Natürlich prüfen Webhoster wie dogado regelmäßig die Kundenserver auf Malware. Und wenn dabei Auffälligkeiten entdeckt werden, wird das Verzeichnis beziehunsgweise die infizierte Anwendung automatisch gesperrt. Anschließend bekommen die entsprechenden Kunden eine E-Mail mit einer Information dazu und der Bitte sich umgehend um das Problem zu kümmern.
Außer der E-Mail des Providers kannst du an folgenden Indizien erkennen, dass deine Website von einem Hacker angegriffen wurde:
Warum werden Websiten gehackt? Zum Beispiel um über die gehackten Seiten Spam- oder Schadcode zu verteilen. Wer kann Opfer eines derartigen Angriffs werden? Jeder! Egal ob kleiner Newcomer oder großer bekannter Blog. Meist haben Hacker keine bestimmte Website im Visier. Sie zielen eher auf eine größtmögliche Verbreitung ihrer Malware. Und genau dafür greifen sie Webseiten an, bei denen es Sicherheitslücken gibt.
Sollte dein Provider deine WordPress-Seite nicht schon offline gestellt haben, dann musst du das tun und zwar sobald du die Infektion entdeckst. Wirklich sofort, denn: Als Domain-Eigentümer des gehackten Systems bist du für alle eventuellen Schäden haftbar, wenn beispielweise personenbezogene Daten abhanden gekommen sind. Im Falle eines Falles müsstest du nachweisen, dass du "ohne schuldhaftes Zögern" gehandelt hast. Daher: Website sofort offline stellen, sobald du etwas bemerkst.
Außerdem nimmt Google betroffene Seiten aus Sicherheitsgründen ziemlich schnell aus dem Index, so dass keine anderen Nutzer beziehungsweise Seiten in Mitleidenschaft gezogen werden. Das kannst du verhindern, indem du deine Seite selber vorübergehend für die Öffentlichkeit sperrst.
Wenn du noch einen Zugang zu dem Admin-Bereich deiner Website hast, dann ist die Installation eines Maintenance-Mode-Plugins die schnellste und einfachste Lösung. Lade dir zum Beispiel WP Quick Maintenance im Plugin-Verzeichnis von WordPress herunter und aktiviere den Wartungsmodus - sobald du dies getan hast, sehen Besucher deines Blogs nur noch einen Wartungshinweis. Du kannst natürlich auch eine andere Fehlerseite erstellen. Grundsätzlich solltest du jedoch eher zurückhaltend mit Informationen zu dem Hackerangriff umgehen, um nicht dem Ruf deiner Seite zu schaden. Außerdem kostet das Erstellen einer Fehlerseite unnötig kostbare Zeit, die du gerade anderweitig gebrauchen kannst.
Vielleicht klingt das im ersten Augenblick etwas absurd in deinen Ohren, trotzdem solltest du unbedingt ein Backup der gehackten WordPress-Webseite samt Datenbank machen. Warum? Ganz einfach: Damit du Beweise sichern kannst, falls du später den Hackerangriff anzeigen oder Schadenersatzansprüchen anmelden möchtest. Beachte aber, dass du die Datei aber nicht auf dem Rechner speicherst, sondern am besten auf einem externen Speichermedium - isoliert von anderen Dateien.
Im nächsten Step checkst du, ob nicht nur deine WordPress-Seite sondern sogar noch dein Rechner gehackt wurde. Wenn ja: Dann hat der Angreifer vermutlich auf diesem Weg deine Passwörter ausgespäht. Du solltest nun per Virenschutzprogramm (das vorher auf den neuesten Stand gebracht wurde) nach Trojanern suchen und diese gegebenenfalls entfernen, so dass der Angreifer nicht gleich alle deine Änderungen frei Haus geliefert bekommt.
Dafür bietet der ECO-Verband der Internetwirtschaft dir kostenlose Programme an, mit denen du unterschiedliche Schadware vom Rechner entfernen kannst.
Du kannst dir natürlich nicht siocher sein, ob der Angreifer deine PAsswörter ausspähen konnte und wenn ja, welche. Daher solltest du ALLE Passwörter ändern, damit Unbefugte keinen Zugriff mehr haben.
Du musst auf jeden Fall diese ändern:
Wie du deine Passwörter am besten managst, erfährst du in diesem Beitrag: Manage deine Passwörter
Nun beginnt die meist mühsame Spurensuche, denn du musst jetzt versuchen, den Angriff zu lokalisieren. Versuch also wie ein Detektiv zu denken: Wie erfolgte der Angriff? Über den WordPress-Core (also über eine Sicherheitslücke bei WordPress selbst)? Über das Theme? Über ein Plugin?
