26. Januar 2015

Was tun wenn die WordPress Site gehacked wurde?

Englische Informationen gibt es auf https://codex.wordpress.org/FAQ_My_site_was_hacked.

Ende 2014 wurden Hunderttausende WordPress Websites durch die SoakSoak genannte Malware infiziert. Dabei wurde eine Sicherheitslücke des RevSlider Plugins (bis und mit Version 4.1.4) genutzt, welche bereits Monate zuvor bekannt und gefixt wurde. Dieses Slider Plugin wurde häufig mit kostenpflichtigen Themes gebundelt und offenbar oft nicht aktualisiert. Dadurch konnte eine Backdoor-Datei nach /wp-content/plugins/revslider/temp/update_extract/revslider/update.php eingeschleust werden, welche praktisch unbeschränkten Zugriff auf die Site freischaltete. Dann wurde die Datei swfobject.js manipuliert. Zusätzlich wurden weitere Dateien infiziert und zusätzliche Administratoren erstellt. So wurden verschiedentlich Sites nur wenige Minuten nach der Säuberung erneut infiziert.

Mehr über diesen Fall können Sie auf dem Blog des Websicherheitsspezialisten sucuri nachlesen (englisch).

Die folgende Vorgehensweise gilt allgemein:

Ruhig bleiben

und nichts überstürzen.

Ja, es ist eine stressige Situation und möglicherweise kostet der Vorfall direkt oder indirekt Geld, aber es ist nicht alles verloren und Sie werden sich von dieser Situation erholen können.

Überprüfen Sie Ihre lokale Umgebung (PC, Notebook) auf Viren und Malware

Auch wenn jetzt Ihre Webseite betroffen ist, eine häufige Ursache für gehackte Webseiten sind kompromittierte Computer von denen beispielsweise FTP-Passwörter ausgelesen werden konnten.

Lassen Sie daher einen Virenscanner über alle Ihre Computer laufen und versichern Sie sich, dass ihre Geräte sauber sind.

Tipps zum Säubern infizierter Computer finden Sie bei der Checklisten und Anleitungen

Keine Panik, wenn Sie sich nicht mehr in WordPress einloggen können

Möglicherweise hat ein Hacker Ihr Passwort geändert. Sie können versuchen, sich mittels des “Passwort vergessen?”-Link ein neues Passwort zustellen zu lassen. Sollte das nicht gehen bzw. das Passwort an eine andere als Ihre eigene E-Mail-Adresse gesendet werden, können Sie direkt in der Datenbank das Passwort ändern.

Überprüfen Sie Ihre Webseite auf Malware

Wenn Ihre Website durch uns gesperrt wurde, haben Sie ein Mail mit Hinweis auf die Dateien/Verzeichnisse die blockiert wurden erhalten. Ausserdem wurden in Ihrem Webspace die Dateien infiziert.txt und veraltete_software.txt erstellt (die Sie über den Dateimanager des switchplus Benutzerkontos downloaden können). Aufgrund dieser Dateien können Sie genau wissen welche Dateien bzw. welche Skripts oder Plugins betroffen sind.

Wenn Sie vorsorglich Ihre Website auf Malware überprüfen wollen, können Sie dies beispielsweise auf http://sitecheck.sucuri.net/ tun.

Über den Dateimanager des switchplus Benutzerkontos können Sie die infizierten Ordner als Zip-Datei herunterladen. Wählen Sie dazu im Dateimanager den gewünschten Ordner aus und klicken Sie herunterladen.

Im nächsten Dialog müssen Sie ein Passwort für die Zip-Datei angeben. Dieses benötigen Sie um die Zip-Datei später zu entpacken. Die Zip-Dateien sind ungefährlich. Sie sollten dennoch nach der vollständigen Wiederherstellung des Internet-Auftritts endgültig gelöscht werden.

Entfernen Sie infizierte Themes oder Plugins vollständig

Ordner in Ihrem Webauftritt löschen, statt “herunterladen” “löschen” und bei der folgenden Sicherheitsabfrage “löschen” anklicken.

Melden Sie uns die Bereinigung der Seite damit wir sie erneut auf Malware überprüfen und entsperren können

Wenn das Verzeichnis von Malware befreit ist kann es wieder freigeschaltet werden. Anschliessend können Sie sich im Backend einloggen und aktuelle, saubere Versionen der gelöschten Plugins oder Themes installieren, aktivieren und allenfalls konfigurieren.

Wenn die Seite von Google gesperrt wurde, sollten Sie nach der Anweisung „Hilfe! Meine Website wurde gehackt! “ in den Google Webmaster-Tools vorgehen.

Ändern Sie die Passwörter der WordPress Benutzer und des FTP-Zugangs.

Anschliessend überprüfen Sie Ihre Seite zum Beispiel mit dem Sucuri SiteCheck scanner oder/und installieren das Sucuri Plugin

Exportieren Sie die Inhalte Ihrer Webseite

Nutzen Sie die WordPress eigene Daten exportieren unter Werkzeuge / Daten exportieren / Alle Inhalte / Export-Datei herunterladen. Damit können Sie alle Inhalte in einer XML-Datei sichern. Diese können Sie über Werkzeuge / Daten importieren in eine frische WordPress Installation importieren. Diese Variante müssten Sie nutzen wenn eine Bereinigung nicht möglich wäre.


Auf diese Art lassen sich die Inhalte einer WordPress-Installation auch problemlos und sicher von einer infizierten oder einfach nur unübersichtlich gewordenen WordPress Seite zügeln.