Du glaubst deine WordPress Website wurde gehackt, du bist dir aber nicht sicher? Ich zeige dir ein paar ziemlich sichere Anzeichen, dass deine Website kompromittiert worden sein könnte.
Inhaltsverzeichnis:
Wieso wird WordPress häufig gehackt?
WordPress ist das weltweit meist genutzte System für Websites. Über 40% der weltweiten Websites setzen auf das beliebte Content Management System. Natürlich ist es allein deshalb schon ein häufiges Ziel für Hacker. Warum? Weil es sich einfach lohnt, bei weit verbreiteten Systemen nach Schwachstellen zu suchen und diese auszunutzen. Der Schaden ist viel Größer, ist eine Sicherheitslücke in einem weit verbreiteten Bestandteil von WordPress (Core, Theme, Plugins) bekannt und kann über die Breite ausgenutzt werden.
Wer hackt WordPress Websites?
Vereinfacht gesagt sind sind das meist automatisierte Systeme (Bots, Bot-Netze), die versuchen bekannte Schwachstellen auszunutzen. Seltener ist, dass sich einzelne Personen hinsetzen und die Website ABC hacken. Das passiert natürlich auch, aber das Hauptrisiko besteht in den automatischen Hackversuchen. Wie du dich und WordPress schützen kannst, liest du ganz unten.
Häufige Anzeichen für Hacks
Nicht selten kriegen Websitebetreiber gar nichts mit von Hacks. Natürlich wird versucht diese Hacks zu verschleiern oder möglichst unauffällig auszunutzen. So kann der Hack teilweise über Monate unentdeckt bleiben. Nichtsdestotrotz kriegt der gehackte Websitebetreiber in der Regel irgendwann davon mit, weil Dinge plötzlich anders sind oder ungewöhnlich erscheinen. Hier zeige ich dir typische Anzeichen dafür, dass deine WP Website gehackt wurde:
Nachricht vom Hoster
Einige Hoster scannen Websites nach Malware und Trojanern. Solltest du hier etwas erhalten, solltest du schnell reagieren, damit dein Hoster deine Website nicht sperrt. Dann würde es nämlich richtig aufwändig die Site auf Schadcode zu scannen, wenn du nicht einmal mehr in die Site rein kommst. Diese Meldungen erhältst du in der Regel per Mail und dort wird dann auch darauf hingewiesen, wo der Schadcode gefunden wurde. Manchmal weist der Hoster nur auf Sicherheitslücken hin, so dass du schnell reagieren kannst.
Beispiel einer Hack-Meldung des Hoster Host Europe
Unbekannte Benutzer in WordPress
Du findest plötzlich Benutzer, die dir nicht bekannt sind? Unter Benutzer->Alle Benutzer sollten nur Personen und Mailadressen auftauchen, die du kennst und idealerweise selber eingetragen hast. Wenn nein, dann lösche die du nicht kennst (Achtung: Inhalte deinem Benutzer zuschreiben, insofern das vielleicht nur alte Benutzer von früher waren, die aber Inhalte erstellt hatten) und ändere alle Passwörter (auch Hoster und FTP Zugänge).
Du kannst dich selber nicht mehr anmelden
Wenn du plötzlich durch WordPress ausgesperrt wurdest, scheinen sich die Anmeldeinformationen für dich geändert haben. Insofern du sie nicht selbst geändert hast, ist das kein normales Verhalten von WordPress und weist darauf hin, dass jemand entweder deine Zugangsdaten kennt und/oder aber du gehackt wurdest. In dem Fall solltest du alle relevanten Passwörter ändern (WP, FTP, Hoster, ggfs. Datenbanken (Achtung: wp-config.php dann anpassen mit neuen Zugangsdaten)).
Komische Dateien auf dem (S)FTP Server/Webspace
Du findest im root Verzeichnis der Installation oder in den Ordnern wp-admin, wp-includes oder wp-content und Unterordner komische Dateien, die da nicht hingehören? Sogenannte Alien-Files (Beispiel eines gehackten Users) sind eingeschleuste Dateien, die dafür verwendet werden weiteren Schadcode einzuschleusen. In dem Fall hat jemand schon Zugriff auf deinen Webspace. Zuallererst solltest du die Zugangsdaten anpassen, Alien Files löschen und auf die Suche nach der Ursache gehen.
