„Ihre WordPress-Seite wurde gesperrt – Identifizieren und entfernen Sie bitte umgehend den eingeschleusten Schadcode.“ Diese oder ähnliche E-Mail-Benachrichtigungen verursachen bei Betroffenen in der Regel einen Schock, denn von einem Moment auf den anderen kann die betroffene WordPress-Seite nicht mehr aufgerufen werden. Neben der Frage „Wie konnte das passieren?“ stellt sich in der Regel die sehr viel drängendere Frage: Was muss ich jetzt machen? In diesem Artikel habe ich die wichtigsten Handlungsanweisungen zusammengestellt.
WordPress gehackt? Die wichtigsten Schritte
- Step 1 – WordPress-Seite sperren
- Step 2 – Fehlerseite erstellen
- Step 3 – WordPress, WordPress-Theme, Daten und Hosting-Plattform prüfen
- Step 4 – Ändern Sie alle Passwörter
- Step 5 – Richten Sie eine neue (gesicherte) FTP-Verbindung zu Ihrem Hosting-Paket ein
- Step 6 –WordPress neu installieren und Inhalte hochladen (falls notwendig)
- Step 7 –WordPress entsperren
WordPress gehackt? Lassen Sie es nicht soweit kommen! – Sicherheitsmaßnahmen
- Schützen Sie Ihre WordPress-Seite durch Sicherheitseinstellungen
- Erstellen Sie regelmäßig Backups Ihrer WordPress-Seite
- Halten Sie Ihre WordPress-Installation aktuelle und schützen Sie sich vor Sicherheitslücken
- Checken Sie Ihre WordPress-Seite regelmäßig auf Malware
Step 1 – WordPress-Seite sperren
Warum sollte eine gehackte WordPress-Seite gesperrt werden?
Eine gehackte WordPress-Seite kann schnell zu einer ernsthaften Gefahr werden – für Sie selbst und für Dritte – denn Ihr System könnte zum Beispiel für Spam- oder Phishing-Attacken missbraucht werden oder mit Schadware infiziert sein. Einfallstore sind zum Beispiel Sicherheitslücken in der Software, unsichere oder gehackte Passwörter oder Malware, die in E-Mail-Nachrichten eingebettet oder angehängt wurde. Als Domaineigentümer des gehackten Systems sind Sie für alle weiteren Schäden haftbar.
Warum Hosting-Anbieter Anwendungen und/oder Verzeichnisse sperren
Hosting-Anbieter wie Host Europe prüfen deshalb gemanagte Hosting-Systeme wie z.B. WebHosting- und WebServer-Produkte (auch Shared Hosting-Umgebungen genannt) nach verdächtigen Skripten, die auf Malwarebefall schließen lassen. Wird auf Ihrem System Schadcode entdeckt oder Ihr System zum Spamversand missbraucht, kann das betreffende Verzeichnis bzw. die gehackte oder mit Malware infizierte Anwendung gesperrt werden.
Außerdem checken unabhängige Institute gleichfalls kontinuierlich das Internet und melden die von Malware befallenen Webseiten an den zuständigen Hosting-Provider (Beschwerdemails), der wiederum muss seine Kunden informieren bzw. bei akuter Gefährdung das betreffende System umgehend sperren.
Wie sperre ich meine WordPress-Seite selbst?
Sind Sie selbst auf die Attacke aufmerksam geworden oder wurden Sie von Ihrem Provider über Schadcode auf Ihrer WordPress-Seite oder gefährliche Sicherheitslücken aufmerksam gemacht, sollten Sie umgehend aktiv werden und Ihre WordPress-Seite offline stellen.
Verzeichnisschutz
Richten Sie zum Beispiel einen Verzeichnisschutz für das Verzeichnis auf Ihrem WebHosting- bzw. WebServer-Produkt ein, in dem sich die betroffene WordPress-Installation befindet.
Loggen Sie sich dafür in das Kunden-Informations-System (KIS) von Host Europe ein, wenn Sie ein WebHosting- oder WebServer-Produkt nutzen. Wählen Sie Ihr Produkt aus und klicken Sie anschließend auf Konfigurieren. Gehen Sie unter Webspace & Nutzer zum Menüpunkt Nutzer&Nutzergruppen.
