WordPress Hack – Was tun, wenn WordPress gehackt wurde

WordPress ist das beliebteste CMS und ein Großteil aller Websites laufen auf WordPress, weshalb WP auch ein beliebtes Ziel von Hackern ist. Wenn die Website gehackt wurde, die Hacker Schadcode in Form von Viren und Malware eingeschleust und eine Weiterleitung auf zwielichtige Domains eingestellt wurde, ist schnelles Handeln erforderlich.

Was man tun kann, um alles wieder sauber zu bekommen und wie man seine Seite auch in Zukunft vor solchen Hacker-Angriffen schützen kann, könnt ihr hier erfahren. Falls ihr professionelle Hilfe benötigt, könnt ihr diese bei ViatorDigital.com bekommen.

Bild mit Roboter, welches beim Umleitungs-Hack eingeblendet wird
„Klicken Sie ‚Zulassen‘ wenn Sie kein Roboter sind“ – dieser Roboter erscheint statt der eigenen Seite bei vielen WordPress Hacks
Wordpress Malware in der index.php, angezeigt in Sublime Text.
Bild 1 – Schadcode in der Index.php

WordPress gehakt – was tun? Grobe Übersicht

  1. Backups einspielen
  2. Redirects ausschalten
  3. Schadcode finden und entfernen
    1. Tools
    2. PHP
    3. MySQL (per phpMyAdmin)
  4. SALTs erneuern
  5. Logins ändern
  6. WordPress sicher machen

Dies ist der grobe Fahrplan. Lasst uns mal anschauen, was im Einzelnen zu betrachten ist.

1. Backups einspielen

Jeder, der eine wichtige Seite im Internet hat, sollte gute Backups haben. Am besten aus mehreren Quellen. Meistens hat der Hoster ältere Versionen der FTP-Files und SQL-Datenbanken gespeichert. Dazu loggt man sich bei seinem Hoster (Hetzer, Strato, All-Inkl, 1und1…) ein, und sucht die Wiederherstellungsfunktion.

Hoffentlich ist damit schon einmal der grobe Teil erledigt – die Seite erscheint wieder. Allerdings muss das nicht bedeuten, dass alle Viren auch wirklich ganz weg sind. Jetzt kommt der Part, an dem nach Schadcode gesucht wird. Wie das gemacht wird (welche Tools eingesetzt werden und wonach man genau schauen muss) findest du unter Punkt 3. Falls dir das zu kompliziert ist, kannst du dafür auch einen Service buchen.

Falls das Einspielen der Backups funktioniert hat, kann man probieren den Wartungsmodus zu aktivieren oder besser noch einen .htaccess Verzeichnisschutz (also einen Login für deine Domain) einrichten. Falls die Seite noch nicht zu sehen ist, musst du dich um die Redirects kümmern.

2. Redirects ausschalten

Wenn du keine Backups hast oder auch aktuelle Änderungen an deiner Seite (welche nach dem Backup erstellt wurden) retten willst, ist die größte Herausforderung meist, dass man Überhaupt seine alte Seite zu sehen bekommt. Beim WordPress Hack wird nämlich oft auf eine andere Seite umgeleitet, sobald man die URL eingetippt hat. Hier gilt es nun, die Umleitung (Redirect) auszuschalten, damit man wieder auf seine Seite (und ins WordPress-Backend) kommt, um weitermachen zu können

Wo finde ich den Redirect?

Der Redirect befindet sich meist an zwei verschiedenen Stellen. Eine ist die .htaccess Datei. Falls diese betroffen ist, muss eventuell der Hoster eingeschaltet werden, bzw. können erfahrene User diese per FTP/SFTP direkt bearbeiten. Weitaus häufiger wurde beim WordPress-Hack allerdings einfach ein Eintrag in der Datenbank geändert:

Wie schalte ich den Redirect aus?

In der MySQL Datenbank von WordPress gibt es einen kleinen Eintrag, welcher aber eine große Wirkung hat. Es ist das Feld „siteurl“ in der Tabelle „wp-options„. Dies können wir auch ohne tiefere Kenntnisse von MySQL selber beheben. Aber Vorsicht! Auf jeden Fall ein Backup der Datenbank machen, bevor wir hier Hand anlegen. In der Datenbank kann man leicht was kaputtmachen – daher ist es wichtig jederzeit alles wieder rückgängig machen zu können.

Voraussetzung hier ist wie immer, dass wir noch Zugriff auf unsere Seite über den Hoster haben. Ich hoste fast alle meine Seiten bei Hetzner – hier habe ich gute Erfahrungen in der Kombination Preis/Leitung/Service gemacht. Über das Backend des Hosters muss die Datenbank herausgesucht und mit einem Tool namens phpMyAdmin bearbeitet werden. (bei Hetzner ist das Backend konsoleh.your-server.de zu erreichen => Einstellungen => Datenbanken / MySQL => Auf das Stift-Symbol neben der Datenbank klicken.

Mit dem Tool phpMyAdmin Tabelle wp_options öffnen und den Eintrag siteurl prüfen

PHPMyAdmin

Doppelklicken und wieder die richtige URL eingeben. Wichtig: Vorher Backup der Datenbank machen!
Falls dir das alles zu brenzlig oder kompliziert ist: Professionellen Service buchen.

Jetzt sollten wir uns über tunkl.de/wp-admin wieder in WordPress einloggen können. Und jetzt geht es erst richtig los mit dem Kampf gegen die Malware! =)

3. Schadcode finden und entfernen

3.1 Tools

3.2 PHP

3.3 MySQL (per phpMyAdmin)

(Teil 3 folgt demnächst – falls es brennt Kommentarfeld bei Tunkl.de oder Anfrage bei ViatorDigital.com senden)

Veröffentlicht von patrick

Das ist meine Bio.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.