WordPress-Webseiten sind häufig unter Beschuss durch Hacker und Script-Kiddies. Und nicht selten sind sie erfolgreich und kompromittieren eine Webseite. Und ebenso nicht selten werden diese Webseiten von Google aus dem Index geworfen um den Schaden zu minimieren. Was kann man aber tun, wenn die eigene WordPress-Seite gehackt wurde? (Stand 21.08.2023)
Inhaltsverzeichnis:
Warum und wie werden WordPress-Webseiten gehackt?
Es ist passiert: Der Virenscanner oder der Browser haben auf der eigenen Webseite angeschlagen und vor Viren gewarnt. Wie kann das sein? Dabei ist die Seite doch ganz neu und niemand kennt sie. Wieso sollte sie also von einem Hacker angegriffen werden? Viele wissen nicht, dass es Hacker oder sogenannte Script-Kiddies gar nicht auf einzelne Webseiten abgesehen haben, sondern nur mit fiesen Tools versuchen massenweise Webseiten zu infizieren. Dabei gehen sie so vor, dass sie automatisch Webseiten angreifen, die bestimmte Sicherheitslücken nicht gestopft haben. Ist die Seite dann infiziert (wenn man sich nicht sicher ist, kann man das zB mit Sucuri testen oder findet hier sichere Anzeichen, dass WordPress gehackt wurde), verteilt sie beispielsweise Malware (Schadsoftware wie Viren oder Trojaner) an die Besucher der Webseite oder wird für SPAM-Versand mißbraucht.
Maßnahmen für gehackte WordPress-Webseiten
1. Backup ziehen und die Seite offline nehmen
Als allererstes stellt man die Webseite offline und sichert sich den aktuellen Stand der Webseite. Auch wenn diese infiziert ist, sollte man das tun, da man später daran herumdoktort und eine Beweissicherung ja auch ratsam ist. Wer weiß, ob man nicht doch einmal irgendwelche Schadensersatzansprüche anmelden möchte.
2. Rechner prüfen
Dann stellt man sicher, dass es nicht der eigene Rechner war, der die Sicherheitslücke aufwies. Hat man einen mit Trojanern infizierten Rechner, ist es durchaus möglich, dass ein Hacker Passwörter ausspäht und diese dann für die Infizierung nutzt. Meine Empfehlung:
- Prüfen Sie Ihren Rechner (UND die Rechner anderer Personen, die mit WordPress, der Datenbanken oder FTP des Webservers arbeiten) mit einem Virenscanner (Empfehlung: AVG oder Avast)
- Laden Sie die Kaspersky Rescue Disc herunter und prüfen Sie mit Hilfe dieser zusätzlich, ob Ihr eigener Rechner infiziert ist. Nur mit einem zweifelsfrei sauberen Rechner sollte man fortsetzen.
- Installieren Sie Sandboxie: Mit Hilfe einer Sandbox können Sie den Browser in einer Art Sicherheitskapsel betreiben. Werden weiterhin Viren ausgeliefert, sind diese in der Sandbox gefangen, bis die Sandbox gelöscht wurde.
Alternative: Verwenden eines MacBooks oder einer Linux Distribution. Diese werden seltenst angegriffen und sind eher weniger anfällig gegen die verteilte Schadsoftware.
3. Ändern ALLER Passwörter
Sie wissen nicht, ob nicht doch jemand im Besitz Ihrer Passwörter ist. Ändern Sie daher ALLE Passwörter:
- Passwörter von WordPress-Benutzern
- Sämtliche FTP-Passwörter
- Passwörter aller MySQL Datenbanken
- Masterpasswort des Webhosters
Erst wenn alle Passwörter geändert wurden, kann man davon ausgehen, dass Unbefugte über diesen Weg keinen Zugriff haben.
4. Einrichten von SFTP
Verschlüsseln Sie künftige Datenübertragungen mit einem sicheren SFTP Zugang. Diesen können Sie bei Ihrem Webhoster erfragen oder direkt dort im Backend einrichten. Speichern Sie wenn möglich die Passwörter NICHT!
