Geprüft und aktualisiert am:
Erste Hilfe bei einer gehackten WordPress Webseite
1. Nicht in Panik verfallen
Wer ruhig bleibt, kann konzentriert arbeiten und macht weniger Fehler.
2. Webseite vom Netz nehmen
Nur noch Sie selbst sollten auf Ihre Webseite zugreifen können. Das können Sie sehr einfach bewerkstelligen, indem Sie in der .htaccess-Datei nur noch den Webseitenzugriff von Ihrer IP Adresse aus erlauben.
vorher:
nachher:
3. Backup der gehackten Version der Seite erstellen
Wenn Sie breits einen Backupmechanismus eingerichtet haben, starten Sie das Backup, um den aktuellen Stand der Seite zu speichern. Je nachdem, wie die Aufräumarbeiten verlaufen, kann das wichtig sein.
4. Bereinigung der Webseite
An diesem Punkt haben Sie zwei Möglichkeiten: Bereinigen Sie Ihre Webseite selbst oder holen Sie einen Profi dazu, der das für Sie übernimmt.
WordPress selbst bereinigen
Für diese Anleitung ist es notwendig, dass Sie einen Hostingtarif mit SSH Zugriff auf Ihren Webspace haben. Wir werden einige Kommandos in die Konsole eingeben, um die Webseite zu reparieren.
1. wp-cli installieren
Der WordPress Console Client bietet viele nützliche Funktionen, so auch eine Checksummenüberprüfung. Damit können Sie herausfinden welche Dateien des WordPress Cores beim Hack verändert wurden:
Auf der Seite finden Sie eine kurze Anleitung wie Sie den wp-cli auf Ihrer Konsole installieren können.
2. Checksummen-Prüfung und Bereinigung des WordPress Cores
Führen Sie nach der Installation
wp core verify-checksums
innerhalb Ihres DocumentRoot von WordPress aus. Für eine saubere WordPress-Instanz sieht die Ausgabe so aus:
Success: WordPress install verifies against checksums.
Im Fall einer kompromittierten WordPress-Instanz liefert Ihnen die Überprüfung eine Auflistung der kompromittierten Dateien:
Gehen Sie nun Schritt für Schritt eine aufgelistete Datei nach der anderen durch, um sie von Schadcode zu bereinigen. Für Dateien aus dem WordPress Core kann WordPress einfach nochmal von https://wordpress.org/download/ heruntergeladen werden, um die infizierten Dateien mit den Originaldateien zu ersetzen. Für Plugins kann das Plugin neu installiert oder geupdatet werden. Manche Dateien müssen aber von Hand bereinigt werden.
3. Virenscanner
https://www.rfxn.com/projects/linux-malware-detect/
Linux Malware Detect ist ein einfacher aber effektiver Virenscanner, um Schadsoftware ausfindig zu machen. Auf der Seite bekommen Sie das Paket und können dieses auf Ihrem Webspace installieren.
Führen Sie dann den Virenscanner für das DocumentRoot der gehackten Webseite aus:
maldet -a /path/to/document/root/of/wordpress
Im Report von maldet können Sie dann sehen, welche zusätzlichen Dateien infiziert sind, und diese bereinigen.
4. Update und Test
Nachdem alle schädlichen Dateien entfernt wurden, können Sie sich ins Backend Ihrer WordPress Seite einloggen. Als erstes sollten Sie alle ausstehenden Sicherheitsupdates des WordPress Core, der Themes und der Plugins installieren. In allen beliebten Content Management Systemen werden sehr viele Sicherheitslücken frühzeitig gefunden und aufgedeckt. Der Hersteller der entsprechenden Software schließt dann möglichst bald die entdeckte Sicherheitslücke, damit diese nicht von Hackern genutzt werden kann. Die "reparierte" Software kann aber nur in Ihrer Webseite ankommen, wenn Sie die bereitgestellten Sicherheitsupdates auch installieren.
5. Zugangsdaten ändern
Wenn jetzt wieder alles zu Ihrer Zufriedenheit funktioniert, ändern Sie sofort alle Zugangsdaten für alle WordPress Benutzer und auch für Ihren FTP oder SSH Account zu Ihrem Webspace. Der Hacker könnte Zugangsdaten Ihrer Website gespeichert haben und sich einfach einloggen!
Wie bemerken Sie, dass Ihre Webseite gehackt wurde?
-
Die Website lässt sich nicht mehr aufrufen. Sie erhalten Fehlermeldungen oder sehen andere Inhalte als die von Ihnen eingepflegten. Es kann auch sein, dass Ihnen statt eines Artikels nur eine leere, weiße Seite angezeigt wird.
-
Beim Aufruf der Startseite oder einer bestimmten Unterseite werden Sie auf eine andere Seite und nicht, wie gewünscht, auf den gewollten Artikel weitergeleitet.
-
Besucher, die über ein bestimmtes Gerät auf die Seite zugreifen, z. B. über ein Smartphone, werden auf andere Seiten umgeleitet und können Ihre Webseite nicht mehr sehen.
