WordPress-Webseiten sind häufig unter Beschuss durch Hacker und Script-Kiddies. Und nicht selten sind sie erfolgreich und kompromittieren eine Webseite. Und ebenso nicht selten werden diese Webseiten von Google aus dem Index geworfen um den Schaden zu minimieren. Was kann man aber tun, wenn die eigene WordPress-Seite gehackt wurde? (Stand 10.04.2024)
Inhaltsverzeichnis:
Warum und wie werden WordPress-Webseiten gehackt?
Es ist passiert: Der Virenscanner oder der Browser haben auf der eigenen Webseite angeschlagen und vor Viren gewarnt. Wie kann das sein? Dabei ist die Seite doch ganz neu und niemand kennt sie. Wieso sollte sie also von einem Hacker angegriffen werden? Viele wissen nicht, dass es Hacker oder sogenannte Script-Kiddies gar nicht auf einzelne Webseiten abgesehen haben, sondern nur mit fiesen Tools versuchen massenweise Webseiten zu infizieren. Dabei gehen sie so vor, dass sie automatisch Webseiten angreifen, die bestimmte Sicherheitslücken nicht gestopft haben. Ist die Seite dann infiziert (wenn man sich nicht sicher ist, kann man das zB mit Sucuri testen oder findet hier sichere Anzeichen, dass WordPress gehackt wurde), verteilt sie beispielsweise Malware (Schadsoftware wie Viren oder Trojaner) an die Besucher der Webseite oder wird für SPAM-Versand mißbraucht.
Maßnahmen für gehackte WordPress-Webseiten
1. Backup ziehen und die Seite offline nehmen
Als allererstes stellt man die Webseite offline und sichert sich den aktuellen Stand der Webseite. Auch wenn diese infiziert ist, sollte man das tun, da man später daran herumdoktort und eine Beweissicherung ja auch ratsam ist. Wer weiß, ob man nicht doch einmal irgendwelche Schadensersatzansprüche anmelden möchte.
2. Rechner prüfen
Dann stellt man sicher, dass es nicht der eigene Rechner war, der die Sicherheitslücke aufwies. Hat man einen mit Trojanern infizierten Rechner, ist es durchaus möglich, dass ein Hacker Passwörter ausspäht und diese dann für die Infizierung nutzt. Meine Empfehlung:
- Prüfen Sie Ihren Rechner (UND die Rechner anderer Personen, die mit WordPress, der Datenbanken oder FTP des Webservers arbeiten) mit einem Virenscanner (Empfehlung: AVG oder Avast)
- Laden Sie die Kaspersky Rescue Disc herunter und prüfen Sie mit Hilfe dieser zusätzlich, ob Ihr eigener Rechner infiziert ist. Nur mit einem zweifelsfrei sauberen Rechner sollte man fortsetzen.
- Installieren Sie Sandboxie: Mit Hilfe einer Sandbox können Sie den Browser in einer Art Sicherheitskapsel betreiben. Werden weiterhin Viren ausgeliefert, sind diese in der Sandbox gefangen, bis die Sandbox gelöscht wurde.
Alternative: Verwenden eines MacBooks oder einer Linux Distribution. Diese werden seltenst angegriffen und sind eher weniger anfällig gegen die verteilte Schadsoftware.
3. Ändern ALLER Passwörter
Sie wissen nicht, ob nicht doch jemand im Besitz Ihrer Passwörter ist. Ändern Sie daher ALLE Passwörter:
- Passwörter von WordPress-Benutzern
- Sämtliche FTP-Passwörter
- Passwörter aller MySQL Datenbanken
- Masterpasswort des Webhosters
Erst wenn alle Passwörter geändert wurden, kann man davon ausgehen, dass Unbefugte über diesen Weg keinen Zugriff haben.
4. Einrichten von SFTP
Verschlüsseln Sie künftige Datenübertragungen mit einem sicheren SFTP Zugang. Diesen können Sie bei Ihrem Webhoster erfragen oder direkt dort im Backend einrichten. Speichern Sie wenn möglich die Passwörter NICHT!
5. Lokalisieren des Angriffs
Versuchen Sie herauszufinden, wo der Angreifer gewirkt hat. Welche Files wurden hochgeladen oder geändert? Häufig werden Dateien, wie die index.php im Root oder die header.php im Theme-Ordner geändert und mit Schadcode versehen. Suchen Sie dort nach Texten wie „base64“ oder „eval“. Sie können auch Plugins verwenden (z.B. Wordfence) um Änderungen der WordPress-Core-Files zu untersuchen.
6. WordPress neu hochladen oder Backup zurückspielen
Können Sie den Angriff eingrenzen (wo und wann wurde geändert), wissen Sie evtl. auch schon, ob es reicht den WordPress-Core neu hochzuladen oder ob Sie ein Backup zurückspielen können.