5. Lokalisieren des Angriffs
Versuchen Sie herauszufinden, wo der Angreifer gewirkt hat. Welche Files wurden hochgeladen oder geändert? Häufig werden Dateien, wie die index.php im Root oder die header.php im Theme-Ordner geändert und mit Schadcode versehen. Suchen Sie dort nach Texten wie „base64“ oder „eval“. Sie können auch Plugins verwenden (z.B. Wordfence) um Änderungen der WordPress-Core-Files zu untersuchen.
6. WordPress neu hochladen oder Backup zurückspielen
Können Sie den Angriff eingrenzen (wo und wann wurde geändert), wissen Sie evtl. auch schon, ob es reicht den WordPress-Core neu hochzuladen oder ob Sie ein Backup zurückspielen können.
WordPress und Plugins neu hochladen
Laden Sie die Ordner wp-admin, wp-include erneut hoch und überschreiben die alte Version. Laden Sie ebenso alle Dateien im WordPress-Root neu hoch, außer die .htaccess und die wp-config.php (diese könnten übrigens auch angegriffen worden sein, dann auch diese bereinigen).
Es sollte auch geprüft werden, ob alle Updates aller Bestandteile eingespielt wurden. Und prüfen ob überhaupt noch alle Plugins und Themes Updates erhalten. Wenn nein, veraltet das System und Sicherheitslücken sind vorhanden.
Backup restoren
Wissen Sie wann der Angriff stattgefunden hat (z.B. durch Änderungsdatum und -zeit von kompromittierten Dateien), können Sie auch ein Backup wiedereinspielen. Aber natürlich nur, wenn Sie ein Backup beim Webhoster oder selber eingerichtet haben und kein Datenverlust die Folge wäre.
7. Theme prüfen auf Schadcode
Ist der WordPress-Core sauber, sollten Sie das Theme prüfen. Schauen Sie auf Änderungszeiten, die komisch wirken (z.B. wenn mitten in der Nacht Dateien geändert wurden). Und prüfen Sie auf seltsamen Code („base64“, „iframe“, „eval“). Bereinigen Sie alles, was Sie finden. Spielen Sie im Notfall ein Backup zurück.
8. Sicherheitsmaßnahmen durchführen
Ist Ihre Seite einmal gehackt worden, kann es immer wieder passieren. Stellen Sie daher sicher, dass Sie alle Sicherheitsvorkehrungen getroffen haben, die Sie leisten können. Lassen Sie sich notfalls professionell beraten. Bei Durchführung der Sicherheitsmaßnahmen sollte man die Sicherheitsschlüssel erneuern, so dass die Authentifizierungs-Cookies neu erstellt werden.
Absichern von WordPress, nach und vor dem Hack
Sollte die Webseite gehackt sein, dann lässt man am besten einen Profi ran, der sich damit auskennt. Es gibt immer wieder neue Angriffspunkte, Schwachpunkte, Sicherheitslücken, die man kennen muss, damit man eine kompromittierte Webseite wieder in den sauberen Zustand bringen kann. Und danach, muss die Webseite so aufgestellt werden, dass sie wenn möglich nicht mehr erneut gehackt wird. Auch das macht am besten ein Profi. Oder man arbeitet gute Listen an Securitymaßnahmen für WP ab.
Alternativ setzt man auf Anbieter wie Sucuri, die durch eine der Webseite vorgeschaltete Firewall schon die meisten Angriffe abfangen, bevor sie überhaupt die Webseite erreichen. Sucuri ist hier der bekannteste und beste Service, den ich selber auch einsetze bei Kundenprojekten. Gerade wer abhängig vom Erfolg der eigenen Webseite ist, für den ist dieser Service das Geld (fängt bei 199$ pro Jahr an) wert. Sicherer geht es kaum!
Andere Gründe, warum Webseiten gehackt werden
Nicht immer ist WordPress oder die eigene Webseite der Grund für den Hack. Folgende Einfallstore sind ebenso denkbar:
Sie betreiben weitere Webseiten die gefährdet sind
Viele betreiben auf ihren Webspaces mehrere Webseiten. Prüfen Sie daher ALLE Ihre Webseiten auf mögliche Sicherheitslücken. Wurde auch auf anderen Webseiten Schadcode eingeschleust? Dann sind evtl. diese der Grund allen Übels. Gehen Sie bei diesen Webseiten genauso vor wie bei der WordPress-Webseite. Verwenden Sie andere Content Management Systeme, sollten Sie sich hier spezielle Hilfe suchen oder die passende Quelle im Internet suchen.
