Jeder fürchtet es, mancher kennt es, jeder hasst es: Die WordPress Seite wurde gehackt!
Als hätte man nicht schon genug um die Ohren. Man soll für seine Website neue Texte schreiben, die Website bewerben, Leser begeistern … und dann kommt der Supergau noch dazu: Die Website funktioniert plötzlich nicht mehr oder – vielleicht noch schlimmer – die Website des Kunden funktioniert nicht mehr.
Nichts geht mehr. Seltsame Pop-ups öffnen sich. Die Seite lädt elendig langsam oder wirft nur noch Fehler aus. Alles droht im Chaos zu versinken. Spätestens jetzt sollte man prüfen, ob die Seite gehackt wurde. Aber was ist zu tun – oder gerade nicht tun – wenn der schlimmste Fall plötzlich zur Realität wird?
Vorbeugen ist der beste Schutz.
Zunächst einmal sollte man versuchen, seine Website bestmöglich gegen Angriffe von außen zu schützen. Wer an dieser Stelle ratlos die Stirn runzelt, sollte einen Blick auf meinen Kurs »WordPress Sicherheit« werfen. Hier zeige ich, wie man seine Website gegen Angriffe schützen kann.
Zudem rate ich jedem, regelmäßig Backups seiner Website, der FTP-Daten und Datenbank anzulegen. Wie dies geht, zeige ich unter anderem in diesem Beitrag: WordPress Backup erstellen
… und wenn der Drops gelutscht ist?
In diesem Artikel soll es aber nicht um den Schutz gehen, sondern um den ungünstigen Fall, dass die Website tatsächlich gehackt wurde. Wir haben uns hier mit Pascal Lohmann kurzgeschlossen, der genau für diesen Fall seine Hilfe anbietet (mehr Infos unter https://website-bereinigung.de/wordpress-gehackt).
Daran erkennst du, dass deine Seite gehackt wurde.
Die Symptomatik ist relativ einfach und wird dennoch nicht immer gleich entdeckt. Oft wollen die Schädiger Zugriff auf die Seite erlangen, auch in Zukunft. Durch Backdoors (Hintertüren) können sie dann immer wieder auf die Seite, den Webspace und die Serverdaten zugreifen, auch wenn die »gefährlichen« Dateien vermeintlich bereits entfernt worden sind. Nun kann der Schädiger in beliebigem Umfang seinen Unfug treiben:
- deine Website verschickt Spam-Mails.
- deine Website verschwindet hinter Umleitungen, um beispielsweise Besucher von deiner Seite zu unseriösen oder verbotenen Inhalten weiterleitet.
- Pop-Ups können ungefragt installiert werden.
Was man nicht sofort merkt …
Gerne werden fremde Websites auch für Black-Hat-SEO missbraucht, indem auf deiner Website massenweise umkämpfte SEO-Begriffe platziert und als Linkquelle genutzt werden. Diese Seiten siehst du selbst gar nicht, da sie in irgendeinem Unterordner versteckt werden.
Richtig haarig wird es, wenn zusätzlich Viren über deine Seite verbreitet werden. Dann muss sofort die Notbremse gezogen werden: Seite abschalten!
Die Schädiger sind leider ziemlich findig und skrupellos, was das Hacken und unbefugte Nutzen von (WordPress)-Seiten angeht. Daher muss man die Augen offen halten und stets die Updates der Themes, Plug-ins und CMS-Systeme nutzen, um mögliche Angriffe zu verhindern.
Symptome eines Angriffs: Langsamkeit.
Zumeist fällt einem auf, dass die Website sehr langsam wird. Der Server ist plötzlich ausgelastet und womöglich treten 550-Server-Error-Fehler auf, da der Server all die PHP-Anfragen nicht mehr abarbeiten kann.
Hier hilft zunächst ein Blick in die Server-Log-Files. Hier werden alle Aktivitäten des Servers aufgezeichnet. Auffällig sind dort häufige POST-Einträge oder sehr viele Zugriffe in kürzester von einer IP-Adresse.
Symptome eines Angriffs: geänderte Dateien.
Wer ein Sicherheits-Plug-in nutzt, kann sich auch über kürzlich geänderte Daten informieren lassen. Immerhin fügen Angreifer dem Webspace neue Daten hinzu oder ändern bestehende Dateien. In beiden Fällen kann sich einen Alarm per E-Mail zuschicken lassen.
