WORDPRESS WURDE GEHACKT. WAS TUN?

WordPress-Webseiten sind häufig unter Beschuss durch Hacker und Script-Kiddies. Und nicht selten sind sie erfolgreich und kompromittieren eine Webseite. Und ebenso nicht selten werden diese Webseiten von Google aus dem Index geworfen um den Schaden zu minimieren. Was kann man aber tun, wenn die eigene WordPress-Seite gehackt wurde? Die schnelle und professionelle Hilfe bietet Ihnen der Service von sichere-website.com

Warum und wie werden WordPress-Webseiten gehackt?

Es ist passiert: Der Virenscanner oder der Browser haben auf der eigenen Webseite angeschlagen und vor Viren gewarnt. Wie kann das sein? Dabei ist die Seite doch ganz neu und niemand kennt sie. Wieso sollte sie also von einem Hacker angegriffen werden? Viele wissen nicht, dass es Hacker oder sogenannte Script-Kiddies gar nicht auf einzelne Webseiten abgesehen haben, sondern nur mit fiesen Tools versuchen massenweise Webseiten zu infizieren. Dabei gehen sie so vor, dass sie automatisch Webseiten angreifen, die bestimmte Sicherheitslücken nicht gestopft haben. Ist die Seite dann infiziert. verteilt sie beispielsweise Malware (Schadsoftware wie Viren oder Trojaner) an die Besucher der Webseite oder wird für SPAM-Versand mißbraucht.

Maßnahmen für gehackte WordPress-Webseiten1. Backup ziehen und die Seite offline nehmen

Als allererstes stellt man die Webseite offline und sichert sich den aktuellen Stand der Webseite. Auch wenn diese infiziert ist, sollte man das tun, da man später daran herumdoktort und eine Beweissicherung ja auch ratsam ist. Wer weiß, ob man nicht doch einmal irgendwelche Schadensersatzansprüche anmelden möchte.

2. Rechner prüfen

Dann stellt man sicher, dass es nicht der eigene Rechner war, der die Sicherheitslücke aufwies. Hat man einen mit Trojanern infizierten Rechner, ist es durchaus möglich, dass ein Hacker Passwörter ausspäht und diese dann für die Infizierung nutzt. Meine Empfehlung:

Prüfen Sie Ihren Rechner (UND die Rechner anderer Personen, die mit WordPress, der Datenbanken oder FTP des Webservers arbeiten) mit einem Virenscanner (Empfehlung: AVG oder Avast)Laden Sie die Kaspersky Rescue Disc herunter und prüfen Sie mit Hilfe dieser zusätzlich, ob Ihr eigener Rechner infiziert ist. Nur mit einem zweifelsfrei sauberen Rechner sollte man fortsetzen.Installieren Sie Sandboxie: Mit Hilfe einer Sandbox können Sie den Browser in einer Art Sicherheitskapsel betreiben. Werden weiterhin Viren ausgeliefert, sind diese in der Sandbox gefangen, bis die Sandbox gelöscht wurde.

Alternative: Verwenden eines MacBooks oder einer Linux Distribution. Diese werden seltenst angegriffen und sind eher weniger anfällig gegen die verteilte Schadsoftware.

3. Ändern ALLER Passwörter

Sie wissen nicht, ob nicht doch jemand im Besitz Ihrer Passwörter ist. Ändern Sie daher ALLE Passwörter:

Passwörter von WordPress-BenutzernSämtliche FTP-PasswörterPasswörter aller MySQL DatenbankenMasterpasswort des Webhosters

Erst wenn alle Passwörter geändert wurden, kann man davon ausgehen, dass Unbefugte über diesen Weg keinen Zugriff haben.

4. Einrichten von SFTP

Verschlüsseln Sie künftige Datenübertragungen mit einem sicheren SFTP Zugang. Diesen können Sie bei Ihrem Webhoster erfragen oder direkt dort im Backend einrichten. Speichern Sie wenn möglich die Passwörter NICHT!

5. Lokalisieren des Angriffs

Versuchen Sie herauszufinden, wo der Angreifer gewirkt hat. Welche Files wurden hochgeladen oder geändert? Häufig werden Dateien, wie die index.php im Root oder die header.php im Theme-Ordner geändert und mit Schadcode versehen. Suchen Sie dort nach Texten wie „base64“ oder „eval“. Sie können auch Plugins verwenden (z.B. Wordfence) um Änderungen der WordPress-Core-Files zu untersuchen.

6. WordPress neu hochladen oder Backup zurückspielen

Können Sie den Angriff eingrenzen (wo und wann wurde geändert), wissen Sie evtl. auch schon, ob es reicht den WordPress-Core neu hochzuladen oder ob Sie ein Backup zurückspielen können.

WordPress und Plugins neu hochladen

Laden Sie die Ordner wp-admin, wp-include erneut hoch und überschreiben die alte Version. Laden Sie ebenso alle Dateien im WordPress-Root neu hoch, außer die .htaccess und die wp-config.php (diese könnten übrigens auch angegriffen worden sein, dann auch diese bereinigen).

Es sollte auch geprüft werden, ob alle Updates aller Bestandteile eingespielt wurden. Und prüfen ob überhaupt noch alle Plugins und Themes Updates erhalten. Wenn nein, veraltet das System und Sicherheitslücken sind vorhanden.

Backup restoren

Wissen Sie wann der Angriff stattgefunden hat (z.B. durch Änderungsdatum und -zeit von kompromittierten Dateien), können Sie auch ein Backup wiedereinspielen. Aber natürlich nur, wenn Sie ein Backup beim Webhoster oder selber eingerichtet haben und kein Datenverlust die Folge wäre.

7. Theme prüfen auf Schadcode

Ist der WordPress-Core sauber, sollten Sie das Theme prüfen. Schauen Sie auf Änderungszeiten, die komisch wirken (z.B. wenn mitten in der Nacht Dateien geändert wurden). Und prüfen Sie auf seltsamen Code („base64“, „iframe“, „eval“). Bereinigen Sie alles, was Sie finden. Spielen Sie im Notfall ein Backup zurück.

8. Sicherheitsmaßnahmen durchführen

Ist Ihre Seite einmal gehackt worden, kann es immer wieder passieren. Stellen Sie daher sicher, dass Sie alle Sicherheitsvorkehrungen getroffen haben, die Sie leisten können. Lassen Sie sich notfalls professionell beraten. Bei Durchführung der Sicherheitsmaßnahmen sollte man die Sicherheitsschlüssel erneuern, so dass die Authentifizierungs-Cookies neu erstellt werden.