Legen Sie eine neue Benutzergruppe an (in unserem Beispiel: WordPress sperren). Erstellen Sie einen Benutzer (in unserem Beispiel: Admin) und vergeben Sie ein Passwort. Klicken Sie nun unter Benutzergruppe auf die Funktion „Verwalten“ und ordnen Sie den neuen Benutzer Ihrer Benutzergruppe zu.
Wechseln Sie anschließend im Menü Webspace & Nutzer zur Funktion Zugriffsverwaltung/Fehlerseite und weisen Sie die Benutzergruppe dem Verzeichnis zu, in dem sich Ihre WordPress-Installation befindet.
Das Verzeichnis ist nun Passwort-geschützt und Ihre WordPress-Seite von außen nicht mehr erreichbar.
Alternative zum Verzeichnisschutz
Alternativ zum Verzeichnisschutz können Sie die im WordPress-Verzeichnis befindliche index.php-Datei auch einfach umbenennen z.B. in sicherung-index.php oder die aktuelle index.php-Datei extern sichern und durch eine neue leere index.php-Datei überschreiben.
Sobald Sie Ihre Webseite offline gestellt haben, sollten Sie das WordPress-Verzeichnis umgehend auf Schadcode überprüfen. Sie können die Prüfung direkt auf Ihrem Hosting-Produkt vornehmen oder auch das betreffende Verzeichnis herunterladen und auf Ihrem PC offline analysieren.
Achten in diesem Fall unbedingt darauf, dass Ihr PC mit einem aktuellen Virenschutzprogramm gesichert ist.
Der ECO-Verband der Internetwirtschaft e.V. bietet Ihnen dafür z.B. den EU-Cleaner, mit dem Sie Ihren PC kostenfrei von verschiedenen Schadprogrammen säubern können. www.botfrei.de/de/eucleaner/index.html
Step 2 – Fehlerseite erstellen
Für Dauer der Überprüfung empfehlen wir Ihnen eine Fehlerseite zu erstellen, auf die Sie Ihre Website-Besucher umleiten. Vermeiden Sie möglichst einen Hinweis auf den Grund der Sperrung, das könnte Ihre Reputation beschädigen. Schreiben Sie z.B. lieber: Diese Webseite wird gerade überarbeitet und ist in Kürze wieder erreichbar. Oder Ähnliches.
Step 3 – WordPress, WordPress-Theme, Daten und Hosting-Plattform prüfen
Nun beginnt der wichtigste Teil der Arbeit: die Suche und Eliminierung von Schadcode sowie die Schließung von Sicherheitslücken.
Manueller Malware-Check
Sie können die Überprüfung manuell durchführen. Das setzt allerdings einige Erfahrung voraus und kann gegebenenfalls viel Zeit in Anspruch nehmen.
- Checken Sie das Änderungsdatum von Dateien und Verzeichnissen. Hacker versuchen aber häufig, ihre Spuren zu verwischen und setzen u.U. den Time-Stamp (Zeitstempel) manipulierter Dateien zurück.
- Suchen Sie nach verdächtigen Mustern in den Dateien auf Ihrem Hosting-Produkt, insbesondere in Ihrem WordPress-Verzeichnis, z.B. PHP-Dateien innerhalb des Upload-Ordners.
- Analysieren Sie die Logfiles Ihres Hosting-Produktes.
Bei Host Europe können Sie sich über das Kunden-Informations-System kostenlos ACCESS-Logfiles und ERROR-Logfiles anzeigen lassen. - Suchen Sie nach Auffälligkeiten in den Logfile-Dateien.
- Schließen Sie mögliche Schwachstellen – Aktualisieren Sie bei Bedarf Ihre WordPress-Version, Ihr WordPress-Theme sowie die verwendeten Plug-Ins und spielen Sie relevanten Sicherheitsupdates und -patches ein.