Der Webserver ist nicht sauber eingerichtet
Kein Server im Internet ist 100% sicher. Dennoch gibt es viele Maßnahmen die getroffen werden können, damit der Webserver als solches als Ursache eines Hacks unwahrscheinlich wird. Beispielsweise könnte man mit einer Web Application Firewall klassische Angriffsformen filtern. Lassen Sie sich professionell beraten, wenn Sie einen eigenen Webserver betreiben, aber Ihr Know How nicht 100% ausreicht. Suchen Sie alternativ einen guten Webspace-Anbieter wie All-Inkl.
Andere betreiben Webseiten die gefährdet sind auf dem Webspace
Ist der Webserver nicht sauber eingerichtet, kann evtl. ein Hacker von einer gehackten Webseite auf andere Webseiten überspringen. Das wird normalerweise durch das Setzen eines Base Dir unterbunden.
Anfällige Werbe-Server
Desöfteren ist vorgekommen, dass Webseiten Schadsoftware über Flash-Werbung verteilt haben. Das heißt, dass der Grund gar nicht bei der Webseite selber, sondern dem Anbieter der Werbung zu suchen ist. Stellen Sie also sicher, dass der Ad-Anbieter mit sicheren Servern arbeitet.
Erfolgreiche Brute-Force-Angriffe wegen zu schlechter Passwörter
Bei sogenannten Brute-Force-Angriffen verwenden Hacker einen Hochleistungsrechner, um Passwörter zu knacken. Das bedeutet konkret: Durch einen speziellen Algorithmus werden verschiedenste Zeichenabfolgen überprüft. Folgende Maßnahmen können Sie ergreifen, um sich vor Brute-Force-Angriffen wirksam schützen zu können:
- umsichtiges Vorgehen bei der Festlegung von Passwörtern
- Anmeldung per RSA-Authentifizierung über einen SSH-Key
- Anpassung des Zeitraums zwischen möglichen Login-Versuchen
Eine Vielzahl von Variablen im Passwort ist die Basis, um die erfolgreiche Umsetzung der Brute-Force-Methode zu verhindern. Im Idealfall nutzen Sie demzufolge die mögliche Maximallänge vollständig aus und verwenden sowohl Buchstaben als auch Zahlen. Des Weiteren gilt es Sonderzeichen sowie Unterschiede in Bezug auf die Groß- und Kleinschreibung zu integrieren.
Remo
Meiner Meinung nach sollte man für kleine Seiten gar kein WordPress verwenden.
Man braucht keine Datenbank für eine Seite einer Schreinerei oder eines Bäckers usw.
Hier sind schlanke, datenbankfreie CMS viel besser.
Und zum Beispiel Typesetter, um nur eines davon zu nennen ist bis zu 10x schneller als WP.
http://chamaeleonmedia.ch/ladezeit-von-webseite-das-a-und-o-daher-auf-wp-verzichten-und-typesetter-mozilo-cmsimple-xh-und-getsimple-etc-nutzen/
Auch das Sichern ist einfacher, man kann einfach die Dateien per FTP runterladen ohne Datenbank.
Und es gibt viel weniger Sicherheitslücken wie ständig bei WP.
René Dasbeck Post author
Korrekt, wenn die Site statisch ist und bleibt und niemand mehr daran arbeiten soll, dann macht ein datenbankfreies System Sinn. Allerdings wollen die meisten Kunden doch ab und an etwas komfortabel ändern. Dann führt in meinen Augen kaum ein Weg an WordPress vorbei.
Remo
Zitat: „Ist der WordPress-Core sauber, sollten Sie das Theme prüfen. Schauen Sie auf Änderungszeiten, die komisch wirken (z.B. wenn mitten in der Nacht Dateien geändert wurden). Und prüfen Sie auf seltsamen Code („base64“, „iframe“, „eval“). Bereinigen Sie alles, was Sie finden. “
Schade, daß hier nicht steht, wie man schädliche Dateien identifizieren kann, ohne alles manuell durchgehen zu müssen.
