Was tun wenn WordPress gehackt wurde?
WordPress-Webseiten geraten öfter unter den Beschuss von Hackern und Script-Kiddies. Dabei sind sie oft erfolgreich, kompromittieren die Webseite, die dann im schlimmsten Fall von Google aus dem Index geworfen werden. Alles gut, solange es die Webseiten von anderen betrifft, aber was kann man machen wenn es die eigene WordPress-Seite betrifft.
Wenn die eigene WordPress-Webseite gehackt wurde sind folgenden Maßnahmen zu ergreifen:
• Die Webseite wird sofort offline gestellt und dann mit dem Backup der aktuelle Stand der Webseite gesichert. Diese ist zwar infiziert, aber später wird daran gearbeitet und als Beweissicherung ist ein Backup ebenfalls wichtig, denn es könnte ja sein, dass man Schadenersatzansprüche anmelden will.
• Den eigenen Rechner prüfen, denn auch hier kann eine Sicherheitslücke sein. Wenn der eigene Rechner mit Trojanern infiziert ist, kann es sein dass Passwörter ausgespäht wurden um diese zur Infizierung zu nutzen. Um das festzustellen wird der Rechner mit einem Virenscanner überprüft. Zusätzlich sollte noch die Kaspersky Rescue Disc heruntergeladen werden. Damit wird zusätzlich geprüft ob der eigene Rechner infiziert ist. Nur wenn der wirklich Rechner sauber ist kann man fortfahren. Wenn weiterhin Viren ausgeliefert werden lohnt sich die Installation der Sandboxie, in der diese solange isoliert werden, bis die Sandboxie gelöscht wird.
• Passwörter ändern ist sehr wichtig, weil man nicht genau weiß ob diese ausgespäht wurden. Es sind wirklich alle Passwörter zu ändern, denn nur dann wird sichergestellt, dass Unbefugte keinen Zugriff auf die eigene WordPress Seite haben.
• SFTP einrichten, damit die Datenübertragung künftig verschlüsselt erfolgt. Am besten ist, wenn die Passwörter nicht gespeichert werden.
• Den Angriff lokalisieren um festzustellen wo der Angreifer aktiv war. Welche Files hat er hochgeladen oder verändert? Dateien wie die header.php im Theme Ordner oder index.php im Root werden besonders oft mit einem Schadcode versehen. Um Änderungen der WordPress-Core-Files zu überprüfen können Plugins, wie Wordfence, verwendet werden.
• Wenn feststellbar ist wo und wann Änderungen vorgenommen wurden, kann man den Angriff eingrenzen und eventuell den WordPress-Core neu hochladen. Es kann aber auch sein, dass ein Backup zurückgespielt werden muss. Zum neu hochladen von WordPress werden zuerst die Ordner wp-admin, wp-include erneut hochgeladen und die alte Version überschrieben. Zudem sind alle Dateien im WordPress-Root, außer .htaccess und wp-config.php, neu hochzuladen. Wenn die beiden ausgeschlossenen Dateien auch angegriffen wurden müssen sie bereinigt werden. Wer weiß wann der Angriff stattgefunden hat, kann auch ein Backup einspielen.
• Theme auf Schadcode überprüfen, um seltsame Änderungszeiten festzustellen und seltsame Codes zu erkennen. Wenn etwas gefunden wird ist alles zu bereinigen und im Notfall ein Backup zurück eingespielt.
• Wenn eine Webseite einmal gehackt wurde, kann sie immer wieder das Ziel von Hackerangriffen werden. Um das zu verhindern müssen alle erdenklichen Sicherheitsmaßnahmen getroffen werden. Hier kann eventuell eine professionelle Beratung hilfreich sein. Bei der Durchführung der Sicherheitsmaßnahmen ist es ratsam die Sicherheitsschlüssel zu erneuern damit die Authentifizierungs-Cookies neu erstellt werden.
Weitere Gründe für einen Hack
Der Grund für einen Hack ist nicht immer WordPress oder die eigene Webseite. Wenn jemand mehrere Webseiten auf ihrem Webspace betreiben, kann ein Schadcode auf einer der anderen Webseiten vorhanden sein. Um hier auf Nummer sicher zu gehen müssen alle Webseiten auf mögliche Sicherheitslücken geprüft werden. Die Vorgehensweise ist genauso wie bei der WordPress-Seite. Wer ein anderes Content Management System verwendet, sollte im Internet nach Informationen suchen oder spezielle Hilfe in Anspruch nehmen.
Ist der Server sicher?
Im Internet ist kein Server zu 100 Prozent sicher. Um den Webserver als Ursache eines Hacks auszuschließen können verschiedene Maßnahmen ergriffen werden. So kann man zum Beispiel klassische Angriffsformen mit einer Web Applikation Firewall filtern. Wer einen eigenen Server betreibt und nicht 100%-ig über das nötige Know How verfügt, sollte sich professionell beraten lassen. Wenn der Webserver nicht sauber eingerichtet ist, ist es für einen Hacker kein Problem von einer gehackten Seite auf andere überzuspringen, was in der Regel mit dem setzen von einem BASE Dir unterbunden wird. Es ist auch schon öfter vorgekommen, dass Schadsoftware über Flash-Werbung verteilt wurde. Es muss also nicht immer die eigene Webseite sein, sondern eventuell auch der Anbieter der Werbung. Als Betreiber einer Webseite sollte man sicherstellen, dass der Server des Ad- Anbieters sicher ist.
Bildquelle 1: © Silke Kaiser / pixelio.de
Bildquelle 2: © Martina Taylor / pixelio.de