Aus der Reihe "E-Mails, die niemand gerne bekommt": "Ihre WordPress-Seite wurde gesperrt. Grund: Es wurde Schadcode eingeschleust. Bitte entfernen Sie diesen umgehend". Solche Nachrichten muss leider auch der checkdomain-Support regelmäßig verschicken, denn gehackte WordPress-Seiten sind keine Seltenheit. Wir zeigen Dir in diesem Beitrag, wie Du Deinen Blog in wenigen Schritten bereinigen und wieder zum Laufen bringen kannst. Also, keine Panik, tief durchatmen und ran an die Seite!
Webhoster wie checkdomain prüfen regelmäßig die Kundenserver auf Malware. Werden dabei Auffälligkeiten entdeckt, wird das Verzeichnis oder die infizierte Anwendung automatisch gesperrt. Kunden werden per Mail umgehend informiert und gebeten, sich um das Problem zu kümmern.
Neben einer Mail des Providers gibt es noch eine ganze Reihe anderer Indizien für einen Hackerangriff:
Solltest Du eines dieser Anzeichen bei Deinem WordPress-Blog bemerken, kümmere Dich umgehend darum, um den Schaden zu begrenzen.
Gehackte Seiten werden oft als Spam- oder Schadcode-Schleudern missbraucht. Opfer eines derartigen Angriffs kann jeder werden, vom kleinen Newcomer bis hin zum großen bekannten Blog. Hacker haben in der Regel keine bestimmte Seite im Visier, sondern zielen auf eine möglichst massenhafte Verbreitung ihrer Malware. Dafür greifen sie Webseiten an, bei denen es Sicherheitslücken gibt.
Falls Deine WordPress-Seite nicht schon vom Provider offline gestellt wurde, musst Du das tun, sobald Du die Infektion entdeckst. Als Domain-Eigentümer des gehackten Systems bist Du für alle eventuellen Schäden haftbar , etwa wenn personenbezogene Daten abhanden gekommen sind. Im Falle eines Falles musst Du dann nachweisen, dass Du "ohne schuldhaftes Zögern" gehandelt hast.
Zudem nimmt Google betroffene Seiten schnell aus dem Index, damit keine anderen Nutzer beziehungsweise Seiten in Mitleidenschaft gezogen werden. Das alles kannst Du verhindern, indem Du Deine Seite selber vorübergehend für die Öffentlichkeit sperrst.
Sofern Du noch einen Zugang zum Admin-Bereich hast, ist die Installation eines Maintenance-Mode-Plugins die schnellste und einfachste Lösung. Lade Dir zum Beispiel WP Quick Maintenance im Plugin-Verzeichnis von WordPress herunter und aktiviere den Wartungsmodus - ab sofort sehen Besucher nur noch einen Wartungshinweis. Natürlich kannst Du auch eine andere Fehlerseite erstellen. Grundsätzlich solltest Du jedoch eher zurückhaltend mit Informationen zu dem Hackerangriff umgehen, um nicht dem Ruf Deiner Seite zu schaden.
Auch wenn es auf den ersten Blick absurd klingt; speichere Dir auf jeden Fall ein Backup der gehackten WordPress-Webseite samt Datenbank. Warum? Ganz einfach, so sicherst Du Beweise, falls Du den Hackerangriff anzeigen oder Schadenersatzansprüchen anmelden möchtest. Speichere die Datei aber nicht auf dem Rechner, sondern am besten auf einem externen Speichermedium, isoliert von anderen Dateien.
Als nächstes solltest Du checken, ob neben Deiner WordPress-Seite auch Dein Rechner gehackt wurde. Wenn ja, hat der Angreifer vermutlich auf diesem Weg Deine Passwörter ausgespäht. Damit er nicht gleich alle Deine Änderungen frei Haus geliefert bekommt, suche per Virenschutzprogramm (das vorher auf den neuesten Stand gebracht wurde) nach Trojanern und entferne diese gegebenenfalls.
Der ECO-Verband der Internetwirtschaft bietet dafür kostenlose Programme an, mit dem unterschiedliche Schadware vom Rechner entfernt werden kann.
Da Du nicht genau weißt, ob beziehungsweise welche Deiner Passwörter ausgespäht worden sind, solltest Du alle Passwörter ändern, damit Unbefugte keinen Zugriff mehr haben.
Geändert werden müssen auf jeden Fall:
Tipps für sichere Passwörter haben wir hier für Dich zusammengestellt.
An dieser Stelle beginnt die oft mühsame Spurensuche: Du musst versuchen, den Angriff zu lokalisieren. Erfolgte er über den WordPress-Core, also eine Sicherheitslücke bei WordPress selbst? Über das Theme oder ein Plugin?
