WordPress gehackt? Erste Hilfe

Wie erkenne ich, dass meine WordPress-Seite gehackt wurde?

Natürlich prüfen Webhoster wie dogado regelmässig die Kundenserver auf Malware. Und wenn dabei Auffälligkeiten entdeckt werden, wird das Verzeichnis beziehunsgweise die infizierte Anwendung automatisch gesperrt. Anschliessend bekommen die entsprechenden Kunden eine E-Mail mit einer Information dazu und der Bitte sich umgehend um das Problem zu kümmern.

Ausser der E-Mail des Providers kannst du an folgenden Indizien erkennen, dass deine Website von einem Hacker angegriffen wurde:

• Umlaute und Sonderzeichen: Die Webseite ist nur noch schwer zu lesen, weil Umlaute und Sonderzeichen nicht mehr richtig dargestellt werden. Insgesamt sehen die Texte recht kryptisch aus.
• "Hacked by": Beim Login in das Dashboard deines Blogs siehts du den Satz "hacked by...".
• Spuren des Eindringlings: Oft hinterlassen Hacker auch in den Meta-Angaben der Seite ihre Spuren. Sobald du eines dieser Anzeichen bei deinem WordPress-Blog bemerkst: Lass am besten alles andere liegen und kümmere dich umgehend darum, um den Schaden zu begrenzen. Nachfolgend zeigen wir dir, was du dann tun solltest:

Schritt 1: Stell deine WordPress-Seite offline

Warum werden Websiten gehackt? Zum Beispiel um über die gehackten Seiten Spam- oder Schadcode zu verteilen. Wer kann Opfer eines derartigen Angriffs werden? Jeder! Egal ob kleiner Newcomer oder grosser bekannter Blog. Meist haben Hacker keine bestimmte Website im Visier. Sie zielen eher auf eine größtmögliche Verbreitung ihrer Malware. Und genau dafür greifen sie Webseiten an, bei denen es Sicherheitslücken gibt.

Sollte dein Provider deine WordPress-Seite nicht schon offline gestellt haben, dann musst du das tun und zwar sobald du die Infektion entdeckst. Wirklich sofort, denn: Als Domain-Eigentümer des gehackten Systems bist du für alle eventuellen Schäden haftbar, wenn beispielweise personenbezogene Daten abhanden gekommen sind. Im Falle eines Falles müsstest du nachweisen, dass du "ohne schuldhaftes Zögern" gehandelt hast. Daher: Website sofort offline stellen, sobald du etwas bemerkst.

Ausserdem nimmt Google betroffene Seiten aus Sicherheitsgründen ziemlich schnell aus dem Index, so dass keine anderen Nutzer beziehungsweise Seiten in Mitleidenschaft gezogen werden. Das kannst du verhindern, indem du deine Seite selber vorübergehend für die Öffentlichkeit sperrst.

Seite selber sperren per Plugin

Wenn du noch einen Zugang zu dem Admin-Bereich deiner Website hast, dann ist die Installation eines Maintenance-Mode-Plugins die schnellste und einfachste Lösung. Lade dir zum Beispiel WP Quick Maintenance im Plugin-Verzeichnis von WordPress herunter und aktiviere den Wartungsmodus - sobald du dies getan hast, sehen Besucher deines Blogs nur noch einen Wartungshinweis. Du kannst natürlich auch eine andere Fehlerseite erstellen. Grundsätzlich solltest du jedoch eher zurückhaltend mit Informationen zu dem Hackerangriff umgehen, um nicht dem Ruf deiner Seite zu schaden. Ausserdem kostet das Erstellen einer Fehlerseite unnötig kostbare Zeit, die du gerade anderweitig gebrauchen kannst.