WordPress und Plugins neu hochladen
Laden Sie die Ordner wp-admin, wp-include erneut hoch und überschreiben die alte Version. Laden Sie ebenso alle Dateien im WordPress-Root neu hoch, außer die .htaccess und die wp-config.php (diese könnten übrigens auch angegriffen worden sein, dann auch diese bereinigen).
Es sollte auch geprüft werden, ob alle Updates aller Bestandteile eingespielt wurden. Und prüfen ob überhaupt noch alle Plugins und Themes Updates erhalten. Wenn nein, veraltet das System und Sicherheitslücken sind vorhanden.
Backup restoren
Wissen Sie wann der Angriff stattgefunden hat (z.B. durch Änderungsdatum und -zeit von kompromittierten Dateien), können Sie auch ein Backup wiedereinspielen. Aber natürlich nur, wenn Sie ein Backup beim Webhoster oder selber eingerichtet haben und kein Datenverlust die Folge wäre.
7. Theme prüfen auf Schadcode
Ist der WordPress-Core sauber, sollten Sie das Theme prüfen. Schauen Sie auf Änderungszeiten, die komisch wirken (z.B. wenn mitten in der Nacht Dateien geändert wurden). Und prüfen Sie auf seltsamen Code („base64“, „iframe“, „eval“). Bereinigen Sie alles, was Sie finden. Spielen Sie im Notfall ein Backup zurück.
8. Sicherheitsmaßnahmen durchführen
Ist Ihre Seite einmal gehackt worden, kann es immer wieder passieren. Stellen Sie daher sicher, dass Sie alle Sicherheitsvorkehrungen getroffen haben, die Sie leisten können. Lassen Sie sich notfalls professionell beraten. Bei Durchführung der Sicherheitsmaßnahmen sollte man die Sicherheitsschlüssel erneuern, so dass die Authentifizierungs-Cookies neu erstellt werden.
Absichern von WordPress, nach und vor dem Hack
Sollte die Webseite gehackt sein, dann lässt man am besten einen Profi ran, der sich damit auskennt. Es gibt immer wieder neue Angriffspunkte, Schwachpunkte, Sicherheitslücken, die man kennen muss, damit man eine kompromittierte Webseite wieder in den sauberen Zustand bringen kann. Und danach, muss die Webseite so aufgestellt werden, dass sie wenn möglich nicht mehr erneut gehackt wird. Auch das macht am besten ein Profi. Oder man arbeitet gute Listen an Securitymaßnahmen für WP ab.
Alternativ setzt man auf Anbieter wie Sucuri, die durch eine der Webseite vorgeschaltete Firewall schon die meisten Angriffe abfangen, bevor sie überhaupt die Webseite erreichen. Sucuri ist hier der bekannteste und beste Service, den ich selber auch einsetze bei Kundenprojekten. Gerade wer abhängig vom Erfolg der eigenen Webseite ist, für den ist dieser Service das Geld (fängt bei 199$ pro Jahr an) wert. Sicherer geht es kaum!
Andere Gründe, warum Webseiten gehackt werden
Nicht immer ist WordPress oder die eigene Webseite der Grund für den Hack. Folgende Einfallstore sind ebenso denkbar:
Sie betreiben weitere Webseiten die gefährdet sind
Viele betreiben auf ihren Webspaces mehrere Webseiten. Prüfen Sie daher ALLE Ihre Webseiten auf mögliche Sicherheitslücken. Wurde auch auf anderen Webseiten Schadcode eingeschleust? Dann sind evtl. diese der Grund allen Übels. Gehen Sie bei diesen Webseiten genauso vor wie bei der WordPress-Webseite. Verwenden Sie andere Content Management Systeme, sollten Sie sich hier spezielle Hilfe suchen oder die passende Quelle im Internet suchen.
Der Webserver ist nicht sauber eingerichtet
Kein Server im Internet ist 100% sicher. Dennoch gibt es viele Maßnahmen die getroffen werden können, damit der Webserver als solches als Ursache eines Hacks unwahrscheinlich wird. Beispielsweise könnte man mit einer Web Application Firewall klassische Angriffsformen filtern. Lassen Sie sich professionell beraten, wenn Sie einen eigenen Webserver betreiben, aber Ihr Know How nicht 100% ausreicht. Suchen Sie alternativ einen guten Webspace-Anbieter wie All-Inkl.
Andere betreiben Webseiten die gefährdet sind auf dem Webspace
Ist der Webserver nicht sauber eingerichtet, kann evtl. ein Hacker von einer gehackten Webseite auf andere Webseiten überspringen. Das wird normalerweise durch das Setzen eines Base Dir unterbunden.
Anfällige Werbe-Server
Desöfteren ist vorgekommen, dass Webseiten Schadsoftware über Flash-Werbung verteilt haben. Das heißt, dass der Grund gar nicht bei der Webseite selber, sondern dem Anbieter der Werbung zu suchen ist. Stellen Sie also sicher, dass der Ad-Anbieter mit sicheren Servern arbeitet.
