WordPress gehackt? – Was nun?
Als erstes: Keine Panik!
In diesem Guide erkläre ich dir ganz genau, wie du deine Website wieder flott machen kannst, nachdem deine WordPress Instanz gehackt wurde.
Inklusive Bildern zu allen wichtigen Plugins sowie einer Checkliste damit du auch nichts vergisst.
Damit du dabei aber alles richtig machst, solltest du erstmal Ruhe bewahren und tief durchatmen.
Ich benutze in diesem Guide verschiedene Plugins & Software, die dich beim Reinigen der Webseite unterstützen, aber allesamt kostenfrei sind – Es kann jedoch sinnvoll sein für die Zukunft in einige dieser Tools zu investieren; für die Umsetzung dieses Guides ist das aber nicht notwendig.
Eine Säuberungsaktion bei einem WordPress-Blog oder einer WordPress-Website nimmt ca. 1-4 Stunden, je nach Größe und Infizierungsgrad der Seite, in Anspruch. Ihr könnt nach Schritt 2.1 allerdings auch längere Zeit in Anspruch nehmen, ohne dass ihr ein erhöhtes Risiko eingeht. Eure Webseite ist allerdings bis zum Ende des Tutorials nicht erreichbar.
Sofort-Maßnahmen – erste Hilfe bei WordPress-Hacks
Wenn du jetzt sofort professionelle Hilfe möchtest, kannst du uns gerne kontaktieren.
Einfach, schnell und mit einer Garantie, dass die Webseite nicht erneut infiziert wird (und du den Prozess wiederholen musst)!
Kontaktiere uns einfach hier, wenn du daran Interesse hast
Wurde dein WordPress gehackt? Anzeichen, dass deine WordPress-Seite übernommen wurde
Bevor wir nun in Panik verfallen sollten, wir uns kurz anschauen was das Problem ist. Je nachdem kann uns diese Analyse helfen deine WordPress Instanz schneller wieder zu säubern.
Du kannst dich nicht einloggen
Eines der ersten Anzeichen das etwas nicht stimmt, ist meist das dein Passwort nicht mehr funktioniert.
Wenn du es nicht vor kurzem geändert hast und ein technisches Problem ausschließen kannst hast du definitiv ein Sicherheitsproblem.
Deine Webseite leitet auf andere Seiten um
Wenn deine WordPress Webseite auf eine dir unbekannte Seite weiterleitet (meist mit einer Abfrage von Nutzerdaten oder auf eine Verkaufsseite), dann ist relativ klar das deine WordPress Installation übernommen wurde.
Deine Webseite zeigt fremde Inhalte an die nicht von dir stammen
Ebenso ein eindeutiger Hinweis das deine Webseite gehacked wurde ist, wenn du auf einmal fremde Inhalte auf deiner Webseite wiederfindest.
Wenn du deine Webseite aufrufen willst warnt dich dein Browser bevor du die Seite betreten kannst
Ebenfalls recht eindeutig ist die Lage wenn dich dein Browser dich vor dem Besuch der Seite warnt.
Achtung: Wenn es nur ein SSL Fehler ist, kann es sein das nur das Zertifikat abgelaufen ist. Dies ist alleine kein Hinweis auf einen Hack, du solltest aber deinen Hoster hierzu informieren.
Suchergebnisse bei Google enthalten Treffer zu dir unbekannten Inhalten
Meist handelt es sich dabei um SEO Spam für zweifelhafte Produkte oder Dienstleistungen.
Der Vorteil an dieser Art des Hacks ist das du die Seite meist normal weiter nutzen kannst. Du solltest aber trotzdem den Hack entfernen und deine Instanz absichern, denn es bedeutet immer noch das jemand fremdes zugriff hat und deine Daten und die deiner Nutzer nicht sicher sind.
Dein Hoster hat dich gewarnt oder deine Webseite offline genommen
Insbesondere Strato, Domainfactory sowie 1&1 nehmen Webseiten offline wenn sie unsicherheiten feststellen.
Meist machen die Hoster das aus guten Gründen um zum Beispiel Spam oder das Abgreifen von Bankdaten zu verhindern.
Das erneute aktivieren kann aber durchaus längere Zeit brauchen und das Personal tut sich ab und an schwer damit Laien die Instanz wieder freizuschalten.
