Wähle einen Artikel
WordPress gehackt?
WordPress-Tutorial
WordPress-Sicherheit
WordPress gehackt?

WordPress gehackt? Erste Hilfe

Niemand möchte gern E-Mails mit folgendem Inhalt bekommen: "Ihre WordPress-Seite wurde gesperrt. Grund: Es wurde Schadcode eingeschleust. Bitte entfernen Sie diesen umgehend". Solche Nachrichten müssen leider auch die Kollegen vom dogado-Support regelmäßig verschicken, da gehackte WordPress-Seiten keine Seltenheit sind. In diesem Beitrag erfährst du, wie du deinen WordPress-Blog in wenigen Schritten bereinigen und wieder zum Laufen bringen kannst. Also, keine Panik, tief durchatmen und ran an die Seite!

Inhaltsverzeichnis
  1. Wie erkenne ich, dass meine WordPress-Seite gehackt wurde?
  2. Schritt 1: Stell deine WordPress-Seite offline
  3. Schritt 2: Sichere die Beweise
  4. Schritt 3: Trojaner-Scan
  5. Schritt 4: Ändere alle Passwörter
  6. Schritt 5: Sherlock Holmes: Die Suche nach dem Schadcode beginnt
  7. Schritt 6: Jetzt WordPress neu installieren
  8. Schritt 7: Entsperre deine WordPress-Seite
  9. Sicherheitstipps für die Zukunft

Wie erkenne ich, dass meine WordPress-Seite gehackt wurde?

Natürlich prüfen Webhoster wie dogado regelmäßig die Kundenserver auf Malware. Und wenn dabei Auffälligkeiten entdeckt werden, wird das Verzeichnis beziehunsgweise die infizierte Anwendung automatisch gesperrt. Anschließend bekommen die entsprechenden Kunden eine E-Mail mit einer Information dazu und der Bitte sich umgehend um das Problem zu kümmern.

Außer der E-Mail des Providers kannst du an folgenden Indizien erkennen, dass deine Website von einem Hacker angegriffen wurde:

  • Umlaute und Sonderzeichen: Die Webseite ist nur noch schwer zu lesen, weil Umlaute und Sonderzeichen nicht mehr richtig dargestellt werden. Insgesamt sehen die Texte recht kryptisch aus.
  • "Hacked by": Beim Login in das Dashboard deines Blogs siehts du den Satz "hacked by...".
  • Spuren des Eindringlings: Oft hinterlassen Hacker auch in den Meta-Angaben der Seite ihre Spuren. Sobald du eines dieser Anzeichen bei deinem WordPress-Blog bemerkst: Lass am besten alles andere liegen und kümmere dich umgehend darum, um den Schaden zu begrenzen. Nachfolgend zeigen wir dir, was du dann tun solltest:

Schritt 1: Stell deine WordPress-Seite offline

Warum werden Websiten gehackt? Zum Beispiel um über die gehackten Seiten Spam- oder Schadcode zu verteilen. Wer kann Opfer eines derartigen Angriffs werden? Jeder! Egal ob kleiner Newcomer oder großer bekannter Blog. Meist haben Hacker keine bestimmte Website im Visier. Sie zielen eher auf eine größtmögliche Verbreitung ihrer Malware. Und genau dafür greifen sie Webseiten an, bei denen es Sicherheitslücken gibt.

Sollte dein Provider deine WordPress-Seite nicht schon offline gestellt haben, dann musst du das tun und zwar sobald du die Infektion entdeckst. Wirklich sofort, denn: Als Domain-Eigentümer des gehackten Systems bist du für alle eventuellen Schäden haftbar, wenn beispielweise personenbezogene Daten abhanden gekommen sind. Im Falle eines Falles müsstest du nachweisen, dass du "ohne schuldhaftes Zögern" gehandelt hast. Daher: Website sofort offline stellen, sobald du etwas bemerkst.

Außerdem nimmt Google betroffene Seiten aus Sicherheitsgründen ziemlich schnell aus dem Index, so dass keine anderen Nutzer beziehungsweise Seiten in Mitleidenschaft gezogen werden. Das kannst du verhindern, indem du deine Seite selber vorübergehend für die Öffentlichkeit sperrst.

Seite selber sperren per Plugin

Wenn du noch einen Zugang zu dem Admin-Bereich deiner Website hast, dann ist die Installation eines Maintenance-Mode-Plugins die schnellste und einfachste Lösung. Lade dir zum Beispiel WP Quick Maintenance im Plugin-Verzeichnis von WordPress herunter und aktiviere den Wartungsmodus - sobald du dies getan hast, sehen Besucher deines Blogs nur noch einen Wartungshinweis. Du kannst natürlich auch eine andere Fehlerseite erstellen. Grundsätzlich solltest du jedoch eher zurückhaltend mit Informationen zu dem Hackerangriff umgehen, um nicht dem Ruf deiner Seite zu schaden. Außerdem kostet das Erstellen einer Fehlerseite unnötig kostbare Zeit, die du gerade anderweitig gebrauchen kannst.