Gerne findet man vor allem im Root-Verzeichnis einer CMS-Installation »neue« Dateien, die dort nichts zu suchen haben. Oder es verstecken sich im Upload-Ordner plötzlich statt Bilder auch PHP- oder JS-Dateien.
Die Folge …
Die oben genannten Symptome sind genauso zahlreich wie die Folgen. Im einfachsten Fall wartet lästige Arbeit auf dich, um deine Seite von all dem Müll zu befreien.
Im ungünstigsten Fall hast du längere Zeit gar nicht mitbekommen, dass deine Seite für Spam missbraucht wurde. In diesem Fall könnte es sein, dass deine Website seitens Google & Co nicht mehr als seriös/sicher eingestuft wird – und womöglich geblockt wird.
Natürlich hat all dies auch negativen Einfluss auf ein SEO-Ranking – vor allem, wenn die Probleme nicht behoben werden.
Dies ist zutun …
Alles sehr unschön und unnötig. Mit einigen Handgriffen kann man im Vorfeld viele Klippen umschiffen. Ist es aber doch passiert, gilt es einiges zu beachten. Hier die Kurzfassung.
1. Seite aus dem Netz nehmen
Nimm deine Seite kurzfristig aus dem Netz. Leite Anfragen zu einer vorübergehenden »sauberen« Wartungsseite weiter.
2. Schütze alle Ordner
Schütze über die Datei htaccess oder über deinen Hoster alle Ordner und vergib Schreibrechte- und Ausführrechte per neuem Passwort. Zur Sicherheit kannst du auch den Basisordner umbenennen, damit die Pfade insgesamt ins Leere laufen.
3. Leite alle nötigen Back-ups in die Wege.
Wohl dem, der regelmäßig Backups anlegt! Lade deine Backups herunter und installiere diese. Solltest du keine eigenen Backups angelegt haben, frage bei deinem Hoster nach! Viele Hoster bieten tägliche Backups an. Leider werden die meisten wieder nach 7 Tagen gelöscht. Solltest du den Fehler rasch gemerkt haben, kann dir ein solches Backup weiterhelfen.
4. Finde die Schwachstelle
Auch wenn du ein Backup hast, solltest du dich auf die Suche nach der Schwachstelle in deinem System machen.
- War der Login-Bereich gut schützt?
- Waren die Nutzerrechte korrekt vergeben?
- Hast du alle Updates gemacht?
- Kontrolliere alle Plug-ins: gibt es hier bekannte Probleme?
5. Daten wiederherstellen und bereinigen
Grundsätzlich ist zu empfehlen, auch das Backup nicht einfach einzuspielen. Es ist sehr ungewiss, ob sich nicht doch hier oder dort bereits ein Teufelchen eingeschlichen hat.
Der beste Weg ist, die Systemdateien von WordPress komplett neu einzuspielen. Im Prinzip kann alles neu eingespielt werden – bis auf die Datei config.php und den Ordners wp-content.
Ich würde auch immer alle Plugins löschen und frisch herunterladen. Dies ist viel schneller und sicherer, als sich hier auf die Suche nach einem Fehler zu machen.
Gleiches gilt für das Theme. Im Optomalfall nutzt du ein Childtheme, sodass du das Elterntheme einfach frisch installieren kannst. Im Childtheme sind dann in der Regel nur deine eigenen Änderungen enthalten, die du gut kontrollieren kannst.
Damit bleibt noch der Ordner »uploads«. Naja. Das ist dumm. Diesen Ordner musst du von Hand kontrollieren. Suche vor allem nach PHP und JS-Dateien, die normalerweise im Uploads-Ordner nichts zu suchen haben.
Viel Glück! Wenn du noch weitere Tipps für uns hast, hinterlasse mir gerne einen Kommentar!
Tolle Zusammenstellung !!
Hacking-Probleme werden heutzutage von den meisten Website-Betreibern angetroffen. Der beste Weg, um dies zu sichern, ist, halten Sie Ihre Website gemäß den neuen Regeln und Vorschriften aktualisiert.
Vielen Dank für den tollen Artikel über wenn die WordPress-Website gehackt wurde .
Hervorragende Erklärung
Vielen Dank!
Ich empfehle auf jeden Fall auch regelmßig die eigene Seite zu scannen oder wenn es schon klar ist dass die Webseite gehackt wurde mit NinjaScanner einmal abzuklappern. Kann schon einen ersten Anhaltspunkt geben, was alles betroffen ist.
Mit NinjaFirewall könnte man dann auch noch nachhaltig einen Schutz aufbauen gegen erneute angriffe.