Was tun, wenn die WordPress-Website gehackt wurde?

Jeder fürchtet es, mancher kennt es, jeder hasst es: Die WordPress Seite wurde gehackt!

Als hätte man nicht schon genug um die Ohren. Man soll für seine Website neue Texte schreiben, die Website bewerben, Leser begeistern … und dann kommt der Supergau noch dazu: Die Website funktioniert plötzlich nicht mehr oder – vielleicht noch schlimmer – die Website des Kunden funktioniert nicht mehr.

Nichts geht mehr. Seltsame Pop-ups öffnen sich. Die Seite lädt elendig langsam oder wirft nur noch Fehler aus. Alles droht im Chaos zu versinken. Spätestens jetzt sollte man prüfen, ob die Seite gehackt wurde. Aber was ist zu tun – oder gerade nicht tun – wenn der schlimmste Fall plötzlich zur Realität wird?

Vorbeugen ist der beste Schutz.

Zunächst einmal sollte man versuchen, seine Website bestmöglich gegen Angriffe von außen zu schützen. Wer an dieser Stelle ratlos die Stirn runzelt, sollte einen Blick auf meinen Kurs »WordPress Sicherheit« werfen. Hier zeige ich, wie man seine Website gegen Angriffe schützen kann.

Zudem rate ich jedem, regelmäßig Backups seiner Website, der FTP-Daten und Datenbank anzulegen. Wie dies geht, zeige ich unter anderem in diesem Beitrag: WordPress Backup erstellen

… und wenn der Drops gelutscht ist?

In diesem Artikel soll es aber nicht um den Schutz gehen, sondern um den ungünstigen Fall, dass die Website tatsächlich gehackt wurde. Wir haben uns hier mit Pascal Lohmann kurzgeschlossen, der genau für diesen Fall seine Hilfe anbietet (mehr Infos unter https://website-bereinigung.de/wordpress-gehackt).

Daran erkennst du, dass deine Seite gehackt wurde.

Die Symptomatik ist relativ einfach und wird dennoch nicht immer gleich entdeckt. Oft wollen die Schädiger Zugriff auf die Seite erlangen, auch in Zukunft. Durch Backdoors (Hintertüren) können sie dann immer wieder auf die Seite, den Webspace und die Serverdaten zugreifen, auch wenn die »gefährlichen« Dateien vermeintlich bereits entfernt worden sind. Nun kann der Schädiger in beliebigem Umfang seinen Unfug treiben:

  • deine Website verschickt Spam-Mails.
  • deine Website verschwindet hinter Umleitungen, um beispielsweise Besucher von deiner Seite zu unseriösen oder verbotenen Inhalten weiterleitet.
  • Pop-Ups können ungefragt installiert werden.

Was man nicht sofort merkt …

Gerne werden fremde Websites auch für Black-Hat-SEO missbraucht, indem auf deiner Website massenweise umkämpfte SEO-Begriffe platziert und als Linkquelle genutzt werden. Diese Seiten siehst du selbst gar nicht, da sie in irgendeinem Unterordner versteckt werden.

Richtig haarig wird es, wenn zusätzlich Viren über deine Seite verbreitet werden. Dann muss sofort die Notbremse gezogen werden: Seite abschalten!

Die Schädiger sind leider ziemlich findig und skrupellos, was das Hacken und unbefugte Nutzen von (WordPress)-Seiten angeht. Daher muss man die Augen offen halten und stets die Updates der Themes, Plug-ins und CMS-Systeme nutzen, um mögliche Angriffe zu verhindern.

Symptome eines Angriffs: Langsamkeit.

Zumeist fällt einem auf, dass die Website sehr langsam wird. Der Server ist plötzlich ausgelastet und womöglich treten 550-Server-Error-Fehler auf, da der Server all die PHP-Anfragen nicht mehr abarbeiten kann.

Hier hilft zunächst ein Blick in die Server-Log-Files. Hier werden alle Aktivitäten des Servers aufgezeichnet. Auffällig sind dort häufige POST-Einträge oder sehr viele Zugriffe in kürzester von einer IP-Adresse.

Symptome eines Angriffs: geänderte Dateien.

Wer ein Sicherheits-Plug-in nutzt, kann sich auch über kürzlich geänderte Daten informieren lassen. Immerhin fügen Angreifer dem Webspace neue Daten hinzu oder ändern bestehende Dateien. In beiden Fällen kann sich einen Alarm per E-Mail zuschicken lassen.

Gerne findet man vor allem im Root-Verzeichnis einer CMS-Installation »neue« Dateien, die dort nichts zu suchen haben. Oder es verstecken sich im Upload-Ordner plötzlich statt Bilder auch PHP- oder JS-Dateien.

Die Folge …

Die oben genannten Symptome sind genauso zahlreich wie die Folgen. Im einfachsten Fall wartet lästige Arbeit auf dich, um deine Seite von all dem Müll zu befreien.

Im ungünstigsten Fall hast du längere Zeit gar nicht mitbekommen, dass deine Seite für Spam missbraucht wurde. In diesem Fall könnte es sein, dass deine Website seitens Google & Co nicht mehr als seriös/sicher eingestuft wird – und womöglich geblockt wird.

