info@sixhop.net | 089 2488290-0 | Webmailer

WordPress Webseite gehackt? Wir helfen sofort.

first-aid

Ihre Webseite wurde gehackt und Sie möchten jetzt schnell und unkompliziert die Kontrolle über Ihre Seite zurückerlangen? Dann wenden Sie sich mit jeglichen Fragen an uns, wir beantworten sie gerne! Wir sind Profis und helfen Ihnen dabei Ihre Webseite sicher zu betreiben.

Erste Hilfe bei einer gehackten WordPress Webseite

1. Nicht in Panik verfallen

Wer ruhig bleibt kann konzentriert arbeiten und macht wenig Fehler.

2. Webseite vom Netz nehmen

Das können Sie sehr einfach tun, indem Sie in der htaccess Datei nur noch den Zugriff von Ihrer IP Adresse aus erlauben.

vorher:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]


# END WordPress

nachher:

Order deny,allow
Deny from all
# NICHT VERGESSEN DIE IP AUSZUTAUSCHEN
# https://www.wieistmeineip.de/
Allow from 92.75.31.145

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]


# END WordPress

3. Backup der gehackten Version der Seite erstellen

Wenn Sie breits einen Backupmechanismus eingerichtet haben, starten Sie das Backup, um den aktuellen Stand der Seite zu speichern. Je nachdem wie die Aufräumarbeiten verlaufen kann das wichtig sein.

4. Bereinigung der Webseite

An diesem Punkt haben Sie zwei Möglichkeiten. Bereinigen Sie Ihre Webseite selbst oder nehmen Sie einen Profi dazu, der das für Sie übernimmt.

Für diese Anleitung ist es notwendig, dass Sie einen Hostingtarif mit SSH Zugriff auf Ihren Webspace haben. Wir werden einige Kommandos in die Konsole eingeben, um die Webseite zu reparieren.

1. wp-cli installieren

Der WordPress Console Client bietet viele nützliche Funktionen, so auch eine Checksummenüberprüfung, um herauszufinden welche Dateien des WordPress Cores beim Hack verändert wurden:

http://wp-cli.org/de/

Auf der Seite finden Sie eine kurze Anleitung wie Sie den wp-cli auf Ihrer Konsole installieren können.

2. Checksummen-Prüfung und Bereinigung des WordPress Cores

Führen Sie nach der Installation

wp core verify-checksums

Innerhalb Ihres DocumentRoot von WordPress aus. Für eine saubere WordPressinstanz sieht die Ausabe so aus:

Success: WordPress install verifies against checksums.

Für eine kompromittierte Instanz so:

Warning: File doesn't exist: wp-settings.php
Warning: File doesn't exist: wp-admin/includes/screen.php
Warning: File doesn't exist: index.php
Warning: File doesn't verify against checksum: wp-config-sample.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/notices/thanks-for-using-main-dash.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/notices/report.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/notices/bottom-notice.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/notices/report-plain.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/notices/horizontal-notice.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/header.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/downloading-and-restoring.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/tab-bar.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/form-contents.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/tab-addons.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/existing-backups-table.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/tab-status.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/delete-and-restore-modals.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/advanced/tools-menu.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/advanced/advanced-tools.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/advanced/export-settings.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/advanced/site-info.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/advanced/search-replace.php
Error: WordPress install doesn't verify against checksums.

Schritt für Schritt geht man eine Datei nach der anderen durch, um sie von Schadcode zu bereinigen. Für Dateien aus dem WordPress Core kann WordPress einfach nochmal von https://wordpress.org/download/ heruntergeladen werden, um die infizierten Dateien mit den Originaldateien zu ersetzen. Für Plugins kann das Plugin neu installiert oder geupdatet werden. Manche Dateien müssen aber von Hand bereinigt werden.

3. Virenscanner

https://www.rfxn.com/projects/linux-malware-detect/

Linux Malware Detect ist ein einfacher aber effektiver Virenscanner, um Schadsoftware ausfindig zu machen. Auf der Seite bekommen Sie das Paket und können dieses auf Ihrem Webspace installieren.

Führen Sie dann den Virenscanner für das DocumentRoot der gehackten Webseite aus:

maldet -a /path/to/document/root/of/wordpress

Im Report von maldet können Sie dann sehen welche zusätzlichen Dateien infiziert sind und diese bereinigen.

