Word­Press Website gehackt?

Ihre Web­site wur­de gehackt und Sie möch­ten schnell und unkom­pli­ziert die Kon­trol­le über ihre Sei­te zurück?
Wen­den Sie sich mit allen Fra­gen an uns, wir hel­fen Ihnen ger­ne weiter!

Word­Press Website gehackt?

Ers­te Hil­fe für gehack­te Word­Press Webseiten

Ers­te Hil­fe bei einer gehack­ten Word­Press Webseite

1. Nicht in Panik verfallen

Wer ruhig bleibt, kann kon­zen­triert arbei­ten und macht weni­ger Fehler.

2. Web­seite vom Netz nehmen

Nur noch Sie selbst soll­ten auf Ihre Web­seite zugrei­fen kön­nen. Das kön­nen Sie sehr ein­fach bewerk­stel­li­gen, indem Sie in der .htac­cess-Datei nur noch den Web­sei­ten­zu­griff von Ihrer IP Adres­se aus erlauben.

vor­her:

nach­her:

3. Back­up der gehack­ten Ver­si­on der Sei­te erstellen

Wenn Sie breits einen Back­up­me­cha­nis­mus ein­ge­rich­tet haben, star­ten Sie das Back­up, um den aktu­el­len Stand der Sei­te zu spei­chern. Je nach­dem, wie die Auf­räum­ar­bei­ten ver­lau­fen, kann das wich­tig sein.

4. Berei­ni­gung der Webseite

An die­sem Punkt haben Sie zwei Mög­lich­kei­ten: Berei­ni­gen Sie Ihre Web­seite selbst oder holen Sie einen Pro­fi dazu, der das für Sie übernimmt.

Für die­se Anlei­tung ist es not­wen­dig, dass Sie einen Hos­ting­ta­rif mit SSH Zugriff auf Ihren Web­space haben. Wir wer­den eini­ge Kom­man­dos in die Kon­so­le ein­ge­ben, um die Web­seite zu reparieren.

1. wp-cli installieren

Der Word­Press Con­so­le Cli­ent bie­tet vie­le nütz­li­che Funk­tio­nen, so auch eine Check­sum­men­über­prü­fung. Damit kön­nen Sie her­aus­fin­den wel­che Datei­en des Word­Press Cores beim Hack ver­än­dert wurden:

http://wp-cli.org/de/

Auf der Sei­te fin­den Sie eine kur­ze Anlei­tung wie Sie den wp-cli auf Ihrer Kon­so­le instal­lie­ren können.

2. Check­sum­men-Prü­fung und Berei­ni­gung des Word­Press Cores

Füh­ren Sie nach der Installation

wp core verify-checksums

inner­halb Ihres Docu­men­tRoot von Word­Press aus. Für eine sau­be­re Word­Press-Instanz sieht die Aus­ga­be so aus:

Success: WordPress install verifies against checksums.

Im Fall einer kom­pro­mit­tier­ten Word­Press-Instanz lie­fert Ihnen die Über­prü­fung eine Auf­lis­tung der kom­pro­mit­tier­ten Dateien:

Gehen Sie nun Schritt für Schritt eine auf­ge­lis­te­te Datei nach der ande­ren durch, um sie von Schad­code zu berei­ni­gen. Für Datei­en aus dem Word­Press Core kann Word­Press ein­fach noch­mal von https://wordpress.org/download/ her­un­ter­ge­la­den wer­den, um die infi­zier­ten Datei­en mit den Ori­gi­nal­da­tei­en zu erset­zen. Für Plug­ins kann das Plug­in neu instal­liert oder geup­datet wer­den. Man­che Datei­en müs­sen aber von Hand berei­nigt werden.

3. Viren­scan­ner

https://www.rfxn.com/projects/linux-malware-detect/

Linux Mal­wa­re Detect ist ein ein­fa­cher aber effek­ti­ver Viren­scan­ner, um Schad­soft­ware aus­fin­dig zu machen. Auf der Sei­te bekom­men Sie das Paket und kön­nen die­ses auf Ihrem Web­space installieren.

Füh­ren Sie dann den Viren­scan­ner für das Docu­men­tRoot der gehack­ten Web­seite aus:

mal­det ‑a /path/to/document/root/of/wordpress
Im Report von mal­det kön­nen Sie dann sehen, wel­che zusätz­li­chen Datei­en infi­ziert sind, und die­se bereinigen.