Schritt-für-Schritt-Anleitung
Absichern der infizierten Instanz via .htaccess
Damit wir in Ruhe arbeiten können und der WordPress-Hack nicht weiter Unheil anrichten kann, musst du die Seite erstmal kurzzeitig vom Netz nehmen, ohne dabei deinen eigenen Zugang zu beschränken.
Leider wissen wir zu diesem Zeitpunkt noch nicht, wie deine Seite kompromittiert wurde und daher ist es unzureichend einfach nur den Wartungsmodus zu aktivieren!
Bitte überspringe diesen Schritt nicht – es kann Teile deiner Arbeit zunichtemachen, wenn du die Seite nicht komplett gegen fremden Zugriff absicherst.
Am besten veränderst du dafür deine .htaccess Datei; diese findest du im Hauptverzeichnis von WordPress auf deinem Webspace.
Um das zu erreichen, besuche wieistmeineip.de und finde deine eigene IP heraus.
Füge nun die folgenden Zeilen in deine .htaccess Datei direkt am Anfang ein.
order deny,allow
deny from all
allow from <deine IP>Du hast nun deine WordPress-Site gegen weitere Zugriffe abgesichert und kannst dir erst mal etwas zu trinken holen.
Eigenen Rechner prüfen
Bevor wir nun weiter machen an deiner WordPress-Page, müssen wir erst sichergehen, dass dein eigener Rechner nicht infiziert ist.
Solltest du also ein Anti-Virus Programm haben, gehe sicher, dass es auf dem neusten Stand ist und falls du kein Anti-Virus Programm hast, solltest du dir dringend eines zulegen.
Hier gibt es ein kostenfreies Programm, welches den Grundbedarf abdeckt
Passwörter vom Webspace ändern
Damit wir sicher gehen können, dass der Hacker nicht wieder deine ganze Arbeit zunichtemacht ist es wichtig, die Zugänge zu deinem Web Hosting zu ändern. In den meisten Fällen haben die Hacker zwar keinen Zugriff auf den FTP aber WordPress speichert unter anderem die Benutzer Namen und Passwörter zu den Datenbanken und diese sind nun auf jeden Fall zu ändern.
Wie dieser Schritt genau vonstattengeht, hängt von der Verwaltung deines Providers ab. Bitte schaue dich daher in deinem Hosting Panel um, oder kontaktiere deinen Hoster, wie du diese Sachen ändern kannst.
Folgende Zugangsdaten musst du ändern:
- FTP Zugang
- MySQL Zugangsdaten
Falls du vermutest, dass der Hacker über den Server statt über deinen Webspace Zugriff erhalten hat, solltest du dringend deinen Provider informieren!
Backup erstellen & Logs sichern
Vielleicht klingt es komisch für dich, eine gehackte WordPress-Website überhaupt abzuspeichern.
Aber der Grund ist recht einfach:
Wir dokumentieren damit den Zustand auf dem Server vor unserem Clean up – dies kann wichtig sein, wenn es im Nachhinein Fragen gibt oder, wenn man doch Dateien löschen sollte, die sich später als sehr wichtig herausstellen.
Ich persönlich empfehle euch für das Backup eurer WordPress-Seite das kostenfreie Plugin „Akeeba Backup“, welches ihr hier herunterladen könnt:
Akeeba Backup Download
https://www.akeeba.com/products/akeeba-backup-wordpress.html
Optional: Backup Restore
Solltet ihr bereits ein Backup eurer WordPress-Instanz haben, welches vor dem Hack angelegt wurde, vereinfacht dir das die Arbeit nun extrem – alles was du tun musst, ist ein unkompromittiertes Backup einzuspielen und mit den neuen Daten für Benutzername & Passwort zu füttern.
Einige Service Dienstleister bieten dir einen solchen Service an und er lohnt sich tatsächlich, da die gesparte Arbeitszeit bei Fehlern auf dem Blog ganz schnell mehr kostet, als der Backup-Service für deinen WordPress-Blog.
Cleanup & Update WP & Plugins
Ich gehe davon aus, dass du eventuell kein Backup zur Verfügung hast.
Lass uns also nun mit dem Aufräumen deiner WordPress-Instanz beginnen!
