Übersicht aller Artikel
Übersicht aller Artikel
Was ist WordPress?

WordPress installieren: Schritt für Schritt Anleitungen

WordPress manuell installieren
Hosting-Anforderungen für WordPress
WordPress-Backup ausführen
WordPress auf Apple/Mac installieren
WordPress auf Windows installieren
WordPress Testumgebung einrichten

WordPress umziehen

Von WordPress.com auf die eigene Domain umziehen
WordPress auf eigenen Server umziehen
Von Blogger zu WordPress wechseln
WordPress Download

Einführung in die WordPress Oberfläche

Das WordPress-Dashboard erklärt
Was sind Seiten bei WordPress?
Was sind Beiträge bei WordPress?
Grund­ein­stel­lungen in WordPress
Benut­zer­ver­waltung bei WordPress
Der WordPress Editor
Die Kommen­tar­ein­stel­lungen von WordPress
Die WordPress-Mediathek
Was sind WordPress-Plugins?
Was sind WordPress-Themes?
Was sind Widgets bei WordPress?

WordPress Tracking

Google Analytics in WordPress einbinden
Die wichtigsten Kennzahlen
Matomo (Piwik) einbinden

Tipps für WordPress Blogger

So wird dein WordPress Blog bekannter
Bloggen lernen - Schritt für Schritt
Der optimale Blogname für Deinen WordPress-Blog
Blogthemen suchen
Die wichtigsten Schritte nach dem Blog-Start
9 Tipps für die optimale Überschrift

WordPress-Themes

WordPress-Child-Themes
Themes installieren
Kostenlose WordPress-Themes
WordPress-Premium-Themes
Probleme nach dem Theme-Update

Plugins und Erweiterungen in WordPress

21 empfeh­lens­werte WordPress-Plugins 2023
WordPress-Plugins installieren
Shop mit WordPress erstellen

WordPress-Sicherheit

Optimaler Schutz und höheres Tempo
Maßnahmen für ein sicheres WordPress
WordPress gehackt? Erste Hilfe

WordPress SEO

WordPress auf HTTPS/SSL umstellen
Ladezeiten bei WordPress optimieren
WordPress SEO Plugins
Optimiere deine WordPress-Website für Suchmaschinen mit Rank Math
Das grosse WordPress Tutorial WordPress-Sicherheit WordPress gehackt? Erste Hilfe

WordPress gehackt? Erste Hilfe

Niemand möchte gern E-Mails mit folgendem Inhalt bekommen: "Ihre WordPress-Seite wurde gesperrt. Grund: Es wurde Schadcode eingeschleust. Bitte entfernen Sie diesen umgehend". Solche Nachrichten müssen leider auch die Kollegen vom dogado-Support regelmässig verschicken, da gehackte WordPress-Seiten keine Seltenheit sind. In diesem Beitrag erfährst du, wie du deinen WordPress-Blog in wenigen Schritten bereinigen und wieder zum Laufen bringen kannst. Also, keine Panik, tief durchatmen und ran an die Seite!

Inhaltverzeichnis

Schritt 1: Stell deine WordPress-Seite offline

Schritt 2: Sichere die Beweise

Schritt 3: Trojaner-Scan

Schritt 4: Ändere alle Passwörter

Schritt 5: Sherlock Holmes: Die Suche nach dem Schadcode beginnt

Schritt 6: Jetzt WordPress neu installieren

Schritt 7: Entsperre deine WordPress-Seite

Sicher­heits­tipps für die Zukunft

Wie erkenne ich, dass meine WordPress-Seite gehackt wurde?

Natürlich prüfen Webhoster wie dogado regelmässig die Kundenserver auf Malware. Und wenn dabei Auffälligkeiten entdeckt werden, wird das Verzeichnis beziehunsgweise die infizierte Anwendung automatisch gesperrt. Anschliessend bekommen die entsprechenden Kunden eine E-Mail mit einer Information dazu und der Bitte sich umgehend um das Problem zu kümmern.