4. Update und Test

Nach­dem alle schäd­li­chen Datei­en ent­fernt wur­den, kön­nen Sie sich ins Backend Ihrer Word­Press Sei­te ein­log­gen. Als ers­tes soll­ten Sie alle aus­ste­hen­den Sicher­heits­up­dates des Word­Press Core, der The­mes und der Plug­ins instal­lie­ren. In allen belieb­ten Con­tent Manage­ment Sys­te­men wer­den sehr vie­le Sicher­heits­lü­cken früh­zei­tig gefun­den und auf­ge­deckt. Der Her­stel­ler der ent­spre­chen­den Soft­ware schließt dann mög­lichst bald die ent­deck­te Sicher­heits­lü­cke, damit die­se nicht von Hackern genutzt wer­den kann. Die „repa­rier­te“ Soft­ware kann aber nur in Ihrer Web­seite ankom­men, wenn Sie die bereit­ge­stell­ten Sicher­heits­up­dates auch installieren.

5. Zugangs­da­ten ändern

Wenn jetzt wie­der alles zu Ihrer Zufrie­den­heit funk­tio­niert, ändern Sie sofort alle Zugangs­da­ten für alle Word­Press Benut­zer und auch für Ihren FTP oder SSH Account zu Ihrem Web­space. Der Hacker könn­te Zugangs­da­ten Ihrer Web­site gespei­chert haben und sich ein­fach einloggen!

Wie bemer­ken Sie, dass Ihre Web­seite gehackt wurde?

  • Die Web­site lässt sich nicht mehr auf­ru­fen. Sie erhal­ten Feh­ler­mel­dun­gen oder sehen ande­re Inhal­te als die von Ihnen ein­ge­pfleg­ten. Es kann auch sein, dass Ihnen statt eines Arti­kels nur eine lee­re, wei­ße Sei­te ange­zeigt wird.

  • Beim Auf­ruf der Start­sei­te oder einer bestimm­ten Unter­sei­te wer­den Sie auf eine ande­re Sei­te und nicht, wie gewünscht, auf den gewoll­ten Arti­kel weitergeleitet.

  • Besucher, die über ein bestimm­tes Gerät auf die Sei­te zugrei­fen, z. B. über ein Smart­phone, wer­den auf ande­re Sei­ten umge­lei­tet und kön­nen Ihre Web­seite nicht mehr sehen.

  • Wenn Sie die Sei­te auf­ru­fen mel­det sich Ihr Viren­scan­ner mit einer War­nung vor Viren, Tro­ja­nern oder ande­rer Schadsoftware.

  • Sie kön­nen sich in das Backend, also die Ver­wal­tung Ihrer Web­seite, nicht mehr ein­log­gen oder Ihnen wer­den bestimm­te Berei­che nicht mehr rich­tig angezeigt.

  • Ihre Sei­te zeigt frem­de Inhal­te an. Das bedeu­tet, dass ein soge­nann­tes Defa­ce­ment, also Ver­än­de­run­gen am Erschei­nungs­bild und Inhalt Ihrer Sei­te vor­ge­nom­men wurden.

Wel­ches Inter­es­se haben Hacker an Ihrer Webseite?

Ziel von Hacker-Atta­cken sind nicht nur gro­ße oder sehr bekann­te Web­seiten, son­dern gera­de auch klei­ne­re Inter­net­auf­trit­te. Dabei geht es den Hackern nicht unbe­dingt um einen per­sön­li­chen Angriff auf Sie oder Ihre Inhal­te, son­dern dar­um, mög­lichst vie­le Web­seiten mit der­sel­ben Sicher­heits­lü­cke, zum Bei­spiel in einem CMS wie Word­Press zu kontrollieren.