4. Update und Test

Nachdem alle schädlichen Dateien entfernt wurden können Sie sich ins Backend Ihrer WordPress Seite einloggen und alle ausstehenden Sicherheitsupdates installieren. Das ist sinnvoll, wenn WordPress wird von sehr vielen Webseiten benutzt, weshalb auch sehr viele Sicherheitslücken frühzeitig gefunden und aufgedeckt werden. Ihre Webseite kann aber nur dann sicher sein, wenn sie die bereitgestellten Sicherheitsupdates auch installieren.

5. Zugangsdaten ändern

Wenn jetzt wieder alles zu Ihrer Zufriedenheit funktioniert, ändern Sie alle Zugangsdaten für alle WordPress Benutzer und auch für Ihren FTP oder SSH Account zu Ihrem Webspace.

Wie bemerken Sie, dass Ihre Webseite gehackt wurde?

  • Die Website lässt sich nicht mehr aufrufen. Sie erhalten Fehlermeldungen oder sehen andere Inhalte als die von Ihnen eingepflegten. Es kann auch sein, dass Ihnen statt eines Artikels nur eine leere, weiße Seite angezeigt wird.

  • Beim Aufruf der Startseite oder einer bestimmten Unterseite werden Sie auf eine andere Seite und nicht wie gewünscht auf den gewollten Artikel weitergeleitet.

  • Besucher, die über ein bestimmtes Gerät auf die Seite zugreifen, z. B. über ein Smartphone, werden auf andere Seiten umgeleitet und können Ihre Webseite nicht mehr sehen.

  • Wenn Sie die Seite aufrufen meldet sich Ihr Virenscanner mit einer Warnung vor Viren, Trojanern oder anderer Schadsoftware, welches sie auf deren Installation durch Dritte hinweist.

  • Sie können sich in das Backend, also die Verwaltung Ihrer Webseite, nicht mehr einloggen oder Ihnen werden bestimmte Bereiche nicht mehr richtig angezeigt.

  • Ihre Seite zeigt fremde Inhalte an. Das bedeutet, dass ein sogenanntes Defacement, also Veränderungen am Erscheinungsbild und Inhalt Ihrer Seite vorgenommen wurden.

Welches Interesse haben Hacker an Ihrer Webseite?

Ziel von Hacker-Attacken sind nicht nur große oder sehr bekannte Webseiten, sondern gerade auch kleinere Internetauftritte. Dabei geht es den Hackern nicht unbedingt um einen persönlichen Angriff auf Sie oder Ihre Inhalte, sondern darum, möglichst viele Webseiten mit derselben Sicherheitslücke, zum Beispiel in einem CMS wie WordPress zu kontrollieren.

Oft fallen WordPress (WP) Webseiten Hackangriffen zum Opfer. Da WordPress weltweit eines der beliebtesten Content Management Systeme (CMS) ist, wird es dementsprechend häufig attackiert. WordPress bringt neben zahlreicher Templates auch eine riesige Menge an WordPress Plugins, mit denen die Funktionalität der Webseite erweitert werden kann. Bei der Auswahl der WordPress Plugins sollten Sie aber genau schauen, denn auch hier installieren Sie sich teilweise Sicherheitslücken.

Nicht nur WordPress, sondern auch Joomla ist vor Hackerangriffen nicht vollständig sicher, aber auch hier ist die Community auf Zack und stellt in regelmäßigen Abständen Sicherheitsupdates für WordPress und Co bereit.

Neben Word Press und Joomla unterstützen wir Sie natürlich auch bei allen anderen Systemen wie Drupal, Typo3, Shopware, JTL Shop, Magento und viele andere.

Oftmals sind die Angreifer nur deshalb erfolgreich, weil sich niemand um neue Sicherheitsupdates kümmert, die die jeweilige Community von WordPress et. al. anbietet.