Ausser der E-Mail des Providers kannst du an folgenden Indizien erkennen, dass deine Website von einem Hacker angegriffen wurde:

  • Umlaute und Sonderzeichen: Die Webseite ist nur noch schwer zu lesen, weil Umlaute und Sonderzeichen nicht mehr richtig dargestellt werden. Insgesamt sehen die Texte recht kryptisch aus.
  • "Hacked by": Beim Login in das Dashboard deines Blogs siehts du den Satz "hacked by...".
  • Spuren des Eindringlings: Oft hinterlassen Hacker auch in den Meta-Angaben der Seite ihre Spuren. Sobald du eines dieser Anzeichen bei deinem WordPress-Blog bemerkst: Lass am besten alles andere liegen und kümmere dich umgehend darum, um den Schaden zu begrenzen. Nachfolgend zeigen wir dir, was du dann tun solltest:

Schritt 1: Stell deine WordPress-Seite offline

Warum werden Websiten gehackt? Zum Beispiel um über die gehackten Seiten Spam- oder Schadcode zu verteilen. Wer kann Opfer eines derartigen Angriffs werden? Jeder! Egal ob kleiner Newcomer oder grosser bekannter Blog. Meist haben Hacker keine bestimmte Website im Visier. Sie zielen eher auf eine größtmögliche Verbreitung ihrer Malware. Und genau dafür greifen sie Webseiten an, bei denen es Sicherheitslücken gibt.

Sollte dein Provider deine WordPress-Seite nicht schon offline gestellt haben, dann musst du das tun und zwar sobald du die Infektion entdeckst. Wirklich sofort, denn: Als Domain-Eigentümer des gehackten Systems bist du für alle eventuellen Schäden haftbar, wenn beispielweise personenbezogene Daten abhanden gekommen sind. Im Falle eines Falles müsstest du nachweisen, dass du "ohne schuldhaftes Zögern" gehandelt hast. Daher: Website sofort offline stellen, sobald du etwas bemerkst.

Ausserdem nimmt Google betroffene Seiten aus Sicherheitsgründen ziemlich schnell aus dem Index, so dass keine anderen Nutzer beziehungsweise Seiten in Mitleidenschaft gezogen werden. Das kannst du verhindern, indem du deine Seite selber vorübergehend für die Öffentlichkeit sperrst.

 

Seite selber sperren per Plugin

Wenn du noch einen Zugang zu dem Admin-Bereich deiner Website hast, dann ist die Installation eines Maintenance-Mode-Plugins die schnellste und einfachste Lösung. Lade dir zum Beispiel WP Quick Maintenance im Plugin-Verzeichnis von WordPress herunter und aktiviere den Wartungsmodus - sobald du dies getan hast, sehen Besucher deines Blogs nur noch einen Wartungshinweis. Du kannst natürlich auch eine andere Fehlerseite erstellen. Grundsätzlich solltest du jedoch eher zurückhaltend mit Informationen zu dem Hackerangriff umgehen, um nicht dem Ruf deiner Seite zu schaden. Ausserdem kostet das Erstellen einer Fehlerseite unnötig kostbare Zeit, die du gerade anderweitig gebrauchen kannst.

gehackt-01
Im Wartungsmodus: Ein entsprechendes Plugin ist die schnellste Lösung, um gehackte Seiten zu sperren. Screenshot: S. Cantzler
gehackt-01

Schritt 2: Sichere die Beweise

Vielleicht klingt das im ersten Augenblick etwas absurd in deinen Ohren, trotzdem solltest du unbedingt ein Backup der gehackten WordPress-Webseite samt Datenbank machen. Warum? Ganz einfach: Damit du Beweise sichern kannst, falls du später den Hackerangriff anzeigen oder Schadenersatzansprüchen anmelden möchtest. Beachte aber, dass du die Datei aber nicht auf dem Rechner speicherst, sondern am besten auf einem externen Speichermedium - isoliert von anderen Datei

Schritt 3: Trojaner-Scan

Im nächsten Step checkst du, ob nicht nur deine WordPress-Seite sondern sogar noch dein Rechner gehackt wurde. Wenn ja: Dann hat der Angreifer vermutlich auf diesem Weg deine Passwörter ausgespäht. Du solltest nun per Virenschutzprogramm (das vorher auf den neuesten Stand gebracht wurde) nach Trojanern suchen und diese gegebenenfalls entfernen, so dass der Angreifer nicht gleich alle deine Änderungen frei Haus geliefert bekommt.

