WordPress gehackt? – Tutorial für Anfänger und Profis [2019]

WordPress gehackt? – Was nun?

Als erstes: Keine Panik!

In diesem Guide erkläre ich dir ganz genau, wie du deine Website wieder flott machen kannst, nachdem deine WordPress Instanz gehackt wurde.

Inklusive Bildern zu allen wichtigen Plugins sowie einer Checkliste damit du auch nichts vergisst.
Damit du dabei aber alles richtig machst, solltest du erstmal Ruhe bewahren und tief durchatmen.

Ich benutze in diesem Guide verschiedene Plugins & Software, die dich beim Reinigen der Webseite unterstützen, aber allesamt kostenfrei sind – Es kann jedoch sinnvoll sein für die Zukunft in einige dieser Tools zu investieren; für die Umsetzung dieses Guides ist das aber nicht nötig.

Eine Säuberungsaktion bei einem WordPress-Blog oder einer WordPress-Website nimmt ca. 1-4 Stunden, je nach Größe und Infizierungsgrad der Seite, in Anspruch. Ihr könnt nach Schritt 2.1 allerdings auch längere Zeit in Anspruch nehmen, ohne dass ihr ein erhöhtes Risiko eingeht. Eure Webseite ist allerdings bis zum Ende des Tutorials nicht erreichbar.

Sofort-Maßnahmen – erste Hilfe bei WordPress-Hacks

Wenn du jetzt sofort professionelle Hilfe möchtest kannst du uns gerne kontaktieren.

Wir säubern und sichern deine WordPress-Website zum Pauschalpreis von 299€

Einfach, schnell und mit einer Garantie, dass die Webseite nicht erneut infiziert wird (und du den Prozess wiederholen musst)!

Hier siehst du, was in dem Angebot enthalten ist und wie du es in nur zwei Klicks bestellen kannst!

Schritt-für-Schritt-Anleitung

Absichern der infizierten Instanz via .htaccess

Damit wir in Ruhe arbeiten können und der WordPress-Hack nicht weiter Unheil anrichten kann, musst du die Seite erstmal kurzzeitig vom Netz nehmen, ohne dabei deinen eigenen Zugang zu beschränken.

Leider wissen wir zu diesem Zeitpunkt noch nicht, wie deine Seite kompromittiert wurde und daher ist es unzureichend einfach nur den Wartungsmodus zu aktivieren!

Bitte überspringe diesen Schritt nicht – es kann Teile deiner Arbeit zunichte machen, wenn du die Seite nicht komplett gegen fremden Zugriff absicherst.

Am Besten veränderst du dafür deine .htaccess Datei; diese findest du im Hauptverzeichnis von WordPress auf deinem Webspace.

Um das zu erreichen besuche wieistmeineip.de und finde deine eigene IP heraus.
Füge nun die folgenden Zeilen in deine .htaccess Datei direkt am Anfang ein.

order deny,allow
deny from all
allow from <deine IP>

Du hast nun deine WordPress-Site gegen weitere Zugriffe abgesichert und kannst dir erst mal etwas zu trinken holen.

Eigenen Rechner prüfen

Bevor wir nun weiter machen an deiner WordPress-Page, müssen wir erst sichergehen, dass dein eigener Rechner nicht infiziert ist.

Solltest du also ein Anti-Virus Programm haben, gehe sicher dass es auf dem neusten Stand ist und falls du kein Anti-Virus Programm hast, solltest du dir dringend eines zulegen.

Hier gibt es ein kostenfreies Programm, welches den Grundbedarf abdeckt

Passwörter vom Webspace ändern

Damit wir sicher gehen können, dass der Hacker nicht wieder deine ganze Arbeit zunichte macht ist es wichtig, die Zugänge zu deinem Web Hosting zu ändern. In den meisten Fällen haben die Hacker zwar keinen Zugriff auf den FTP aber WordPress speichert unter anderem die Benutzer Namen und Passwörter zu den Datenbanken und diese sind nun auf jeden Fall zu ändern.

Wie dieser Schritt genau vonstatten geht, hängt von der Verwaltung deines Providers ab. Bitte schaue dich daher in deinem Hosting Panel um, oder kontaktiere deinen Hoster, wie du diese Sachen ändern kannst.

Folgende Zugangsdaten musst du ändern:

  • FTP Zugang
  • MySQL Zugangsdaten

Falls du vermutest, dass der Hacker über den Server statt über deinen Webspace Zugriff erhalten hat, solltest du dringend deinen Provider informieren!

