreifern um andere Dinge. Auch dort, wo eigentlich „nichts zu holen“ ist.
Shops speichern Zahlungsdaten, Mitgliederseiten haben Benutzerkonten. Diese Daten – E-Mail-Adressen, Passwörter, Zahlungsinformationen – kann man stehlen und zu Geld machen. Bei einer Website, auf der Nutzer-Daten gespeichert werden, sind meistens die Daten das Ziel eines Angriffs.
Aber was ist, wenn es auf der Website gar keine Nutzer-Daten vorkommen? Schützt mich das automatisch gegen Angriffe? Leider nicht. Denn nicht nur Daten sind für Angreifer interessant.
Kontrolle über die Website
Eine Website unter ihre Kontrolle zu bringen ist das weitaus häufigste Motiv, warum Kriminelle eine Website angreifen. Das Ziel ist es dabei, Admin-Zugriff oder Server-Zugriff zu bekommen. Wer Zugang hat, kann Schadcode einbauen. Über kompromittierte Websites werden Spam-Mails versendet, sie enthalten Weiterleitung auf Phishing-Seiten oder sie werden zum Hosten von Malware eingesetzt. Die Möglichkeiten, eine Website für kriminelle Zwecke einzusetzen, sind vielfältig: Glücksspiel, Pornografie, Fake-Shops, SEO-Spam (Backlinks für andere Seiten), Affiliate-Betrug und so weiter.
Dass eine Website Schadcode enthält, erkennen die Suchmaschinen-Bots häufig vor der Besitzern selber. Die Website wird dann als gefährlich eingestuft und die Suchmaschine zieht die Seite aus dem Verkehr, sie ist nicht mehr erreichbar. Auch dazugehörige Mailadressen sind von einer solchen Sperre (Blacklisting) betroffen. Alle Mails werden als Spam markiert.
So entsteht relativ schnell ein ziemlich umfangreicher Schaden. Den zu bereinigen, ist mit viel Arbeit verbunden. Ohne die Hilfe eines professionellen Dienstleisters geht es meistens nicht. Denn selbst, wenn man Schadcode aufspürt und löscht, die Angreifer haben ziemlich sicher eine offene „Backdoor“ hinterlassen, über die sie jederzeit neuen Schadcode einschleusen können. Die zu finden ist nicht einfach. Und dafür, den guten Ruf der Seite und das Suchmaschinen-Ranking wieder aufzubauen, gibt es ebenfalls keine schnelle Lösung.