Wor­d­Press Web­seite gehackt?
Wenn es brennt hel­fen wir sogar den Pro­fis!

2 Feuerwehrmänner löschen einen großen Brand

Ihre Web­seite wur­de gehackt und Sie möch­ten jetzt schnell und unkom­pli­ziert die Kon­trol­le über Ihre Sei­te zurücker­lan­gen? Dann wen­den Sie sich mit jeg­li­chen Fra­gen an uns, wir beant­wor­ten sie ger­ne! Wir sind Pro­fis und hel­fen Ihnen dabei Ihre Web­seite sicher zu betrei­ben.

Ers­te Hil­fe bei einer gehack­ten Wor­d­Press Web­seite

1. Nicht in Panik ver­fal­len

Wer ruhig bleibt kann kon­zen­triert arbei­ten und macht wenig Feh­ler.

2. Web­seite vom Netz neh­men

Das kön­nen Sie sehr ein­fach tun, indem Sie in der htac­cess Datei nur noch den Zugriff von Ihrer IP Adres­se aus erlau­ben.

vor­her:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]


# END WordPress

nach­her:

Order deny,allow
Deny from all
# NICHT VERGESSEN DIE IP AUSZUTAUSCHEN
# https://www.wieistmeineip.de/
Allow from 92.75.31.145

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]


# END WordPress

3. Back­up der gehack­ten Ver­si­on der Sei­te erstel­len

Wenn Sie breits einen Back­up­me­cha­nis­mus ein­ge­rich­tet haben, star­ten Sie das Back­up, um den aktu­el­len Stand der Sei­te zu spei­chern. Je nach­dem wie die Auf­räum­ar­bei­ten ver­lau­fen kann das wich­tig sein.

4. Berei­ni­gung der Web­seite

An die­sem Punkt haben Sie zwei Mög­lich­kei­ten. Berei­ni­gen Sie Ihre Web­seite selbst oder neh­men Sie einen Pro­fi dazu, der das für Sie über­nimmt.

Wor­d­Press selbst berei­ni­gen

Für die­se Anlei­tung ist es not­wen­dig, dass Sie einen Hos­ting­ta­rif mit SSH Zugriff auf Ihren Webs­pace haben. Wir wer­den eini­ge Kom­man­dos in die Kon­so­le ein­ge­ben, um die Web­seite zu repa­rie­ren.

1. wp-cli instal­lie­ren

Der Wor­d­Press Con­so­le Cli­ent bie­tet vie­le nütz­li­che Funk­tio­nen, so auch eine Check­sum­men­über­prü­fung, um her­aus­zu­fin­den wel­che Datei­en des Wor­d­Press Cores beim Hack ver­än­dert wur­den:

http://wp-cli.org/de/

Auf der Sei­te fin­den Sie eine kur­ze Anlei­tung wie Sie den wp-cli auf Ihrer Kon­so­le instal­lie­ren kön­nen.

2. Check­sum­men-Prü­fung und Berei­ni­gung des Wor­d­Press Cores

Füh­ren Sie nach der Instal­la­ti­on

wp core verify-checksums

Inner­halb Ihres Docu­men­tRoot von Wor­d­Press aus. Für eine sau­be­re Wor­d­Press­in­stanz sieht die Ausa­be so aus:

Success: WordPress install verifies against checksums.

Für eine kom­pro­mit­tier­te Instanz so:

Warning: File doesn't exist: wp-settings.php
Warning: File doesn't exist: wp-admin/includes/screen.php
Warning: File doesn't exist: index.php
Warning: File doesn't verify against checksum: wp-config-sample.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/notices/thanks-for-using-main-dash.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/notices/report.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/notices/bottom-notice.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/notices/report-plain.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/notices/horizontal-notice.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/header.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/downloading-and-restoring.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/tab-bar.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/form-contents.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/tab-addons.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/existing-backups-table.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/tab-status.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/settings/delete-and-restore-modals.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/advanced/tools-menu.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/advanced/advanced-tools.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/advanced/export-settings.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/advanced/site-info.php
Warning: File should not exist: wp-content/plugins/updraftplus/templates/wp-admin/advanced/search-replace.php
Error: WordPress install doesn't verify against checksums.

