WordPress gehackt – unsere Erste Hilfe-Anleitung

Aus der Reihe „E-Mails, die niemand gerne bekommt“: „Ihre WordPress-Seite wurde gesperrt. Grund: Es wurde Schadcode eingeschleust. Bitte entfernen Sie diesen umgehend“. Solche Nachrichten muss leider auch der checkdomain-Support regelmäßig verschicken, denn gehackte WordPress-Seiten sind keine Seltenheit. Wir zeigen Dir in diesem Beitrag, wie Du Deinen Blog in wenigen Schritten bereinigen und wieder zum Laufen bringen kannst. Also, keine Panik, tief durchatmen und ran an die Seite!

Woran erkenne ich, dass meine Seite gehackt wurde?

Webhoster wie checkdomain prüfen regelmäßig die Kundenserver auf Malware. Werden dabei Auffälligkeiten entdeckt, wird das Verzeichnis oder die infizierte Anwendung automatisch gesperrt. Kunden werden per Mail umgehend informiert und gebeten, sich um das Problem zu kümmern.

Neben einer Mail des Providers gibt es noch eine ganze Reihe anderer Indizien für einen Hackerangriff:

  • Die Webseite ist nur noch schwer zu lesen, weil Umlaute und Sonderzeichen nicht mehr richtig dargestellt werden
  • Beim Login ins Dashboard des Blogs taucht plötzlich der Satz „hacked by…“ auf
  • Häufig hinterlassen Hacker auch in den Meta-Angaben der Seite ihre Spuren

Solltest Du eines dieser Anzeichen bei Deinem WordPress-Blog bemerken, kümmere Dich umgehend darum, um den Schaden zu begrenzen.

Schritt Nummer 1: Die WordPress-Seite offline stellen

Gehackte Seiten werden oft als Spam- oder Schadcode-Schleudern missbraucht. Opfer eines derartigen Angriffs kann jeder werden, vom kleinen Newcomer bis hin zum großen bekannten Blog. Hacker haben in der Regel keine bestimmte Seite im Visier, sondern zielen auf eine möglichst massenhafte Verbreitung ihrer Malware. Dafür greifen sie Webseiten an, bei denen es Sicherheitslücken gibt.

Falls Deine WordPress-Seite nicht schon vom Provider offline gestellt wurde, musst Du das tun, sobald Du die Infektion entdeckst. Als Domain-Eigentümer des gehackten Systems bist Du für alle eventuellen Schäden haftbar, etwa wenn personenbezogene Daten abhanden gekommen sind. Im Falle eines Falles musst Du dann nachweisen, dass Du „ohne schuldhaftes Zögern“ gehandelt hast.

Zudem nimmt Google betroffene Seiten schnell aus dem Index, damit keine anderen Nutzer beziehungsweise Seiten in Mitleidenschaft gezogen werden. Das alles kannst Du verhindern, indem Du Deine Seite selber vorübergehend für die Öffentlichkeit sperrst.

Seite selber sperren per Plugin

Sofern Du noch einen Zugang zum Admin-Bereich hast, ist die Installation eines Maintenance-Mode-Plugins die schnellste und einfachste Lösung. Lade Dir zum Beispiel  WP Quick Maintenance im Plugin-Verzeichnis von WordPress herunter und aktiviere den Wartungsmodus – ab sofort sehen Besucher nur noch einen Wartungshinweis. Natürlich kannst Du auch eine andere Fehlerseite erstellen. Grundsätzlich solltest Du jedoch eher zurückhaltend mit Informationen zu dem Hackerangriff umgehen, um nicht dem Ruf Deiner Seite zu schaden.

Im Wartungsmodus: Ein entsprechendes Plugin ist die schnellste Lösung, um gehackte Seiten zu sperren. Screenshot: S. Cantzler

Schritt Nummer 2: Beweissicherung

Auch wenn es auf den ersten Blick absurd klingt; speichere Dir auf jeden Fall ein Backup der gehackten WordPress-Webseite samt Datenbank. Warum? Ganz einfach, so sicherst Du Beweise, falls Du den Hackerangriff anzeigen oder Schadenersatzansprüchen anmelden möchtest. Speichere die Datei aber nicht auf dem Rechner, sondern am besten auf einem externen Speichermedium, isoliert von anderen Dateien.