Backup erstellen & Logs sichern

Vielleicht klingt es komisch für dich, eine gehackte WordPress-Website überhaupt abzuspeichern.

Aber der Grund ist recht einfach:

Wir dokumentiere damit den Zustand auf dem Server vor unserem Clean up – dies kann wichtig sein, wenn es im Nachhinein Fragen gibt oder, wenn man doch Dateien löschen sollte, die sich später als sehr wichtig herausstellen.

Ich persönlich empfehle euch für das Backup eurer WordPress-Seite das kostenfreie Plugin „Akeeba Backup“, welches ihr hier herunterladen könnt:
Akeeba Backup Download

Optional: Backup Restore

Solltet ihr bereits ein Backup eurer WordPress-Instanz haben, welches vor dem Hack angelegt wurde, vereinfacht dir das die Arbeit nun extrem – alles was du tun musst ist ein unkompromittiertes Backup einzuspielen und mit den neuen Daten für Benutzername & Passwort zu füttern.

Einige Service Dienstleister bieten dir einen solchen Service an und er lohnt sich tatsächlich, da die gesparte Arbeitszeit bei Fehlern auf dem Blog ganz schnell mehr kostet, als der Backup-Service für deinen WordPress-Blog.

Cleanup & Update WP & Plugins

Ich gehe davon aus, dass du eventuell kein Backup zur Verfügung hast.
Lass uns also nun mit dem Aufräumen deiner WordPress-Instanz beginnen!

Als erstes musst du dafür in den Administrations Bereich und dort unter der Option Aktualisierung WordPress neu installieren.

WordPress gehackt? - Tutorial für Anfänger und Profis [2019] 1
WordPress Core Dateien neu installieren

Nachdem die Kern Dateien neu geschrieben wurden, können wir davon ausgehen, dass diese einwandfrei funktionieren.

Wir müssen nun alle Plugins & Themes updaten – gehackte Plugins und Themes sind übrigens für über 55% aller WordPress Hacks verantwortlich. Es lohnt sich also auch hier regelmäßig die neusten Versionen einzuspielen bzw. dafür einen Service zu beauftragen.

Nachdem alle Erweiterungen und auch die Templates & Themes auf den neusten Stand gebracht wurden, müssen wir nun noch die restliche Instanz und deinen Webspace überprüfen.

Dazu benutzen wir das kostenfreie Plugin „WordFence“.
WordFence könnt ihr hier runterladen

Scan aller Dateien auf Schadcode

Durch WordFence können wir nun auch den Rest des gesamten Webspaces durchsuchen, was ein sehr wichtiger Schritt ist.

Die meisten WordPress-Hacks hinterlassen extra Dateien oder Modifikationen, die einen direkten Zugriff auf deine WP-Instanz und deinen Webspace gewähren. Das ist auch der Grund warum wir ganz am Anfang im Schritt 2.1 die .htaccess Datei so modifizieren, dass nur noch wir Zugriff auf die WordPress Instanz haben.

Den Scan von WordFence erreicht ihr folgendermaßen

WordPress gehackt? - Tutorial für Anfänger und Profis [2019] 2

Nachdem der Scan durchgelaufen ist, findest du eine Liste aller Dateien die entweder geändert wurden oder problematischen Code enthalten.

Achtung:
Oft zeigt WordFence Unterschiede in den Text-Dateien wie der readme.txt da sich diese von der Englischen Version unterscheidet. Wenn du dir unsicher bist solltest du die Datei einfach von WordFence entfernen lassen.

Passwörter aller Benutzer in WordPress ändern

Um sicher zu gehen, dass kein weiterer Schaden entsteht und deine WordPress-Instanz erneut gehackt wird, sollten die Passwörter aller Benutzer zurückgesetzt werden. Dies verhindert, dass der Angreifer die Möglichkeit bekommt z.B. falsche Bestellungen oder Kommentare zu veröffentlichen.

Auch solltest du prüfen, ob es andere Benutzerkonten gibt die erweiterte (Administrations) Rechte besitzen.

Du kannst dies mit den Standard WordPress Mitteln umsetzen oder, wenn du einige User hast, mit dem folgenden Plugin.

MASS Users Password Reset

WordPress-Site wieder online stellen

Jetzt bist du auch schon fast fertig!

Wenn du alle Schritte genauso wie hier beschrieben ausgeführt hast, solltest du noch einmal in deine .htaccess Datei gehen und die von uns in Schritt 2.1 hinzugefügten Inhalte entfernen.

Inklusive dem „order deny,allow“ & „deny from all“

Danach ist dein WordPress-Blog oder deine WordPress-Website wieder erreichbar und sollte wieder einwandfrei funktionieren.

