Helden-Tipps: Was tun wenn die eigene WordPress Seite gehackt wurde?

Sie sind die schlimmsten Feinde aller WordPress Helden: Hacker. Auch bei bestmöglicher Absicherung der eigenen WordPress Seite kann es passieren, dass die eigene WordPress Seite Opfer eines Hacker-Angriffs wird. Was tun, wie können Sie den Schaden begrenzen? Lesen Sie die Tipps der WordPress Helden.

Als Erstes gilt: Keine Panik!

Sie haben entdeckt, dass Ihre WordPress Seite gehackt wurde und spüren, wie die Panik in Ihnen aufsteigt. Wie lange ist das letzte Backup her? Was ist alles verloren, was können Sie noch retten? Atmen Sie erst einmal tief durch und bewahren Sie einen kühlen Kopf. Wenn Sie strukturiert vorgehen, kommen Sie vielleicht mit einem blauen Auge davon. Selbst wenn Sie kein WordPress Backup gemacht haben sollten oder das letzte bereits einige Zeit her ist, besteht noch eine Chance Ihre Seite wiederherzustellen. Dennoch gilt: Ein Backup reduziert die Problematik enorm. Wenn Sie also bislang keine WordPress Backups gemacht haben, fangen Sie umgehend damit an! Lesen Sie dazu unseren Beitrag Backup einer WordPress Seite erstellen (LINK).
Wenn Sie sich wieder gefangen haben, können Sie mit der Schadensbegrenzung beginnen. Lassen Sie ein Malware/Antiviren-Programm über Ihren PC laufen, um Ihren lokalen PC als Viren-Quelle ausschließen zu können. Die nächsten Schritte hängen davon ab, ob Sie ein Backup Ihrer WordPress Seite erstellt haben.

Sie haben KEIN Backup Ihrer WordPress Seite

Wenn Sie kein Backup Ihrer WordPress Seite erstellt haben, gibt es ein paar Hürden mehr, die Sie bei der Wiederherstellung Ihrer WordPress Seite überwinden müssen. Dennoch haben Sie gute Chancen, Ihre WordPress Seite zu retten.
1. Nutzen Sie einen Sitescanner um Malware aufzuspüren
Eine schnelle Lösung für einen Malware-Scan bieten Sitescanner wie Sucuri. Wenn Ihre WordPress Seite einen Malware-Treffer hat heißt das, Sie müssen gezielt und schnell reagieren. Sie wollen schließlich nicht, dass Ihre Seite von Google markiert wird oder treue Nutzer Ihrer Seite verlieren.
2. Optional: Löschen Sie Index und Admin Bereich
Bei einem Malware-Befall, dessen Quelle Sie nicht schnell lokalisieren können, können Sie einfach die Index-Datei über ftp löschen. Das gleiche können Sie mit Ihrem Admin-Bereich tun wenn Sie glauben, dass der Hacker sich gerade erst Zutritt zu Ihrer WordPress Seite verschafft hat und dort noch sein Unwesen treibt. Optional empfiehlt es sich, eine standardisierte Index-Datei hochzuladen die Ihren Nutzern sagt, dass Ihre Seite gerade gewartet wird.
Selbst wenn keine Malware gefunden wurde, sondern die Seite nur verunstaltet wurde, möchten Sie sicher nicht, dass Sie länger als unbedingt notwendig so aussieht, wie der Hacker sie geändert hat. Also betreten Sie Ihre WordPress Seite über FTP und löschen Sie die Index-Datei
Wenn Sie nicht die aktuelle WordPress Version haben und nicht wissen, welche Version installiert ist, sollten Sie das überprüfen. Sie benötigen Ihre Version später wenn es darum geht, Ihre WordPress Dateien zu ersetzen. Die von Ihnen genutzte WordPress Version finden Sie in der version.php im wp-includes Ordner. Dort finden Sie einen Eintrag wie “$wp_version = ‘4.1.1’;”.
3. Ändern Sie den MySQL Nutzernamen und Passwörter
Um zu vermeiden, dass wer auch immer sich wie auch immer Zugriff auf Ihre Zugangsdaten verschafft hat, sich erneut bei Ihnen einloggen kann, sollten Sie Ihre Zugangsdaten ändern. Loggen Sie sich bei Ihrem Host ein und wählen Sie im Dashboard den Punkt MySQL. Prüfen Sie zunächst, ob bei der entsprechenden Datenbank irgendwelche zusätzlichen Nutzer hinzugefügt wurden und löschen Sie diese. Dann ändern Sie Ihre eigenen Zugangsdaten indem Sie auf Ihr Profil klicken – oder erstellen Sie einen neuen Nutzer auf dem unten erklärten Weg.
4. Entfernen Sie den alten Admin-Account und erstellen Sie einen neuen über phpMyAdmin
Gehen Sie in Ihrem Hosting Account auf phpMyAdmin und wählen Sie WP_users. Finden Sie den gehackten Account, also entweder Ihren alten Admin Account oder einen vom Hacker neu angelegten. Glücklicherweise können Sie einen einfachen sql-Code nutzen, um alle erforderlichen Felder für einen neuen Admin User zu erstellen:

INSERT INTO `wp_users` (`ID`, `user_login`, `user_pass`, `user_nicename`, `user_email`, `user_url`, `user_registered`, `user_activation_key`, `user_status`, `display_name`)
VALUES
(NULL , ‘username’, MD5(‘password’), ‘User Name’, ’email@domain.ext’, ”, NOW(), ”, ‘0’, ‘User Name’);

INSERT INTO `wp_usermeta` (`umeta_id`, `user_id`, `meta_key`, `meta_value`)
VALUES
(NULL, LAST_INSERT_ID(), ‘wp_capabilities’, ‘a:1:{s:13:”administrator”;s:1:”1″;}’),
(NULL, LAST_INSERT_ID(), ‘wp_user_level’, ’10’);

Wichtig: Wenn Sie aus Sicherheitsgründen das Präfix Ihrer Datenbank geändert haben, müssen Sie das wp_ Präfix im sql-Code entsprechend ändern, bevor Sie den Code ausführen.
5. Ändern Sie Ihre WordPress Sicherheitsschlüssel
Dieser Schritt ist recht einfach. Gehen Sie auf den WordPress salt secret key Generator und kopieren Sie die generierten Zeilen. Nutzen Sie sie um die entsprechenden Zeilen in der wp-config.php zu ersetzen.
6. Ersetzen Sie den WordPress Core sowie Plugin- und Theme-Dateien über FTP
An dieser Stelle haben Sie zwei Möglichkeiten. Sie können entweder den WordPress Core sowie Plugin- und Theme-Dateien manuell über FTP ersetzen oder ein Plugin wie sucuri nutzen. Für die zweite Variante müssen Sie sich lediglich mit Ihrem neuen Admin-Zugang auf Ihrer WordPress Seite einloggen und den Anweisungen des Plugins folgen, um alle Core-, Theme- und Plugin-Dateien mit neuen aus dem WordPress Repository zu ersetzen. Die Gefahr dabei ist, dass der Hacker Ihren Admin-Bereich geändert haben könnte, um Viren oder Malware auf Ihren Computer zu laden. Er könnte auch Sicherheitsplugins geändert haben, damit Sicherheitslücken, die er erstellt hat, bestehen bleiben. Die manuelle Variante via FTP bietet daher mehr Sicherheit.
Wenn Sie die manuelle Variante wählen, gehen Sie sicher, dass Sie nicht den wp-content Ordner ersetzen oder löschen. Wenn das passiert, verlieren Sie all Ihre Bilder und andere Medien-Dateien, die Sie über Ihre WordPress Seite hochgeladen haben.
Auch die Erstellung einer neuen wp-config Datei benötigt einige Konfigurationen. Prüfen Sie lieber, ob die Datei infiziert ist und ersetzen Sie sie nur, wenn dies der Fall ist.
Abgesehen vom wp-content Ordner löschen und ersetzen Sie alle Dateien und Ordner mit den Core-Dateien der passenden WordPress Version.
Um sicherzugehen, sollten Sie auch den wp-content Ordner auf zusätzliche Dateien prüfen, die eigentlich nicht dorthin gehören. Gleichen Sie den Inhalt des Ordners mit einer Standardversion ab und löschen Sie alle Dateien, die Sie nicht zuordnen können. Auch Plugins und Themes sollten Sie entfernen und neu installieren.
7. Ändern Sie Ihr FTP-Passwort
Loggen Sie sich bei Ihrem Hosting-Account ein und wählen Sie FTP Accounts. Prüfen Sie, ob neue Nutzer hinzugefügt wurden und entfernen Sie diese. Ändern Sie anschließend Ihr Passwort oder erstellen Sie für sich einen neuen Nutzer und löschen Sie den alten.
Konfigurieren Sie Ihre neue wp-config.php
Gehen Sie auf phpMyAdmin und wählen Sie den entsprechende Datenbank. Dort müssen Sie die Werte an den Stellen DB_NAME, DB_USER, DB_PASSWORD und $table_prefix an Ihre vorgenommenen Änderungen anpassen. DB_NAME ist der Name der Hauptdatenbank Ihrer WordPress Seite, DB_USER und DB_PASSWORD ist der MySQL Nutzername und das Passwort, das Sie soeben erstellt haben. Das table_prefix ist standardmäßig wp_. Wenn Sie das Präfix aus Sicherheitsgründen geändert haben, müssen Sie dort Ihre Änderung eintragen.
8. Malware-Scan
Prüfen Sie abschließend Ihre Seite mit einem Malware-Scan. Sie können dafür ein Plugin wie WordFence nutzen.

