Alles fing damit an, dass meine Website extrem langsam wurde. Das einfache speichern eine Artikels wurde zur Geduldsaufgabe. Und dann konnte ich mich gar nicht mehr einloggen.
„Na, super“, dachte ich. „Vielleicht ist mein Hoster mit meinem Shop überfordert? Oder habe ich ein Plug-in installiert, welches zu viele Ressourcen fordert?“
Ein Anruf bei meinem Hoster brachte Klarheit:
„Ihre Website wurde gehackt. Im Unterordner Images liegt eine komplette Viagra-Website. Die soll da doch bestimmt nicht sein, oder?
Nee. Sollte sie natürlich nicht.
So ein Sche…ß.
Nach 1001 Flüchen über die Sinnlosigkeit von Hackern, über die Ungerechtigkeit, dass es ausgerechnet mich treffen musste, über meine Blauäugigkeit, mich nicht bestmöglich geschützt zu haben und über das verdammte Internet ansich, fasste ich und stellte mir die Frage:
Was nun?`
Kann ich noch irgendetwas von meiner Website retten, oder darf ich 4 Jahre Arbeit, Geld und Schweiss als „Dumm gelaufen“ verbuchen?
Eines kann ich jetzt schon verraten: Man kann meistens eine ganze Menge retten.
Aber dennoch ist es besser, es erst gar nicht zu einem Hack kommen zu lassen oder zumindest für den Fall der Fälle bereits vorgesorgt zu haben. Ich habe dir dazu schon mehrere Tipps gegeben. Falls du die Artikel noch nicht gelesen hast, solltest du dies unbedingt nachholen …
1. Diese 7 Dinge solltest du sofort nach der Installation von WordPress erledigen
2. Noch mehr Sicherheit für WordPress-Blogs
Sicherheitslücken in WordPress kennen.
Zwar gibt es zahlreiche Möglichkeiten, wie ein WordPress-Blog gehackt werden kann, aber die folgenden drei Schwachstellen sind die häufigsten Einfalltore:
– Schwache Benutzernamen / Kennwörter
– (nicht aktuelle) Theme und Plugins
– Nicht aktuelle WordPress-Dateien
Benutzernamen und Passwörter kann man leicht sicherer getalten. Sie dazu auch meinen Beitrag „WordPress – Passwort Sicherheit“, der dir viele Tipps für gute Passwörter und Benutzernamen zur Verfügung stellt: https://designers-inn.de/blog/wordpress-passwort-sicherheit/
Themes und Plug-ins solltest du immer aktuell halten. Ganz wichtig: Lösche alte Themes und Plug-ins, wenn du diese nicht benötigst. Auch deaktivierte Plug-ins können Hackern Zugriff auf deine Daten erlauben.
Aktualisiere WordPress, wenn es ein Update von WordPress gibt. Mein Tipp: Wenn es laut Beschreibung von WordPress kein absolut wichtiges Sicherheitsupdate ist warte vielleicht ein bis 2 Wochen, bis du updatest, da du so den Plugin- und Themeherstellern etwas Zeit gibst, die Plug-ins bzw. Themes der neuen Word-Press-Version anzupassen.
Regel: Vor jedem Update erstelle ein Backup deiner Seite. Sollte nämlich ein wichtiges Plug-in nach dem Update nicht funktionieren, kannst du noch einem zurück auf die ältere Version und ein paar Tage warten, bis das Plug-in für die neuen WP-Version angepasst ist.
Was tun, wenn deine Word-Press-Website gehackt wurde?
Für den Fall, dass deine Seite gehackt worden ist,gehst du am bestenfolgendermaßen vor:
1. Zunächst: Tief durchatmen. Keine Panik. Wir kriegen das schon hin!
2. Als nächstes solltest du deine Besucher schützen. Richte ein Weiterleitung der Hauptdomain ein. Entweder zu einer Übergangsseite oder zu einer einfachen HTML-Seite, auf der du darauf hinweist, dass z.B. Wartungsarbeiten derzeit durchgeführt werden müssen.
3. Ändern deine Passwörter für das Backend, FTP / SFTP, MySQL und die Passwörter für den Zugriff auf deine Website.
Jetzt geht´s auf die Suche …
1. Bei einer lokalen Installation bereinige deinen lokalen Rechner (Anti-Viren-Programm durchlaufen lassen) und alles aktualisieren.
2. Melde dich nun bei deinem Hosting-Account an und überprüfe, welcher Schaden entstanden ist.
3. Viele Hoster bieten eine LOG-Datei. Diese kann man vom Server laden und prüfen, ob hier seltsame Befehle ausgeführt wurden.
Üblicherweise finden sich unzählige POST-Befehlt in der Datei. Stutzig wird man bei GET-Befehlen. Hier sollte man schauen, wo diese herkommen. Ist hier eine php-Datei im Bilderordner aktiv? Diese hat dort sicher nichts zu suchen. Schickt eine Datei von einem Plug-in Dutzende GET-Befehle? So sollte man das Plug-in einmal näher unter die Lupe nehmen.
In der Regel kannst du hier auch deinen Hoster um Hilfe bitten.
Lade dir eine frische (saubere) Installationsdatei des Plug-ins und prüfe, ob sich hier „zusätzliche“ Dateien in deinen Ordner geschummelt haben.
4. Idealerweise hast du deine Website regelmäßig gesichert und kannst nun die gesicherte „cleane“ Version wieder herstellen.
