Survival Guide: Mein WordPress wurde gehackt!

Ich liebe WordPress. Es hat aber einen entscheidenden Nachteil, mit dieser Liebe bin ich nicht allein – und so macht die pure Verbreitung aus WordPress ein lohnendes Ziel für Viren und Malware. Was also tun, wenn es einen erwischt hat?

Die gute Nachricht, Viren kann man auch wieder los werden. (Photo via Good Free Photos)

Regel Nummero uno: Kühlen Kopf bewahren. Wenn sich dein Provider bei dir meldet – oder ohne etwas zu sagen gleich die Seite vom Netzt genommen hat – kannst du relativ sicher sein, dass sich dein WordPress etwas eingefangen hat. Ansonsten gilt nicht gleich bei jedem Verdacht den Ernstfall anzunehmen. Ein klares Zeichen für eingeschleusten Schadcode oder ein gehacktes Konto sind nicht von dir veröffentlichte Beiträge. Ich hatte auch schon mal den Fall, dass die Webseite an sich kein merkwürdiges Verhalten gezeigt hat, in den Google Suchergebnissen aber plötzlich Werbung in japanischen Schriftzeichen ausspielte.

Kann ich meine Seite kostenlos checken lassen?
Ja, eine einfache Googlesuche hilft da schon weiter. Wer nicht suchen will ist mit Virus total gut bedient. Die Webseite checkt ob dein WordPress bereits auf einer der zahlreichen Blacklists verzeichnet ist. Weil dabei aber schon jemand mitbekommen haben muss, dass die Seite befallen worden ist, empfiehlt sich der Besuch von Sucuri, dort kann die Seite auch live gescannt werden.

Sind die Ergebnisse leider positiv, solltest du zuallererst ein Backup von WordPress & Datenbank machen. Danach empfiehlt es sich zum Schutz deiner Besucher zumindest auf der Hauptdomain eine kleine Seite vorzuschalten, ehe du ans Bereinigen gehen kannst.

Ein WordPress-Account wurde gehackt

Jetzt kommt es darauf an, was genau passiert ist. Wurde ein Account gehackt? Dann sollte dieser natürlich sofort mit einem neuen Passwort versehen werden. Anschließend müssen alle illegal veröffentlichte Beiträge gelöscht werden. Um ganz sicher zu sein, solltest du danach einen neuen Account mit anderem Benutzernamen anlegen, dem du dann die sauberen Beiträge des gehackten Accounts zuordnest, danach kann der Sündenbock sicher gelöscht werden. Und damit wäre dieser Fall auch schon gelöst, obwohl es nicht schaden kann bei allen anderen Accounts auch zumindest die Passwörter zu ändern.

Wie unsicher ist WordPress eigentlich?
Zunächst mal, WordPress ist an sich in ziemlich sicheres System – solange man alle Updates, auch die der Plugins, mit macht. Wer hier schläft, ist am Ende nicht ganz unschuldig. Das so viele Webseiten gehackt werden ist eher eine erschreckende absolute Zahl, als eine relative. Aber natürlich hat auch jedes System Schwachstellen. Wer das testen möchte, kann seine Seite mal durch den WordPress Security Scan jagen.

Meine WordPress-Seite wurde von Schadcode befallen

Der einfachste aller Wege ist die Einspielung eines Backups, das vom Schadcode noch nicht befallen ist. Hat man das nicht zur Verfügung, muss man sich eben auf die Suche nach den befallenen Dateien machen.

Hauptverursacher für Schadcode sind immer noch „mal eben schnell“ eingespielte Themes oder Plugins. In diesem Fall sollte man sich also per Try & Error auf die Suche nach dem Schuldigen machen, wobei man natürlich bei den zuletzt eingespielten Neuerungen beginnen kann. Ansonsten einfach mal per FTP den gesamten Plugin-Ordner löschen. Ist der Schadcode danach verschwunden, kann man sich im Ausschlussverfahren auf die Suche machen. Ganz ähnlich funktioniert das auch bei den Themes, allerdings sollte man sich hier zuerst ein WordPress Standard-Theme herunterladen und das System drauf umstellen. Ist danach der Schuldige immer noch nicht gefunden, hat sich der Schadcode wahrscheinlich in einer anderen PHP-Datei eingeschleust.

In diesem Fall sollte man sich zuerst einmal die aktuelle Version von WordPress herunterladen und dort die Datei wp-config-sample.php wie bei der ersten Installation in wp-config.php umbenennen und mit den Zugangsdaten zur Datenbank ausstatten. Danach muss man per FTP die Ordner /wp-admin und /wp-include löschen und durch die neue Version austauschen. In 99% der Fälle hat man es spätestens dann hinter sich gebracht. In einem Prozent könnte der Schuldige dann noch im Ordner /wp-content liegen, da man ja aber schon die Themes und Plugins als Schuldige ausgeschlossen hat, sind die Versteckmöglichkeiten dort nur noch begrenzt. Im restlichen Prozent hat man wirklich ein Problem, dann dürfte der Schuldige die Datenbank sein und hier hilft nur der Gang zu einem Experten in Sachen MySQL.

Auch hier gilt übrigens am Ende alle Passwörter zu wechseln. Auch das FTP-Passwort, falls der Schadcode vom eigenen Rechner hochgeladen wurde. Passiert, fragt mal die Typen die glauben Filezilla sei eine gute Erfindung. 🙂

So etwas passiert mir nie wieder

Ich kann mich noch gut an mein erstes gehacktes Blog erinnern, das war eine Menge Stress. So etwas will man nie wieder haben, echt. Aber auch dafür gibt es Hilfe in Form von Plugins.

Die bereits erwähnte Sucuri, Inc stellt gute Tools zur Verfügung, die einen besser schlafen lassen, weil die eigene Seite gecheckt und überwacht wird. Als beste Tools zum Schutz gelten WP Security & Firewall und Wordfence Security. Ich persönlich nutze Wordfence, aber beide Tools bieten eine ganze Reihe von Werkzeugen, die einem selbst in der kostenlosen Version schon einiges abnehmen. Da wäre zum Beispiel natürlich auch ein Scan, oder Funktionen wie das Sperren einer IP nach X misslungenen Anmeldeversuchen, um BruteForch-Attacken zu unterbinden. Regelmäßige Updates sollte man sich aber auch dann nicht sparen. Bitte! Das meine ich ernst!

 

WAS BLEIBT – DIE WOCHE IN LINKS (018)

Women dominate most of social media, but men are more active on these two Networks
Sozial zu netzwerken ist offenbar in der Mehrheit Frauensache, was wenig wundern, gelten Frauen doch auch analog als kommunikativer. Einzige Ausnahme bei diesen Zahlen sind Twitter und LinkedIn, wobei das wohl auch für die deutsche Variante XING gelten dürfte. … mehr

Google Hangouts Gets Its Own Site, Just Like Facebook Messenger
Wie viele Sargnägel gibt es für Google + eigentlich noch? Wie auch immer, mit Google Hangout ist jetzt auch jenes Tool mehr oder weniger offiziell eigenständig, das von Google+ als Neuerung am Ende übrig bleiben wird. … mehr

The Ashley Madison Data Dump, Explained
Mehr als 30 Millionen User einer Seitensprungplattform dürfte im Augenblick der A*** auf Grundeis gehen, weil Hacker ihre Daten im Internet veröffentlicht haben. Ein prägendes Beispiel für zwei Dinge: a) was du virtuell planst, hat auch analog Konsequenzen & b) achte darauf, wem du deine Daten anvertraust, sie sind das Gold der schönen neuen Welt. … mehr