Schritt Nummer 3: Trojaner-Scan

Als nächstes solltest Du checken, ob neben Deiner WordPress-Seite auch Dein Rechner gehackt wurde. Wenn ja, hat der Angreifer vermutlich auf diesem Weg Deine Passwörter ausgespäht. Damit er nicht gleich alle Deine Änderungen frei Haus geliefert bekommt, suche per Virenschutzprogramm (das vorher auf den neuesten Stand gebracht wurde) nach Trojanern und entferne diese gegebenenfalls.

Der ECO-Verband der Internetwirtschaft bietet dafür kostenlose Programme an, mit dem unterschiedliche Schadware vom Rechner entfernt werden kann.

Schritt Nummer 3: Alle Passwörter ändern

Da Du nicht genau weißt, ob beziehungsweise welche Deiner Passwörter ausgespäht worden sind, solltest Du alle Passwörter ändern, damit Unbefugte keinen Zugriff mehr haben.

Geändert werden müssen auf jeden Fall:

  • Passwörter von WordPress-Benutzern
  • FTP-Passwörter und ggf. SSH-Zugang
  • Passwörter Deiner MySQL Datenbanken
  • Webhosting-Passwörter
  • E-Mail-Passwörter

Tipps für sichere Passwörter haben wir hier für Dich zusammengestellt.

Schritt Nummer 4: Schadcode suchen

An dieser Stelle beginnt die oft mühsame Spurensuche: Du musst versuchen, den Angriff zu lokalisieren. Erfolgte er über den WordPress-Core, also eine Sicherheitslücke bei WordPress selbst? Über das Theme oder ein Plugin?

Die Suche kann manuell oder automatisiert erfolgen. Voraussetzung für die manuelle Suche ist eine relativ große Erfahrung und meistens auch viel Zeit. Du checkst dabei Dateien und Verzeichnisse auf auffällige Muster und Veränderungsdaten. Häufig werden beispielsweise Dateien wie die index.php im Root oder die header.php im Theme-Ordner geändert und mit Schadcode versehen.

Wesentlich einfacher sind automatische Malware-Scans, die unter anderem auch per Plugin möglich sind. In seinem Blogbeitrag zu gehackten Webseiten hat Arne eine Liste mit Tools erstellt, die bei der Suche nach Schadcode helfen. Außerdem gibt er auch konkrete Tipps, wie sich Schadcode im Skript identifizieren lässt.

Und sobald Du fündig geworden bist und die Malware entfernt hast, heißt es natürlich: Sicherheitslücken schließen – zum Beispiel durch regelmäßige Updates und gute Passwörter.

Gut zu wissen: Hacker sind häufig nur erfolgreich, weil Webseitenbetreiber zu bequem sind. So werden selbst grundlegende Sicherheitsmaßnahmen wie regelmäßige Aktualisierungen von Plugins oder Themes nicht durchgeführt. Tatsächlich gibt es aber zum Beispiel für viele Premium-Themes keine automatischen Updates – Aktualisierungen müssen manuell vorgenommen werden. Manchmal sind auch in Themes enthaltene Plugins veraltet und dadurch ein Sicherheitsrisiko. Oder es werden Passwörter wie „12345“ oder „Admin“ genutzt.

Sicherheitslücken treten am häufigsten bei Plugins und Themes auf, während es bei WordPress nur sehr selten sogenannte Security Holes gibt. Auf diese Probleme reagiert die WordPress-Community in der Regel sehr schnell. Entscheidend ist, dass Du Deine Anwendungen immer aktuell hältst und Updates sowie Sicherheits-Patches regelmäßig einspielst.

Schritt Nummer 5: WordPress neu installieren

Je nachdem, an welcher Stelle der Angriff erfolgte, kann es eventuell ausreichen, lediglich den WordPress-Core erneut hochzuladen – ohne dass auch der Content via Backup wieder aufgespielt werden muss. Für die Neuinstallation von WordPress lädst Du die Ordner wp-admin und wp-include neu hoch, außerdem auch alle Dateien im WordPress-Root.