Als Erstes musst du dafür in den Administrations-Bereich und dort unter der Option Aktualisierung WordPress neu installieren.
Nachdem die Kerndateien neu geschrieben wurden, können wir davon ausgehen, dass diese einwandfrei funktionieren.
Wir müssen nun alle Plugins & Themes updaten – gehackte Plugins und Themes sind übrigens für über 55% aller WordPress Hacks verantwortlich. Es lohnt sich also auch hier regelmäßig die neusten Versionen einzuspielen bzw. dafür einen Service zu beauftragen.
Nachdem alle Erweiterungen und auch die Templates & Themes auf den neusten Stand gebracht wurden, müssen wir nun noch die restliche Instanz und deinen Webspace überprüfen.
Dazu benutzen wir das kostenfreie Plugin „WordFence“.
Scan aller Dateien auf Schadcode
Durch WordFence können wir nun auch den Rest des gesamten Webspaces durchsuchen, was ein sehr wichtiger Schritt ist.
Die meisten WordPress-Hacks hinterlassen extra Dateien oder Modifikationen, die einen direkten Zugriff auf deine WP-Instanz und deinen Webspace gewähren. Das ist auch der Grund warum wir ganz am Anfang im Schritt 2.1 die .htaccess Datei so modifizieren, dass nur noch wir Zugriff auf die WordPress Instanz haben.
Den Scan von WordFence erreicht ihr folgendermaßen
Nachdem der Scan durchgelaufen ist, findest du eine Liste aller Dateien, die entweder geändert wurden oder problematischen Code enthalten.
Du musst nun diese Dateien entweder entfernen oder die Schadstellen daraus entfernen. Wenn du keinerlei Ahnung von Code hast, empfiehlt es sich die Dateien eine nach der anderen erst per FTP zu sichern, und dann auf dem Server zu entfernen. Sollte die Seite danach nicht mehr funktionieren musst du die gelöschten Dateien wieder herstellen und versuchen den Schadcode zu finden und zu eliminieren.
Achte bei deiner Suche insbesondere auf die Theme Dateien, denn gerade im Theme kann sich viel Schadcode leicht verstecken lassen.
Leider gibt es keine festen Anhaltspunkte was du in diesen Dateien finden wirst, und daher können wir die hier auch keine pauschalen Informationen geben. Hacks sind nicht einfach aufzuspüren und die Änderungen an den Dateien sind oft schwer zu bemerken. Aber mit WordFence hast du eine gute Chance alle Änderungen zu finden und zu entfernen.
Achtung:
Oft zeigt WordFence Unterschiede in den Text-Dateien wie der readme.txt da sich diese von der englischen Version unterscheidet. Wenn du dir unsicher bist solltest du die Datei einfach von WordFence entfernen lassen.
Passwörter aller Benutzer in WordPress ändern
Um sicherzugehen, dass kein weiterer Schaden entsteht und deine WordPress-Instanz erneut gehackt wird, sollten die Passwörter aller Benutzer in der Datenbank zurückgesetzt werden. Dies verhindert, dass der Angreifer die Möglichkeit bekommt z.B. falsche Bestellungen oder Kommentare zu veröffentlichen.
Auch solltest du prüfen, ob es andere Benutzerkonten gibt die erweiterte (Administrations) Rechte besitzen.
Du kannst dies mit den Standard WordPress Mitteln umsetzen oder, wenn du einige User hast, mit dem folgenden Plugin.
WordPress-Site wieder online stellen
Jetzt bist du auch schon fast fertig!
Wenn du alle Schritte genauso wie hier beschrieben ausgeführt hast, solltest du noch einmal in deine .htaccess Datei gehen und die von uns in Schritt 2.1 hinzugefügten Inhalte entfernen.
Inklusive dem „order deny,allow“ & „deny from all“
Danach ist dein WordPress-Blog oder deine WordPress-Website wieder erreichbar und sollte wieder einwandfrei funktionieren.
Weiterführende Maßnahmen
Nun hast du den Hack entfernt und die WordPress-Seite wieder repariert.
Gut gemacht!
Damit du in Zukunft nicht wieder gehackt werden kannst, solltest du aber ein paar zusätzliche Schritte beachten:
Passwörter
Dein Passwort ist immer ein erster Angriffspunkt für jede Webseite, noch lange bevor Exploits irgendwelcher Art benutzt werden.
