Es hat viel Schweiß und Herzblut gekostet, bis Ihre WordPress Website so aussah, wie Sie es sich vorgestellt haben und nun das:
Sie bekommen die Meldung dass Ihre Website gehackt wurde!
Da rutscht einem erstmal das Herz in die Hose! Aber keine Angst, es muss nicht unbedingt so schlimm sein, wie es sich anhört. Sie müssen die Website nicht gleich in die Tonne treten. Das passiert täglich tausenden von Leuten.
Ich möchte Ihnen in diesem Post erklären, wie Sie davon erfahren, dass Ihre (WordPress) Website gehackt wurde, welche Gegenmaßnahmen Sie ergreifen können und wie Sie sich in Zukunft davor schützen können, dass so etwas wieder passiert.
Warnung: Website gehackt!
Es gibt verschiedene Möglichkeiten, wie Sie davon erfahren können, dass Ihre Website gehackt wurde:
- Sie sehen direkt auf Ihrer Website Inhalte die dort nicht hingehören, z.B. Angebote für gefälschte Pässe oder ähnliches.
- In den Google Suchergebnissen für Ihre Website erscheint die Meldung „Diese Website wurde möglicherweise gehackt.“.
- Beim Aufruf der Seite im Browser erscheint eine Warnung wie „Als Betrugsversuch gemeldete Website“, „Als attackierend gemeldete Website“, oder „Warnung: Durch das Aufrufen dieser Website wird ihr Computer möglicherweise beschädigt“.
- Ihr Provider schreibt Sie direkt an und weist Sie darauf hin, dass sich schadhafter Code auf Ihrer Website befindet und dass diese aus Sicherheitsgründen abgeschaltet wird, falls Sie das Problem nicht schnellstmöglich in den Griff bekommen.
Besonders gemein sind schadhafte Inhalte die nicht direkt auf der Website sichtbar sind. So können bspw. versteckte Links untergebracht werden, die man nicht sieht oder der Code wird nur ausgeführt wenn eine Suchmaschine die Seite besucht, nicht aber wenn ein Mensch mit einem Webbrowser die Seite ansteuert.
Warum wurde meine Website gehackt?
Schön und gut, jetzt wissen Sie, dass Ihre WordPress Website gehackt wurde und fragen sich sicherlich: Warum passiert das ausgerechnet mir?
Eines kann ich Ihnen zu Ihrer Beruhigung mitgeben: Es ist relativ unwahrscheinlich dass jemand ganz gezielt Sie als Opfer ausgewählt hat. Meist geschehen solche Angriffe völlig automatisiert. Schadprogramme durchsuchen das Internet nach Sicherheitslücken in der verwendeten Software (z.B. WordPress) und nutzen diese Sicherheitslücken dann aus um Ihre schadhaften Inhalte einzuschleusen. Meist liegt das Problem an veralteter Software, die nicht upgedatet wurde oder an zu simplen Passwörtern.
Das OWASP (Open Web Application Security Project) veröffentlicht seit 2003 jedes Jahr die Top 10 der häufigsten Sicherheitslücken.
Gegenmaßnahmen: Die Website von Schadcode befreien
Ok, was kann ich nun tun um den schadhaften Code/Inhalt wieder loszuwerden?
- Als erstes sollten Sie sämtliche Zugangsdaten ändern und mit sämtliche meine ich wirklich alle!!! Also ändern Sie zumindest die Passwörter für den Zugang zum Provider, FTP, SSH, Datenbank, WordPress Backend und WordPress Admin! Noch besser ist es wenn Sie gleich noch die Benutzernamen mit ändern. Und setzen Sie ab jetzt nur sichere Passwörter ein, die mindestens 8 Zeichen lang sind, Klein- und Großbuchstaben, Zahlen und Sonderzeichen enthalten und per Zufall generiert wurden!!! Den WordPress Administrator „admin“ kann man leider nicht so einfach im Backend umbenennen, jedoch direkt über die Datenbank mit phpMyAdmin in der Tabelle wp_users.