Automatische Malware-Scans
Wesentlich einfacher ist es, wenn Sie für die Analyse Antivirenprogramme bzw. Malware-Scans nutzen, wie z.B. Sucuri von Host Europe. Sucuri erkennt nicht nur zuverlässig Malware und Sicherheitslücken, mit Sitelock Repair können Sie die gefundene Malware direkt und vollautomatisch entfernen bzw. beschädigte Dateien reparieren lassen.
Step 4 – Ändern Sie alle Passwörter
Wenn Ihre WordPress-Seite gehackt wurde oder Malware auf Ihrem System gefunden wurde, sollten Sie umgehend alle Passwörter neu setzen und vor allem – sichere Passwörter – wählen. Achten Sie darauf, dass Sie kein Passwort vergessen.
- WordPress-Login
- Passwörter aller Nutzeraccounts
- Datenbank Passwort
- Passwort FTP-Account
- E-Mail-Passwort
- etc.
Step 5 – Richten Sie eine neue (gesicherte) FTP-Verbindung zu Ihrem Hosting-Paket ein
Bisher genutzte FTP-Accounts sollten Sie zur Sicherheit möglichst löschen und für den Upload einen neuen Zugang einrichten. Um künftigem Missbrauch vorzubeugen, können Sie Ihre FTP-Account mit FTP-Lock zusätzlich absichern.
Hier finden Sie weitere Informationen zu FTP-Lock
Passen Sie die Dateiberechtigungen wichtiger Dateien und Verzeichnisse so an, dass sie nicht mehr von außen verändert deren können. Dazu zählen zum Beispiel das WordPress-Hauptverzeichnis, das wp-admin- und wp-content-Verzeichnis sowie folgende Dateien: .htaccess, index.php, wp-blog-header.php, wp-config.php etc.
Step 6 –WordPress neu installieren und Inhalte hochladen (falls notwendig)
Gelingt es Ihnen nicht, Ihr WordPress-Verzeichnis zuverlässig von Malware zu reinigen, sollten Sie die entsprechenden Inhalte auf Ihrem Hosting-Produkt löschen und WordPress inkl. Plug-Ins und Theme neu installieren und die entsprechenden Inhalte neu hochladen. Bei einem WebHosting- und WebServer-Produkt von Host Europe werden sämtliche Inhalte täglich gesichert. Die Vorhaltezeit beträgt 10 bis 14 Tage. Wenn der Hacking-Angriff innerhalb dieses Zeitfensters stattgefunden hat, können Sie problemlos ein Backup einspielen, das vor dem Zeitpunkt der Attacke erstellt worden ist.
Aus Sicherheitsgründen empfehlen wir Ihnen daher regelmäßig selbst Backups von Ihrer WordPress-Seite zu erstellen und dieses längerfristig auf einem separaten Produkt zu speichern.
Wenn Sie auf kein sicheres Backup zurückgreifen können, müssen Sie alle Inhalte inkl. Datenbanken, Bilder etc. komplett neu einstellen oder Ihr Verzeichnis mit professioneller Hilfe nochmals checken und das Vorgehen des Angreifers z.B. anhand der Logfiles exakt nachvollziehen.
Eine vollständige Reinigung ist deshalb wichtig, da Angreifer häufig Backdoor-Skripte hinterlassen, durch die sie sich wieder Zugriff auf Ihr System verschaffen können.
Step 7 –WordPress entsperren
Melden Sie Ihrem Hosting-Anbieter, wenn Sie die Schadware auf Ihrer WordPress-Seite entfernt haben, damit er die gegebenenfalls vorgenommene Sperrung Ihrer Seiter wieder aufhebt. Haben Sie selbst einen Verzeichnisschutz eingerichtet, können Sie diesen nun wieder deaktivieren. Vergessen Sie nicht, auch die Weiterleitung zu Ihrer Fehlerseite wieder zu entfernen.
WordPress gehackt? Lassen Sie es nicht soweit kommen! – Sicherheitsmaßnahmen
Grundsätzlich empfehlen wir Ihnen folgende Sicherheitsmaßnahmen für Ihre WordPress-Installation.
Tipp 1 – Schützen Sie Ihre WordPress-Seite durch Sicherheitseinstellungen
Die wichtigsten Tipps haben wir Ihnen in den folgenden Artikeln zusammengestellt.