Du bist unsicher, ob die WP-Neuinstallierung ausreicht? Dann gehe lieber auf Nummer Sicher, lösche alle entsprechenden Inhalte in Deinem Webspace und lade WordPress inklusive Theme, Plugins und Content neu hoch. Dieser Schritt fällt schwer, erspart Dir aber möglicherweise eine Menge neuen Ärger. Denn häufig hinterlassen Angreifer gut getarnte Backdoor-Skripte hinterlassen, durch die sie sich später erneut Zugriff auf Dein System verschaffen können. Die komplette Reinigung schützt Dich davor.

Das UpdraftPlus WordPress Backup Plugin ermöglicht vollständige Backups, sowohl manuell oder geplant. Die Sicherung erfolgt unter anderem via Dropbox, Google Drive, Rackspace, FTP, SFTP oder E-Mail. Screenshot: S. Cantzler

Sehr hilfreich ist in diesem Fall ein Backup Deines Blogs, das natürlich noch aus der Zeit vor dem Hackerangriff stammen sollte. Bei Webhosting-Paketen von checkdomain erfolgt ein Backup automatisch und regelmäßig. Aus Sicherheitsgründen solltest Du jedoch auch selber Backups Deiner WordPress-Seite erstellen und diese separat speichern. Bei der Backup-Erstellung kannst Du Dich von verschiedenen Plugins wie UpdraftPlus WordPress Backup Plugin. unterstützen lassen.

Solltest Du kein sicheres Backup zur Verfügung haben, bleibt Dir leider nichts anderes übrig, als alle Inhalte inklusive Datenbanken und Bildern komplett erneut hochzuladen.

Schritt Nummer 6: Deine WordPress-Seite entsperren

Alle Erste-Hilfe-Schritte erledigt, keine Malware mehr zu finden und Deine Seite läuft wieder? Dann kannst Du sie entsperren. Sollte sie von Deinem Provider gesperrt worden sein: Melde Dich bei Deinem Anbieter und sage Bescheid, dass der Schadcode entfernt wurde. Hast Du Deine Seite selber offline genommen, deaktiviere das Plugin für den Wartungsmodus oder hebe Deine eigene Sperrung, etwa über den Verzeichnisschutz, auf. Nun musst Du noch bei Google eine erneute Überprüfung beantragen, damit Deine Seite wieder in den Index aufgenommen wird. Welche Schritte Du dafür erledigen musst, kannst Du hier nachlesen. Geschafft!

Sicherheitstipps für die Zukunft

Damit es Hacker auf Deiner WordPress-Seite künftig schwer haben, hier noch ein paar kurze Sicherheitstipps:

  • Verwende sichere Passwörter (mindestens acht Zeichen lang, zusammengestellt aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen).
  • Keine generischen Benutzernamen einsetzen: Benutzernamen wie Admin oder E-Mailadressen sind für Hacker eine freundliche Einladung. Wähle lieber einen anderen Benutzernamen. Gehe dafür in Dein WordPress-Dashboard, klicke auf den Menüpunkt Benutzer und dann auf neu hinzufügen. Richte einen neuen, sicheren Namen ein und gebe diesem Namen die Rolle des Administrators.
  • Ändere die URL für Deinen WordPress-Login: Über entsprechende Plugins kannst Du den Standardpfad www.deinedomain.de/wp-admin/ individualisieren.
  • Erstelle einen Verzeichnisschutz für den Administrationsbereich.
  • Kümmere Dich regelmäßig um Backups, die auf einem separaten Speichermedium abgelegt werden.
  • Scanne Deine Seite in festen Abständen auf Malware – auch hier gibt es Plugins zur Unterstützung, etwa Wordfence.
  • Generell gilt bei Plugins aber die Formel: So viel wie nötig, aber so wenig wie möglich.

Mit unserer Erste-Hilfe-Anleitung solltet Ihr den Hackerangriff schnell beseitigen können. Seid dennoch gründlich bei der Malware-Suche und haltet Euer WordPress immer auf dem aktuellsten Stand.