Schritt für Schritt geht man eine Datei nach der ande­ren durch, um sie von Schad­code zu berei­ni­gen. Für Datei­en aus dem Wor­d­Press Core kann Wor­d­Press ein­fach noch­mal von https://wordpress.org/download/ her­un­ter­ge­la­den wer­den, um die infi­zier­ten Datei­en mit den Ori­gi­nal­da­tei­en zu erset­zen. Für Plug­ins kann das Plug­in neu instal­liert oder geup­datet wer­den. Man­che Datei­en müs­sen aber von Hand berei­nigt wer­den.

3. Viren­scan­ner

https://www.rfxn.com/projects/linux-malware-detect/

Linux Mal­wa­re Detect ist ein ein­fa­cher aber effek­ti­ver Viren­scan­ner, um Schad­soft­ware aus­fin­dig zu machen. Auf der Sei­te bekom­men Sie das Paket und kön­nen die­ses auf Ihrem Webs­pace instal­lie­ren.

Füh­ren Sie dann den Viren­scan­ner für das Docu­men­tRoot der gehack­ten Web­seite aus:

maldet -a /path/to/document/root/of/wordpress

Im Report von maldet kön­nen Sie dann sehen wel­che zusätz­li­chen Datei­en infi­ziert sind und die­se berei­ni­gen.

4. Update und Test

Nach­dem alle schäd­li­chen Datei­en ent­fernt wur­den kön­nen Sie sich ins Backend Ihrer Wor­d­Press Sei­te ein­log­gen und alle aus­ste­hen­den Sicher­heits­up­dates instal­lie­ren. Das ist sinn­voll, wenn Wor­d­Press wird von sehr vie­len Web­seiten benutzt, wes­halb auch sehr vie­le Sicher­heits­lü­cken früh­zei­tig gefun­den und auf­ge­deckt wer­den. Ihre Web­seite kann aber nur dann sicher sein, wenn sie die bereit­ge­stell­ten Sicher­heits­up­dates auch instal­lie­ren.

5. Zugangs­da­ten ändern

Wenn jetzt wie­der alles zu Ihrer Zufrie­den­heit funk­tio­niert, ändern Sie alle Zugangs­da­ten für alle Wor­d­Press Benut­zer und auch für Ihren FTP oder SSH Account zu Ihrem Webs­pace.

Wie bemer­ken Sie, dass Ihre Web­seite gehackt wur­de?

  • Die Web­site lässt sich nicht mehr auf­ru­fen. Sie erhal­ten Feh­ler­mel­dun­gen oder sehen ande­re Inhal­te als die von Ihnen ein­ge­pfleg­ten. Es kann auch sein, dass Ihnen statt eines Arti­kels nur eine lee­re, wei­ße Sei­te ange­zeigt wird.

  • Beim Auf­ruf der Start­sei­te oder einer bestimm­ten Unter­sei­te wer­den Sie auf eine ande­re Sei­te und nicht wie gewünscht auf den gewoll­ten Arti­kel wei­ter­ge­lei­tet.

  • Besu­cher, die über ein bestimm­tes Gerät auf die Sei­te zugrei­fen, z. B. über ein Smart­pho­ne, wer­den auf ande­re Sei­ten umge­lei­tet und kön­nen Ihre Web­seite nicht mehr sehen.

  • Wenn Sie die Sei­te auf­ru­fen mel­det sich Ihr Viren­scan­ner mit einer War­nung vor Viren, Tro­ja­nern oder ande­rer Schad­soft­ware, wel­ches sie auf deren Instal­la­ti­on durch Drit­te hin­weist.

  • Sie kön­nen sich in das Backend, also die Ver­wal­tung Ihrer Web­seite, nicht mehr ein­log­gen oder Ihnen wer­den bestimm­te Berei­che nicht mehr rich­tig ange­zeigt.

  • Ihre Sei­te zeigt frem­de Inhal­te an. Das bedeu­tet, dass ein soge­nann­tes Defa­ce­ment, also Ver­än­de­run­gen am Erschei­nungs­bild und Inhalt Ihrer Sei­te vor­ge­nom­men wur­den.

Wel­ches Inter­es­se haben Hacker an Ihrer Web­seite?

Ziel von Hacker-Atta­cken sind nicht nur gro­ße oder sehr bekann­te Web­seiten, son­dern gera­de auch klei­ne­re Inter­net­auf­trit­te. Dabei geht es den Hackern nicht unbe­dingt um einen per­sön­li­chen Angriff auf Sie oder Ihre Inhal­te, son­dern dar­um, mög­lichst vie­le Web­seiten mit der­sel­ben Sicher­heits­lü­cke, zum Bei­spiel in einem CMS wie Wor­d­Press zu kon­trol­lie­ren.