Weiterführende Maßnahmen

Nun hast du den Hack entfernt und die WordPress-Seite wieder repariert.

Gut gemacht!

Damit du in Zukunft nicht wieder gehackt werden kannst, solltest du aber ein paar zusätzliche Schritte beachten:

Regelmäßige Updates sind mit eine der besten Maßnahmen gegen Hacker & Exploits.

Richte dir daher entweder einen wöchentlichen Termin in deinen Kalender ein oder überlege, ob es nicht Sinn macht, jemanden extern mit der Pflege zu beauftragen.

Darüber hinaus empfiehlt es sich außerdem eine Software Firewall zu nutzen (wie zum Beispiel WordFence, welches du bereits im Verlauf dieses Guides installiert hast), oder einen speziell abgesicherten Server zu benutzen. Letzteres ist zwar etwas teurer im Hosting, aber verringert die Chance, dass etwas passiert um ein Vielfaches.

Für Einzelhändler und Unternehmen empfiehlt es sich auf jeden Fall über einen rundum Service nachzudenken – der Ausfall der Seite sowie die peinliche Information an Kunden, dass persönliche Daten ungewollt herausgegeben wurden, ist so Geschäftsschädigend, dass die Kosten eines Premium-Services dagegen sehr gering sind!

Welche Services wir anbieten und was alles darin enthalten, ist findest du hier

Ich hoffe, dass dir dieser Guide helfen konnte – wenn du magst schreib mir doch deine Erfahrungen in die Kommentare.

FAQ

Warum werden WordPress Seiten gehackt?

Viele fragen sich, warum sie überhaupt gehackt werden.
Leider ist der Grund nicht immer offensichtlich, es kann sich einfach um einen Teenager handeln der ausprobieren wollte, ob er den Blog übernehmen kann oder um einen Spammer, der deinen Blog zum Verteilen von Spam-Mails genutzt hat oder benutzen wollte.

Auch möglich ist, dass der Hacker an die Daten deiner User wollte, um diese später wieder zu verwenden um z.B. ihre eMail Accounts zu kompromittieren.

Recht selten kommt es auch vor, dass es sich um einen Konkurrenten handelt der Sichergehen möchte, dass die Seite SEO-Technisch abgewertet wird oder an bestimmten Kundendaten interessiert ist.

Was muss ich nach einem Hack für die DSGVO beachten?

Laut der DSGVO musst du Benutzer informieren, wenn jemand fremdes Zugriff auf ihre personenbezogenen Daten hatte. Wenn deine WordPress-Site gehackt wurde, könnten das z.B. Zugangsdaten für einen Mitgliederbereich sein oder e-Mail- und IP-Adressen von Kommentatoren.

Ob und wie dies in deinem speziellen Fall zu tun ist, kann ich dir leider hier nicht verraten. Einen kleinen Überblick bekommst du allerdings bei unseren Partnern von eRecht 24. (https://www.e-recht24.de/artikel/datenschutz/11189-datenpanne-dsgvo-verpflichtet-sie-zur-meldung.html)

Fehler: Weißer Bildschirm

Manchmal kommt es vor, dass ihr nach einem Hack eine weiße Seite habt und nicht wisst was ihr tun sollt.
WordPress hat mittlerweile seit Version 5.2 Möglichkeiten, dass ihr solche Fehler besser bewältigen könnt. Für den Fall dass diese „Recovery“ aber fehl schlägt gibt es einen einfachen Trick, mit dem ihr sinnvoll Fehlermeldungen bekommt.

Geht via FTP in eure wp-config.php und ändert dort folgende Zeile:

define('WP_DEBUG', false);

zu

define('WP_DEBUG', true);

Fehler: Umleitung / Redirekt

Manchmal leiten Hacker deine Seite weiter auf eine andere Seite.

Dies wird gerne genutzt, um deine Benutzer zu einem Download umzuleiten, der dann meist auch Schadcode enthält.
Am Besten behebst du diese Umleitung ganz normal, wie hier im Guide beschrieben. – Fange aber mit Schritt 2.1 an um deine Benutzer während der Fehlerbehebung nicht zu gefährden.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on telegram
Telegram
Share on whatsapp
WhatsApp
Share on email
Email

More to explorer

Allgemein

Wie funktioniert eigentlich SEO?

Wahrscheinlich jeder Internetnutzer, der sich in der Vergangenheit schon einmal mit dem Thema eigene Website beschäftigt hat, wird bereits über die Abkürzung „SEO“ gestolpert sein.

Weiterlesen »

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.