Die Hacker ver­fol­gen unter­schied­li­che Zie­le. Die häu­figs­ten stel­len wir Ihnen kurz vor:

  • Defa­ce­ment (engl. Ent­stel­lung): Gezielt und deut­lich sicht­bar wer­den Inhal­te auf der Web­seite geän­dert, um Ihnen und ande­ren Nut­zern zu zei­gen, dass ein Hacker Zugriff hat. Die­ser Angriff ist meist unge­fähr­lich, denn der Hacker möch­te damit vor allem sei­ner Com­mu­ni­ty bewei­sen, dass er in Ihr CMS, z.B. Word­Press ein­grei­fen kann. Hier zahlt es sich aus, wenn man ein Back­up der Inhal­te hat.
  • Hijack­ing (engl. Ent­füh­rung): Der Besucher Ihrer Web­seite wird auf eine ande­re Web­seite wei­ter­ge­lei­tet, ohne dass er es selbst bemerkt. Bei einer sol­chen „Ent­füh­rung” kann Schad­code, soge­nann­te Mal­wa­re, auf den Com­pu­ter Ihres Besu­chers gelan­gen, z.B. ein Virus oder ein Tro­ja­ner. Die­ser Hack ist gefähr­lich, weil dabei Drit­te zu Scha­den kom­men kön­nen. Zudem kann es sein, dass Google Ihre Web­seite als gefähr­dend ein­stuft und mög­li­che Besucher vor Ihrer Sei­te warnt bzw. Ihre Sei­te nicht mehr in sei­nen Such­ergeb­nis­sen auflistet.
  • Inte­gra­ti­on in ein Bot­netz: Ihr Com­pu­ter wird über Ihr Hos­ting­pa­ket in ein soge­nann­tes Bot­netz inte­griert, also einen Ver­bund von Com­pu­tern, die alle ohne Wis­sen ihrer Eigen­tü­mer mit der­sel­ben Schad­ware infi­ziert sind. Die Gerä­te wer­den miss­braucht, um im gro­ßen Stil Spam- oder Phis­hing-Mails zu ver­schi­cken, ande­re Ser­ver lahm­zu­le­gen, ille­ga­le Daten zu spei­chern oder per­sön­li­che Daten aus­zu­spio­nie­ren. Auch die­ser Hack ist gefähr­lich, da er ande­re Benut­zer schä­digt und für geset­zes­wid­ri­ge Akti­vi­tä­ten miss­braucht wird.

 

Was kön­nen Sie jetzt tun?

Hier sind unse­re Tipps:

  1. Ver­fal­len Sie nicht in Panik. Wenn Sie zu auf­ge­regt sind, um Ihre Web­seite selbst zu berei­ni­gen, kön­nen wir das für Sie über­neh­men. Kon­tak­tie­ren Sie uns und wir bespre­chen das wei­te­re Vorgehen.
  2. Neh­men Sie Ihre Web­site sofort aus dem Netz
    Damit kei­ne wei­te­ren Per­so­nen Scha­den von die­sem Angriff neh­men, stel­len Sie Ihre Web­seite off­line, sodass die­se nicht mehr erreich­bar ist. So ver­hin­dern Sie, dass Besucher Ihrer Sei­te mög­li­cher­wei­se eben­falls Scha­den erlei­den. Als Betrei­ber einer kom­mer­zi­el­len Web­site sind Sie nach dem Tele­me­di­en­ge­setz (TMG, § 13) dazu ver­pflich­tet Ihre Sei­te sicher zu gestal­ten. Wich­tig ist hier der Test, dass die Web­seite wirk­lich nicht mehr im Netz erreich­bar ist.
  3. Lassen Sie sich gleich von einem Pro­fi hel­fen und spa­ren Sie sich viel Zeit und Arbeit.
    Wir über­neh­men die pro­fes­sio­nel­le Berei­ni­gung Ihrer Web­seite für Sie. So kön­nen wir Ihnen am bes­ten hel­fen: Alles was Sie tun müs­sen, ist uns Web­sei­ten­da­ten, Daten­bank­dump und Log­files, falls vor­han­den, zur Ver­fü­gung zu stel­len. Ger­ne hel­fen wir Ihnen bei der Siche­rung und Erstel­lung des Daten­pa­kets. Sie wis­sen nicht wel­che Daten Sie bereit­stel­len sollen?
    Vie­len Kun­den stel­len uns ihre Log­in­da­ten für ihr Hos­ting­pa­ket zur Ver­fü­gung, sodass wir die nöti­gen Daten für die Restau­rie­rung her­aus­su­chen können.
  4. Nun soll­ten Sie alle Sys­tem­da­tei­en und Plug­ins mit Updates auf den aktu­ells­ten Stand brin­gen. Prü­fen Sie mit einem Viren­scan­ner, ob even­tu­ell Ihr eige­ner Com­pu­ter eine Sicher­heits­lü­cke auf­weist. Löschen Sie nicht benö­tig­te Nut­zer­kon­ten sowohl für den FTP-Zugang als auch im CMS. Ändern Sie die Pass­wör­ter und FTP-Zugangs­da­ten aller ver­blie­be­nen Nut­zer  Für wei­te­re Daten­über­tra­gun­gen stel­len Sie FTP auf einen soge­nann­ten SFT­P/FTPS-Zugang um.
  5. Wir set­zen in der Zwi­schen­zeit die gehack­te Ver­si­on Ihrer Web­seite auf einen unse­rer Test­ser­ver auf. 
    1. Wir über­prü­fen die Web­seite, ihre The­mes und Plug­ins gründ­lich und lassen einen Viren­scan­ner lau­fen, der den Schad­code aus­fin­dig macht.
    2. Wir berei­ni­gen alle infi­zier­ten Dateien.
    3. Durch Ana­ly­se der Log­da­tei­en iden­ti­fi­zie­ren wir die Sicher­heits­lü­cke, durch die der Angrei­fer Ihre Web­seite kom­pro­mit­tie­ren konnte.
    4. Wir besei­ti­gen die Sicherheitslücke.