Die Hacker verfolgen unterschiedliche Ziele. Die häufigsten stellen wir Ihnen kurz vor:

  • Defacing (engl. Entstellung): Gezielt und deutlich sichtbar werden Inhalte auf der Webseite geändert, um Ihnen und anderen Nutzern zu zeigen, dass ein Hacker Zugriff hat. Dieser Angriff ist meist ungefährlich, denn der Hacker möchte damit vor allem seiner Community beweisen, dass er in Ihr CMS, z.B. WordPress eingreifen kann. Hier zahlt es sich aus wenn man ein Backup der Inhalte hat.
  • Hijacking (engl. Entführung): Der Besucher Ihrer Webseite wird auf eine andere Webseite weitergeleitet, ohne dass er es selbst bemerkt. Bei einer solchen „Entführung” kann Schadcode, sogenannte Malware, auf den Computer Ihres Besuchers gelangen, z.B. ein Virus oder ein Trojaner. Dieser Hack ist gefährlich, weil dabei Dritte zu Schaden kommen können. Zudem kann es sein, dass Google Ihre Webseite als gefährdend einstuft und mögliche Besucher vor Ihrer Seite warnt bzw. Ihre Seite nicht mehr in seinen Suchergebnissen auflistet.
  • Integration in ein Botnetz: Ihr Computer wird über Ihr Hostingpaket in ein sogenanntes Botnetz integriert, also einen Verbund von Computern, die alle ohne Wissen ihrer Eigentümer mit derselben Schadware infiziert sind. Die Geräte werden missbraucht, um im großen Stil Spam- oder Phishing-Mails zu verschicken, andere Server lahmzulegen, illegale Daten zu speichern oder persönliche Daten auszuspionieren. Auch dieser Hack ist gefährlich, da er andere Benutzer schädigt und für gesetzeswidrige Aktivitäten missbraucht wird.

PHP ist die Skriptsprache in der WordPress (WP) geschrieben wurde. PHP gestützte Webseiten werden sehr gerne angegriffen, denn hier haben die Angreifer dann auch direkt die Möglichkeit PHP Code auszuführen und damit eigene Tools für weitere Angriffe oder zum Versand von Spam zu installieren. Das soll nicht bedeutet, dass PHP deshalb schlecht ist. Sie sollten am besten ein Augenmerk darauf haben wer auf Ihre Seite Zugriff, bzw. Passwörter hat und wer besser keinen Zugriff bekommen sollte um der Installation von Malware vorzubeugen.

 

Was können Sie jetzt tun?

Hier sind unsere Tipps:

  1. Verfallen Sie nicht in Panik. Wenn Sie zu aufgeregt sind, um Ihre Webseite selbst zu bereinigen, können wir das für Sie übernehmen. Kontaktieren Sie uns und wir besprechen das weitere Vorgehen.
  2. Nehmen Sie Ihre Website sofort aus dem Netz
    Damit keine weiteren Personen Schaden von diesem Angriff nehmen, stellen Sie Ihre Webseite offline, sodass diese nicht mehr erreichbar ist. So verhindern Sie, dass Besucher Ihrer Seite möglicherweise ebenfalls Schaden erleiden. Als Betreiber einer kommerziellen Website sind Sie nach dem Telemediengesetz (TMG, § 13) dazu verpflichtet Ihre Seite sicher zu gestalten. Wichtig ist hier der Test, dass die Webseite wirklich nicht mehr im Netz erreichbar ist.
  3. Lassen Sie sich gleich von einem Profi helfen und sparen Sie sich viel Zeit und Arbeit.
    Wir übernehmen die professionelle Bereinigung Ihrer Webseite für Sie. Alles was Sie tun müssen, ist uns Webseitendaten, Datenbankdump und Logfiles, falls vorhanden, zur Verfügung zu stellen, so können wir Ihnen am besten helfen. Gerne helfen wir Ihnen bei der Sicherung und Erstellung des Datenpakets.

    Sie wissen nicht welche Daten Sie bereitstellen sollen?
    Vielen Kunden stellen uns ihre Logindaten für ihr Hostingpaket zur Verfügung, sodass wir die nötigen Daten für die Restaurierung heraussuchen können.

