Zuletzt geändert am von kai.s.
Dieses Jahr hat es zum zweiten Mal Gambio mit groß angelegten Hackerangriffen erwischt. Es wurde eine bisher unbekannte Sicherheitslücke ausgenutzt. Wie viele Gambio-Shops es am Ende wirklich waren, wird wohl ein Geheimnis bleiben, denn Gambio selbst kann nur Zahlen für die Cloud-Shops veröffentlichen. Die genaue Anzahl der betroffenen selbst gehosteten Shops ist unklar. Ich vermute, dass viele Shop-Betreiber noch gar nicht bemerkt haben, dass ihr Shop gehackt wurde.
Um das herauszufinden, genügt ein Blick auf den FTP-Server. Auch einige meiner Kunden waren betroffen. Die Shops wurden nicht einzeln gehackt; es musste eine Maschine gewesen sein. Es fand bei allen Shops, die ich gesehen habe, im gleichen Zeitraum von wenigen Minuten statt und war offenbar gut vorbereitet.
Wenn es einen Shop erwischt hat, dann ist das nur Zufall und sollte nicht persönlich genommen werden. Wie groß der Schaden pro Shop am Ende war, ist noch nicht bekannt, aber offensichtlich wurden Kundendaten aus der Datenbank gestohlen.
Gambio hat dieses Mal zwar schnell reagiert, aber leider mussten wir noch zusätzliche Arbeit machen:
- Nach ca. 1,5 Tagen gab es das erste Security-Update. Ich konnte dieses auch zeitnah bei allen meinen Kunden installieren.
- Als ich mit der Installation fertig war, stellte sich heraus, dass es noch eine zweite Version geben sollte, die natürlich auch noch installiert werden musste.
- Nachdem ich auch diese Version installiert hatte, wurde festgestellt, dass im ersten Security-Update Dateien enthalten waren, die dort nicht sein durften und einige Shops lahmgelegt haben. Deshalb musste ich noch einmal ran und alles prüfen.
Nach dem Klären der Angelegenheit wussten wir, wonach wir schauen mussten, um zu erkennen, ob ein Shop gehackt wurde, und wie wir das bereinigen konnten. Also ging es noch mal von vorne los und alle Shops wurden genauer untersucht.
Am Ende mussten X Shops bereinigt werden, was einige Tage in Anspruch genommen hat. Und als ob das nicht genug wäre, kamen gleich noch zwei gehackte WordPress-Seiten dazu.
Darauf kommt man nur, wenn man sich wundert, warum man plötzlich so viele Zugriffe hat. Da denkt doch kein Mensch dran, man freut sich eher, dass es so ist. Wenn man dann aber feststellt, dass die Zugriffe alle durch Sachen kommen, die man selbst gar nicht hat. Plötzlich werden bei Google Links gelistet, deren Inhalt gar nicht auf der Webseite verfügbar ist.
Ja, die Sitemap wurde manipuliert, aber so, dass bei jedem Aufruf der Sitemap neue Links generiert wurden. So kamen schnell ein paar 100.000 Links bei Google zustande.
Allein für eine Webseite habe ich fast drei Tage gebraucht:
- Erst musste ich die gehackten Dateien finden und wiederherstellen.
- Der Grund, warum gehackt werden konnte, waren offensichtlich Plugins, die länger nicht mehr aktualisiert wurden, sowie ein Theme, das ebenfalls nicht mehr aktualisiert wurde. Deshalb mussten einige umgebaut, ein neues Theme installiert und ein bis zwei neue Plugins hinzugefügt werden, um die alten zu ersetzen.
- Die größte Herausforderung war die Übernahme einer großen Anzahl von Bildgalerien. Zum Glück gibt es heutzutage KIs, die ziemlich gut darin sind, WordPress-Plugins zu entwickeln.
Ich habe dann mit einer KI ein Plugin entwickelt, mit dem man die Galerien aus dem alten Plugin in das neue System migrieren konnte. Auch das habe ich geschafft und bin froh, dass ich dem Kunden so helfen konnte. Jetzt muss er nur noch die falschen Links sammeln und bei Google melden, damit diese aus dem Index gelöscht werden.
Das wird aber ein langwieriger und fortlaufender Prozess. In den nächsten Tagen wird es dann weiter gehen mit den Updates für Gambio-Shops. Wir werden sehen, wie das neue Update 2026.04.0 funktioniert und ob dort weitere Verbesserungen in puncto Sicherheit gemacht wurden. Sofern ich Zeit habe, werde ich darüber berichten.
Was ich unbedingt noch loswerden muss, einen großen Dank an Walter Klenk, der sehr schnell gemerkt hat, dass was mit den Securityupdates nicht stimmt und Gambio darauf hin gewissen hat, dass da etwas nicht stimmt. Somit wesentlich dazu beigetragen hat, das schnell reagiert werden konnte.
Und ebenso einen großen Dank auch an Rico Stodolka der sehr schnell ein Tool entwickelt hat, mit dem man feststellen konnte, ob der entsprechende Shop gehackt wurde.