5. Lösche alle Core-Daten von WordPress und lade frische WP-Dateien hoch. Im Prinzip kannst du die Ordner wp-admin und wp-includes komplett neu einspielen. Auch alle Daten auf der Hauptebene kannst du komplett neu laden – bis auf die config.php.
6. Prüfe die config.php, ob sich hier Schadcode eingeschlichen hat. Am besten vergleichst du die Datei mit der Originalen config-sample-Datei. Hier kannst du sehen, ob seltsame Sonderzeichen hinzugekommen sind. Wenn du dir nicht sicher bist, erstelle eine neue config-Datei.
Meine persönliche Empfehlung
Persönlich würde ich viel lieber neue Inhalte erstellen, statt mich um meine WordPress-Installation zu kümmern. Auf der anderen Seite kann man mit ein paar Einstellungen und regelmäßigen Backups das größte Übel schon einmal abwenden. Insofern heißt die Devise: Augen zu und durch. Am besten sicherst du einmal deine Installation ab, dann richtest du dir ein Backup-System ein und schon kannst du nachts ein klein wenig ruhiger schlafen.
Das Ganze sollte für Anfänger in 2 Stunden erledigt sein – Profis sind hier in 15 bis 30 Minuten durch. Ein kleiner Aufwand, wenn man den Nutzen bedenkt.
Mehr Infos zum Thema Sicherheit findest du in meinem Workshop: WORDPRESS SICHERHIET IN 10 MINUTEN
Plugins, mit denen du dich künftig besser schützen kannst
Wordfence ist derzeit eines der beliebtesten Sicherheitsplugins. Kein Wunder, es unterstützt malicious sources, login security, malware scans, a firewall und Multi-sites. Der Nachteil ist, wenn man so möchte, dass Wordfence sehr komplex ist und schon ein wenig Einarbeitungszeit benötigt. Aber hier stehen die anderen All-In-One-Lösungen auch nicht nach :) Wordfence gibt es in einer Free- und Bezahlversion.
All In One WP Security & Firewall ist eines meiner Lieblingsplugins. Es ist unheimlich reich an Funktionen, aber man kann sich ganz gut durch die Vielfalt der Möglichkeiten klicken. Zudem ist AiO auch in Deutsch erhältlich, was auch den unbedarfteren Benutzern zugute kommt. Schön ist, dass viele Details direkt bei der Funktion mit Ergänzungstexten beschrieben werden.
iThemes Security hieß damals WP Better Security. Es bietet nicht einen ganz so umfangreichen Schutz wie die oben genannten Kollegen, ist dafür aber auch einfacher respektive schneller einzurichten. Auch iThemes bietet sein Plugin als kostenlose und kostenpflichtige Version an.
Securi ist rasch eingerichtet und bietet einen guten Grundschutz. Es ist nicht so umfangreich wie AiO oder Wordfence, bietet aber neben den grundlegenen Schutzmaßnamen ebenfalls Daten-Monitoring und Malware-Scanning, was für ein kostenloses Tool eine feine Sache ist.
BulletProof Security bietet in der kostenlosen Version einen recht guten Schutz, wie beispielsweise Schutz der .htaccess, login security protocols, automatic database backups, HTTP error logs, authentication cookies expiration und anderes. Für 59 bis 95 Dollar bekommt man dann noch real-time file monitoring, intrusion detection & prevention systems, firewall for plugins, anti-spam measures. Ein schönes Rundumpaket, welches aber nach meiner Meinung zu 90 % von AiO und Wordfence auch in der Free-Version abgedeckt wird.
BBQ macht genau das, was es verspricht: Es überwacht den Traffic auf deiner Seite und blockt Spam und Malware. Es ist übrigens eines der wenigen Plugins, die tatsächlich 5 von 5 Sternen in den Userbewertungen bekommen haben. Allerdings muss man sagen, dass BBQ nur eine handvoll Bewertungen hat, während Wordfence oder AiO hunderttausende Bewertungen haben.
Fazit
Ich weiß, dass ich Dutzende tolle Plugins in meiner Auflistung vergessen habe. Aber angesichts der Fülle an Optionen habe ich mich auf einige Top-Seller im Test beschränkt. Welche Plugins nutzt du? Welches Top-Plugin habe ich vergessen? Schreib uns deine Erfahrungen gerne als Kommentar!
Hallo Marco,
in deinem Artikel schreibst du, dass AiO auch in Deutsch erhältlich ist. Wo genau finde ich die deutsche Version?
Liebe Grüße
Hi, wenn dein WP auf Deutsch eingestellt ist, sollte dieses automatisch auf Deutsch laufen.
WP ist auf Deutsch eingestellt AiO läuft trotzdem nur in english :-(
Hi, das Plugin bietet deutsche Übersetzungen. Vielleicht magst du mal dem Support vom Plugin schreiben?! Womöglich haben die eine Ide woran dies liegen könnte: https://wordpress.org/support/plugin/all-in-one-wp-security-and-firewall
Hallo, das Problem, wenn die Seite gehackt wurde, ist ja, dass man in so ein kompromitiertes System kein Vertrauen mehr stecken kann.
Also, ich finde auch, wenn man kein regelmäßiges Backup der Website hat, hat man schlechte Karten. Man muss ja zu einem Stand zurück kehren, der sicher nicht-gehackt war. Na ja … es kommt immer auf ganz inidivduelle Faktoren an, wie man sich genau verhalten muss aber Dein Artikel, der ja auch schon etwas älter ist, zeigt ganz gut, was man ungefähr zu tun hat, wenn es passiert ist und was zu tun ist, wenn der unerwünschte Besuch da war.