WordPress wurde gehackt. Was tun?

WordPress-Webseiten sind häufig unter Beschuss durch Hacker und Script-Kiddies. Und nicht selten sind sie erfolgreich und kompromittieren eine Webseite. Und ebenso nicht selten werden diese Webseiten von Google aus dem Index geworfen um den Schaden zu minimieren. Was kann man aber tun, wenn die eigene WordPress-Seite gehackt wurde? (Stand 16.09.2015)
Wordpress gehackt. Was kann ich tun?

Warum und wie werden WordPress-Webseiten gehackt?

Es ist passiert: Der Virenscanner oder der Browser haben auf der eigenen Webseite angeschlagen und vor Viren gewarnt. Wie kann das sein? Dabei ist die Seite doch ganz neu und niemand kennt sie. Wieso sollte sie also von einem Hacker angegriffen werden? Viele wissen nicht, dass es Hacker oder sogenannte Script-Kiddies gar nicht auf einzelne Webseiten abgesehen haben, sondern nur mit fiesen Tools versuchen massenweise Webseiten zu infizieren. Dabei gehen sie so vor, dass sie automatisch Webseiten angreifen, die bestimmte Sicherheitslücken nicht gestopft haben. Ist die Seite dann infiziert (wenn man sich nicht sicher ist, kann man das zB mit Sucuri testen ), verteilt sie beispielsweise Malware (Schadsoftware wie Viren oder Trojaner) an die Besucher der Webseite oder wird für SPAM-Versand mißbraucht.

Maßnahme für gehackte WordPress-Webseiten

1. Backup ziehen und die Seite offline nehmen

Als allererstes stellt man die Webseite offline und sichert sich den aktuellen Stand der Webseite. Auch wenn diese infiziert ist, sollte man das tun, da man später daran herumdoktort und eine Beweissicherung ja auch ratsam ist. Wer weiß, ob man nicht doch einmal irgendwelche Schadensersatzansprüche anmelden möchte.

2. Rechner prüfen

Dann stellt man sicher, dass es nicht der eigene Rechner war, der die Sicherheitslücke aufwies. Hat man einen mit Trojanern infizierten Rechner, ist es durchaus möglich, dass ein Hacker Passwörter ausspäht und diese dann für die Infizierung nutzt. Meine Empfehlung:

  • Prüfen Sie Ihren Rechner (UND die Rechner anderer Personen, die mit WordPress, der Datenbanken oder FTP des Webservers arbeiten) mit einem Virenscanner (Empfehlung: AVG oder Avast)
  • Laden Sie die Kaspersky Rescue Disc herunter und prüfen Sie mit Hilfe dieser zusätzlich, ob Ihr eigener Rechner infiziert ist. Nur mit einem zweifelsfrei sauberen Rechner sollte man fortsetzen.
  • Installieren Sie Sandboxie: Mit Hilfe einer Sandbox können Sie den Browser in einer Art Sicherheitskapsel betreiben. Werden weiterhin Viren ausgeliefert, sind diese in der Sandbox gefangen, bis die Sandbox gelöscht wurde.

Alternative: Verwenden eines MacBooks oder einer Linux Distribution. Diese werden seltenst angegriffen und sind eher weniger anfällig gegen die verteilte Schadsoftware.

3. Ändern ALLER Passwörter

Sie wissen nicht, ob nicht doch jemand im Besitz Ihrer Passwörter ist. Ändern Sie daher ALLE Passwörter:

  • Passwörter von WordPress-Benutzern
  • Sämtliche FTP-Passwörter
  • Passwörter aller MySQL Datenbanken
  • Masterpasswort des Webhosters

Erst wenn alle Passwörter geändert wurden, kann man davon ausgehen, dass Unbefugte über diesen Weg keinen Zugriff haben.

4. Einrichten von SFTP

Verschlüsseln Sie künftige Datenübertragungen mit einem sicheren SFTP Zugang. Diesen können Sie bei Ihrem Webhoster erfragen oder direkt dort im Backend einrichten. Speichern Sie wenn möglich die Passwörter NICHT!

5. Lokalisieren des Angriffs

Versuchen Sie herauszufinden, wo der Angreifer gewirkt hat. Welche Files wurden hochgeladen oder geändert? Häufig werden Dateien, wie die index.php im Root oder die header.php im Theme-Ordner geändert und mit Schadcode versehen. Suchen Sie dort nach Texten wie „base64“ oder „eval“. Sie können auch Plugins verwenden (z.B. Wordfence) um Änderungen der WordPress-Core-Files zu untersuchen.