Natürlich hat all dies auch negativen Einfluss auf ein SEO-Ranking – vor allem, wenn die Probleme nicht behoben werden.

Dies ist zutun …

Alles sehr unschön und unnötig. Mit einigen Handgriffen kann man im Vorfeld viele Klippen umschiffen. Ist es aber doch passiert, gilt es einiges zu beachten. Hier die Kurzfassung.

1. Seite aus dem Netz nehmen

Nimm deine Seite kurzfristig aus dem Netz. Leite Anfragen zu einer vorübergehenden »sauberen« Wartungsseite weiter.

2. Schütze alle Ordner

Schütze über die Datei htaccess oder über deinen Hoster alle Ordner und vergib Schreibrechte- und Ausführrechte per neuem Passwort. Zur Sicherheit kannst du auch den Basisordner umbenennen, damit die Pfade insgesamt ins Leere laufen.

3. Leite alle nötigen Back-ups in die Wege.

Wohl dem, der regelmäßig Backups anlegt! Lade deine Backups herunter und installiere diese. Solltest du keine eigenen Backups angelegt haben, frage bei deinem Hoster nach! Viele Hoster bieten tägliche Backups an. Leider werden die meisten wieder nach 7 Tagen gelöscht. Solltest du den Fehler rasch gemerkt haben, kann dir ein solches Backup weiterhelfen.

4. Finde die Schwachstelle

Auch wenn du ein Backup hast, solltest du dich auf die Suche nach der Schwachstelle in deinem System machen.

  • War der Login-Bereich gut schützt?
  • Waren die Nutzerrechte korrekt vergeben?
  • Hast du alle Updates gemacht?
  • Kontrolliere alle Plug-ins: gibt es hier bekannte Probleme?

5. Daten wiederherstellen und bereinigen

Grundsätzlich ist zu empfehlen, auch das Backup nicht einfach einzuspielen. Es ist sehr ungewiss, ob sich nicht doch hier oder dort bereits ein Teufelchen eingeschlichen hat.

Der beste Weg ist, die Systemdateien von WordPress komplett neu einzuspielen. Im Prinzip kann alles neu eingespielt werden – bis auf die Datei config.php und den Ordners wp-content.

Ich würde auch immer alle Plugins löschen und frisch herunterladen. Dies ist viel schneller und sicherer, als sich hier auf die Suche nach einem Fehler zu machen.

Gleiches gilt für das Theme. Im Optomalfall nutzt du ein Childtheme, sodass du das Elterntheme einfach frisch installieren kannst. Im Childtheme sind dann in der Regel nur deine eigenen Änderungen enthalten, die du gut kontrollieren kannst.

Damit bleibt noch der Ordner »uploads«. Naja. Das ist dumm. Diesen Ordner musst du von Hand kontrollieren. Suche vor allem nach PHP und JS-Dateien, die normalerweise im Uploads-Ordner nichts zu suchen haben.

Viel Glück! Wenn du noch weitere Tipps für uns hast, hinterlasse mir gerne einen Kommentar!

Marco

Marco

Designer

Später lesen?

Diesen Artikel als
E-Book downloaden!

DOWNLOAD

Divi Tutorial: Modul Registerkarte aktiven Tab ändern

Divi Tutorial: Modul Registerkarte aktiven Tab ändern

Das Divi Modul Registerkarte ist eine praktische Möglichkeit, um viele Inhalte schön aufgeräumt zu präsentieren. Aber manchmal möchte man nicht den 1. Tab als aktives Element haben, sondern vielleicht lieber den 2. oder 3. Tab.  Warum sollte man einen anderen Tab...

Divi: Lightbox ohne Plugin

Divi: Lightbox ohne Plugin

Wer eine Website mit viel Inhalt baut und dennoch eine übersichtliche Gestaltung wünscht, kommt früher oder später um das Thema Lightbox nicht mehr herum. Nun gibt es viele Plugins mit denen man diese Lightboxes erstellen kann. Aber jedes Plugin belastet WordPress und...

WordPress Backup erstellen: die vollständige Anleitung.

WordPress Backup erstellen: die vollständige Anleitung.

In der Regel passiert es in den ungünstigsten Momenten: Die WordPress Seite ist plötzlich verschwunden oder ein gravierender Fehler taucht auf. Dabei lief gestern noch alles ohne Probleme. Der Grund für solche Überraschungen ist meist ein Update von WordPress, eines...

Hey, schreib mir deine Meinung!

1 Kommentar

  1. Solwin Infotech

    Tolle Zusammenstellung !!
    Hacking-Probleme werden heutzutage von den meisten Website-Betreibern angetroffen. Der beste Weg, um dies zu sichern, ist, halten Sie Ihre Website gemäß den neuen Regeln und Vorschriften aktualisiert.

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website nutzt Cookies. Durch Bestätigung oder Nutzung der Website erteilst du dein Einverständnis. Impressum | Datenschutzerklärung