Im Wartungsmodus: Ein entsprechendes Plugin ist die schnellste Lösung, um gehackte Seiten zu sperren. Screenshot: S. Cantzler

Schritt 2: Sichere die Beweise

Vielleicht klingt das im ersten Augenblick etwas absurd in deinen Ohren, trotzdem solltest du unbedingt ein Backup der gehackten WordPress-Webseite samt Datenbank machen. Warum? Ganz einfach: Damit du Beweise sichern kannst, falls du später den Hackerangriff anzeigen oder Schadenersatzansprüchen anmelden möchtest. Beachte aber, dass du die Datei aber nicht auf dem Rechner speicherst, sondern am besten auf einem externen Speichermedium - isoliert von anderen Dateien.

Schritt 3: Trojaner-Scan

Im nächsten Step checkst du, ob nicht nur deine WordPress-Seite sondern sogar noch dein Rechner gehackt wurde. Wenn ja: Dann hat der Angreifer vermutlich auf diesem Weg deine Passwörter ausgespäht. Du solltest nun per Virenschutzprogramm (das vorher auf den neuesten Stand gebracht wurde) nach Trojanern suchen und diese gegebenenfalls entfernen, so dass der Angreifer nicht gleich alle deine Änderungen frei Haus geliefert bekommt.

Dafür bietet der ECO-Verband der Internetwirtschaft dir kostenlose Programme an, mit denen du unterschiedliche Schadware vom Rechner entfernen kannst.

Schritt 4: Ändere alle Passwörter

Du kannst dir natürlich nicht siocher sein, ob der Angreifer deine PAsswörter ausspähen konnte und wenn ja, welche. Daher solltest du ALLE Passwörter ändern, damit Unbefugte keinen Zugriff mehr haben.

Du musst auf jeden Fall diese ändern:

  • Die Passwörter von WordPress-Benutzern
  • Die FTP-Passwörter und ggf. den SSH-Zugang
  • Die Passwörter deiner MySQL-Datenbanken
  • Deine Webhosting-Passwörter
  • Deine E-Mail-Passwörter

Wie du deine Passwörter am besten managst, erfährst du in diesem Beitrag: Manage deine Passwörter

Schritt 5: Sherlock Holmes: Die Suche nach dem Schadcode beginnt

Nun beginnt die meist mühsame Spurensuche, denn du musst jetzt versuchen, den Angriff zu lokalisieren. Versuch also wie ein Detektiv zu denken: Wie erfolgte der Angriff? Über den WordPress-Core (also über eine Sicherheitslücke bei WordPress selbst)? Über das Theme? Über ein Plugin?

Du hast jetzt zwei Möglichkeiten: Starte die Suche manuell oder automatisiert. Für die manuelle Suche brauchst du eine relativ große Erfahrung und meist auch viel Zeit. Und so gehst du vor: Du checkst die Dateien und Verzeichnisse auf auffällige Muster und Veränderungsdaten. Oft werden beispielsweise Dateien wie die index.php im Root oder die header.php im Theme-Ordner geändert und mit Schadcode versehen.

Deutlich einfacher sind automatische Malware-Scans, die du auch mithilfe eines Plugins starten kannst.

Und wenn du Malware gefundne hast, solltest du diese natürlich entfernen. Anschließend musst du die Sicherheitslücke(n) schließen. Das machst du beispielweise durch regelmäßige Updates und gute Passwörter.

Das solltest du wissen: Warum sind Hacker eigentlich erfolgeich? Weil Webseitenbetreiber häufig recht bequem sind. Das heißt, dass selbst grundlegende Sicherheitsmaßnahmen wie regelmäßige Aktualisierungen von Plugins oder Themes nicht durchgeführt werden. Für viele Premium-Themes gibt es aber beispielsweise keine automatischen Updates - Aktualisierungen MÜSSEN daher manuell vorgenommen werden. Manchmal sind auch die in Themes enthaltenen Plugins veraltet und stellen dadurch ein Sicherheitsrisiko dar. Wichtig ist auch, dass du keine Passwörter wie "12345" oder "Admin" benutzt. Leider ist das in Fällen auch der Fall und daher leicht zu "knacken", Also: Bitte aktualisiere regelmäßig und verwende sichere Passwörter!

Sicherheitslücken treten am häufigsten bei Plugins und Themes auf, während es bei WordPress nur sehr selten sogenannte Security Holes gibt. Auf diese Dinge reagiert die WordPress-Community in der Regel recht schnell. Wichtig ist, dass du Updates und Sicherheits-Patches regelmäßig einspielst.