-
Wenn Sie die Seite aufrufen meldet sich Ihr Virenscanner mit einer Warnung vor Viren, Trojanern oder anderer Schadsoftware.
-
Sie können sich in das Backend, also die Verwaltung Ihrer Webseite, nicht mehr einloggen oder Ihnen werden bestimmte Bereiche nicht mehr richtig angezeigt.
-
Ihre Seite zeigt fremde Inhalte an. Das bedeutet, dass ein sogenanntes Defacement, also Veränderungen am Erscheinungsbild und Inhalt Ihrer Seite vorgenommen wurden.
Welches Interesse haben Hacker an Ihrer Webseite?
Ziel von Hacker-Attacken sind nicht nur große oder sehr bekannte Webseiten, sondern gerade auch kleinere Internetauftritte. Dabei geht es den Hackern nicht unbedingt um einen persönlichen Angriff auf Sie oder Ihre Inhalte, sondern darum, möglichst viele Webseiten mit derselben Sicherheitslücke, zum Beispiel in einem CMS wie WordPress zu kontrollieren.
Die Hacker verfolgen unterschiedliche Ziele. Die häufigsten stellen wir Ihnen kurz vor:
- Defacement (engl. Entstellung): Gezielt und deutlich sichtbar werden Inhalte auf der Webseite geändert, um Ihnen und anderen Nutzern zu zeigen, dass ein Hacker Zugriff hat. Dieser Angriff ist meist ungefährlich, denn der Hacker möchte damit vor allem seiner Community beweisen, dass er in Ihr CMS, z.B. WordPress eingreifen kann. Hier zahlt es sich aus, wenn man ein Backup der Inhalte hat.
- Hijacking (engl. Entführung): Der Besucher Ihrer Webseite wird auf eine andere Webseite weitergeleitet, ohne dass er es selbst bemerkt. Bei einer solchen „Entführung” kann Schadcode, sogenannte Malware, auf den Computer Ihres Besuchers gelangen, z.B. ein Virus oder ein Trojaner. Dieser Hack ist gefährlich, weil dabei Dritte zu Schaden kommen können. Zudem kann es sein, dass Google Ihre Webseite als gefährdend einstuft und mögliche Besucher vor Ihrer Seite warnt bzw. Ihre Seite nicht mehr in seinen Suchergebnissen auflistet.
- Integration in ein Botnetz: Ihr Computer wird über Ihr Hostingpaket in ein sogenanntes Botnetz integriert, also einen Verbund von Computern, die alle ohne Wissen ihrer Eigentümer mit derselben Schadware infiziert sind. Die Geräte werden missbraucht, um im großen Stil Spam- oder Phishing-Mails zu verschicken, andere Server lahmzulegen, illegale Daten zu speichern oder persönliche Daten auszuspionieren. Auch dieser Hack ist gefährlich, da er andere Benutzer schädigt und für gesetzeswidrige Aktivitäten missbraucht wird.
Was können Sie jetzt tun?
Hier sind unsere Tipps:
- Verfallen Sie nicht in Panik. Wenn Sie zu aufgeregt sind, um Ihre Webseite selbst zu bereinigen, können wir das für Sie übernehmen. Kontaktieren Sie uns und wir besprechen das weitere Vorgehen.
- Nehmen Sie Ihre Website sofort aus dem Netz
Damit keine weiteren Personen Schaden von diesem Angriff nehmen, stellen Sie Ihre Webseite offline, sodass diese nicht mehr erreichbar ist. So verhindern Sie, dass Besucher Ihrer Seite möglicherweise ebenfalls Schaden erleiden. Als Betreiber einer kommerziellen Website sind Sie nach dem Telemediengesetz (TMG, § 13) dazu verpflichtet Ihre Seite sicher zu gestalten. Wichtig ist hier der Test, dass die Webseite wirklich nicht mehr im Netz erreichbar ist. - Lassen Sie sich gleich von einem Profi helfen und sparen Sie sich viel Zeit und Arbeit.
Wir übernehmen die professionelle Bereinigung Ihrer Webseite für Sie. So können wir Ihnen am besten helfen: Alles was Sie tun müssen, ist uns Webseitendaten, Datenbankdump und Logfiles, falls vorhanden, zur Verfügung zu stellen. Gerne helfen wir Ihnen bei der Sicherung und Erstellung des Datenpakets. Sie wissen nicht welche Daten Sie bereitstellen sollen?
Vielen Kunden stellen uns ihre Logindaten für ihr Hostingpaket zur Verfügung, sodass wir die nötigen Daten für die Restaurierung heraussuchen können. - Nun sollten Sie alle Systemdateien und Plugins mit Updates auf den aktuellsten Stand bringen. Prüfen Sie mit einem Virenscanner, ob eventuell Ihr eigener Computer eine Sicherheitslücke aufweist. Löschen Sie nicht benötigte Nutzerkonten sowohl für den FTP-Zugang als auch im CMS. Ändern Sie die Passwörter und FTP-Zugangsdaten aller verbliebenen Nutzer Für weitere Datenübertragungen stellen Sie FTP auf einen sogenannten SFTP/FTPS-Zugang um.