- Überprüfen Sie die registrierten Benutzer im WordPress Backend. Unter Umständen sind hier neue Nutzer aufgetaucht, die nichts in Ihrem System zu suchen haben. Löschen Sie diese Nutzer umgehend.
- Wo kommt der schadhafte Inhalt her? Eine Möglichkeit ist, dass er in die Datenbank geschrieben wurde. Falls Sie die Inhalte nicht direkt in Ihren Posts oder Kommentaren finden, können Sie die Datenbank nach den Stichworten durchsuchen, die auf der Website auftauchen, z.B. mit phpMyAdmin in der Tabelle wp_posts nach „fake passports“ suchen. Löschen Sie die entsprechenden Inhalte.
- Eine Andere Möglichkeit ist, dass Schadcode direkt in Dateien geschrieben wurde, bzw. neue Dateien angelegt wurden, die nicht dort hin gehören. Prinzipiell gibt es 3 Orte wo sich Schadcode befinden kann: In Ihren Templates des Themes unter /wp-content/themes/, in den Plugins unter /wp-content/plugins/ oder im WordPress Kern. Am häufigsten sind Themes befallen. Prüfen Sie also z.B. anhand des Änderungsdatums ob einzelne Dateien des Themes geändert wurden, oder durchsuchen Sie gleich die Dateien nach komischem Code der dort nicht hingehört. Oftmals werden die Inhalte von anderen Websites eingeschleust. Dazu werden meist PHP-Funktionen zum laden externer Inhalte wie fopen(), file_get_contents(), eval() oder cURL verwendet.
- Installieren Sie sich WordPress Sicherheitsplugins wie Antivirus, das Ihre Templates nach Schadcode scannt sowie Acunetix WP Security oder iThemes Security (alternativ, nicht beide!!), welche Ihr WordPress System durch verschiedene Maßnahmen gegen Angriffe absichern.
- Überprüfen Sie Ihre Plugins! Sind diese alle noch aktuell? Gibt es Updates? Wann wurde das jeweilige Plugin das letzte Mal vom Hersteller aktualisiert? Wenn es länger als ein Jahr keine Updates für das Plugin gab, wird es wohl nicht mehr weiterentwickelt, bzw. gepflegt. In diesem Fall sollten Sie es deinstallieren und auf ein alternatives Plugin wechseln. Falls es Updates gibt, installieren Sie diese sofort!!!
- Sind Updates für das WordPress Kernsystem verfügbar? Wenn ja, sollten Sie diese auch umgehend installieren! Falls nicht, empfiehlt es sich im Falle einer gehackten Website trotzdem das System neu zu installieren. Dazu können Sie im WordPress Backend unter Dashboard / Aktualisierungen die Funktionalität „Erneut installieren“ verwenden. WordPress bietet außerdem seit einiger Zeit die Möglichkeit von automatisierten Updates.
- Wenn Sie sich sicher sind, dass Sie alle Maßnahmen unternommen haben und das System wieder sauber ist, begeben Sie sich in die Google Webmaster Tools und überprüfen Sie dort Ihre Site im Bereich Sicherheit. Anschließend schreiben Sie dort eine Benachrichtigung an Google, dass Ihre Website nun wieder vertrauenswürdig ist und dass Sie alle schadhaften Inhalte gelöscht haben. Dann bekommen Sie die Meldung dass Google das überprüft und dass es eine Weile dauern kann, bis die Warnung aus den Suchergebnissen entfernt wird.
- Schreiben Sie Ihrem Provider, dass nun wieder alles in Ordnung ist und Ihre Website nun sicher sein sollte.
- Bei heise.de werden Sicherheitslücken und Angriffe auf WordPress Installationen gemeldet. Schauen Sie hier ab und zu rein um auf dem Laufenden zu bleiben.
Ich hoffe ich konnte Ihnen mit diesem Post helfen und ein bisschen Licht ins Dunkle bringen.
Viel Erfolg mit Ihrer sicheren Website!