Sie haben ein Backup Ihrer WordPress Seite

Wenn Sie ein aktuelles Backup Ihrer WordPress Seite haben, ist alles wesentlich einfacher. Einige Schritte müssen Sie dennoch vornehmen.
1. Ändern Sie die Passwörter und eventuell auch die Nutzernamen für MySQL und FTP

Loggen Sie sich in Ihren Hosting Account ein und prüfen Sie, ob unter FTP User und MySQL neue Nutzer angelegt wurden. Löschen Sie diese. Anschließend ändern Sie die Passwörter für Ihre Accounts. Ersetzen Sie Ihre WordPress Seite anschließend durch Ihre Backup-Variante. Wenn Sie ein Plugin für das WordPress Backup genutzt haben, müssen Sie unter Umständen einen neuen Admin-Nutzer erstellen, um das Backup hochladen zu können. Wenn Sie eine andere Lösung genutzt haben, verwenden Sie deren Anleitung zur Wiederherstellung Ihrer WordPress Seite.
2. Ändern Sie Ihre Sicherheitsschlüssel
Gehen Sie auf den WordPress salt secret key Generator und kopieren Sie die generierten Zeilen. Nutzen Sie sie um die entsprechenden Zeilen in der wp-config.php zu ersetzen.
3. Malware-Scan
Führen Sie einen Malware-Scan durch, beispielsweise mit dem Plugin WordFence. Gehen Sie auf Erweiterte Einstellungen und wählen Sie scan outside WordPress Install, lassen Sie außerdem Bilder und ausführbare Dateien prüfen. Wenn Sie Malware finden, löschen Sie die entsprechenden Dateien oder ersetzen Sie sie und ändern Sie anschließend erneut Ihre Passwörter.

Nun sollte Ihre WordPress Seite wiederhergestellt und sicher sein. Machen Sie ein neues Backup und lesen Sie die WordPress Helden Sicherheitstipps, um künftige Angriffe zu vermeiden! Sie haben Probleme bei der Wiederherstellung Ihrer WordPress Seite oder möchten eine Sicherheitsberatung? Fragen Sie unsere WordPress Helden!

Quelle: www.wpkube.com