6. WordPress neu hochladen oder Backup zurückspielen

Können Sie den Angriff eingrenzen (wo und wann wurde geändert), wissen Sie evtl. auch schon, ob es reicht den WordPress-Core neu hochzuladen oder ob Sie ein Backup zurückspielen können.

WordPress neu hochladen

Laden Sie die Ordner wp-admin, wp-include erneut hoch und überschreiben die alte Version. Laden Sie ebenso alle Dateien im WordPress-Root neu hoch, außer die .htaccess und die wp-config.php (diese könnten übrigens auch angegriffen worden sein, dann auch diese bereinigen).

Backup restoren

Wissen Sie wann der Angriff stattgefunden hat (z.B. durch Änderungsdatum und -zeit von kompromittierten Dateien), können Sie auch ein Backup wiedereinspielen. Aber natürlich nur, wenn Sie ein Backup beim Webhoster oder selber eingerichtet haben und kein Datenverlust die Folge wäre.

7. Theme prüfen auf Schadcode

Ist der WordPress-Core sauber, sollten Sie das Theme prüfen. Schauen Sie auf Änderungszeiten, die komisch wirken (z.B. wenn mitten in der Nacht Dateien geändert wurden). Und prüfen Sie auf seltsamen Code („base64“, „iframe“, „eval“). Bereinigen Sie alles, was Sie finden. Spielen Sie im Notfall ein Backup zurück.

8. Sicherheitsmaßnahmen durchführen

Ist Ihre Seite einmal gehackt worden, kann es immer wieder passieren. Stellen Sie daher sicher, dass Sie alle Sicherheitsvorkehrungen getroffen haben, die Sie leisten können. Lassen Sie sich notfalls professionell beraten. Bei Durchführung der Sicherheitsmaßnahmen sollte man die Sicherheitsschlüssel erneuern, so dass die Authentifizierungs-Cookies neu erstellt werden.

9. Über künftige Hacks rechtzeitig informieren lassen

Das Plugin WordPress Antivirus prüft Google Safe Browsing, ob die eigene Webseite Malware oder Phishing Inhalte ausliefert. So kann man rechtzeitig reagieren, bevor die Seite für immer aus dem Google Index verschwindet. Wordfence prüft Dateien der Webseite auf Änderungen. So hat man die Einschleusung von Schadcode rechtzeitig entdeckt.

Andere Gründe, warum Webseiten gehackt werden

Nicht immer ist WordPress oder die eigene Webseite der Grund für den Hack. Folgende Einfallstore sind ebenso denkbar:

Sie betreiben weitere Webseiten die gefährdet sind

Viele betreiben auf ihren Webspaces mehrere Webseiten. Prüfen Sie daher ALLE Ihre Webseiten auf mögliche Sicherheitslücken. Wurde auch auf anderen Webseiten Schadcode eingeschleust? Dann sind evtl. diese der Grund allen Übels. Gehen Sie bei diesen Webseiten genauso vor wie bei der WordPress-Webseite. Verwenden Sie andere Content Management Systeme, sollten Sie sich hier spezielle Hilfe suchen oder die passende Quelle im Internet suchen.

Der Webserver ist nicht sauber eingerichtet

Kein Server im Internet ist 100% sicher. Dennoch gibt es viele Maßnahmen die getroffen werden können, damit der Webserver als solches als Ursache eines Hacks unwahrscheinlich wird. Beispielsweise könnte man mit einer Web Application Firewall klassische Angriffsformen filtern. Lassen Sie sich professionell beraten, wenn Sie einen eigenen Webserver betreiben, aber Ihr Know How nicht 100% ausreicht. Suchen Sie alternativ einen guten Webspace-Anbieter wie All-Inkl.

Andere betreiben Webseiten die gefährdet sind auf dem Webspace

Ist der Webserver nicht sauber eingerichtet, kann evtl. ein Hacker von einer gehackten Webseite auf andere Webseiten überspringen. Das wird normalerweise durch das Setzen eines Base Dir unterbunden.

