„Ihre WordPress-Seite wurde gesperrt – Identifizieren und entfernen Sie bitte umgehend den eingeschleusten Schadcode.“ Diese oder ähnliche E-Mail-Benachrichtigungen verursachen bei Betroffenen in der Regel einen Schock, denn von einem Moment auf den anderen kann die betroffene WordPress-Seite nicht mehr aufgerufen werden. Neben der Frage „Wie konnte das passieren?“ stellt sich in der Regel die sehr viel drängendere Frage: Was muss ich jetzt machen? In diesem Artikel habe ich die wichtigsten Handlungsanweisungen zusammengestellt.

WordPress gehackt? Die wichtigsten Schritte

WordPress gehackt? Lassen Sie es nicht soweit kommen! – Sicherheitsmaßnahmen

Step 1 – WordPress-Seite sperren

Warum sollte eine gehackte WordPress-Seite gesperrt werden?

Eine gehackte WordPress-Seite kann schnell zu einer ernsthaften Gefahr werden – für Sie selbst und für Dritte – denn Ihr System könnte zum Beispiel für Spam- oder Phishing-Attacken missbraucht werden oder mit Schadware infiziert sein. Einfallstore sind zum Beispiel Sicherheitslücken in der Software, unsichere oder gehackte Passwörter oder Malware, die in E-Mail-Nachrichten eingebettet oder angehängt wurde. Als Domaineigentümer des gehackten Systems sind Sie für alle weiteren Schäden haftbar.

Warum Hosting-Anbieter Anwendungen und/oder Verzeichnisse sperren

Hosting-Anbieter wie Host Europe prüfen deshalb gemanagte Hosting-Systeme wie z.B. WebHosting- und WebServer-Produkte (auch Shared Hosting-Umgebungen genannt) nach verdächtigen Skripten, die auf Malwarebefall schließen lassen. Wird auf Ihrem System Schadcode entdeckt oder Ihr System zum Spamversand missbraucht, kann das betreffende Verzeichnis bzw. die gehackte oder mit Malware infizierte Anwendung gesperrt werden.

Außerdem checken unabhängige Institute gleichfalls kontinuierlich das Internet und melden die von Malware befallenen Webseiten an den zuständigen Hosting-Provider (Beschwerdemails), der wiederum muss seine Kunden informieren bzw. bei akuter Gefährdung das betreffende System umgehend sperren.

Wie sperre ich meine WordPress-Seite selbst?

Sind Sie selbst auf die Attacke aufmerksam geworden oder wurden Sie von Ihrem Provider über Schadcode auf Ihrer WordPress-Seite oder gefährliche Sicherheitslücken aufmerksam gemacht, sollten Sie umgehend aktiv werden und Ihre WordPress-Seite offline stellen.

Verzeichnisschutz

Richten Sie zum Beispiel einen Verzeichnisschutz für das Verzeichnis auf Ihrem WebHosting- bzw. WebServer-Produkt ein, in dem sich die betroffene WordPress-Installation befindet.

Loggen Sie sich dafür in das Kunden-Informations-System (KIS) von Host Europe ein, wenn Sie ein WebHosting- oder WebServer-Produkt nutzen. Wählen Sie Ihr Produkt aus und klicken Sie anschließend auf Konfigurieren. Gehen Sie unter Webspace & Nutzer zum Menüpunkt Nutzer&Nutzergruppen.

Legen Sie eine neue Benutzergruppe an (in unserem Beispiel: WordPress sperren). Erstellen Sie einen Benutzer (in unserem Beispiel: Admin) und vergeben Sie ein Passwort. Klicken Sie nun unter Benutzergruppe auf die Funktion „Verwalten“ und ordnen Sie den neuen Benutzer Ihrer Benutzergruppe zu.

abbildung-benutzer-benutzergruppe

Wechseln Sie anschließend im Menü Webspace & Nutzer zur Funktion Zugriffsverwaltung/Fehlerseite und weisen Sie die Benutzergruppe dem Verzeichnis zu, in dem sich Ihre WordPress-Installation befindet.

abbildung-verzeichnisschutz-zuweisen

Das Verzeichnis ist nun Passwort-geschützt und Ihre WordPress-Seite von außen nicht mehr erreichbar.

Alternative zum Verzeichnisschutz

Alternativ zum Verzeichnisschutz können Sie die im WordPress-Verzeichnis befindliche index.php-Datei auch einfach umbenennen z.B. in sicherung-index.php oder die aktuelle index.php-Datei extern sichern und durch eine neue leere index.php-Datei überschreiben.