Stelle also sicher, dass du immer ausreichend komplexe Passwörter benutzt und benutze sie niemals an mehreren stellen.
WordPress Updates gegen Sicherheitslücken
Regelmäßige Updates sind mit eine der besten Maßnahmen gegen Hacker, Exploits & Malware.
Richte dir daher entweder einen wöchentlichen Termin in deinen Kalender ein oder überlege, ob es nicht Sinn ergibt, jemanden extern mit der Pflege zu beauftragen.
Darüber hinaus empfiehlt es sich außerdem eine Software Firewall zu nutzen (wie zum Beispiel WordFence, welches du bereits im Verlauf dieses Guides installiert hast), oder einen speziell abgesicherten Server zu benutzen. Letzteres ist zwar etwas teurer im Hosting, aber verringert die Chance, dass etwas passiert um ein Vielfaches.
Für Einzelhändler und Unternehmen empfiehlt es sich auf jeden Fall über einen rundum Service nachzudenken – der Ausfall der Seite sowie die peinliche Information an Kunden, dass persönliche Daten ungewollt herausgegeben wurden, ist so Geschäftsschädigend, dass die Kosten eines Premium-Services dagegen sehr gering sind!
Welche Services wir anbieten und was alles darin enthalten, ist findest du hier
Ich hoffe, dass dir dieser Guide helfen konnte – wenn du magst schreib mir doch deine Erfahrungen in die Kommentare.
Welche Plugins können meine Webseite sicherer machen?
Die folgenden Plugins erfüllen zum teil den gleichen Sinn, sie sind aber alle etwas anders und bieten unterschiedliche Funktionen für die Sicherheit.
Wordfence
Wordfence haben wir ja bereits in diesem Artikel kennengelernt und ist durchaus ein gutes Rundum Plugin.
Es bietet einen guten Schutz vor Hacking-Angriffen, eine Scan Engine sowie die wirklich nützliche 2 Factor Authentifizierung über z.B. Google Authenticator.
Leider kann es auch dazu führen, dass die Webseite langsamer wird, weswegen der permanente Einsatz nicht für alle Seiten geeignet ist.
iThemes Security
iThemes Security bietet einen Universalschutz der sich nicht nur auf das benutzte Theme oder Template beschränkt, sondern die gesamte WordPress Installation absichert. Wir betreuen Webseiten mit iThemes Security und haben bisher nur positive Erfahrungen gemacht.
Sucuri Security
Sucuri bietet viele Funktionen frei von seinem Premium-Service in diesem Plugin an – leider ist die Firewall nur Premium-Usern vorbehalten.
Trotzdem gehört es zu den Plugins die wir nicht missen wollen, wenn es um Malware und Theme-Exploits geht.
Was war die Ursache für den Hack?
Das ist ohne genaue Analyse immer schwer zu beantworten, denn eine pauschale Antwort dazu gibt es nicht.
Was ich dir als Anhaltspunkt geben kann, sind die weit verbreiteten Gründe.
Unsicheres Passwort für einen Admin Account oder FTP
Traurig aber Wahr. Es gibt immer noch viele die Ihre Passwörter nicht sicher gestallten oder überall das selbe verwenden.
Wenn du auch dazu gehörst, solltest du dich über das Thema informieren und deine vorgehensweise Ändern, denn das, was dir hier mit WordPress passiert ist, kann dann auch mit deiner E-Mail oder deinem Bankkonto passieren.
Ich kann dir übrigens den kostenfreien Passwortmanager Lastpass wärmstens empfehlen.
https://www.lastpass.com/de/pricing
Veraltete Versionen von WordPress, Theme & Plugins
Wie jede Software benötigt WordPress auch Updates, diese sind nicht nur für neue Features, sondern vor allem für die Sicherheit der Software.
Im falle von WordPress müssen sowohl WordPress selbst als auch alle Plugins und alle Themes regelmäßig aktualisiert werden.
Wenn du die Verantwortung für eine Unternehmens-Webseite hast dann empfehlen wir dir unseren professionellen Wartungs-Service.