Erfolgreiche Brute-Force-Angriffe wegen zu schlechter Passwörter
Bei sogenannten Brute-Force-Angriffen verwenden Hacker einen Hochleistungsrechner, um Passwörter zu knacken. Das bedeutet konkret: Durch einen speziellen Algorithmus werden verschiedenste Zeichenabfolgen überprüft. Folgende Maßnahmen können Sie ergreifen, um sich vor Brute-Force-Angriffen wirksam schützen zu können:
- umsichtiges Vorgehen bei der Festlegung von Passwörtern
- Anmeldung per RSA-Authentifizierung über einen SSH-Key
- Anpassung des Zeitraums zwischen möglichen Login-Versuchen
Eine Vielzahl von Variablen im Passwort ist die Basis, um die erfolgreiche Umsetzung der Brute-Force-Methode zu verhindern. Im Idealfall nutzen Sie demzufolge die mögliche Maximallänge vollständig aus und verwenden sowohl Buchstaben als auch Zahlen. Des Weiteren gilt es Sonderzeichen sowie Unterschiede in Bezug auf die Groß- und Kleinschreibung zu integrieren.
Profi-Tipp
Die Security deiner Website hängt natürlich von der Konfiguration und vom generellen Setup deiner Website ab. Das Theme, die Plugins und WordPress selbst sind aktuell zu halten, um Sicherheitslücken zu schließen. Mit Firewall-Regeln und entsprechenden Security-Plugins lassen sich viele Angriffe abfangen. Ein guter Hoster kann dabei helfen und auch noch weitere Sicherheitsebenen einziehen, die schon vor dem Aufruf der Website greifen. Hier habe ich dir die besten deutschen WordPress Hoster zusammengestellt. Und wenn du auf der Suche nach einem spezialisierten WordPress Hoster bist, der auch das Thema Sicherheit vollumfänglich bedient, dann empfehle ich dir meinen Testbericht zu HostPress.
Danny
Würde zudem NinjaScanner empfehlen zum regelmäßigen Scannen auf Malware. Passend dazu dann noch NinjaFirewall zum Schutz gegen externe angriffe.
Luis
Es ist auf jeden Fall sehr wichtig, WordPress-Websites ständig aktuell zu halten, zu backupen und sichere Passwörter zu vergeben – das ist schon die halbe Miete!
Ich bin aber der Meinung, dass gerade kleine Unternehmen nicht zwangsläufig immer auf WordPress setzen sollten. Da gibt es doch deutlich bessere, weniger wartungsintensive und auch sicherere Alternativen.
Karl
Tja,.. ich wurde offenbar gehackt. Ich flog aus dem Google Index,.. meine Sitemaps sind nicht mehr erreichbar,. meine Fotos werden bei Google blockiert,. ich habe angeblich nur noch 4 Seiten,. aber es sindmehr als 700.
Ich war bei Google immer Platz 1 in meiner Kategorie,.. in NRW,. und nun ?? Nicht mehr auffindbar oder vorletzte Seite.
Wer kann hier mir helfen ?
Ich weiss nicht mal ob ich gehackt wurde.
Wurde hier eventuell die Suchmaschine Google Blockiert ?
Ich habe echt 0 Ahnung.
Gruß Karl
René Dasbeck Post author
Am besten mal bei spezaisierten Security Agenturen schauen. Evtl. bei Sucuri anfragen.
Tharsan
Ich denke, man kann mit wenigen Handgriffen, eine WordPress Seite wesentlich sicherer machen. Ganz lösen, lässt es sich sehr wahrscheinlich nicht und wenn jemand deine Seite hacken will, wird er / sie auch einen Weg finden. Aber man kann es einem ja schwerer machen 😉
Pascal
Im WordPress Bereich würde ich Wordfence Sucuri klar vorziehen. Wirksam in Sachen Echtzeit-Schutz sind sie sicherlich beide.
Aber die Funktionsweise der Firewall finde ich bei Wordfence überzeugender – es sind keine Anpassungen der Domain DNS Einträge nötig. Sprich der Traffic läuft hier nicht komplett über einen US-Proxy (könnte auch SEO Auswirkungen haben?), sondern „nur“ durch die Firewall.
Lea Mailar
Wir haben aktuell ein Problem.
Mal schauen ob es funktioniert.
Vielen Dank!
Lea
Rene Becker
Nur zur Info: Hier werden Plugins (AntiVirus) zur Abwehr empfohlen, die schon seit 3 Jahren nicht mehr aktualisiert wurden!
René Dasbeck Post author
Danke für den Hinweis Rene. Das habe ich wohl übersehen. Wenngleich AntiVirus weiterhin seine Arbeit verrichtet. Dennoch richtig…besser deaktivieren um kompatibel zu bleiben.
Sixhop
Was für ein schöner Blog.