Anfällige Werbe-Server

Desöfteren ist vorgekommen, dass Webseiten Schadsoftware über Flash-Werbung verteilt haben. Das heißt, dass der Grund gar nicht bei der Webseite selber, sondern dem Anbieter der Werbung zu suchen ist. Stellen Sie also sicher, dass der Ad-Anbieter mit sicheren Servern arbeitet.

Erfolgreiche Brute-Force-Angriffe wegen zu schlechter Passwörter

Bei sogenannten Brute-Force-Angriffen verwenden Hacker einen Hochleistungsrechner, um Passwörter zu knacken. Das bedeutet konkret: Durch einen speziellen Algorithmus werden verschiedenste Zeichenabfolgen überprüft. Folgende Maßnahmen können Sie ergreifen, um sich vor Brute-Force-Angriffen wirksam schützen zu können:

Eine Vielzahl von Variablen im Passwort ist die Basis, um die erfolgreiche Umsetzung der Brute-Force-Methode zu verhindern. Im Idealfall nutzen Sie demzufolge die mögliche Maximallänge vollständig aus und verwenden sowohl Buchstaben als auch Zahlen. Des Weiteren gilt es Sonderzeichen sowie Unterschiede in Bezug auf die Groß- und Kleinschreibung zu integrieren.

Das Sicherheitssystem SecurID von RSA ist ebenfalls effektiv gegen virtuelle Brute-Force-Attacken. Der zugehörige Token generiert im Minutentakt temporäre Codes und in Kombination mit dem zusätzlichen RSA-Passwort können Sie den Schutz maximieren. Ergänzend sollten Sie die Zeitspanne zwischen den möglichen Login-Versuchen vergrößern, um die Hochleistungsrechner der Hacker ausbremsen zu können.

English visitors find an english version of this article My WordPress website has been hacked. What can i do?.

25 Kommentare

  1. Marcus sagt:

    Vielen Dank für den hilfreichen Artikel. Oft hilft ein gutes Antivirenprogramm schon im Ansatz. Wenn der Virus dann immer noch auf dem PC sein sollte, muss man dringend einen Experten aufsuchen.

  2. anna sagt:

    In meinen E-mails hat sich jemand eingehäckt, ich hab auch einen Verdacht wer.Aber kann ich herausfinden wer es wirklich war?

    • Das geht wohl meist wirklich nur über die Kripo und in Zusammenarbeit mit dem Mailhoster. Aber ehrlich gesagt würde ich da wenig Hoffnung darauf verschwenden, außer es handelt sich um was ganz Schwerwiegendes…

  3. Peter Wiegand sagt:

    Danke für Artikel. Haben ihn durch Bing gefunden. Mir ist das selbe passiert. Plötzlich war meine Webseite gehackt. Ich habe hier von einer Sicherheitsfirma ein Werkzeug gefunden das kostenlos ist und sicher dem einen oder anderem Helfen wird.

    Mit hat es geholfen.

    https://www.dotcomsecurity.de/wordpress-antihacking/

  4. Andreas sagt:

    Bin in der Googlesuche direkt auf diesen Artikel gestossen. Der hat mir viel Zeit gespart. Top!

  5. Christopher sagt:

    Um sich am besten vor hackern zu schützen, rate ich jeden: 1. Ein FTP Backup regelmäßig runterzuladen 2. Ein SQL Backup regelmäßig runterzuladen 3. Ein Passwort wählen mit mind 8 Zeichen in Form von ( Groß und Kleinbuchstaben + Zahlen). Wer diese Schritte befolgt hat nichts zu befürchten.

  6. ionas sagt:

    Hallo zusammen,
    danke für den super Artikel. Ich vermisse jedoch den Verweis auf ein ziemlich cooles Tool um für die Zukunft sein WordPress abzusichern. Es nennt sich fail2ban und ermöglicht, dass zu viele Zugriffe von der gleichen IP zu einer automatischen Blockierung dieser IP für einen gewissen Zeitraum führen.
    Ich habe eine Anleitung geschrieben, wie man WordPress mit fail2ban absichert und würde mich freuen, wenn ich den Link hier teilen dürfte.
    https://www.ionas-server.com/blog/fail2ban-schutz-vor-brute-force-angriffen/

    Danke und Gruß
    Christoph

  7. tuhipoka sagt:

    eine gute methode schnell über unerwünschte aktivitäten auf dem ftp-server informiert zu werden ist das ftp-monitoring. dieses verhindert zwar keinen erfolgreichen angriff aber änderungen werden protokolliert und zeitnah mitgeteilt. siehe auch http://wamane.de/index.php/34-mittels-ftp-monitoring-koennen-sie-ihren-ftp-server-ueberwachen

  8. Ady sagt:

    Dazu habe ich auch Interessante Informationen:
    http://www.dotcomsecurity.de/2015/01/14/hacker-legen-webseite-lahm-serverbetreiber-schuetzt-sich/
    Danke für deine Beitrage, die sind immer sehr Informativ!