Schritt 2: Sichere die Beweise

Vielleicht klingt das im ersten Augenblick etwas absurd in deinen Ohren, trotzdem solltest du unbedingt ein Backup der gehackten WordPress-Webseite samt Datenbank machen. Warum? Ganz einfach: Damit du Beweise sichern kannst, falls du später den Hackerangriff anzeigen oder Schadenersatzansprüchen anmelden möchtest. Beachte aber, dass du die Datei aber nicht auf dem Rechner speicherst, sondern am besten auf einem externen Speichermedium - isoliert von anderen Datei

Schritt 3: Trojaner-Scan

Im nächsten Step checkst du, ob nicht nur deine WordPress-Seite sondern sogar noch dein Rechner gehackt wurde. Wenn ja: Dann hat der Angreifer vermutlich auf diesem Weg deine Passwörter ausgespäht. Du solltest nun per Virenschutzprogramm (das vorher auf den neuesten Stand gebracht wurde) nach Trojanern suchen und diese gegebenenfalls entfernen, so dass der Angreifer nicht gleich alle deine Änderungen frei Haus geliefert bekommt.

Dafür bietet der ECO-Verband der Internetwirtschaft dir kostenlose Programme an, mit denen du unterschiedliche Schadware vom Rechner entfernen kannst.

Schritt 4: Ändere alle Passwörter

Du kannst dir natürlich nicht siocher sein, ob der Angreifer deine Passwörter ausspähen konnte und wenn ja, welche. Daher solltest du ALLE Passwörter ändern, damit Unbefugte keinen Zugriff mehr haben.

Du musst auf jeden Fall diese ändern:

• Die Passwörter von WordPress-Benutzern
• Die FTP-Passwörter und ggf. den SSH-Zugang
• Die Passwörter deiner MySQL-Datenbanken
• Deine Webhosting-Passwörter
• Deine E-Mail-Passwörter

Wie du deine Passwörter am besten managst, erfährst du in diesem Beitrag: Manage deine Passwörter

Schritt 5: Sherlock Holmes: Die Suche nach dem Schadcode beginnt

Nun beginnt die meist mühsame Spurensuche, denn du musst jetzt versuchen, den Angriff zu lokalisieren. Versuch also wie ein Detektiv zu denken: Wie erfolgte der Angriff? Über den WordPress-Core (also über eine Sicherheitslücke bei WordPress selbst)? Über das Theme? Über ein Plugin?

Du hast jetzt zwei Möglichkeiten: Starte die Suche manuell oder automatisiert. Für die manuelle Suche brauchst du eine relativ große Erfahrung und meist auch viel Zeit. Und so gehst du vor: Du checkst die Dateien und Verzeichnisse auf auffällige Muster und Veränderungsdaten. Oft werden beispielsweise Dateien wie die index.php im Root oder die header.php im Theme-Ordner geändert und mit Schadcode versehen.

Deutlich einfacher sind automatische Malware-Scans, die du auch mithilfe eines Plugins starten kannst.

Und wenn du Malware gefundne hast, solltest du diese natürlich entfernen. Anschliessend musst du die Sicherheitslücke(n) schließen. Das machst du beispielweise durch regelmäßige Updates und gute Passwörter.

Das solltest du wissen: Warum sind Hacker eigentlich erfolgeich? Weil Webseitenbetreiber häufig recht bequem sind. Das heißt, dass selbst grundlegende Sicherheitsmaßnahmen wie regelmäßige Aktualisierungen von Plugins oder Themes nicht durchgeführt werden. Für viele Premium-Themes gibt es aber beispielsweise keine automatischen Updates - Aktualisierungen MÜSSEN daher manuell vorgenommen werden. Manchmal sind auch die in Themes enthaltenen Plugins veraltet und stellen dadurch ein Sicherheitsrisiko dar. Wichtig ist auch, dass du keine Passwörter wie "12345" oder "Admin" benutzt. Leider ist das in Fällen auch der Fall und daher leicht zu "knacken", Also: Bitte aktualisiere regelmässig und verwende sichere Passwörter!

Sicherheitslücken treten am häufigsten bei Plugins und Themes auf, während es bei WordPress nur sehr selten sogenannte Security Holes gibt. Auf diese Dinge reagiert die WordPress-Community in der Regel recht schnell. Wichtig ist, dass du Updates und Sicherheits-Patches regelmäßig einspielst.