Du hast jetzt zwei Möglichkeiten: Starte die Suche manuell oder automatisiert. Für die manuelle Suche brauchst du eine relativ große Erfahrung und meist auch viel Zeit. Und so gehst du vor: Du checkst die Dateien und Verzeichnisse auf auffällige Muster und Veränderungsdaten. Oft werden beispielsweise Dateien wie die index.php im Root oder die header.php im Theme-Ordner geändert und mit Schadcode versehen.
Deutlich einfacher sind automatische Malware-Scans, die du auch mithilfe eines Plugins starten kannst.
Und wenn du Malware gefundne hast, solltest du diese natürlich entfernen. Anschließend musst du die Sicherheitslücke(n) schließen. Das machst du beispielweise durch regelmäßige Updates und gute Passwörter.
Das solltest du wissen: Warum sind Hacker eigentlich erfolgeich? Weil Webseitenbetreiber häufig recht bequem sind. Das heißt, dass selbst grundlegende Sicherheitsmaßnahmen wie regelmäßige Aktualisierungen von Plugins oder Themes nicht durchgeführt werden. Für viele Premium-Themes gibt es aber beispielsweise keine automatischen Updates - Aktualisierungen MÜSSEN daher manuell vorgenommen werden. Manchmal sind auch die in Themes enthaltenen Plugins veraltet und stellen dadurch ein Sicherheitsrisiko dar. Wichtig ist auch, dass du keine Passwörter wie "12345" oder "Admin" benutzt. Leider ist das in Fällen auch der Fall und daher leicht zu "knacken", Also: Bitte aktualisiere regelmäßig und verwende sichere Passwörter!
Sicherheitslücken treten am häufigsten bei Plugins und Themes auf, während es bei WordPress nur sehr selten sogenannte Security Holes gibt. Auf diese Dinge reagiert die WordPress-Community in der Regel recht schnell. Wichtig ist, dass du Updates und Sicherheits-Patches regelmäßig einspielst.
Ausschlaggebend an welcher Stelle der Angriff erfolgte, reicht es mitunter aus, dass du lediglich den WordPress-Core erneut hochlädst. Du müsstest in diesem Fall deinen Content nicht via Backup wieder aufspielen. Und so geht die Neuinstallation von WordPress: Du lädst die Ordner wp-admin und wp-include neu hoch, genauso wie alle Dateien im WordPress-Root.
Wenn du unsicher bist, ob die WP-Neuinstallierung ausreicht, dann lösche alle entsprechenden Inhalte in deinem Webspace und lade WordPress inklusive Theme, Plugins und Content neu hoch. Zwar fällt dieser Schritt schwer, er erspart dir aber möglicherweise viel Ärger. Warum? Weil Angreifer häufig gut getarnte Backdoor-Skripte hinterlassen, um sich später erneut Zugriff auf dein System verschaffen können. Wenn du eine komplette Reinigung vornimmst, bist du davor geschützt.
Wichtig: Das Backup von deinem Blog sollte natürlich aus der Zeit vor dem Hackerangriff stammen. Bei Webhosting-Paketen von dogado erfolgt ein Backup automatisch und regelmäßig. Aus Sicherheitsgründen solltest du jedoch auch selbst Backups deiner WordPress-Seite erstellen und diese separat speichern. Hilfe gibt es auch hierfür von verschiedenen Plugins wie UpdraftPlus WordPress Backup Plugin.
Du hast kein sicheres Backup zur Verfügung? Dann bleibt dir leider nichts anderes übrig, als alle deine Inhalte inklusive Datenbanken und Bildern komplett erneut hochzuladen.
Du hast alle Erste-Hilfe-Schritte erledigt? Perfekt! Es ist keine Malware mehr zu finden? Super! Deine Seite läuft wieder? Hervorragend! Dann kannst du deine Seite jetzt entsperren. Wenn dein Provider deinen Website gesperrt hat, dann melde dich bei deinem Anbieter und sage Bescheid, dass der Schadcode entfernt wurde. Du hast deine Seite selbst offline genommen? Dann gehts du wie folgt vor: Deaktiviere das Plugin für den Wartungsmodus oder hebe deine eigene Sperrung, zum Beispiel über den Verzeichnisschutz, auf. Anschließend musst du bei Google eine erneute Überprüfung beantragen, sodass deine Seite wieder in den Index aufgenommen wird. Was dafür wichtig ist, erfährst du hier. So, jetzt hast du geschafft!
Und nun bekommst du noch ein paar kurze Sicherheitstipps, damit es Hacker auf deiner WordPress-Seite künftig schwer haben:
Du solltest nun mit unserer Erste-Hilfe Anleitung den Hackerangriff deiner WordPress-Seite schnell beseitigen können. Wichtig ist, dass du bei der Malware-Suche gründlich bist und dein WordPress immer auf dem aktuellsten Stand ist.