Oft fal­len Wor­d­Press (WP) Web­seiten Hack­an­grif­fen zum Opfer. Da Wor­d­Press welt­weit eines der belieb­tes­ten Con­tent Manage­ment Sys­te­me (CMS) ist, wird es dem­entspre­chend häu­fig atta­ckiert. Wor­d­Press bringt neben zahl­rei­cher Tem­pla­tes auch eine rie­si­ge Men­ge an Wor­d­Press Plug­ins, mit denen die Funk­tio­na­li­tät der Web­seite erwei­tert wer­den kann. Bei der Aus­wahl der Wor­d­Press Plug­ins soll­ten Sie aber genau schau­en, denn auch hier instal­lie­ren Sie sich teil­wei­se Sicher­heits­lü­cken.

Nicht nur Wor­d­Press, son­dern auch Joom­la ist vor Hacker­an­grif­fen nicht voll­stän­dig sicher, aber auch hier ist die Com­mu­ni­ty auf Zack und stellt in regel­mä­ßi­gen Abstän­den Sicher­heits­up­dates für Wor­d­Press und Co bereit.

Neben Word Press und Joom­la unter­stüt­zen wir Sie natür­lich auch bei allen ande­ren Sys­te­men wie Dru­pal, Typo3, Shop­ware, JTL Shop, Magen­to und vie­le ande­re.

Oft­mals sind die Angrei­fer nur des­halb erfolg­reich, weil sich nie­mand um neue Sicher­heits­up­dates küm­mert, die die jewei­li­ge Com­mu­ni­ty von Wor­d­Press et. al. anbie­tet.

Die Hacker ver­fol­gen unter­schied­li­che Zie­le. Die häu­figs­ten stel­len wir Ihnen kurz vor:

  • Defa­cing (engl. Ent­stel­lung): Gezielt und deut­lich sicht­bar wer­den Inhal­te auf der Web­seite geän­dert, um Ihnen und ande­ren Nut­zern zu zei­gen, dass ein Hacker Zugriff hat. Die­ser Angriff ist meist unge­fähr­lich, denn der Hacker möch­te damit vor allem sei­ner Com­mu­ni­ty bewei­sen, dass er in Ihr CMS, z.B. Wor­d­Press ein­grei­fen kann. Hier zahlt es sich aus wenn man ein Back­up der Inhal­te hat.
  • Hijacking (engl. Ent­füh­rung): Der Besu­cher Ihrer Web­seite wird auf eine ande­re Web­seite wei­ter­ge­lei­tet, ohne dass er es selbst bemerkt. Bei einer sol­chen „Ent­füh­rung” kann Schad­code, soge­nann­te Mal­wa­re, auf den Com­pu­ter Ihres Besu­chers gelan­gen, z.B. ein Virus oder ein Tro­ja­ner. Die­ser Hack ist gefähr­lich, weil dabei Drit­te zu Scha­den kom­men kön­nen. Zudem kann es sein, dass Goog­le Ihre Web­seite als gefähr­dend ein­stuft und mög­li­che Besu­cher vor Ihrer Sei­te warnt bzw. Ihre Sei­te nicht mehr in sei­nen Such­ergeb­nis­sen auf­lis­tet.
  • Inte­gra­ti­on in ein Bot­netz: Ihr Com­pu­ter wird über Ihr Hos­ting­pa­ket in ein soge­nann­tes Bot­netz inte­griert, also einen Ver­bund von Com­pu­tern, die alle ohne Wis­sen ihrer Eigen­tü­mer mit der­sel­ben Schad­ware infi­ziert sind. Die Gerä­te wer­den miss­braucht, um im gro­ßen Stil Spam- oder Phis­hing-Mails zu ver­schi­cken, ande­re Ser­ver lahm­zu­le­gen, ille­ga­le Daten zu spei­chern oder per­sön­li­che Daten aus­zu­spio­nie­ren. Auch die­ser Hack ist gefähr­lich, da er ande­re Benut­zer schä­digt und für geset­zes­wid­ri­ge Akti­vi­tä­ten miss­braucht wird.