Das ist sehr aufwändig und langwierig und bei manchen „gehäckten“ WP-Seiten können große Anzahlen von Dateien zu löschen sein.
René Dasbeck Post author
Weil es leider oft auch manuelle Prüfung bedarf um alles zu finden, was da nicht hingehört. Plugins sind sinnvolle Helfer, aber finden doch manches einfach nicht. Das hat meine Erfahrung zumindest gezeigt.
BEtrakon
Cooler Artikel, danke für die Infos!
Pascal Lohmann
@Marcus: Lokale PC Virenscanner erkennen wenn überhaupt nur einen Bruchteil des Schadcodes in php Dateien – da ist das Einsatzgebiet einfach ein anderes.
Auf meinen WordPress Installationen setzte ich das Wordfence Plugin ein als beste allround security Lösung.
Marcus
Vielen Dank für den hilfreichen Artikel. Oft hilft ein gutes Antivirenprogramm schon im Ansatz. Wenn der Virus dann immer noch auf dem PC sein sollte, muss man dringend einen Experten aufsuchen.
anna
In meinen E-mails hat sich jemand eingehäckt, ich hab auch einen Verdacht wer.Aber kann ich herausfinden wer es wirklich war?
René Dasbeck Post author
Das geht wohl meist wirklich nur über die Kripo und in Zusammenarbeit mit dem Mailhoster. Aber ehrlich gesagt würde ich da wenig Hoffnung darauf verschwenden, außer es handelt sich um was ganz Schwerwiegendes…
Peter Wiegand
Danke für Artikel. Haben ihn durch Bing gefunden. Mir ist das selbe passiert. Plötzlich war meine Webseite gehackt. Ich habe hier von einer Sicherheitsfirma ein Werkzeug gefunden das kostenlos ist und sicher dem einen oder anderem Helfen wird.
Mit hat es geholfen.
https://www.dotcomsecurity.de/wordpress-antihacking/
Andreas
Bin in der Googlesuche direkt auf diesen Artikel gestossen. Der hat mir viel Zeit gespart. Top!
Christopher
Um sich am besten vor hackern zu schützen, rate ich jeden: 1. Ein FTP Backup regelmäßig runterzuladen 2. Ein SQL Backup regelmäßig runterzuladen 3. Ein Passwort wählen mit mind 8 Zeichen in Form von ( Groß und Kleinbuchstaben + Zahlen). Wer diese Schritte befolgt hat nichts zu befürchten.
ionas
Hallo zusammen,
danke für den super Artikel. Ich vermisse jedoch den Verweis auf ein ziemlich cooles Tool um für die Zukunft sein WordPress abzusichern. Es nennt sich fail2ban und ermöglicht, dass zu viele Zugriffe von der gleichen IP zu einer automatischen Blockierung dieser IP für einen gewissen Zeitraum führen.
Ich habe eine Anleitung geschrieben, wie man WordPress mit fail2ban absichert und würde mich freuen, wenn ich den Link hier teilen dürfte.
https://www.ionas-server.com/blog/fail2ban-schutz-vor-brute-force-angriffen/
Danke und Gruß
Christoph
Ady
Dazu habe ich auch Interessante Informationen:
http://www.dotcomsecurity.de/2015/01/14/hacker-legen-webseite-lahm-serverbetreiber-schuetzt-sich/
Danke für deine Beitrage, die sind immer sehr Informativ!
Tina
Hallo, was ist mit setzen eines Base Dir gemeint?
Danke
René Dasbeck Post author
Man kann bei einem Webserver einstellen, in welchem Verzeichnis ein User sein root hat. Das heißt er und die Anwendung ist quasi dort gefangen und kann diese Hürde nicht überspringen.
Christian
Schöner Artikel, danke.
Wie aber kann man die Passwörter in der Datenbank ändern? In meinem Fall ist das Backend der Site gehackt worden und ich habe nur noch Zugriff auf die Datenbank von WP über das Admin-Tool des Providers.