Unser Web­site Berei­ni­gungs­ser­vice für Sie im Überblick

Wir fin­den für Sie her­aus, an wel­cher Stel­le Ihres CMS (egal ob Word­Press, Joom­la oder ande­re) der Angriff erfolgt ist. Dann ver­schlie­ßen wir die „Türen”, durch die die Hacker auf Ihre Web­seite gelangt sind, schnell und dauerhaft.

Unser Service umfasst:

  1. Berei­ni­gung Ihrer Web­seite & Ent­fer­nung des Schad­codes (450,- €)
  2. Berei­ni­gung & Ent­fer­nung des Schad­codes auf spe­zi­ell pro­gram­mier­ten oder ver­al­te­ten und nicht mehr gepfleg­ten Plug­ins (Preis nach Aufwand)

Wie­der­her­stel­lung Ihrer Webseite

Falls ein Angrei­fer Zugriff auf Ihre Web­seite bekommt, hat er auch die Mög­lich­keit Datei­en Ihrer Web­seite zu löschen (egal, ob Ihre Web­seite in Word­Press oder irgend­ei­nem ande­ren CMS läuft). Mit einem Back­up ist es dann ein Leich­tes die Web­seite wie­der­her­zu­stel­len – am bes­ten auf dem Stand vom Vor­tag des Hacks.

Für ein Back­up genügt es nicht, nur eine Kopie der Datei­en zu erstel­len, die Sie per FTP errei­chen kön­nen. Zusätz­lich benö­ti­gen Sie für vie­le Con­tent Manage­ment Sys­te­me wie zum Bei­spiel Word­Press auch einen Abzug Ihrer Daten­bank, zum Bei­spiel einen MyS­QLDump. Nur so kön­nen Sie gewähr­leis­ten, dass Ihre Web­seite aus dem erstell­ten Back­up auch wie­der neu her­ge­stellt wer­den kann.

Wir sind nicht nur eine Web­agen­tur, son­dern auch ein Hos­tin­g­an­bie­ter mit eige­nen Ser­vern in Deutsch­land. Für unse­re Hos­ting­kun­den bie­ten wir als Inklu­siv­leis­tung die täg­li­che Siche­rung der Web­site (Web­site Back­ups) mit 7 Tagen Vor­hal­te­zeit an.

Außer­dem schüt­zen wir unse­re Kun­den mit dem optio­na­len Web­site Update Service vor erneu­ten Hack­an­grif­fen – meis­tens „entern“ Hacker Web­seiten näm­lich über ver­al­te­te Erwei­te­run­gen mit bekann­ten Sicher­heits­lü­cken. Der Update Service sorgt dafür, dass alle Erwei­te­run­gen immer auf dem aktu­el­len Stand sind und ver­rin­gert damit die Wahr­schein­lich­keit eines erfo­gl­rei­chen Hackversuchs.

