Warum Sicherheit für Foodblogs wichtig ist

Letzten Monat hat eine Kundin morgens ihren Blog aufgerufen und statt ihres Startseiten-Rezepts eine Casino-Werbung gesehen. Ihr Blog hatte keine 500 Besucher am Tag. Sie dachte, für Hacker sei sie viel zu klein.

Genau das ist der Irrtum, den wir am häufigsten hören. Angreifer suchen sich nicht gezielt deinen Blog aus. Sie lassen automatisierte Bots laufen, die tausende WordPress-Seiten pro Stunde abklappern. Wie diese Bots an ihre Zielliste kommen, ist im Grunde Fließbandarbeit: Sie scrapen öffentliche Sitemaps, ziehen sich Domains aus Such-APIs, klappern Plugin-Verzeichnisse ab und kaufen oder tauschen fertige Listen mit Hunderttausenden WordPress-Domains. Dein Blog steht da nicht drauf, weil ihn jemand persönlich ausgesucht hätte. Er steht da drauf, weil er eine WordPress-Sitemap unter /sitemap.xml ausliefert und ein paar typische Fingerabdrücke hinterlässt. Mehr braucht es nicht.

Pro Domain probiert so ein Bot dann Standard-Logins durch, admin, administrator, der Vorname aus dem Impressum, der Domain-Name selbst, info, und jagt sie gegen Passwort-Listen aus geleakten Datenbanken. Das nennt sich Credential Stuffing: Wenn deine Mailadresse irgendwann mal aus einem Forum, Shop oder einer alten App in einem Leak gelandet ist (und das ist sie ziemlich sicher, prüf das mal auf haveibeenpwned.com), dann wird genau das damalige Passwort jetzt auch auf deinem WordPress-Login getestet. Der Bot hat keine 30 Sekunden Aufmerksamkeit für deinen Blog übrig. Wer durch das erste Sieb fällt, kein Default-Login, kein wiederverwendetes Passwort, wird in der Regel einfach übersprungen, weil das nächste Ziel auf der Liste mit weniger Aufwand zu knacken ist. Ob dein Blog 100 oder 100.000 Leser hat, spielt dabei keine Rolle.

Was bei einem erfolgreichen Angriff auf dem Spiel steht, ist mehr als nur ein paar Stunden Arbeit.

Deine Rezepte, Fotos und Texte sind das Ergebnis von Monaten oder Jahren Arbeit. Wenn ein Angreifer die Datenbank manipuliert, sind diese Inhalte im schlimmsten Fall weg. Besonders gemein dabei: Bilder liegen im Dateisystem, Texte liegen in der Datenbank. Ein typischer Datenbank-Angriff überschreibt Beitragsinhalte mit Spam-Links oder leert ganze Beiträge, die Bildordner bleiben unangetastet, also bekommst du die Manipulation oft erst Wochen später mit. Dann nämlich, wenn du selbst einen alten Rezeptbeitrag aufrufst, weil dir jemand in den Kommentaren schreibt "Da fehlt was", und du staunend feststellst, dass dein Beitrag aus 2022 nur noch aus drei Sätzen Glücksspiel-Werbung besteht. Dazu kommt das Vertrauen deiner Leser: Wer einmal Spam oder Malware auf deinem Blog gesehen hat, kommt nur ungern zurück.

Google reagiert ebenfalls empfindlich. Ein kompromittierter Blog kann innerhalb von Stunden aus den Suchergebnissen verschwinden. Konkret läuft das so: In deiner Search Console landet eine Manual-Action-Benachrichtigung mit dem Stichwort "Hacked content" oder "Compromised pages", und parallel zeigt Google in den SERPs unter deinem Treffer den Hinweis "Diese Website wurde möglicherweise gehackt". Was deine Klickrate über Nacht zerstört, schneller als jeder Algorithmus-Wechsel. Bis Google die Warnung wieder entfernt, vergehen typischerweise ein bis vier Wochen, die Seite muss nach der Bereinigung neu gecrawlt werden, und die Manual Action wird nicht automatisch aufgehoben, sondern erst, nachdem du in der Search Console einen "Review request" gestellt hast und Google das händisch geprüft hat.