Schritt 6: Jetzt WordPress neu installieren

Ausschlaggebend an welcher Stelle der Angriff erfolgte, reicht es mitunter aus, dass du lediglich den WordPress-Core erneut hochlädst. Du müsstest in diesem Fall deinen Content nicht via Backup wieder aufspielen. Und so geht die Neuinstallation von WordPress: Du lädst die Ordner wp-admin und wp-include neu hoch, genauso wie alle Dateien im WordPress-Root.

Wenn du unsicher bist, ob die WP-Neuinstallierung ausreicht, dann lösche alle entsprechenden Inhalte in deinem Webspace und lade WordPress inklusive Theme, Plugins und Content neu hoch. Zwar fällt dieser Schritt schwer, er erspart dir aber möglicherweise viel Ärger. Warum? Weil Angreifer häufig gut getarnte Backdoor-Skripte hinterlassen, um sich später erneut Zugriff auf dein System verschaffen können. Wenn du eine komplette Reinigung vornimmst, bist du davor geschützt.

Wichtig: Das Backup von deinem Blog sollte natürlich aus der Zeit vor dem Hackerangriff stammen. Bei Webhosting-Paketen von dogado erfolgt ein Backup automatisch und regelmässig. Aus Sicherheitsgründen solltest du jedoch auch selbst Backups deiner WordPress-Seite erstellen und diese separat speichern. Hilfe gibt es auch hierfür von verschiedenen Plugins wie UpdraftPlus WordPress Backup Plugin.

Du hast kein sicheres Backup zur Verfügung? Dann bleibt dir leider nichts anderes übrig, als alle deine Inhalte inklusive Datenbanken und Bildern komplett erneut hochzuladen.

Schritt 7: Entsperre deine WordPress-Seite

Du hast alle Erste-Hilfe-Schritte erledigt? Perfekt! Es ist keine Malware mehr zu finden? Super! Deine Seite läuft wieder? Hervorragend! Dann kannst du deine Seite jetzt entsperren. Wenn dein Provider deinen Website gesperrt hat, dann melde dich bei deinem Anbieter und sage Bescheid, dass der Schadcode entfernt wurde. Du hast deine Seite selbst offline genommen? Dann gehts du wie folgt vor: Deaktiviere das Plugin für den Wartungsmodus oder hebe deine eigene Sperrung, zum Beispiel über den Verzeichnisschutz, auf. Anschliessend musst du bei Google eine erneute Überprüfung beantragen, sodass deine Seite wieder in den Index aufgenommen wird. Was dafür wichtig ist, erfährst du hier. So, jetzt hast du geschafft!

Sicher­heits­­tipps für die Zukunft

Und nun bekommst du noch ein paar kurze Sicherheitstipps, damit es Hacker auf deiner WordPress-Seite künftig schwer haben:

• Sichere Passwörter verwenden (mindestens 8 Zeichen lang, zusammengestellt aus Gross- und Kleinbuchstaben, Ziffern und Sonderzeichen).
• Keine generischen Benutzernamen benutzen: Benutzernamen wie Admin oder E-Mailadressen sind für Hacker mehr als eine freundliche Einladung. Wähle lieber einen anderen Benutzernamen. Gehe dafür in dein WordPress-Dashboard und klicke auf den Menüpunkt Benutzer und anschliessend auf neu hinzufügen. Richte nun einen neuen, sicheren Namen ein und gib diesem Namen die Rolle des Administrators.
• Die URL für deinen WordPress-Login ändern: Du kannst den Stanardpfad über entsprechende Plugins www.deinedomain.de/wp-admin/ individualisieren.
• Verzeichnisschutz erstellen für den Administrationsbereich.
• Sorge für regelmässige Backups, die auf einem separaten Speichermedium abgelegt werden.
• Scanne deine Seite in regelmässigen Abständen auf Malware - du ahnst es sicher schon: Auch hier gibt es Plugins, die dich dabei unterstützen, wie zum Beispiel Wordfence.
• Generell gilt allerdings bei Plugins die Formel: Nutze so viel wie nötig, aber so wenig wie möglich.

Du solltest nun mit unserer Erste-Hilfe Anleitung den Hackerangriff deiner WordPress-Seite schnell beseitigen können. Wichtig ist, dass du bei der Malware-Suche gründlich bist und dein WordPress immer auf dem aktuellsten Stand ist.