Any idea?
Gruß
Christian
—
René Dasbeck Post author
Auf Anhieb finde ich eine Anleitung hier: http://dokupress.de/wordpress-benutzerhandbuch/allgemeine-wordpress-dokumentation/praxis-tutorials-und-hilfe/andern-bzw-zurucksetzen-des-admin-passwortes/
Projekt-Selbstständigkeit
Danke für deine erstklasssigen Infos. Ich habe ebenfalls ein Projekt gestartet und werde jetzt auch versuchen ein Backup meiner Seite zu erstellen… für den Fall der Fälle. Man weiß ja nie…
Marco
Super Artikel! Für den Fall das es mal passieren sollte, bin ich gut vorbereitet. Seite ich jetzt unter den Favoriten gespeichert. Vielen vielen Dank!
Yvonne
Hallo,
Danke für die Zusammenfassung!
Meine Joomla seite wurde schon gehackt, dachte mir, das es bei WordPress nicht anders sein wird.
Bei Joomla sollte man die Seite gleich offline nehmen und auf eine neue Version migriren 😉
Grüße Yvonne
Jens
bei mir hat die mirgation von Joomla nicht geholfen 🙁
all die arbeit umsonst 🙁
Hat jemand ein Tip für mich was helfen kann?
Gerald
Hast du auch auf die neuste Version Migriert?
Sollte meiner Meinung nach die 2.6 sein.
Dann müsste das eigentlich funzen 😉
LG Gerald
Ar-City
Meiner Schwerster wurde ihr WordPress-Homepage gehackt. Wir haben es sehr spät erkannt, Laien halt, und zudem hatten wir auch kein Backup. Habe in erster Linie versucht selber die Homepage zu beseitigen, da bin ich schnell an die Grenzen gestoßen. Dann in WordPress-Communities gefragt, wurde mehr oder weniger etwas geholfen, hat mich aber nicht jetzt besonders weiter gebracht. Anschließend habe ich doch ein Kumpel gefragt der dann per Entgeld die Homepage einigermaßen bereinigt hat. Die Homepage hat immer noch sicherlich irgendwo Schadcodes und müsste richtig mal neu aufgesetzt werden.
Es ist schwrieger als vermutet so eine Seite zu „retten“ vor allem wenn man auch kein Backup dazu hat.
Übrigens binich die meisten Schritte durchgegangen, uns hat leider diese Schritte nicht viel weitergeholfen, es war aber gut damit zumindest nicht weitere Angriffe vorgenommen werden konnte.
René Dasbeck Post author
Ich hoffe du bist mittlerweile weiter und konntest den Hack beseitigen. Am besten du lässt mal einen Profi draufschauen, sollte deine Seite immer noch kompromittiert sein.
Mustafa
Super Artikel, ich speichere mal den Artikel als Lesezeichen für den Notfall.
Torsten
Schöne Variante der englischen Codex-Seite:
http://codex.wordpress.org/FAQ_My_site_was_hacked
Den Hinweis auf das Neu-Setzen der Sicherheitsschlüssel würde ich auch noch ergänzen. Damit macht man die Login-Cookies ungültig. Falls der Angreifer noch eingeloggt sein sollte …
Und bei Punkt 6 müsste es „könnten“ heißen, denn neben der wp-config.php kann natürlich auch die htaccess infiziert/geändert worden sein.
Gute Zusammenfassung!
René Dasbeck Post author
Gute Hinweise, habe meinen Artikel noch knapp erweitert. Danke.
Carsten
Hallo René, schöner Überblick.
Bei mir ist Punkt 1 allerdings, auch wenn es klar sein sollte: Die Seite sofort offline nehmen!
Da häufig zwischen dem eigentlichen Hack und dem Bemerken desselben einige Zeit vergeht, 6-8 Wochen habe ich auch schon erlebt, bitte auch alle BackUps die ihr zurückspielen wollt, doppelt und dreifach kontrollieren, die könnten auch schon verseucht sein.
René Dasbeck Post author
Da hast du vollkommen Recht Carsten! Danke für den Hinweis. Ich hab den Punkt 1 noch eben abgeändert.