Wordpress gehacked

WordPress gehackt, was tun bei einem Angriff?

Bei Vernachlässigung der Updates oder falscher Konfiguration kann es vorkmmen, dass auf der WordPress Webseite auf einmal Werbung eingeblendet wird oder der Benutzer auf eine andere Webseite weitergeleitet wird.

In so einem Fall gilt erst mal Ruhe zu bewahren und das Problem zu untersuchen. Es gibt als Gegenmaßnahme ebenfalls viele Möglichkeiten um solche Probleme in der Zukunft zu vermeiden.

Produktivbetrieb wiederherstellen

Um die Besucher nicht mehr mit unerwünschtem Verhalten zu ärgern und dadurch potentielle Kunden zu verlieren ist es erst mal wichtig, die aktuell bekannten Proleme zu entfernen.

Als erstes sollten Sie ein Backup von der infizierten Webseite erstellen, um diese später zu untersuchen.
Nach der Erstellung eines Backups ist es sinnvoll den Produktivbetrieb wiederherzustellen. In den meisten Fällen erstellen bereits die Provider/Hostingunternehmen regelmäßige Backups, die Sie benutzen können, um Ihre gehackte WordPress Seite wieder zu retten.
Kein Backup? In so einem Fall können Plugins Ihnen dabei helfen Ihre Webseite und Datenbank zu bereinigen.

Damit die Webseite mit WordPress nicht nochmal gehackt wird gibt nach der Wiederherstellung folgendes zu beachten. Bitte gehen Sie anschließend die Liste durch:

  • Updaten Sie Ihr WordPress
  • Updaten Sie Ihre Themes und löschen SIe unbenutzte
  • Updaten Sie die Plugins und löschen Sie unbenutzte. Schauen Sie dazu ebenfalls direkt im Verzeichnis wp-content/plugins nach, ob es welche gibt, die nicht aufgelistet werden.
  • Ändern Sie die Passwörter der WordPress Benutzer und löschen Sie inaktive
  • Ändern Sie die Zugangsdaten des Servers oder Webspaces und ggfs. vom FTP Benutzer.
  • Stellen Sie sicher, dass die Lese und Schreibrechte der Verzeichnisse richtig angelegt sind.
  • Unter wp-config.php können Sie den Theme-Editor vom WordPress deaktivieren. Wenn Ihr WordPress gehackt ist können somit die Dateien nicht im WordPress direkt bearbeitet werden.

WordPress gehackt und Problem ist immer noch vorhanden

ACHTUNG: Dieser Abschnitt setzt minimale Kenntnisse aus dem Webbereich wie HTML und Cookies voraus.
Falls Sie immernoch Probleme haben, obwohl Sie Plugins installiert haben, die zur Sicherheit Ihrer WordPress Seite dienen, haben wir noch folgende Ideen für Sie:

WordPress Core prüfen

WordPress bietet selbst eine CLI (Command Line Interface) an. Dies können Sie gerne auf Ihrem Rechner oder Server installieren und die Dateien von WordPress selbst prüfen lassen. Führen Sie dazu den folgenden Befehl aus:
wp core verify-checksums

Im Anschluss werden Sie eine Liste von auffallenden Dateien bekommen.

Unerwünschte Werbung oder Abschnitte

Sehen Sie auf Ihrer WordPress Webseite unerwünschte Werbung oder eingebaute Abschnitte, die im WordPress Editor nicht da sind?
Folgendes können Sie versuchen:
  • Exportieren Sie die Datenbank der Webseite und kopieren Sie die Dateien Ihres WordPress auf Ihren lokalen Rechner.
  • Untersuchen Sie den unerwünschten Abschnitt mit Ihrem Browser indem Sie die Entwicklertools des Browsers benutzen.
  • Schauen Sie sich den Code-Abschnitt und Link an. In den meisten Fällen gibt es ebenfalls externe JavaScript-Stellen, die eingebaut wurden.
  • Suchen Sie in Ihrem Code und in der Datenbank nach möglichen Code-Abschnitten und Links, die Sie gefunden haben. Benutzen Sie dabei Abschnitte vom gefunden Code wie z.B. den Klassennamen. In der Regel steht der Abschnitt bzw. der Link selten komplett in den Dateien oder in der Datenbank.
  • Entfernen Sie die gefundenen Stellen und schauen Sie bei den Suchmaschinen nach, ob Sie etwas zu diesem Problem finden. Falls ja, gibt es in der Regel auch eine Anleitung, wie man dieses komplett entfernen kann.

Plugins, Theme und Inhalte prüfen

Es ist durchaus möglich, dass ein Plugin installiert wurde, welches jedoch auf der Oberfläche nicht angezeigt wird und zu solchen Zwecken dient. Ein Blick auf die Plugins im Verzeichnis wp-content/plugin kann in diesem Fall helfen.
Prüfen Sie ebenfalls in Ihren Themes nach fragwürdigen Codes vor allem in der function.php Datei.

Falls Sie den Webserver apache verwenden sollten Sie ebenfalls, falls vorhanden, sich die Datei .htaccess anschauen.

Cookies prüfen

In Ihrem Browser können Sie die Cookies auflisten lassen, die Ihre Webseite speichert. Prüfen Sie diese nach Auffälligkeiten.
Falls Sie einen auffälligen Namen gefunden haben, können Sie diesen in der Datenbank und in Ihrem Code danach suchen lassen, um auf den gewünschten Abschnitt zu kommen.

Mögliche Gründe für Cookies:

  • Werbung/abschnitt wird angezeigt, falls es sich um den ersten Besuch oder ersten Klick handelt
  • Admins werden markiert so dass Sie nach der Abmeldung weiterhin nichts sehen.

IP Adressen prüfen

Durchaus gibt es Plugins, die sich die IP Adressen der Admins merken, um somit bei den Admins nichts zu machen. Das heißt wenn sich jemand in Ihrem Büro anmeldet, wird es wahrscheinlich niemand mehr sehen, der die gleiche Internet-Verbindung mit Ihnen teilt.
Somit lohnt sich es, die eigene IP Adresse in den Dateien suchen zu lassen.

Zum Kontaktformular

WordPress gehackt? Gerne helfen wir Ihnen dabei Ihre Wesbeite zu retten.