Dafür bietet der ECO-Verband der Internetwirtschaft dir kostenlose Programme an, mit denen du unterschiedliche Schadware vom Rechner entfernen kannst.

Schritt 4: Ändere alle Passwörter

Du kannst dir natürlich nicht siocher sein, ob der Angreifer deine Passwörter ausspähen konnte und wenn ja, welche. Daher solltest du ALLE Passwörter ändern, damit Unbefugte keinen Zugriff mehr haben.

Du musst auf jeden Fall diese ändern:

  • Die Passwörter von WordPress-Benutzern
  • Die FTP-Passwörter und ggf. den SSH-Zugang
  • Die Passwörter deiner MySQL-Datenbanken
  • Deine Webhosting-Passwörter
  • Deine E-Mail-Passwörter

Wie du deine Passwörter am besten managst, erfährst du in diesem Beitrag: Manage deine Passwörter

Schritt 5: Sherlock Holmes: Die Suche nach dem Schadcode beginnt

Nun beginnt die meist mühsame Spurensuche, denn du musst jetzt versuchen, den Angriff zu lokalisieren. Versuch also wie ein Detektiv zu denken: Wie erfolgte der Angriff? Über den WordPress-Core (also über eine Sicherheitslücke bei WordPress selbst)? Über das Theme? Über ein Plugin?

Du hast jetzt zwei Möglichkeiten: Starte die Suche manuell oder automatisiert. Für die manuelle Suche brauchst du eine relativ große Erfahrung und meist auch viel Zeit. Und so gehst du vor: Du checkst die Dateien und Verzeichnisse auf auffällige Muster und Veränderungsdaten. Oft werden beispielsweise Dateien wie die index.php im Root oder die header.php im Theme-Ordner geändert und mit Schadcode versehen.

Deutlich einfacher sind automatische Malware-Scans, die du auch mithilfe eines Plugins starten kannst.

Und wenn du Malware gefundne hast, solltest du diese natürlich entfernen. Anschliessend musst du die Sicherheitslücke(n) schließen. Das machst du beispielweise durch regelmäßige Updates und gute Passwörter.

Das solltest du wissen: Warum sind Hacker eigentlich erfolgeich? Weil Webseitenbetreiber häufig recht bequem sind. Das heißt, dass selbst grundlegende Sicherheitsmaßnahmen wie regelmäßige Aktualisierungen von Plugins oder Themes nicht durchgeführt werden. Für viele Premium-Themes gibt es aber beispielsweise keine automatischen Updates - Aktualisierungen MÜSSEN daher manuell vorgenommen werden. Manchmal sind auch die in Themes enthaltenen Plugins veraltet und stellen dadurch ein Sicherheitsrisiko dar. Wichtig ist auch, dass du keine Passwörter wie "12345" oder "Admin" benutzt. Leider ist das in Fällen auch der Fall und daher leicht zu "knacken", Also: Bitte aktualisiere regelmässig und verwende sichere Passwörter!

Sicherheitslücken treten am häufigsten bei Plugins und Themes auf, während es bei WordPress nur sehr selten sogenannte Security Holes gibt. Auf diese Dinge reagiert die WordPress-Community in der Regel recht schnell. Wichtig ist, dass du Updates und Sicherheits-Patches regelmäßig einspielst.

Schritt 6: Jetzt WordPress neu installieren

Ausschlaggebend an welcher Stelle der Angriff erfolgte, reicht es mitunter aus, dass du lediglich den WordPress-Core erneut hochlädst. Du müsstest in diesem Fall deinen Content nicht via Backup wieder aufspielen. Und so geht die Neuinstallation von WordPress: Du lädst die Ordner wp-admin und wp-include neu hoch, genauso wie alle Dateien im WordPress-Root.