Was wir oft sehen: Foodbloggerinnen, die in den Search-Console-Mails vor sechs Monaten eine Manual-Action-Mail überlesen haben, weil sie dachten, das sei wieder einer dieser Phishing-Versuche, die sich als Google ausgeben. Schau in deinem Postfach mal nach Absendern wie noreply@google.com oder Betreffzeilen mit "Search Console" und "Manuelle Maßnahme", wenn da je etwas war und du es nicht bearbeitet hast, ranked dein Blog seitdem unter seinen Möglichkeiten.

Dann sind da noch die Hoster-Konsequenzen, an die kaum jemand denkt, bevor sie ihn das erste Mal treffen. Wenn dein Blog nach einem erfolgreichen Plugin-Hack massenhaft Spam-Mails versendet, und das ist eines der häufigsten Hack-Muster, weil sich gehackte WordPress-Installationen wunderbar als Mail-Schleudern missbrauchen lassen, sperrt der Hoster dein Konto oft komplett. Du kommst nicht mehr ins Backend, kannst keine Mails empfangen, deine Domain ist offline, und der Support erwartet einen Nachweis, dass der Hack behoben ist, bevor er den Account wieder freischaltet. Das ist der Moment, in dem viele zum ersten Mal merken, dass "mein Blog ist gehackt" und "ich komme nicht mehr an meinen Blog ran" zwei verschiedene Probleme sind, die gleichzeitig auftreten können.

Dann sind da noch personenbezogene Daten. Kommentare mit E-Mail-Adressen, Newsletter-Abonnenten, vielleicht Kundendaten aus einem Shop. Ein Datenleck hat nicht nur technische, sondern auch rechtliche Folgen: Sobald personenbezogene Daten unbefugt abgeflossen sind, hast du nach DSGVO 72 Stunden Zeit, das der zuständigen Datenschutzbehörde zu melden, und musst die Betroffenen informieren, wenn ein hohes Risiko für sie besteht. Das sind keine theoretischen Risiken. Das sind reale Pflichten, und sie greifen auch dann, wenn dein Blog ein reines Hobbyprojekt ist, sobald du Newsletter, Kommentare oder einen Shop betreibst.

Wie viel Aufwand die Reparatur kostet, hängt fast komplett davon ab, was du vor dem Hack getan hast. Wir haben in der Agentur grob drei Kategorien:

Im einfachen Fall, sauberes, aktuelles Backup vorhanden, keine Hoster-Sperre, der Hack ist auf einen klaren Einstiegspunkt zurückzuführen, ist das ein halber bis ganzer Arbeitstag für jemanden, der das schon öfter gemacht hat. Backup einspielen, Einstiegspunkt schließen, Passwörter rotieren, alle Plugins prüfen, fertig.

Im mittleren Fall, kein aktuelles Backup, aber der Server läuft noch, sammelst du die Inhalte aus Hoster-Caches, aus Browser-Caches deiner eigenen Geräte und aus der Wayback Machine zusammen. Das sind mehrere Tage bis Wochen, abhängig davon, wie viele Beiträge betroffen sind und wie viele Bilder noch auffindbar sind.

Im schlimmen Fall, Hoster-Account gesperrt, keine Backups, deine Domain hat sich durch Spam-Versand bei den großen Mail-Providern eine Reputation als Spammer aufgebaut, reden wir über Wochen Arbeit, manchmal über einen kompletten Domain-Wechsel, weil Mails von der alten Domain nirgends mehr ankommen. Ich erinnere mich an einen Reparatur-Fall mit drei Wochen Arbeitszeit und einen mit knapp vier Stunden. Die Spanne ist real.

Unser Tipp: Sicherheit ist kein Projekt, das du einmal erledigst und dann vergisst. Es ist eine Grundhaltung, wie das regelmäßige Sichern deiner Fotos auf einer externen Festplatte. Die gute Nachricht: Die wichtigsten Maßnahmen sind nicht kompliziert, kosten nichts und du kannst sie selbst umsetzen, und in den nächsten Lektionen gehen wir sie Schritt für Schritt durch. Vorher lohnt sich aber eine Frage, die viele überspringen, obwohl sie das ganze Bild verändert: Wenn keiner deinen Blog persönlich angreift, wer öffnet eigentlich die Tür, durch die der Bot dann hereinspaziert? Anders gefragt: Wo genau setzt so ein automatisierter Angriff technisch an? Genau das schauen wir uns in der nächsten Lektion an.