Webseite wurde Ziel eines Hacker-Angriffs oder ist mit Maleware infiziert

Zahlreiche Hacker treiben im Internet Ihr Unwesen. Einige nur so zum Spass, andere um damit ihren Lebensunterhalt zu bestreiten. Leider sind auch immer wieder WordPress Webseiten Ziel dieser Attacken. Wer seine Webseite nicht regelmässig aktualisiert, riskiert selber Opfer eines solchen Hackerangriffs zu werden.

Prävention

WordPress-Sites werden nicht von erfahrenen Hackern, sondern von Bots, die bekannte Sicherheitslücken ausnutzen, kompromittiert. Diese Sicherheitslücken umfassen schwache Passwörter, veraltete Plugins und Themes sowie schlechtes Webhosting.

Wir fassen hier nochmals die wichtigsten Sicherheitsmassnahmen zusammen. Lesen Sie dringend auch die Informationen in der Sektion Schutzmassnahmen. Dort erfahren Sie ausführlich, wie Sie sich gegen Hacker schützen können.

Sichere Passwörter

Haupt Angriffspunkt ist der WordPress Loginbereich. Schützen Sie den Zugang zum Backend durch die Verwendung eines starken Passworts.

Regelmässige Updates

Installieren Sie regelmässige Updates von WordPress, Plugins und Themes. Nur so können bekannte Sicherheitslücken geschlossen werden.

Backups erstellen

Backups sind sehr hilfreich bei der Wiederherstellung nach einem WordPress-Hack. Backups sind für die Notfallwiederherstellung von entscheidender Bedeutung.

Erfolgreiche Attacken bleiben oft monatelang unbemerkt

Hacker verfolgen ganz unterschiedliche Ziele. Es gibt solche, die sehr destruktiv und zerstörerisch unterwegs sind. Deren Ziel ist es, Webseiten komplett lahmzulegen, damit dem Betreiber ein möglichst grosser Schaden entsteht. Ein solcher Hack wird in der Regel sehr schnell erkannt und man kann unverzüglich Gegenmassnahmen ergreifen. Häufiger gehen Hacker aber viel vorsichtiger vor, sie schleusen am Betreiber vorbei unbemerkt Schadcode ins System und versuchen die Webseite so zu kompromittierten, um mit dem eingeschleusten Schadcode in irgend einer Form einen Gewinn erzielen zu können. Geschickt getarnt verstecken Sie in der kompromittierten Webseite Schadcode, welcher beispielsweise unbemerkt Werbebanner ausliefert, welche einen kleinen Gewinn für den Hacker erwirtschaften. Bei einem solchen Hack kann es Monate dauern, bis dieser erkannt wird.

WordPress nach einem erfolgreichen Hacker-Angriff wiederherstellen

Wie einführend erwähnt, kann ein erfolgreicher Hacker-Angriff monatelang unbemerkt bleiben. Deswegen ist es oft beinahe unmöglich, die ausgenutzte Schwachstelle später noch genau zu identifizieren. Es reicht deshalb oft nicht aus, nur einzelne Schritte dieser Anleitung zu befolgen. Beachten Sie folgenden Grundsatz: Kann die Schwachstelle nicht eindeutig identifiziert werden, müssen zwingend alle Schritte dieser Anleitung befolgt werden.

1. Default Theme aktivieren

Der Wiederherstellungsprozess gestaltet sich mit dem Default Theme wesentlich einfacher. Aktivieren oder installieren Sie deshalb unter Design -> Themes das Default Theme von WordPress.

2. Alle Kennwörter ändern

Nachdem wir nun wissen, dass wir die Schwachstelle oft nicht eindeutig identifizieren können, müssen wir zuerst alle Passwörter zurücksetzen. Ab diesem Zeitpunkt gelten alle identischen Benutzername-Passwort-Kombinationen als unsicher. Falls Sie das kompromittierte Passwort mehrfach verwendet haben, ändern Sie es umgehend auch an allen anderen Stellen, wo es verwendet wurde. Folgende Kennwörter müssen Sie in jedem Fall zwingend ändern: Datenbank Passwort, FTP Passwort, alle WordPress Passwörter für alle Accounts.

3. User Tabelle in Datenbank prüfen

Prüfen Sie direkt in der Datenbank (z.B. mit phpMyAdmin) die Einträge in der Tabelle wp_users und stellen Sie sicher, dass dort nur bekannte Benutzer existiern und keine unbekannten Admin-Accounts vorhanden sind, die der Hacker möglicherweise ohne Ihr Wissen hinzugefügt hat.