Wenn du unsicher bist, ob die WP-Neuinstallierung ausreicht, dann lösche alle entsprechenden Inhalte in deinem Webspace und lade WordPress inklusive Theme, Plugins und Content neu hoch. Zwar fällt dieser Schritt schwer, er erspart dir aber möglicherweise viel Ärger. Warum? Weil Angreifer häufig gut getarnte Backdoor-Skripte hinterlassen, um sich später erneut Zugriff auf dein System verschaffen können. Wenn du eine komplette Reinigung vornimmst, bist du davor geschützt.

gehackt-02
Das UpdraftPlus WordPress Backup Plugin ermöglicht vollständige Backups - manuell oder geplant. Die Sicherung erfolgt unter anderem via Dropbox, Google Drive, Rackspace, FTP, SFTP oder E-Mail. Screenshot: S. Cantzler
gehackt-02

Wichtig: Das Backup von deinem Blog sollte natürlich aus der Zeit vor dem Hackerangriff stammen. Bei Webhosting-Paketen von dogado erfolgt ein Backup automatisch und regelmässig. Aus Sicherheitsgründen solltest du jedoch auch selbst Backups deiner WordPress-Seite erstellen und diese separat speichern. Hilfe gibt es auch hierfür von verschiedenen Plugins wie UpdraftPlus WordPress Backup Plugin.

Du hast kein sicheres Backup zur Verfügung? Dann bleibt dir leider nichts anderes übrig, als alle deine Inhalte inklusive Datenbanken und Bildern komplett erneut hochzuladen.

Schritt 7: Entsperre deine WordPress-Seite

Du hast alle Erste-Hilfe-Schritte erledigt? Perfekt! Es ist keine Malware mehr zu finden? Super! Deine Seite läuft wieder? Hervorragend! Dann kannst du deine Seite jetzt entsperren. Wenn dein Provider deinen Website gesperrt hat, dann melde dich bei deinem Anbieter und sage Bescheid, dass der Schadcode entfernt wurde. Du hast deine Seite selbst offline genommen? Dann gehts du wie folgt vor: Deaktiviere das Plugin für den Wartungsmodus oder hebe deine eigene Sperrung, zum Beispiel über den Verzeichnisschutz, auf. Anschliessend musst du bei Google eine erneute Überprüfung beantragen, sodass deine Seite wieder in den Index aufgenommen wird. Was dafür wichtig ist, erfährst du hier. So, jetzt hast du geschafft!

Sicher­heits­tipps für die Zukunft

Und nun bekommst du noch ein paar kurze Sicherheitstipps, damit es Hacker auf deiner WordPress-Seite künftig schwer haben:

  • Sichere Passwörter verwenden (mindestens 8 Zeichen lang, zusammengestellt aus Gross- und Kleinbuchstaben, Ziffern und Sonderzeichen).
  • Keine generischen Benutzernamen benutzen: Benutzernamen wie Admin oder E-Mailadressen sind für Hacker mehr als eine freundliche Einladung. Wähle lieber einen anderen Benutzernamen. Gehe dafür in dein WordPress-Dashboard und klicke auf den Menüpunkt Benutzer und anschliessend auf neu hinzufügen. Richte nun einen neuen, sicheren Namen ein und gib diesem Namen die Rolle des Administrators.
  • Die URL für deinen WordPress-Login ändern: Du kannst den Stanardpfad über entsprechende Plugins www.deinedomain.de/wp-admin/ individualisieren.
  • Verzeichnisschutz erstellen für den Administrationsbereich.
  • Sorge für regelmässige Backups, die auf einem separaten Speichermedium abgelegt werden.
  • Scanne deine Seite in regelmässigen Abständen auf Malware - du ahnst es sicher schon: Auch hier gibt es Plugins, die dich dabei unterstützen, wie zum Beispiel Wordfence.
  • Generell gilt allerdings bei Plugins die Formel: Nutze so viel wie nötig, aber so wenig wie möglich.

Du solltest nun mit unserer Erste-Hilfe Anleitung den Hackerangriff deiner WordPress-Seite schnell beseitigen können. Wichtig ist, dass du bei der Malware-Suche gründlich bist und dein WordPress immer auf dem aktuellsten Stand ist.

Superschnelles WordPress-Hosting

Erschaffe dir mit WordPress deine Website schnell selbst. Freu dich über die pfeilschnelle Ladezeit deiner neuen Website und die vielen Inklusiv-Tools werden dich begeistern.
Zum WordPress-Hosting