PHP ist die Skript­spra­che in der Wor­d­Press (WP) geschrie­ben wur­de. PHP gestütz­te Web­seiten wer­den sehr ger­ne ange­grif­fen, denn hier haben die Angrei­fer dann auch direkt die Mög­lich­keit PHP Code aus­zu­füh­ren und damit eige­ne Tools für wei­te­re Angrif­fe oder zum Ver­sand von Spam zu instal­lie­ren. Das soll nicht bedeu­tet, dass PHP des­halb schlecht ist. Sie soll­ten am bes­ten ein Augen­merk dar­auf haben wer auf Ihre Sei­te Zugriff, bzw. Pass­wör­ter hat und wer bes­ser kei­nen Zugriff bekom­men soll­te um der Instal­la­ti­on von Mal­wa­re vor­zu­beu­gen.

 

Was kön­nen Sie jetzt tun?

Hier sind unse­re Tipps:

  1. Ver­fal­len Sie nicht in Panik. Wenn Sie zu auf­ge­regt sind, um Ihre Web­seite selbst zu berei­ni­gen, kön­nen wir das für Sie über­neh­men. Kon­tak­tie­ren Sie uns und wir bespre­chen das wei­te­re Vor­ge­hen.
  2. Neh­men Sie Ihre Web­site sofort aus dem Netz
    Damit kei­ne wei­te­ren Per­so­nen Scha­den von die­sem Angriff neh­men, stel­len Sie Ihre Web­seite off­line, sodass die­se nicht mehr erreich­bar ist. So ver­hin­dern Sie, dass Besu­cher Ihrer Sei­te mög­li­cher­wei­se eben­falls Scha­den erlei­den. Als Betrei­ber einer kom­mer­zi­el­len Web­site sind Sie nach dem Tele­me­di­en­ge­setz (TMG, § 13) dazu ver­pflich­tet Ihre Sei­te sicher zu gestal­ten. Wich­tig ist hier der Test, dass die Web­seite wirk­lich nicht mehr im Netz erreich­bar ist.
  3. Las­sen Sie sich gleich von einem Pro­fi hel­fen und spa­ren Sie sich viel Zeit und Arbeit.
    Wir über­neh­men die pro­fes­sio­nel­le Berei­ni­gung Ihrer Web­seite für Sie. Alles was Sie tun müs­sen, ist uns Web­sei­ten­da­ten, Daten­bank­dump und Log­files, falls vor­han­den, zur Ver­fü­gung zu stel­len, so kön­nen wir Ihnen am bes­ten hel­fen. Ger­ne hel­fen wir Ihnen bei der Siche­rung und Erstel­lung des Daten­pa­kets.

    Sie wis­sen nicht wel­che Daten Sie bereit­stel­len sol­len?
    Vie­len Kun­den stel­len uns ihre Log­in­da­ten für ihr Hos­ting­pa­ket zur Ver­fü­gung, sodass wir die nöti­gen Daten für die Restau­rie­rung her­aus­su­chen kön­nen.

  4. Nun soll­ten Sie alle Sys­tem­da­tei­en und Plug­ins mit Updates auf den aktu­ells­ten Stand brin­gen. Prü­fen Sie mit einem Viren­scan­ner, ob even­tu­ell Ihr eige­ner Com­pu­ter eine Sicher­heits­lü­cke auf­weist. Ändern Sie alle Pass­wör­ter im CMS (Con­tent Manage­ment Sys­tem), das kön­nen Sie im Backend von Wor­d­Press erle­di­gen. Ändern Sie auch die FTP-Zugangs­da­ten. Löschen Sie nicht benö­tig­te Nut­zer­kon­ten. Für wei­te­re Daten­über­tra­gun­gen stel­len Sie FTP auf einen soge­nann­ten SFT­P/FTPS-Zugang um.
  5. Wir set­zen in der Zwi­schen­zeit die gehack­te Ver­si­on Ihrer Web­seite auf einen unse­rer Test­ser­ver auf.
    1. Wir über­prü­fen die Web­seite, ihre The­mes und Plug­ins gründ­lich und las­sen einen Viren­scan­ner lau­fen, der den Schad­code aus­fin­dig macht.
    2. Wir berei­ni­gen alle infi­zier­ten Datei­en.
    3. Durch Ana­ly­se der Log­da­tei­en iden­ti­fi­zie­ren wir die Sicher­heits­lü­cke, durch die der Angrei­fer Ihre Web­seite kom­pro­mit­tie­ren konn­te.
    4. Wir besei­ti­gen die Sicher­heits­lü­cke.
  6. Ger­ne machen wir Ihnen ein Ange­bot für ein pas­sen­des sixhop.net Hos­ting-Paket inklu­si­ve regel­mä­ßi­ger Sicher­heits­up­dates. Es mini­miert die Gefahr eines erneu­ten Hacker­an­griffs und umfasst zudem die Erstel­lung täg­li­cher Back­ups Ihrer Web­seite.