- 5 Tipps, wie Sie Ihr WordPress sicherer machen
- 10 Tipps, wie Sie Ihre WordPress- und Joomla-Website vor Hacking-Attacken schützen können
Tipp 2 – Erstellen Sie regelmäßig Backups Ihrer WordPress-Seite
Sie investieren viel Zeit und Geld in den Content-Aufbau Ihrer WordPress-Seite, deshalb sollten Sie diese Inhalte am besten mehrfach sichern. Erstellen Sie selbst Backups von Ihrer WordPress-Seite und speichern Sie diese längerfristig auf einem separaten Produkt, z.B. auf einem Managed-Storage-FTP-Produkt oder Online-Backup-Produkt von Host Europe.
Im Worst-Case sind dann nicht gleich alle Daten verloren, denn Sie können dann immer noch auf einen älteren Stand Ihrer Seite zurückgreifen.
Backups Ihrer WordPress-Seite erstellen Sie z.B. über das Dashboard von WordPress. Nutzen Sie dazu die Funktion Daten exportieren unter dem Menüpunkt Werkzeuge.
Alternativ dazu gibt es auch spezielle WordPress-Plug-Ins wie z.B.:
-
UpdraftPlus WordPress Backup Plugin
Weitere Informationen und zum Download von UpdraftPlus WordPress Backup Plugin
Backup and Restore WPBackItUp
Weitere Informationen und zum Download von Backup and Restore WPBackItUp
Backup Guard
Tipp 3 – Halten Sie Ihre WordPress-Installation aktuell und schützen Sie sich vor Sicherheitslücken
Die enorme Beliebtheit macht WordPress zu einem beliebten Angriffsziel für Hacker, die Schwachstellen innerhalb des Programms, in Plug-Ins oder Themes ausnutzen.
WordPress reagiert gewöhnlich schnell und veröffentlicht kontinuierlich neue Versionen und Updates, die Sicherheitslücken und Schwachstellen schließen. Halten Sie Ihre Anwendung immer aktuell und spielen Sie neue Updates und Sicherheits-Patches ein. Achten Sie darauf, dass auch die von Ihnen genutzten Plug-Ins und Themes immer auf dem neuesten Stand sind.
Tipp 4 – Checken Sie Ihre WordPress-Seite regelmäßig auf Malware
Je früher Sie über Hacking-Attacken und Schadcode informiert werden, desto schneller können Sie aktiv werden und den Schaden begrenzen. Es gibt dafür verschiedene Möglichkeiten.
Der kostenlose Sicherheitscheck der Initiative-S
Melden Sie Ihre WordPress-Seite kostenlos zum Sicherheitscheck der Initiative-S vom eco-Verband der Internetwirkschaft an. Ihre Seite wird dann bequem und kostenfrei nach unbemerkten Manipulationen überprüft. Im Verdachtsfall werden Sie direkt per E-Mail benachrichtigt und können Gegenmaßnahmen ergreifen. www.initiative-s
Sicherheits-Plug-Ins für WordPress
Für WordPress stehen Ihnen zahlreiche Sicherheits-Plug-Ins zur Verfügung, mit denen Sie Ihre Webseite überwachen und vor Hacking- und Malware-Angriffen schützen können. Zum Beispiel:
- Wordfence
Weitere Informationen und zum Download von Wordfence - Site Protection
Weitere Informationen und zum Download von Site Protection - Antivirus Site Protection
Weitere Informationen und zum Download von Antivirus Site Protection
Professionelle Antimalware
Lassen Sie Ihre WordPress-Seite regelmäßig nach Malware scannen, professionelle Antimalware Programme wie z.B. Sucuri von Host Europe machen es möglich. Außerdem können Sie mit SiteLock Ihre Webanwendungen auf Schwachstellen überprüfen und optional Malware automatisch entfernen lassen.
Weitere Informationen zu Sucuri
Sie haben Anregungen oder Fragen zum Thema: WordPress gehackt? Was tun? Schicken Sie uns einen Kommentar. Wir freuen uns auf Ihr Feedback.