Sobald Sie Ihre Webseite offline gestellt haben, sollten Sie das WordPress-Verzeichnis umgehend auf Schadcode überprüfen. Sie können die Prüfung direkt auf Ihrem Hosting-Produkt vornehmen oder auch das betreffende Verzeichnis herunterladen und auf Ihrem PC offline analysieren.

Achten in diesem Fall unbedingt darauf, dass Ihr PC mit einem aktuellen Virenschutzprogramm gesichert ist.

abbildung-eu-cleaner

Der ECO-Verband der Internetwirtschaft e.V. bietet Ihnen dafür z.B. den EU-Cleaner, mit dem Sie Ihren PC kostenfrei von verschiedenen Schadprogrammen säubern können. www.botfrei.de/de/eucleaner/index.html

Step 2 – Fehlerseite erstellen

Für Dauer der Überprüfung empfehlen wir Ihnen eine Fehlerseite zu erstellen, auf die Sie Ihre Website-Besucher umleiten. Vermeiden Sie möglichst einen Hinweis auf den Grund der Sperrung, das könnte Ihre Reputation beschädigen. Schreiben Sie z.B. lieber: Diese Webseite wird gerade überarbeitet und ist in Kürze wieder erreichbar. Oder Ähnliches.

Step 3 – WordPress, WordPress-Theme, Daten und Hosting-Plattform prüfen

Nun beginnt der wichtigste Teil der Arbeit: die Suche und Eliminierung von Schadcode sowie die Schließung von Sicherheitslücken.

Manueller Malware-Check

Sie können die Überprüfung manuell durchführen. Das setzt allerdings einige Erfahrung voraus und kann gegebenenfalls viel Zeit in Anspruch nehmen.

  • Checken Sie das Änderungsdatum von Dateien und Verzeichnissen. Hacker versuchen aber häufig, ihre Spuren zu verwischen und setzen u.U. den Time-Stamp (Zeitstempel) manipulierter Dateien zurück.
  • Suchen Sie nach verdächtigen Mustern in den Dateien auf Ihrem Hosting-Produkt, insbesondere in Ihrem WordPress-Verzeichnis, z.B. PHP-Dateien innerhalb des Upload-Ordners.
  • Analysieren Sie die Logfiles Ihres Hosting-Produktes.
    abbildung-statistiken-und-logfiles
    Bei Host Europe können Sie sich über das Kunden-Informations-System kostenlos ACCESS-Logfiles und ERROR-Logfiles anzeigen lassen.
  • Suchen Sie nach Auffälligkeiten in den Logfile-Dateien.
  • Schließen Sie mögliche Schwachstellen – Aktualisieren Sie bei Bedarf Ihre WordPress-Version, Ihr WordPress-Theme sowie die verwendeten Plug-Ins und spielen Sie relevanten Sicherheitsupdates und -patches ein.

Automatische Malware-Scans

Wesentlich einfacher ist es, wenn Sie für die Analyse Antivirenprogramme bzw. Malware-Scans nutzen, wie z.B. Sitelock von Host Europe. Sitelock erkennt nicht nur zuverlässig Malware und Sicherheitslücken, mit Sitelock Repair können Sie die gefundene Malware direkt und vollautomatisch entfernen bzw. beschädigte Dateien reparieren lassen.

Step 4 – Ändern Sie alle Passwörter

Wenn Ihre WordPress-Seite gehackt wurde oder Malware auf Ihrem System gefunden wurde, sollten Sie umgehend alle Passwörter neu setzen und vor allem – sichere Passwörter – wählen. Achten Sie darauf, dass Sie kein Passwort vergessen.

  • WordPress-Login
  • Passwörter aller Nutzeraccounts
  • Datenbank Passwort
  • Passwort FTP-Account
  • E-Mail-Passwort
  • etc.

Step 5 – Richten Sie eine neue (gesicherte) FTP-Verbindung zu Ihrem Hosting-Paket ein

Bisher genutzte FTP-Accounts sollten Sie zur Sicherheit möglichst löschen und für den Upload einen neuen Zugang einrichten. Um künftigem Missbrauch vorzubeugen, können Sie Ihre FTP-Account mit FTP-Lock zusätzlich absichern.

Hier finden Sie weitere Informationen zu FTP-Lock

Passen Sie die Dateiberechtigungen wichtiger Dateien und Verzeichnisse so an, dass sie nicht mehr von außen verändert deren können. Dazu zählen zum Beispiel das WordPress-Hauptverzeichnis, das wp-admin- und wp-content-Verzeichnis sowie folgende Dateien: .htaccess, index.php, wp-blog-header.php, wp-config.php etc.

Step 6 –WordPress neu installieren und Inhalte hochladen (falls notwendig)

Gelingt es Ihnen nicht, Ihr WordPress-Verzeichnis zuverlässig von Malware zu reinigen, sollten Sie die entsprechenden Inhalte auf Ihrem Hosting-Produkt löschen und WordPress inkl. Plug-Ins und Theme neu installieren und die entsprechenden Inhalte neu hochladen. Bei einem WebHosting- und WebServer-Produkt von Host Europe werden sämtliche Inhalte täglich gesichert. Die Vorhaltezeit beträgt 10 bis 14 Tage. Wenn der Hacking-Angriff innerhalb dieses Zeitfensters stattgefunden hat, können Sie problemlos ein Backup einspielen, das vor dem Zeitpunkt der Attacke erstellt worden ist.

Aus Sicherheitsgründen empfehlen wir Ihnen daher regelmäßig selbst Backups von Ihrer WordPress-Seite zu erstellen und dieses längerfristig auf einem separaten Produkt zu speichern.

Wenn Sie auf kein sicheres Backup zurückgreifen können, müssen Sie alle Inhalte inkl. Datenbanken, Bilder etc. komplett neu einstellen oder Ihr Verzeichnis mit professioneller Hilfe nochmals checken und das Vorgehen des Angreifers z.B. anhand der Logfiles exakt nachvollziehen.

Eine vollständige Reinigung ist deshalb wichtig, da Angreifer häufig Backdoor-Skripte hinterlassen, durch die sie sich wieder Zugriff auf Ihr System verschaffen können.

Step 7 –WordPress entsperren

Melden Sie Ihrem Hosting-Anbieter, wenn Sie die Schadware auf Ihrer WordPress-Seite entfernt haben, damit er die gegebenenfalls vorgenommene Sperrung Ihrer Seiter wieder aufhebt. Haben Sie selbst einen Verzeichnisschutz eingerichtet, können Sie diesen nun wieder deaktivieren. Vergessen Sie nicht, auch die Weiterleitung zu Ihrer Fehlerseite wieder zu entfernen.

WordPress gehackt? Lassen Sie es nicht soweit kommen! – Sicherheitsmaßnahmen

Grundsätzlich empfehlen wir Ihnen folgende Sicherheitsmaßnahmen für Ihre WordPress-Installation.

Tipp 1 – Schützen Sie Ihre WordPress-Seite durch Sicherheitseinstellungen

Die wichtigsten Tipps haben wir Ihnen in den folgenden Artikeln zusammengestellt.

Tipp 2 – Erstellen Sie regelmäßig Backups Ihrer WordPress-Seite

Sie investieren viel Zeit und Geld in den Content-Aufbau Ihrer WordPress-Seite, deshalb sollten Sie diese Inhalte am besten mehrfach sichern. Erstellen Sie selbst Backups von Ihrer WordPress-Seite und speichern Sie diese längerfristig auf einem separaten Produkt, z.B. auf einem Managed-Storage-FTP-Produkt oder Online-Backup-Produkt von Host Europe.

Im Worst-Case sind dann nicht gleich alle Daten verloren, denn Sie können dann immer noch auf einen älteren Stand Ihrer Seite zurückgreifen.

Backups Ihrer WordPress-Seite erstellen Sie z.B. über das Dashboard von WordPress. Nutzen Sie dazu die Funktion Daten exportieren unter dem Menüpunkt Werkzeuge.

Alternativ dazu gibt es auch spezielle WordPress-Plug-Ins wie z.B.:

Tipp 3 – Halten Sie Ihre WordPress-Installation aktuell und schützen Sie sich vor Sicherheitslücken

Die enorme Beliebtheit macht WordPress zu einem beliebten Angriffsziel für Hacker, die Schwachstellen innerhalb des Programms, in Plug-Ins oder Themes ausnutzen.

WordPress reagiert gewöhnlich schnell und veröffentlicht kontinuierlich neue Versionen und Updates, die Sicherheitslücken und Schwachstellen schließen. Halten Sie Ihre Anwendung immer aktuell und spielen Sie neue Updates und Sicherheits-Patches ein. Achten Sie darauf, dass auch die von Ihnen genutzten Plug-Ins und Themes immer auf dem neuesten Stand sind.

Tipp 4 – Checken Sie Ihre WordPress-Seite regelmäßig auf Malware

Je früher Sie über Hacking-Attacken und Schadcode informiert werden, desto schneller können Sie aktiv werden und den Schaden begrenzen. Es gibt dafür verschiedene Möglichkeiten.

Der kostenlose Sicherheitscheck der Initiative-S

Melden Sie Ihre WordPress-Seite kostenlos zum Sicherheitscheck der Initiative-S vom eco-Verband der Internetwirkschaft an. Ihre Seite wird dann bequem und kostenfrei nach unbemerkten Manipulationen überprüft. Im Verdachtsfall werden Sie direkt per E-Mail benachrichtigt und können Gegenmaßnahmen ergreifen. www.initiative-s

Sicherheits-Plug-Ins für WordPress

Für WordPress stehen Ihnen zahlreiche Sicherheits-Plug-Ins zur Verfügung, mit denen Sie Ihre Webseite überwachen und vor Hacking- und Malware-Angriffen schützen können. Zum Beispiel:

Professionelle Antimalware

Lassen Sie Ihre WordPress-Seite regelmäßig nach Malware scannen, professionelle Antimalware Programme wie z.B. SiteLock von Host Europe machen es möglich. Außerdem können Sie mit SiteLock Ihre Webanwendungen auf Schwachstellen überprüfen und optional Malware automatisch entfernen lassen.

abbildung-sitelock

Weitere Informationen zu SiteLock

Sie haben Anregungen oder Fragen zum Thema: WordPress gehackt? Was tun? Schicken Sie uns einen Kommentar. Wir freuen uns auf Ihr Feedback.

Wolf-Dieter Fiege

Wolf-Dieter Fiege ist Senior Specialist für Content Marketing & SEO und Chefredakteur des Blogs der Host Europe GmbH, einem der größten Anbieter von Domain- und Webhosting sowie Serverprodukten in Europa.

11 thoughts on “WordPress gehackt? Was tun? Die wichtigsten Schritte

  1. Ich bin schon viele Jahre bei Host europe mit einigen Domains . Die fertigen bei mir automatisch Backups an …. dieser Bericht hier zeigt erneut , das es ratsam ist seine Seite von Fachleuten wie Hosteurope sie hat absichern zu lassen . Danke für jahrelange Hilfe und problemlose Zusammenarbeit !

    • Hallo Karl,
      vielen Dank. Das hören wir gerne und es spornt uns an, unser Produkt- und Serviceangebot, zu dem natürlich auch unser Blog zählt, noch stärker auf die Anforderungen und Wünsche unserer Kunden anzupassen.
      Mit besten Grüßen
      Wolf-Dieter

  2. Es ist ärgerlich, dass so ein System grundsätzlich nicht bugfrei/sicher ist. Ich weiß, dass es die poplärste Web- Anwendung ist. Jedoch sollte man nach einigen Jahren in der Lage sein, die Anwendung sicher zu machen.

    • Das ist immer Ärgerlich. Aber jedes System muss nun mal regelmäßig aktualisiert werden, um eine gewisse Sicherheit auch zu gewährleisten. WordPress und auch die Plugin-Developer kommen immer mit neuen Updates, die dafür sorgen dass das System sicherer wird.

      Ich meine, Windows aktualisiert man ja auch regelmäßig und man hat einen Virenscanner drauf, um dafür zu sorgen dass es Sicher ist. 🙂

  3. Vielen Dank für diesen ausführlichen Bericht! Ich hab mir die Seite gleich bei meinen Favoriten vorgemerkt für den Fall der Fälle! Ich hoffe allerdings auch, dass ich den Notfallplan nie brauchen werde…
    VG Sonja

  4. Mein WordPress wurde nicht „gehackt“!

    Was soll diese Mail von Hosteurope mit implizierter Unterstellung und Angstmacherei?

    Tutorials etc. ist ja das eine, aber so etwas…

    Sehr geehrter Herr „XYZ“,
    Ihre WordPress-Website wurde gehackt? Dann sollten Sie schnell handeln.
    …usw.

    • Hallo,

      das sollte selbstverständlich keine Angstmacherei sein. Daher auch ein „?“ statt eines „!“. Das Tutorial ist dafür gedacht, dass man für den Fall der Fälle informiert ist, denn Hacker-Angriffe kommen so gut wie immer unangemeldet.

      Mit besten Grüßen
      Wolf-Dieter Fiege

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.