Die Suche kann manuell oder automatisiert erfolgen. Voraussetzung für die manuelle Suche ist eine relativ große Erfahrung und meistens auch viel Zeit. Du checkst dabei Dateien und Verzeichnisse auf auffällige Muster und Veränderungsdaten. Häufig werden beispielsweise Dateien wie die index.php im Root oder die header.php im Theme-Ordner geändert und mit Schadcode versehen.
Wesentlich einfacher sind automatische Malware-Scans, die unter anderem auch per Plugin möglich sind. In seinem Blogbeitrag zu gehackten Webseiten hat Arne eine Liste mit Tools erstellt, die bei der Suche nach Schadcode helfen. Außerdem gibt er auch konkrete Tipps, wie sich Schadcode im Skript identifizieren lässt.
Und sobald Du fündig geworden bist und die Malware entfernt hast, heißt es natürlich: Sicherheitslücken schließen - zum Beispiel durch regelmäßige Updates und gute Passwörter.
Gut zu wissen: Hacker sind häufig nur erfolgreich, weil Webseitenbetreiber zu bequem sind. So werden selbst grundlegende Sicherheitsmaßnahmen wie regelmäßige Aktualisierungen von Plugins oder Themes nicht durchgeführt. Tatsächlich gibt es aber zum Beispiel für viele Premium-Themes keine automatischen Updates - Aktualisierungen müssen manuell vorgenommen werden. Manchmal sind auch in Themes enthaltene Plugins veraltet und dadurch ein Sicherheitsrisiko. Oder es werden Passwörter wie "12345" oder "Admin" genutzt.
Sicherheitslücken treten am häufigsten bei Plugins und Themes auf, während es bei WordPress nur sehr selten sogenannte Security Holes gibt. Auf diese Probleme reagiert die WordPress-Community in der Regel sehr schnell. Entscheidend ist, dass Du Deine Anwendungen immer aktuell hältst und Updates sowie Sicherheits-Patches regelmäßig einspielst.
Je nachdem, an welcher Stelle der Angriff erfolgte, kann es eventuell ausreichen, lediglich den WordPress-Core erneut hochzuladen - ohne dass auch der Content via Backup wieder aufgespielt werden muss. Für die Neuinstallation von WordPress lädst Du die Ordner wp-admin und wp-include neu hoch, außerdem auch alle Dateien im WordPress-Root.
Du bist unsicher, ob die WP-Neuinstallierung ausreicht? Dann gehe lieber auf Nummer Sicher, lösche alle entsprechenden Inhalte in Deinem Webspace und lade WordPress inklusive Theme, Plugins und Content neu hoch. Dieser Schritt fällt schwer, erspart Dir aber möglicherweise eine Menge neuen Ärger. Denn häufig hinterlassen Angreifer gut getarnte Backdoor-Skripte hinterlassen, durch die sie sich später erneut Zugriff auf Dein System verschaffen können. Die komplette Reinigung schützt Dich davor.
Sehr hilfreich ist in diesem Fall ein Backup Deines Blogs, das natürlich noch aus der Zeit vor dem Hackerangriff stammen sollte. Bei Webhosting-Paketen von checkdomain erfolgt ein Backup automatisch und regelmäßig. Aus Sicherheitsgründen solltest Du jedoch auch selber Backups Deiner WordPress-Seite erstellen und diese separat speichern. Bei der Backup-Erstellung kannst Du Dich von verschiedenen Plugins wie UpdraftPlus WordPress Backup Plugin. unterstützen lassen.
Solltest Du kein sicheres Backup zur Verfügung haben, bleibt Dir leider nichts anderes übrig, als alle Inhalte inklusive Datenbanken und Bildern komplett erneut hochzuladen.
Alle Erste-Hilfe-Schritte erledigt, keine Malware mehr zu finden und Deine Seite läuft wieder? Dann kannst Du sie entsperren. Sollte sie von Deinem Provider gesperrt worden sein: Melde Dich bei Deinem Anbieter und sage Bescheid, dass der Schadcode entfernt wurde. Hast Du Deine Seite selber offline genommen, deaktiviere das Plugin für den Wartungsmodus oder hebe Deine eigene Sperrung, etwa über den Verzeichnisschutz, auf. Nun musst Du noch bei Google eine erneute Überprüfung beantragen, damit Deine Seite wieder in den Index aufgenommen wird. Welche Schritte Du dafür erledigen musst, kannst Du hier nachlesen. Geschafft!
Damit es Hacker auf Deiner WordPress-Seite künftig schwer haben, hier noch ein paar kurze Sicherheitstipps:
Mit unserer Erste-Hilfe Anleitung solltet Ihr den Hackerangriff schnell beseitigen können. Seid dennoch gründlich bei der Malware-Suche und haltet Euer WordPress immer auf dem aktuellsten Stand.