Bei diesem Scannen wir die Instanz regelmäßig auf Dateien mit Schadcode und kümmern uns um alle Updates sowie technischen Probleme.
Unsicherer Code bei der Umsetzung des Projekts
Manche Projekte werden einfach schlampig umgesetzt – das ist leider Realität und oft auch ein Sicherheitsproblem. Denn das Plugin mit 50000 Nutzern ist meist sicherer wie das Plugin mit 50 Nutzern.
Auch wollen manche betreiber von WordPress Webseiten Lizenzkosten sparen und Installieren sich sog. „nulled“ software-Pakete in denen die Lizenzierung deaktiviert ist.
Was sie dabei vergessen ist das eine deaktivierte Lizenz auch bedeutet das man keine Benachrichtigungen über Sicherheitsprobleme oder Updates bekommt.
Fragen & Antworten [FAQ]
Warum werden WordPress Seiten gehackt?
Viele fragen sich, warum sie überhaupt gehackt werden.
Leider ist der Grund nicht immer offensichtlich, es kann sich einfach um einen Teenager handeln der ausprobieren wollte, ob er den Blog übernehmen kann oder um einen Spammer, der deinen Blog zum Verteilen von Spam-Mails genutzt hat oder benutzen wollte.
Auch möglich ist, dass der Hacker an die Daten deiner User wollte, um diese später wiederzuverwenden um z.B. ihre E-Mail Accounts zu kompromittieren.
Recht selten kommt es auch vor, dass es sich um einen Konkurrenten handelt der Sichergehen möchte, dass die Seite SEO-Technisch abgewertet wird oder an bestimmten Kundendaten interessiert ist.
Was muss ich nach einem Hack für die DSGVO beachten?
Laut der DSGVO musst du Benutzer informieren, wenn jemand fremdes Zugriff auf ihre personenbezogenen Daten hatte. Wenn deine WordPress-Site gehackt wurde, könnten das z.B. Zugangsdaten für einen Mitgliederbereich sein oder e-Mail- und IP-Adressen von Kommentatoren.
Ob und wie dies in deinem speziellen Fall zu tun ist, kann ich dir leider hier nicht verraten. Einen kleinen Überblick bekommst du allerdings bei unseren Partnern von eRecht 24.
Fehler: Weißer Bildschirm
Manchmal kommt es vor, dass ihr nach einem Hack eine weiße Seite habt und nicht wisst was ihr tun sollt.
WordPress hat mittlerweile seit Version 5.2 Möglichkeiten, dass ihr solche Fehler besser bewältigen könnt. Für den Fall, dass diese „Recovery“ aber fehl schlägt, gibt es einen einfachen Trick, mit dem ihr sinnvoll Fehlermeldungen bekommt.
Geht via FTP in eure wp-config.php und ändert dort folgende Zeile:
define('WP_DEBUG', false);zu
define('WP_DEBUG', true);Nun kannst du die Fehlermeldung sehen und entsprechend handeln.
Ich kann dir leider nicht genau sagen wie du jede Fehlermeldung behebst, zum Teil kann dies sehr komplex sein, aber oft ist es trivial und du kannst es mit ein wenig Geschick lösen.
Denke daran nach der Fehlerbehebung die wp-config deiner WordPress Seite wieder umzustellen!
Fehler: Umleitung / Redirekt
Manchmal leiten Hacker deine Seite weiter auf eine andere Seite.
Dies wird gerne genutzt, um deine Benutzer zu einem Download umzuleiten, der dann meist auch Schadcode enthält.
Am besten behebst du diese Umleitung ganz normal, wie hier im Guide beschrieben. – Fange aber mit Schritt 2.1 an um deine Benutzer während der Fehlerbehebung nicht zu gefährden.
Warum empfehlen so viele die PHP Version zu aktualisieren?
Die PHP Version, mit der dein WordPress läuft, sollte grundsätzlich immer die aktuellste sein die dir möglich ist. Zum einen kann auch PHP dazu beitragen den Exploits oder Malware in deinem Theme oder auf deiner WordPress Seite ausgeführt wird, zum anderen bieten aktuelle PHP Versionen einen Geschwindigkeitsvorteil für deine WP Installation, den Google durchaus belohnt.
Wenn du mehr dazu wissen willst, kannst du hier mehr Informationen dazu bekommen:
