Was ist Phishing?
Phishing ist eine Form des Cyberangriffs, bei der Angreifer versuchen, Nutzer durch Täuschung dazu zu bringen, sensible Daten preiszugeben – meist Zugangsdaten, Kreditkarteninformationen oder persönliche Daten. Der Name ist angelehnt an das englische Wort fishing (Angeln): Der Angreifer legt einen Köder aus und wartet darauf, dass jemand „anbeißt".
Klassisch geschieht das über gefälschte E-Mails, die auf täuschend echt aussehende Login-Seiten bekannter Dienste führen. Der entscheidende Unterschied zur echten Seite: Die URL in der Adressleiste gehört nicht dem angeblichen Anbieter – sondern dem Angreifer. Oder, im hier relevanten Fall: einer gehackten WordPress-Website.
Phishing und gehackte WordPress-Websites
Für Website-Betreiber ist Phishing aus einem oft übersehenen Grund relevant: Eine gehackte WordPress-Website wird regelmäßig als Infrastruktur für Phishing-Angriffe auf Dritte missbraucht.
Der Ablauf: Ein Angreifer nutzt eine Sicherheitslücke in einem veralteten Plugin, um Zugang zur Website zu erlangen. Anschließend legt er auf der kompromittierten Website täuschend echte Kopien von Login-Seiten an – z.B. von Microsoft 365, PayPal oder einer Bank. Diese Seiten werden dann per Spam-E-Mail an potenzielle Opfer gesendet. Für das Opfer ist die URL lediglich eine unbekannte Domain – für den Betreiber dieser Domain sind die Folgen jedoch erheblich.
Folgen einer Phishing-Infektion für den Website-Betreiber
Google Blacklisting: Google erkennt Phishing-Inhalte und setzt die betroffene Domain auf eine Blacklist. Besucher sehen eine rote Warnseite mit „Irreführende Website" – und die Mehrheit verlässt die Seite sofort.
SEO-Schaden: Inhalte, die Googles Richtlinien verletzen, können zu einem dauerhaften Verlust von Rankings führen. Die Wiederherstellung des Vertrauens kann Wochen bis Monate dauern.
Hoster-Sperrung: Viele Hoster sperren Accounts automatisch, sobald sie Phishing-Inhalte erkennen – auch wenn der Betreiber selbst kein Täter ist.
Reputationsschaden: Kunden, Partner oder Behörden, die auf die Phishing-Seite aufmerksam werden, verbinden die kriminellen Inhalte mit der Domain und damit mit dem Unternehmen.
Phishing-Typen, die WordPress-Websites betreffen
Fake Login Pages: Nachgebaute Login-Oberflächen bekannter Dienste, gehostet unter einer fremden Domain.
Redirect-Phishing: Besucher der kompromittierten Website werden automatisch auf eine Phishing-Seite weitergeleitet. Besonders tückisch: Eingeloggte Admins sehen die Weiterleitung oft nicht, weil der Code nur für „normale" Besucher aktiv ist.
Pop-up-Phishing: Gefälschte Browser-Sicherheitswarnungen oder Verifizierungs-Dialoge werden über der legitimen Website eingeblendet.
Schutz vor Phishing-Missbrauch
Den Missbrauch der eigenen Website als Phishing-Infrastruktur verhindern dieselben Maßnahmen, die gegen alle WordPress-Sicherheitslücken wirken: aktuelle Plugins, sichere Zugangsdaten mit 2FA, eine WAF und regelmäßige Backups. Ergänzend hilft ein Malware-Scanner, der Phishing-Seiten im Dateiverzeichnis erkennt.
Fazit
Phishing ist kein Problem, das nur große Konzerne betrifft. Jede schlecht gesicherte WordPress-Website kann unbemerkt zur Plattform für Angriffe auf Dritte werden – mit direkten Folgen für Domain-Reputation, SEO und Hoster-Beziehung. Frühzeitige Erkennung und strukturierte Prävention sind der einzige wirksame Schutz.