4. Schalten Sie die gehackte Webseite offline

Verbinden Sie sich per FTP mit Ihrem Webhosting und bennen Sie das gesamte Wurzelverzeichnis der Webseite um. Fügen Sie beispielsweise dem Verzeichnisnamen den Zusatz _hacked hinzu. Ihr Verzeichnis heisst dann etwas wie: domain.com_hacked.

Ihre Webseite ist nun komplett offline.

5. WordPress neu installieren

Laden Sie von der offiziellen Webseite wordpress.org ein garantiert frisches WordPress herunter und kopieren Sie den Ordnerinhalt genau wie bei einer Neuinstallation auf den Webserver des Hosting-Anbieters. In unserem Beispiel installieren wir WordPress zurück in das ursprüngliche Verzeichnis domain.com. Die kompromittierte Webseite befindet sich weiterhin unter domain.com_hacked. Das lassen wir vorerst auch so.

6. wp-config.php neu generieren

In der Vergangenheit hat Schadcode auch schon die Datei wp-config.php kompromittiert. Deshalb sollten nur erfahrene Systemadministratoren die Datei wp-config.php von der komprimittierten Webseite aus dem Verzeichnis domain.com_hacked für die Neuinstallation wiederverwenden. Achten Sie in jedem Fall innerhalb der Datei wp-config.php besonders auf Base64 codierte Stellen. Diese gehören nicht in die Datei wp-config.php und könnten den besagten Schadcode enthalten.

Haben Sie nie wissentlich manuelle Änderungen an der Datei wp-config.php vorgenommen, können Sie diese durch WordPress neu generieren lassen. Öffnen Sie den Browser und rufen Sie Ihre Webseite unter domain.com auf. Sie sehen die berühmte 5-Minuten-Installation. Sie können nun den Installationsprozess erneut durchlaufen, tragen Sie die Zugangsinformationen zur bestehende Datenbank und das neue Passwort ein. WordPress erkennt, dass bereits eine Installation vorhanden ist und wird keine Änderungen an der bestehenden Datenbank vornehmen, sondern erstellt nur die fehlende Datei wp-config.php.

Ergänzen Sie die Datei wp-config.php um allenfalls nötige manuelle Einträge.

7. Theme neu installieren

Weil sich Schadcode gerne auch in Themes versteckt, müssen Sie das Theme zwingend komplett neu installieren. Installieren Sie es direkt aus dem Theme-Repository von WordPress oder laden Sie es von einer vertrauenswürdigen Quelle erneut herunter und installieren Sie es manuell via FTP-Upload. Verwenden Sie nie Themes aus unsicheren Quellen oder sogenannte nulled oder gehackte Themes.

Auch wenn Sie das Theme neu installieren, bedeutet dies nicht, dass Sie die Einstellungen verlieren oder das Theme neu konfigurieren müssen. Alle von Ihnen vorgenommenen Änderungen bleiben auch nach einer Neuinstallation erhalten.

8. Plugins neu installieren

Schadcode versteckt sich auch gerne in Plugins. Installieren Sie die Plugins direkt aus dem Plugin-Repository von WordPress oder laden Sie diese von einer vertrauenswürdigen Quelle erneut herunter und installieren Sie die Plugins manuell via FTP-Upload. Verwenden Sie nie Plugins aus unsicheren Quellen oder sogenannte nulled oder gehackte Plugins.

Auch wenn Sie die Plugins neu installieren, bedeutet dies nicht, dass Sie die Einstellungen verlieren oder die Plugins neu konfigurieren müssen. Alle von Ihnen vorgenommenen Änderungen bleiben auch nach einer Neuinstallation erhalten.

9. Uploads kopieren

Zuletzt müssen Sie noch vorher getätigte Uploads wie Bilder und Dokumente zurück kopieren.

Sie finden die zuvor hochgeladenen Dateien wie Bilder oder andere Mediendateien im Verzeichnis der alten, gehackten Installation. Die Dateien befinden sich im Verzeichnis domain.com_hacked/wp-content/uploads

Kopieren Sie diese Dateien nach domain.com/wp-content/uploads (neu installiertes WordPress).

10. Fertig

Wenn alles richtig ist, sollte Ihre neu installierte WordPress-Webseite jetzt mit Ihrer alten Datenbank und allen Ihren alten Daten geladen werden.