- Wir setzen in der Zwischenzeit die gehackte Version Ihrer Webseite auf einen unserer Testserver auf.
- Wir überprüfen die Webseite, ihre Themes und Plugins gründlich und lassen einen Virenscanner laufen, der den Schadcode ausfindig macht.
- Wir bereinigen alle infizierten Dateien.
- Durch Analyse der Logdateien identifizieren wir die Sicherheitslücke, durch die der Angreifer Ihre Webseite kompromittieren konnte.
- Wir beseitigen die Sicherheitslücke.
Unser Website Bereinigungsservice für Sie im Überblick
Wir finden für Sie heraus, an welcher Stelle Ihres CMS (egal ob WordPress, Joomla oder andere) der Angriff erfolgt ist. Dann verschließen wir die „Türen”, durch die die Hacker auf Ihre Webseite gelangt sind, schnell und dauerhaft.
Unser Service umfasst:
- Bereinigung Ihrer Webseite & Entfernung des Schadcodes (450,- €)
- Bereinigung & Entfernung des Schadcodes auf speziell programmierten oder veralteten und nicht mehr gepflegten Plugins (Preis nach Aufwand)
Wiederherstellung Ihrer Webseite
Falls ein Angreifer Zugriff auf Ihre Webseite bekommt, hat er auch die Möglichkeit Dateien Ihrer Webseite zu löschen (egal, ob Ihre Webseite in WordPress oder irgendeinem anderen CMS läuft). Mit einem Backup ist es dann ein Leichtes die Webseite wiederherzustellen - am besten auf dem Stand vom Vortag des Hacks.
Für ein Backup genügt es nicht, nur eine Kopie der Dateien zu erstellen, die Sie per FTP erreichen können. Zusätzlich benötigen Sie für viele Content Management Systeme wie zum Beispiel WordPress auch einen Abzug Ihrer Datenbank, zum Beispiel einen MySQLDump. Nur so können Sie gewährleisten, dass Ihre Webseite aus dem erstellten Backup auch wieder neu hergestellt werden kann.
Wir sind nicht nur eine Webagentur, sondern auch ein Hostinganbieter mit eigenen Servern in Deutschland. Für unsere Hostingkunden bieten wir als Inklusivleistung die tägliche Sicherung der Website (Website Backups) mit 7 Tagen Vorhaltezeit an.
Außerdem schützen wir unsere Kunden mit dem optionalen Website Update Service vor erneuten Hackangriffen - meistens "entern" Hacker Webseiten nämlich über veraltete Erweiterungen mit bekannten Sicherheitslücken. Der Update Service sorgt dafür, dass alle Erweiterungen immer auf dem aktuellen Stand sind und verringert damit die Wahrscheinlichkeit eines erfoglreichen Hackversuchs.
Legen Sie die Wartung Ihrer Webseite in die Hände von Profis – damit Sie sich in Zukunft keine Sorgen mehr um die Sicherheit machen müssen. Fordern Sie noch heute Ihr persönliches unverbindliches Angebot bei uns an, wir antworten zuverlässig und mit bestem Wissen.
Für unsere Kunden ist mehr Sicherheit drin:
Website Update Service
Regelmäßige Sicherheitsupdates machen Hackern das Leben schwer!
Nutzen Sie für Ihre Website ein
Redaktionssystem (CMS)?
Wir übernehmen die oft sicherheitsrelevanten Aktualisierungen für nur 10€ extra im Monat für Sie!
[nur für unsere Kunden]
Website Backups Verlängerung
7 Tage reichen Ihnen nicht?
Gehen Sie in die Verlängerung!
14 Tage Vorhaltezeit: +5€ / Monat,
30 Tage Vorhaltezeit: +10 € / Monat.
Schreiben Sie uns einfach eine Nachricht – wir bewahren Ihre Backups gerne länger für Sie auf!
[nur für unsere Kunden]
WebHosting Kunde werden
Sichern Sie sich jetzt alle Vorteile bei Sixhop!
Schnelles Webhosting mit SSL-Zertifikat, unbegrenzten E‑Mail Adressen und 7 Tagen Backup inklusive – ab 12,00€ im Monat.
Mit unserem Umzugs-Service
[ohne Stress]
Wir unterstützen Sie schnell bei der Bereinigung Ihrer Webseite
Ich bereinige Ihre Website!
Heute setze ich mein Know-how zusammen mit meinem Team in meiner eigenen Firma Sixhop für meine Kunden ein. Wir wissen genau, worauf es bei der Bereinigung und Sicherung von Webseiten und Onlineshops ankommt!
Ich bereinige Ihre Website!
Heute setze ich mein Know-how zusammen mit meinem Team in meiner eigenen Firma Sixhop für meine Kunden ein. Wir wissen genau, worauf es bei der Bereinigung und Sicherung von Webseiten und Onlineshops ankommt!