Bitte beachten Sie, dass die nachfolgenden Links auf externe Seiten führen. Host Europe übernimmt für die Richtigkeit und die Aktualität der Inhalte keine Verantwortung. Dieser Artikel bezieht sich auf Wordpress Blogs, die auf einem Webhostingprodukt von Host Europe betrieben werden.

Wenn Wordpress bereits gehackt wurde, also Fremde Zugriff auf Ihre Webseite erlangen konnten, handeln Sie schnell! Sie schaden mit einer gehackten Webseite nicht nur sich selbst, sondern vielleicht auch andere. Folgende Schritte sollten Sie durchführen, wenn Sie feststellen, dass Ihr WordPress Blog gehackt wurde:

1) Webeite vom Netz nehmen: Da Sie in erster Instanz nicht genau wissen, was der Angreifer mit Ihrer Webseite getan hat, sollte diese sofort vom Netz genommen werden. Angreifer könnten die Seite für SPAM-Mails, Phishing, DDoS-Attacken, usw. ausnutzen - dieses könnte auch eine Sperrung der Seite sowie rechtliche Konsequenzen nach sich ziehen. Daher geht es hier in erster Linie um Schadensbegrenzung.

Um den Einbruch untersuchen zu können sollten Sie umgehend einen Zugriffsschutz auf Ihre komplette Webseite erstellen. Hier reicht es nicht aus nur den Administrationsbereich abzusichern, sondern es ist notwendig die gesamte Webseite nach „außen“ nicht erreichbar zustellen. Hier kann man entweder über eine .htaccess einen eigenen Zugriffsschutz erstellen oder einfach die Zugriffsverwaltung im KIS verwenden. Wenn Sie im KIS über die folgenden Menüpunkte gehen, können Sie einsehen, wo auf dem Server Ihr WordPress Blog liegt.

Produktverwaltung - Webhosting - Konfigurieren - Domains - Domainzuordnung & -verwaltung

In diesem Fall unter /www/wordpress – das bedeutet der Zugriffsschutz muss für das folgende Verzeichnis anlegt werden: /www/wordpress

Weitere Informationen zum Thema Zugriffsschutz / Zugriffsverwaltung finden Sie hier.

Es ist ratsam, eine Wartungsseite zu erstellen. Geben Sie nicht gleich öffentlich bekannt, dass Sie gehackt wurden, da dies nur ein schlechtes Licht auf Sie werfen würde. Erstellen Sie lieber eine Seite auf der Sie zum Beispiel angeben, dass die Seite wegen Umbauarbeiten vorübergehend nicht erreichbar ist.

2) Einbruch untersuchen und Sicherheitslücke finden: Die Sicherheitslücke, über die sich der Hacker Zugriff verschafft hat, muss nun gefunden werden!

Es ist nicht empfehlenswert ohne eine Überprüfung des Vorfalls, einfach wieder ein Backup einzuspielen. Ohne genaue Kenntnis, wann der Angriff stattgefunden hat, läuft man Gefahr ein Backup mit der gleichen vorhandenen Sicherheitslücke einzuspielen und dies kann dazu führen, dass die Webseite schnell erneut gehackt wird. Die Lücke zu finden ist nicht immer ganz einfach. Man kann folgende Punkte auf auffällige Änderungen überprüfen:

• Wann wurden die Dateien geändert (Zeitstempel = Timestamp kontrollieren)
• FTP-Protokoll überprüfen
• Webserver-Protokoll (Access- und Error-Logs)

Einen unterstützenden FAQ Artikel zu der Thematik Logfiles halten wir ebenfalls hier bereit: Wo kann ich Logfiles einsehen und Einstellungen zu den Logfiles vornehmen?
Bitte prüfen Sie auch zwingend Ihren lokalen Computer auf Viren, Trojaner und Keylogger. Verwenden Sie hierzu ein aktuelles Antivirenprogramm. 

Nun laden Sie bitte per FTP Ihren gesamten Blog auf Ihren lokalen Computer und löschen anschließend den Inhalt vom Server. Die Wordpressinstallation die sich nun auf Ihrem lokalen Computer befindet, überprüfen Sie bitte ebenfalls mit dem aktuellen Antivirenprogramm und achten dabei genau auf die Ergebnisse. So erfahren Sie, welche Ihrer Dateien mit Schadcode infiziert wurden. Durch die entsprechenden Logfiles bzw. Zeitstempel kann man nun rekonstruieren, wann der Einbruch stattgefunden hat.

3) Passwörter ändern und Backup wiederherstellen:

• FTP-Passwort
• MySQL-Passwort
• Wordpress-„Super Administrator“-Passwort*
• KIS Passwort
• E-Mail-Postfächer

Einen guten Passwortgenerator finden Sie auf: www.gaijin.at/olspwgen.php

Spielen Sie nun ein Backup auf dem Server ein, das vor dem Einbruch erstellt wurde. Das Datum des Einbruchs liegt Ihnen ja aufgrund der, unter Punkt 2 durchgeführten, Schritte vor.

Sollten Sie nicht wie empfohlen eigene Sicherungen erstellt haben, stehen Ihnen Sicherungen der letzten 14 Tage über das KIS zur Verfügung, da Host Europe jede Nacht eine Sicherung Ihrer Webseite erstellt. Dazu zählen die Daten die auf dem Server liegen und ebenso die dazugehörigen Datenbanken. Sie können diese Sicherungen über den Punkt Restore im KIS wieder einspielen. Eine Beschreibung zur Restore Funktion finden Sie hier.

4) Lücken schließen, Seite wieder freigeben: Es ist mehr als wichtig, dass die Sicherheitslücken geschlossen werden, da Sie so nicht nur die Möglichkeit selbst wieder gehackt zu werden verringern, sondern auch den Missbrauch Ihres Server durch Dritte verhindern. Deshalb ist es wichtig, dass alle Sicherheitslücken geschlossen werden und erst danach darf die Website wieder freigeschaltet werden. Die Sicherheitslücken befinden sich meist in veralteten Erweiterungen oder sogar im WordPress Kern selbst. Das bedeutet dass Sie Wordpress immer zeitnah aktualisieren müssen, sobald eine neue Version veröffentlicht wurde. Das Gleiche gilt auch für installierte Erweiterungen!

Im WordPress-Backend wird Ihnen in der Menüleiste angezeigt, ob ein Update zur Verfügung steht.

Klicken Sie nun einfach auf das Symbol und Ihnen werden alle verfügbaren Aktualisierungen angezeigt. In der Version 3.x werden Ihnen über die eigentlichen Wordpress Updates hinaus auch die Aktualisierungen für die Templates sowie die installierten Plug-Ins angezeigt. Denken Sie auch daran, den Zugriffsschutz wieder zu entfernen.

5) WordPress Blog anschließend gegen Angriffe absichern: Nachdem Sie nun Ihren Wordpress Blog bereinigt haben und dieser wieder online ist, möchten Sie sicherstellen, dass Sie in Zukunft möglichst sicher sind vor Angriffen Dritter die Ihnen nur schaden möchten. Tipps dazu erhalten Sie im nachfolgenden FAQ-Artikel, welcher ebenfalls als PDF-Dokument bereitgestellt wird.