Geänderte Inhalte
Im Frontend deiner Website findest du komische Inhalte, die da nicht hingehören:
- Fremdsprachige Inhalte mit asiatischen oder kyrillischen Zeichen
- Popups die ohne dein Zutun aufgehen
- Pornowerbung
- komische Links zu verdächtigen Websites
Umleitung von Benutzern
Deine Website-Besucher werden automatisch weitergeleitet auf andere Websites oder aber es gehen weitere Tabs auf.
Google meldet unsichere Inhalte
Beim Besuch deiner Website erhalten deine Besucher eine Warnmeldung von Google, dass deine Website nicht sicher ist. Das bedeutet die Suchmaschine hat vor dir erkannt, dass da was nicht stimmt. In dem Fall solltest du schnell handeln, da du sonst aus dem Google Index fliegen kannst. Google stellt eine Prüfseite zur Verfügung um herauszufinden, ob die Suchmaschine bereits etwas auf deiner Website entdeckt hat: Safe Browsing Website-Status
Google Meldung über eine kompromittierte Website: Hier Phishing
Leute beschweren sich über SPAM von deiner WordPress Website
Wenn du Info von Leuten bekommst, dass sie über deine Mailadresse SPAM erhalten, die auf deiner Website als Admin-Adresse eingetragen ist, ist das ein Indikator dafür, dass deine Site für SPAM missbraucht wird.
Traffic-Einbruch
Auch ein plötzlicher Einbruch von Besucherströmen könnte damit zusammenhängen, dass deine Site kompromittiert ist und Suchmaschinen sie bereits blockieren. Wobei dieser Faktor natürlich auch ganz andere Gründe haben kann.
Komische Einträge in den Suchergebnissen
Du siehst in den Meta Titles und Descriptions auf Google zu deinen Suchergebnissen komische Zeichen und Texte? Dann wäre das ein Zeichen, dass zumindest technisch etwas auf deiner Site nicht stimmt. Oder aber du wurdest gehackt.
Eine gehackte Site und die Auswirkung in den Metas der Suchergebnisse
Meldung vom Scanner
Wenn du ein Security Plugin wie Wordfence verwendest, wird damit regelmäßig auf Schadcode gescannt. Sollte hier etwas gefunden werden, wirst du darüber benachrichtigt. Diese Meldungen sollte man auf jeden ernst nehmen und reagieren.
AdBlocker oder Virenscanner schlagen an
Auch AdBlocker und Virenscanner schlagen ggfs. an, wenn sie Signaturen von Hacks auf deiner Site finden. Auch diese Meldungen sollte man nicht ignorieren.
Weitere Hinweise, dass deine WordPress Website gehackt wurde (die aber natürlich auch andere Gründe haben können):
- Seltsame Cronjobs
- Deine Website wird deutlich langsamer ohne Grund
- Der Server wird überlastet ohne viel Traffic
- Deine Website zeigt Fehlermeldungen an
Was tun, wenn die Website gehackt wurde?
Ist es dann mal passiert und offensichtlich, dass man gehackt wurde, sollte man auch darauf reagieren und schnellstmöglich die Website bereinigen. Das kann durch den Einsatz von Scan-Tools ablaufen, durch externe Dienste wie Sucuri oder aber auch durch Spezialisten. Im Zweifelsfall sollte man ein Backup einspielen, wenn man weiß bis wann die Site noch sauber war. Danach müsste die Website dann geschützt werden.
Was du bei einem Hack tun solltest, liest du hier.
Wie schützen vor WordPress Hacks?
Damit es gar nicht so weit kommt, gibt es einige Dinge, die du als WordPress Websitebetreiber tun kannst:
- Absicherung von WordPress durch einen Profi
- Regelmäßig Updates einspielen
- Veraltete Plugins tauschen
- Immer nur 1 Website auf 1 Webspace Account laufen lassen um das Überspringen von Hacks zu vermeiden
- Dienste wie Sucuri nutzen, um die Site zusätzlich abzusichern
Profi-Tipp
Die Security deiner Website hängt natürlich von der Konfiguration und vom generellen Setup deiner Website ab. Das Theme, die Plugins und WordPress selbst sind aktuell zu halten, um Sicherheitslücken zu schließen. Mit Firewall-Regeln und entsprechenden Security-Plugins lassen sich viele Angriffe abfangen. Ein guter Hoster kann dabei helfen und auch noch weitere Sicherheitsebenen einziehen, die schon vor dem Aufruf der Website greifen. Hier habe ich dir die besten deutschen WordPress Hoster zusammengestellt. Und wenn du auf der Suche nach einem spezialisierten WordPress Hoster bist, der auch das Thema Sicherheit vollumfänglich bedient, dann empfehle ich dir meinen Testbericht zu HostPress.
