Hilfe bei gehackter WordPress-Seite
Schadcode finden & Malware entfernen
..oder zuverlässig entfernen lassen.
Rund 40 % aller Internetseiten im Web werden mit WordPress betrieben. Unter den Content-Management Systemen entspricht das einem Marktanteil von satten 63 % (Stand 2024).
Die massive Verbreitung und Beliebtheit von WordPress macht das System zu einem attraktiven Angriffsziel für Hacker. In den allermeisten Fällen finden Angriffe völlig automatisiert statt. Ziel sind nicht einzelne Unternehmen oder Personen, sondern bekannte Schwachstellen im Core und in den Plugins. Die Hauptursache für gehackte Webseiten sind also versäumte Sicherheitsupdates. Gleiches gilt auch für Joomla! sowie alle anderen CMS- und Shopsysteme.
Für den Fall, dass Ihr WordPress gehackt wurde, finden Sie hier eine Zusammenstellung der wichtigsten Reparatur-Schritte mitsamt einiger Tipps.
Schritt 1: Website deaktivieren - Backups herunterladen
Um weitere Schäden zu vermeiden, sollte die Webseite zuallererst offline genommen werden.
Zwei bewährte Möglichkeiten:
- .htaccess Passwortschutz (example.org/xssen.php)
- Umbenennung/Umleitung des Basisverzeichnisses (Wartungsseite einrichten)
Im Anschluss laden Sie Sicherungen von allen relevanten Daten herunter. Neben des Dateisystems und der Datenbank gehören auch die Logdateien des Servers für die unbedingt notwendige Analyse des Hackerangriffs dazu. Diese befinden sich entweder im /logs Verzeichnis auf dem Webspace oder sind über das Control Panel des Webhosters abrufbar.
Schritt 2: Einbruch analysieren - Sicherheitslücke finden
Für die Malware Analyse ist es wichtig, dass die Zeitstempel der heruntergeladenen Dateien erhalten bleiben (Option im FTP Programm). Damit kein Virus-Alarm die Übertragung stört, deaktivieren Sie temporär den lokalen Virenschutz.
Potenzielle Schaddateien finden Sie wie folgt:
- Kürzlich veränderte Dateien inspizieren
- Malware Logs des Hosters durchgehen
- Lokaler Scan der Daten mit guter Anti-Virus-Software
- WordPress Root Verzeichnis prüfen
- Halten Sie Ausschau nach Dateinamen != .htaccess, index.php, wp-*.php, xmlrpc.php (Standardmäßig liegen 15 PHP Dateien im WP Hauptverzeichnis
Von jedem Schadcode Fund den Timestamp (Datei Änderungszeitpunkt) notieren.
Achtung! Dieser kann durchaus auch verfälscht sein - unauffällig dem der übrigen Dateien im jew. Verzeichnis entsprechen. Auch die Timestamps der Verzeichnisse sollten beachtet werden.
Basierend darauf:
- Analyse der Webserver Access Logs
- Auffällige POST Einträge
- Typische Angriffsmuster
Ein hilfreiches Tool für das Herauspicken der POST Requests und weitere Tipps zur Auswertung finden Sie hier.
Schritt 3a: Backup wiederherstellen
Wenn sich der Zeitpunkt der Kompromittierung anhand der Logdateien zweifellos feststellen lässt und ein Backup vorliegt, bietet sich die Wiederherstellung und anschließende Aktualisierung und Absicherung dessen an.
Schritt 3b: Dateisystem bereinigen (WP + Plugins neu installieren)
Damit ausgeschlossen werden kann, dass sich weiterhin Malware in den Core und wp-content Verzeichnissen befindet, ist die Neuinstallation des WordPress Kerns und aller Plugins nötig.
- Alle Systemdateien von WordPress ersetzen, dafür wp-admin/ und wp-includes/ komplett löschen.
- Alle Plugins durch saubere Versionen ersetzen, dafür alle Ordner in wp-content/plugins/ löschen, gleiches gilt für das Theme.
- Alle PHP-Dateien in wp-content/uploads/ suchen/löschen.
Auch bezahlte Premium Plugins müssen mit einem frischen Installationspaket direkt aus der Quelle neu installiert werden - nehmen Sie hier nicht einfach die Version aus dem Backup. Schon eine einzelne übersehene Schaddatei reicht aus, dass die WordPress Installtion darüber erneut gehackt werden könnte.
Schritt 4: Passwörter ändern
Die Änderung sämtlicher Passwörter versteht sich von selbst - FTP, MySQL (Datenbank), WordPress Accounts usw.
Dabei sollten Sie es vorziehen starke Passwörter zu verwenden mit Groß-/Kleinbuchstaben, Zahlen und für maximale Sicherheit zusätzlich Sonderzeichen.
Um zu vermeiden, dass Ihr WordPress ständig erneut gehackt wird, müssen regelmäßig Updates durchgeführt werden. Nur so lässt sich das größtmögliche Maß an Sicherheit erhalten.
Ergänzende Absicherungsmaßnahmen finden Sie in unserem WordPress absichern Blogartikel.