Unser Service für Sie im Über­blick

Wir fin­den für Sie her­aus, an wel­cher Stel­le Ihres CMS (egal ob Wor­d­Press, Joom­la oder ande­re) der Angriff erfolgt ist. Dann ver­schlie­ßen wir die „Türen” durch die die Hacker auf Ihre Web­seite gelangt sind schnell und dau­er­haft. Zusätz­lich kön­nen Sie auf Wunsch unse­ren Hos­ting-Service in Anspruch neh­men, um das Risi­ko eines erneu­ten Hacker­an­griffs zu mini­mie­ren und um eine regel­mä­ßi­ge Siche­rung Ihrer Daten, d.h. Back­ups sicher­zu­stel­len. Soll­te es tat­säch­lich zu einem erneu­ten Angriff kom­men, infor­mie­ren wir Sie umge­hend und küm­mern uns sofort um die Berei­ni­gung der Sei­te.

Unser Service umfasst:

  1. Berei­ni­gung Ihrer Web­seite + Ent­fer­nung des Schad­codes (249,- €)
  2. Berei­ni­gung + Ent­fer­nung des Schad­codes auf spe­zi­ell pro­gram­mier­ten oder ver­al­te­ten und nicht mehr gepfleg­ten Plug­ins (nach Auf­wand)
  3. Hos­ting-Paket inkl. CMS Manage­ment mit auto­ma­ti­schen Updates z.B. für Ihre Wor­d­Press-Web­seite (ab 14,95 €/Monat) 

Legen Sie die War­tung Ihrer Web­seite in die Hän­de von Pro­fis – damit Sie sich in Zukunft kei­ne Sor­gen mehr um die Sicher­heit machen müs­sen. For­dern Sie noch heu­te Ihr per­sön­li­ches unver­bind­li­ches Ange­bot bei uns an, wir ant­wor­ten zuver­läs­sig und mit bes­tem Wis­sen.

Back­up Ihrer Web­seite

Wich­tig ist es, dass Sie regel­mä­ßi­ge Back­ups Ihrer Web­seite erstel­len. Falls ein Angrei­fer Zugriff auf Ihre Web­seite bekommt, hat er auch die Mög­lich­keit Datei­en Ihrer Web­seite, egal ob Wor­d­Press oder ande­re CMS, zu löschen. Mit einem Back­up ist es dann ein Leich­tes die Web­seite am bes­ten mit dem Stand vom Vor­tag wie­der­her­zu­stel­len.

In den meis­ten Fäl­len genügt es nicht, nur eine Kopie der Datei­en zu erstel­len, die Sie per FTP errei­chen kön­nen. Zusätz­lich benö­ti­gen Sie für vie­le Con­tent Manage­ment Sys­te­me wie zum Bei­spiel Wor­d­Press auch einen Abzug Ihrer Daten­bank. In den meis­ten Fäl­len ein MyS­QLDump. Nur so kön­nen Sie gewähr­leis­ten, dass Ihre Web­seite aus dem erstell­ten Back­up auch wie­der neu her­ge­stellt wer­den kann.

Wir bie­ten in allen Pake­ten Back­ups an und erstel­len jeden Tag einen Abzug aller Kun­den­web­sei­ten.

 

Wir unter­stüt­zen Sie ger­ne bei der Berei­ni­gung Ihrer Web­seite

Wor­d­Press gehackt
5 (100%) 13 Bewertung[en]

Andreas Nitsche

Andreas Nitsche ist Grün­der und Inha­ber von sixhop.net, dem star­ken Part­ner für Hos­ting und Pfle­ge von Web­platt­for­men. Der lei­den­schaft­li­che Web­ser­vice-Spe­zia­list und sein Team ste­hen für zuver­läs­si­gen Service in den Berei­chen Web­hos­ting, Web­ent­wick­lung, Web­op­ti­mie­rung sowie Daten­si­cher­heit.