  9. Tina sagt:

    Hallo, was ist mit setzen eines Base Dir gemeint?

    Danke

    • Man kann bei einem Webserver einstellen, in welchem Verzeichnis ein User sein root hat. Das heißt er und die Anwendung ist quasi dort gefangen und kann diese Hürde nicht überspringen.

  10. Christian sagt:

    Schöner Artikel, danke.

    Wie aber kann man die Passwörter in der Datenbank ändern? In meinem Fall ist das Backend der Site gehackt worden und ich habe nur noch Zugriff auf die Datenbank von WP über das Admin-Tool des Providers.

    Any idea?

    Gruß
    Christian

  11. Danke für deine erstklasssigen Infos. Ich habe ebenfalls ein Projekt gestartet und werde jetzt auch versuchen ein Backup meiner Seite zu erstellen… für den Fall der Fälle. Man weiß ja nie…

  12. Marco sagt:

    Super Artikel! Für den Fall das es mal passieren sollte, bin ich gut vorbereitet. Seite ich jetzt unter den Favoriten gespeichert. Vielen vielen Dank!

  13. Yvonne sagt:

    Hallo,
    Danke für die Zusammenfassung!
    Meine Joomla seite wurde schon gehackt, dachte mir, das es bei WordPress nicht anders sein wird.
    Bei Joomla sollte man die Seite gleich offline nehmen und auf eine neue Version migriren 😉

    Grüße Yvonne

  14. Ar-City sagt:

    Meiner Schwerster wurde ihr WordPress-Homepage gehackt. Wir haben es sehr spät erkannt, Laien halt, und zudem hatten wir auch kein Backup. Habe in erster Linie versucht selber die Homepage zu beseitigen, da bin ich schnell an die Grenzen gestoßen. Dann in WordPress-Communities gefragt, wurde mehr oder weniger etwas geholfen, hat mich aber nicht jetzt besonders weiter gebracht. Anschließend habe ich doch ein Kumpel gefragt der dann per Entgeld die Homepage einigermaßen bereinigt hat. Die Homepage hat immer noch sicherlich irgendwo Schadcodes und müsste richtig mal neu aufgesetzt werden.

    Es ist schwrieger als vermutet so eine Seite zu „retten“ vor allem wenn man auch kein Backup dazu hat.

    Übrigens binich die meisten Schritte durchgegangen, uns hat leider diese Schritte nicht viel weitergeholfen, es war aber gut damit zumindest nicht weitere Angriffe vorgenommen werden konnte.

  15. Mustafa sagt:

    Super Artikel, ich speichere mal den Artikel als Lesezeichen für den Notfall.

  16. Torsten sagt:

    Schöne Variante der englischen Codex-Seite:
    http://codex.wordpress.org/FAQ_My_site_was_hacked

    Den Hinweis auf das Neu-Setzen der Sicherheitsschlüssel würde ich auch noch ergänzen. Damit macht man die Login-Cookies ungültig. Falls der Angreifer noch eingeloggt sein sollte …

    Und bei Punkt 6 müsste es „könnten“ heißen, denn neben der wp-config.php kann natürlich auch die htaccess infiziert/geändert worden sein.

    Gute Zusammenfassung!

  17. Carsten sagt:

    Hallo René, schöner Überblick.
    Bei mir ist Punkt 1 allerdings, auch wenn es klar sein sollte: Die Seite sofort offline nehmen!
    Da häufig zwischen dem eigentlichen Hack und dem Bemerken desselben einige Zeit vergeht, 6-8 Wochen habe ich auch schon erlebt, bitte auch alle BackUps die ihr zurückspielen wollt, doppelt und dreifach kontrollieren, die könnten auch schon verseucht sein.

Kommentar schreiben

* Notwendige Angaben

Netzgänger Webdesign | Schlehenweg 7 in Büchenbach | Bayern
Kontakt: info@netz-gaenger.de |
↑ oben
Inhalt