  4. Nun sollten Sie alle Systemdateien und Plugins mit Updates auf den aktuellsten Stand bringen. Prüfen Sie mit einem Virenscanner, ob eventuell Ihr eigener Computer eine Sicherheitslücke aufweist. Ändern Sie alle Passwörter im CMS (Content Management System), das können Sie im Backend von WordPress erledigen. Ändern Sie auch die FTP-Zugangsdaten. Löschen Sie nicht benötigte Nutzerkonten. Für weitere Datenübertragungen stellen Sie FTP auf einen sogenannten SFTP/FTPS-Zugang um.
  5. Wir setzen in der Zwischenzeit die gehackte Version Ihrer Webseite auf einen unserer Testserver auf.
    1. Wir überprüfen die Webseite, ihre Themes und Plugins gründlich und lassen einen Virenscanner laufen, der den Schadcode ausfindig macht.
    2. Wir bereinigen alle infizierten Dateien.
    3. Durch Analyse der Logdateien identifizieren wir die Sicherheitslücke, durch die der Angreifer Ihre Webseite kompromittieren konnte.
    4. Wir beseitigen die Sicherheitslücke.
  6. Gerne machen wir Ihnen ein Angebot für ein passendes sixhop.net Hosting-Paket inklusive regelmäßiger Sicherheitsupdates. Es minimiert die Gefahr eines erneuten Hackerangriffs und umfasst zudem die Erstellung täglicher Backups Ihrer Webseite.

Unser Service für Sie im Überblick

Wir finden für Sie heraus, an welcher Stelle Ihres CMS (egal ob WordPress, Joomla oder andere) der Angriff erfolgt ist. Dann verschließen wir die „Türen” durch die die Hacker auf Ihre Webseite gelangt sind schnell und dauerhaft. Zusätzlich können Sie auf Wunsch unseren Hosting-Service in Anspruch nehmen, um das Risiko eines erneuten Hackerangriffs zu minimieren und um eine regelmäßige Sicherung Ihrer Daten, d.h. Backups sicherzustellen. Sollte es tatsächlich zu einem erneuten Angriff kommen, informieren wir Sie umgehend und kümmern uns sofort um die Bereinigung der Seite.

Unser Service umfasst:

  1. Bereinigung Ihrer Webseite + Entfernung des Schadcodes (249,- €)
  2. Bereinigung + Entfernung des Schadcodes auf speziell programmierten oder veralteten und nicht mehr gepflegten Plugins (nach Aufwand)
  3. Hosting-Paket inkl. CMS Management mit automatischen Updates z.B. für Ihre WordPress-Webseite (ab 14,95 €/Monat) 

Legen Sie die Wartung Ihrer Webseite in die Hände von Profis – damit Sie sich in Zukunft keine Sorgen mehr um die Sicherheit machen müssen. Fordern Sie noch heute Ihr persönliches unverbindliches Angebot bei uns an, wir antworten zuverlässig und mit bestem Wissen.

Backup Ihrer Webseite

Wichtig ist es, dass Sie regelmäßige Backups Ihrer Webseite erstellen. Falls ein Angreifer Zugriff auf Ihre Webseite bekommt, hat er auch die Möglichkeit Dateien Ihrer Webseite, egal ob WordPress oder andere CMS, zu löschen. Mit einem Backup ist es dann ein Leichtes die Webseite am besten mit dem Stand vom Vortag wiederherzustellen.

In den meisten Fällen genügt es nicht, nur eine Kopie der Dateien zu erstellen, die Sie per FTP erreichen können. Zusätzlich benötigen Sie für viele Content Management Systeme wie zum Beispiel WordPress auch einen Abzug Ihrer Datenbank. In den meisten Fällen ein MySQLDump. Nur so können Sie gewährleisten, dass Ihre Webseite aus dem erstellten Backup auch wieder neu hergestellt werden kann.

Wir bieten in allen Paketen Backups an und erstellen jeden Tag einen Abzug aller Kundenwebseiten.

 

Wir unterstützen Sie gerne bei der Bereinigung Ihrer Webseite

WordPress gehackt
5 (100%) 10 Bewertung[en]

Andreas Nitsche

Andreas Nitsche ist Gründer und Inhaber von sixhop.net, dem starken Partner für Hosting und Pflege von Webplattformen. Der leidenschaftliche Webservice-Spezialist und sein Team stehen für zuverlässigen Service in den Bereichen Webhosting, Webentwicklung, Weboptimierung sowie Datensicherheit.