Legen Sie die War­tung Ihrer Web­seite in die Hän­de von Pro­fis – damit Sie sich in Zukunft kei­ne Sor­gen mehr um die Sicher­heit machen müs­sen. For­dern Sie noch heu­te Ihr per­sön­li­ches unver­bind­li­ches Ange­bot bei uns an, wir ant­wor­ten zuver­läs­sig und mit bes­tem Wissen.

Für unse­re Kun­den ist mehr Sicher­heit drin:

Website Update Service 

Regel­mä­ßi­ge Sicher­heits­up­dates machen Hackern das Leben schwer!

Nut­zen Sie für Ihre Web­site ein
Redak­ti­ons­sys­tem (CMS)?
Wir über­neh­men die oft sicherheits­relevanten Aktua­li­sie­run­gen für nur 10€ extra im Monat für Sie!
[nur für unse­re Kunden]

Mehr zum Update Service

Website Back­ups Verlängerung 

7 Tage rei­chen Ihnen nicht?
Gehen Sie in die Verlängerung!

14 Tage Vor­hal­te­zeit: +5€ / Monat, 
30 Tage Vor­hal­te­zeit: +10 € / Monat.
Schrei­ben Sie uns ein­fach eine Nach­richt – wir bewah­ren Ihre Back­ups ger­ne län­ger für Sie auf!
[nur für unse­re Kunden]

Zur Ver­län­ge­rung

WebHosting Kun­de werden 

Sichern Sie sich jetzt alle Vor­tei­le bei Sixhop!

Schnel­les Web­hos­ting mit SSL-Zer­­ti­­fi­­kat, unbe­grenz­ten E‑Mail Adres­sen und 7 Tagen Back­up inklusive – ab 12,00€ im Monat.

Mit unse­rem Umzugs-Service
[ohne Stress]

Umzug Service

Wir unter­stüt­zen Sie schnell bei der Berei­ni­gung Ihrer Webseite

lifebelt
Andi-square

Ich berei­ni­ge Ihre Website!

Ich bin Andreas Nitsche, aus­ge­bil­de­ter Diplom-Infor­ma­ti­ker (FH) und Grün­der von Six­hop. Com­pu­ter, Pro­gram­mier­spra­chen und Ser­ver­diens­te sind mei­ne gro­ße Lei­den­schaft. Schon als Teen­ager haben mich Netz­wer­ke, Inter­net-Pro­to­kol­le und die Sicher­heit im Inter­net fas­zi­niert. Meh­re­re Jah­re lang habe ich für ver­schie­de­ne Hosting-Fir­men gear­bei­tet und Erfah­rung in der Pla­nung, Umset­zung und im Betrieb von Pro­jek­ten für Auto­mo­bil­her­stel­ler, Fern­seh­sen­der und Online­shops gesammelt.
Heu­te set­ze ich mein Know-how zusam­men mit mei­nem Team in mei­ner eige­nen Fir­ma Six­hop für mei­ne Kun­den ein. Wir wis­sen genau, wor­auf es bei der Berei­ni­gung und Siche­rung von Web­seiten und Online­shops ankommt!
Andi-square

Ich berei­ni­ge Ihre Website!

Ich bin Andreas Nitsche, aus­ge­bil­de­ter Diplom-Infor­ma­ti­ker (FH) und Grün­der von Six­hop. Com­pu­ter, Pro­gram­mier­spra­chen und Ser­ver­diens­te sind mei­ne gro­ße Lei­den­schaft. Schon als Teen­ager haben mich Netz­wer­ke, Inter­net-Pro­to­kol­le und die Sicher­heit im Inter­net fas­zi­niert. Meh­re­re Jah­re lang habe ich für ver­schie­de­ne Hosting-Fir­men gear­bei­tet und Erfah­rung in der Pla­nung, Umset­zung und im Betrieb von Pro­jek­ten für Auto­mo­bil­her­stel­ler, Fern­seh­sen­der und Online­shops gesammelt.
Heu­te set­ze ich mein Know-how zusam­men mit mei­nem Team in mei­ner eige­nen Fir­ma Six­hop für mei­ne Kun­den ein. Wir wis­sen genau, wor­auf es bei der Berei­ni­gung und Siche­rung von Web­seiten und Online­shops ankommt!

4.9/5 – (154 votes)