WordPress gehackt - was tun?

Wordpress Schriftzug vor Zahnrädern und Computercode

WordPress-Webseiten werden oft von Hackern angegriffen und dadurch kompromittiert. So werden die betroffenen Seiten oft auch von Google aus dem Index entfernt um weiteren Schaden einzugrenzen. Dazu muss die Webseite gar nicht einmal so bekannt sein, denn auch völlig neue Seiten können Opfer einer solchen Attacke werden. Das liegt daran, dass die Hacker Tools verwenden, die gleich mehrere Webseiten infizieren, da sie es nicht auf einzelne Seiten abgesehen haben. Diese Hackerprogram​me suchen sich automatisch WordPress Hoster mit bestimmten Sicherheitslücken und infizieren dann in weiterer Folge die Webseitenbesucher beispielsweise mit Malware, beziehungsweise missbrauchen die Seite für Spam-Versand. Wenn die eigene Webseite von einem solchen Angriff betroffen ist, sollte man rasch handeln, um dieses Problem erfolgreich zu beheben.

Gehackte WordPress-Webseiten retten

Webseite offline nehmen und Backup erstellen

Zu allererst muss die Webseite offline genommen und eine Sicherung erstellt werden. Das Backup kann für etwaige Schadensersatzansprüchen als Beweis verwendet werden.

Rechner scannen

Als nächstes ist es wichtig festzustellen, ob sich die Sicherheitslücke nicht etwa auf dem eigenen Rechner befindet. Ein Trojaner kann beispielsweise ganz einfach Passwörter entnehmen, die von den Hackern dann dementsprechend missbraucht werden. Folgende Schritte sind beim Durchleuchten des Rechners ratsam:

  • Überprüfung aller am Projekt beteiligter Rechner mittels Virenscanner
  • Zusätzliche Überprüfung des eigenen Rechners mit der Kaspersky Rescue Disc
  • Überprüfung der Webseite in einer sogenannten "Sandbox" auf eventuell weitere Viren
Alle Passwörter ändern

Um Unbefugten den weiteren Zugang zu entziehen, sollten sämtliche Passwörter geändert werden. Das betrifft sowohl sämtliche WordPress-, FTP- und MySQL-Datenbanken-Passwörter, als auch das Masterpasswort des Webhosters.

SFTP-Einrichtung

Alle zukünftigen Datenübertragungen sollten mittels eines sicheren SFTP-Zuganges verschlüsselt werden. Dieser kann entweder beim Webhoster selbst oder direkt im Backend eingerichtet werden.

Angriff lokalisieren

Der nächste Schritt sollte die Lokalisierung des Angriffes sein. Das bedeutet, dass man versuchen sollte, herauszufinden, welche Dateien durch den Hacker verändert oder hochgeladen wurden. Oft betrifft es Dateien im Root wie „index.php" oder die „header.php“ im Theme-Ordner. In den betroffenen Dateien findet man oft Codestellen wie „eval" oder „base64", die auf einen Schadcode hindeuten. Solche Veränderungen der WordPress-Core-Files können auch mit Plugins wie dem „Wordfence" untersucht werden.

Prüfung des Theme

Sollte der WordPress-Core sauber sein, muss das Theme geprüft werden. Hier sollte man ebenfalls auf eigenartige Codestellen wie „iframe", „base64" oder „eval" sowie auf seltsame Änderungszeiten achten und diese Änderungen bereinigen, beziehungsweise im Notfall ein Backup zurückspielen.

Erneutes Hochladen von WordPress oder Restore eines Backups

Wenn man den Hackerangriff lokalisieren konnte, reicht es, wenn man den WordPress-Core neu hochlädt:

Dazu werden die alten Ordner wp-include und wp-admin, sowie alle WordPress-Root-Dateien durch die neuen Versionen überschrieben.

Kann der Angriff nicht eingegrenzt werden, sollte man unbedingt ein sauberes Backup zurückspielen: Anhand des Änderungszeitpunktes der befallenen Datei kann ein sauberes Backup, welches vor dem Angriff gemacht worden sein muss, wieder zurückgespielt werden.

Durchführung von Sicherheitsmaßnahmen

Wenn eine Webseite bereits einmal gehackt wurde, kann dies immer wieder erneut passieren. Deshalb muss man sicherstellen, dass alle möglichen Sicherheitsvorkehrungen getroffen werden. Hierbei sollten auch die Sicherheitsschlüssel erneuert werden, damit die Authentifizierungs-Cookies neu erstellt werden.

Rechtzeitig über zukünftige Angriffe informieren lassen

Mit dem Plugin „WordPress Antivirus" kann, mittels Google Safe Browsing, geprüft werden, ob die eigene Seite Phishing- oder Malware-Inhalte ausliefert. Damit kann rechtzeitig auf Hackerangriffe reagiert werden, bevor diese von Google aus dem Index entfernt werden. Auch Wordfence hilft bei der Früherkennung durch die Prüfung von Webseitendateien auf Änderungen.