Schritt 6: Jetzt WordPress neu installieren

Ausschlaggebend an welcher Stelle der Angriff erfolgte, reicht es mitunter aus, dass du lediglich den WordPress-Core erneut hochlädst. Du müsstest in diesem Fall deinen Content nicht via Backup wieder aufspielen. Und so geht die Neuinstallation von WordPress: Du lädst die Ordner wp-admin und wp-include neu hoch, genauso wie alle Dateien im WordPress-Root.

Wenn du unsicher bist, ob die WP-Neuinstallierung ausreicht, dann lösche alle entsprechenden Inhalte in deinem Webspace und lade WordPress inklusive Theme, Plugins und Content neu hoch. Zwar fällt dieser Schritt schwer, er erspart dir aber möglicherweise viel Ärger. Warum? Weil Angreifer häufig gut getarnte Backdoor-Skripte hinterlassen, um sich später erneut Zugriff auf dein System verschaffen können. Wenn du eine komplette Reinigung vornimmst, bist du davor geschützt.

Das UpdraftPlus WordPress Backup Plugin ermöglicht vollständige Backups - manuell oder geplant. Die Sicherung erfolgt unter anderem via Dropbox, Google Drive, Rackspace, FTP, SFTP oder E-Mail. Screenshot: S. Cantzler

Wichtig: Das Backup von deinem Blog sollte natürlich aus der Zeit vor dem Hackerangriff stammen. Bei Webhosting-Paketen von dogado erfolgt ein Backup automatisch und regelmäßig. Aus Sicherheitsgründen solltest du jedoch auch selbst Backups deiner WordPress-Seite erstellen und diese separat speichern. Hilfe gibt es auch hierfür von verschiedenen Plugins wie UpdraftPlus WordPress Backup Plugin.

Du hast kein sicheres Backup zur Verfügung? Dann bleibt dir leider nichts anderes übrig, als alle deine Inhalte inklusive Datenbanken und Bildern komplett erneut hochzuladen.

Schritt 7: Entsperre deine WordPress-Seite

Du hast alle Erste-Hilfe-Schritte erledigt? Perfekt! Es ist keine Malware mehr zu finden? Super! Deine Seite läuft wieder? Hervorragend! Dann kannst du deine Seite jetzt entsperren. Wenn dein Provider deinen Website gesperrt hat, dann melde dich bei deinem Anbieter und sage Bescheid, dass der Schadcode entfernt wurde. Du hast deine Seite selbst offline genommen? Dann gehts du wie folgt vor: Deaktiviere das Plugin für den Wartungsmodus oder hebe deine eigene Sperrung, zum Beispiel über den Verzeichnisschutz, auf. Anschließend musst du bei Google eine erneute Überprüfung beantragen, sodass deine Seite wieder in den Index aufgenommen wird. Was dafür wichtig ist, erfährst du hier. So, jetzt hast du geschafft!

Sicher­heits­tipps für die Zukunft

Und nun bekommst du noch ein paar kurze Sicherheitstipps, damit es Hacker auf deiner WordPress-Seite künftig schwer haben:

  • Sichere Passwörter verwenden (mindestens 8 Zeichen lang, zusammengestellt aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen).
  • Keine generischen Benutzernamen benutzen: Benutzernamen wie Admin oder E-Mailadressen sind für Hacker mehr als eine freundliche Einladung. Wähle lieber einen anderen Benutzernamen. Gehe dafür in dein WordPress-Dashboard und klicke auf den Menüpunkt Benutzer und anschließend auf neu hinzufügen. Richte nun einen neuen, sicheren Namen ein und gib diesem Namen die Rolle des Administrators.
  • Die URL für deinen WordPress-Login ändern: Du kannst den Stanardpfad über entsprechende Plugins www.deinedomain.de/wp-admin/ individualisieren.
  • Verzeichnisschutz erstellen für den Administrationsbereich.
  • Sorge für regelmäßige Backups, die auf einem separaten Speichermedium abgelegt werden.
  • Scanne deine Seite in regelmäßigen Abständen auf Malware - du ahnst es sicher schon: Auch hier gibt es Plugins, die dich dabei unterstützen, wie zum Beispiel Wordfence.
  • Generell gilt allerdings bei Plugins die Formel: Nutze so viel wie nötig, aber so wenig wie möglich.

Du solltest nun mit unserer Erste-Hilfe Anleitung den Hackerangriff deiner WordPress-Seite schnell beseitigen können. Wichtig ist, dass du bei der Malware-Suche gründlich bist und dein WordPress immer auf dem aktuellsten Stand ist.

Zu den WordPress Hosting Paketen
Nächster Artikel
Maßnahmen für ein sicheres WordPress
Weitere passende Themen
10 Artikel
WordPress SEO
3 Artikel
Tracking und Besucherstatistiken in WordPress einrichten