Bei einem Einbruch in der realen Welt kümmern wir uns darum den Schaden zu melden und unser Eigentum vor einem nächsten Einbruch durch Fachleute abzusichern. In der virtuellen Welt wird so meist nicht vorgegangen. Statt sich auch in diesem Fall an einen Spezialisten, idealerweise für gehackte WordPress Webseiten, zu wenden sucht man in diversen Internetforen nach einer adäquaten Lösung.

hacker webseite
Computer Foto erstellt von freepik - de.freepik.com

Bei einem Einbruch in der realen Welt kümmern wir uns darum den Schaden zu melden und unser Eigentum vor einem nächsten Einbruch durch Fachleute abzusichern.

In der virtuellen Welt wird so meist nicht vorgegangen. Statt sich auch in diesem Fall an einen Spezialisten, idealerweise für WordPress, zu wenden sucht man in diversen Internetforen nach einer adäquaten Lösung. Das ist ja an sich auch kein Problem, wenn man die Information bekommen würde sich an einen Experten zu wenden. Stattdessen werden dort Tutorials angeboten und Anweisungen gegeben, wie man WordPress eigenständig bereinigt und absichert. Hinweise, dass man angeblich jemanden hat, der sich um die Seite kümmert, aber noch ein paar Informationen benötigt, welche Schritte dafür notwendig sind, kommen nicht selten vor. Geld für einen Experten kommt hier oft nicht infrage, weil ja WordPress Open Source ist und ja das Problem an WordPress liegt.

Eine erste, verweigernde Haltung gegenüber bezahlten Maßnahmen zum Bereinigen von WordPress nach einem Hackerangriff ist durchaus zu verstehen. Aber gerade Selbständige und Unternehmer sollten sich dann genau überlegen was sie tun, denn eine gehackte Seite kann strafrechtliche Konsequenzen nach sich ziehen. Ein Hackerangriff kann nur deshalb erfolgreich sein, weil oft die Plugins und Themes nicht regelmäßig aktualisiert wurden. Des Weiteren wurden auch in puncto Absicherung keine weiteren Maßnahmen getroffen.

Wenn man bedenkt, wie einfach es ist die Seite mit einem Klick auf den „Update Knopf“ die eingebundenen Plugins auf dem Laufenden zu halten, sollte man sich fragen, warum der vorherige / jetzige Webmaster es bisher nicht getan hat. Dieser wird dann garantiert nicht in der Lage seine eine Seite wieder zu bereinigen und abzusichern.

Erste Hilfe nach einem Hack

Ein Tipp von einem Experten, der Ihnen zu folgenden ersten Maßnahmen rät:

  1. 1. Nehmen Sie die betroffene Webseite offline
    Einige Hoster machen dies nach Kenntnisnahme einer infizierten Seite automatisch. Sollte diese vom Hoster noch nicht offline gesetzt worden sein, so müssen Sie die Seite nach Bekanntwerden der Infektion und ohne weitere Verzögerung vom Netz genommen werden. Dies ist erforderlich, da Sie nicht wissen, was für Auswirkungen dies auf die Besucher Ihrer Webseite Haben kann. Das Telemediengesetz sieht in § 13 Abs. 7 vor, dass Dienstanbieter dafür Sorge tragen müssen, dass Ihre technischen Vorrichtungen gesichert sind. Besitzer von Webspace auf denen mehrere Webseiten liegen, müssen zudem prüfen, ob nicht auch die anderen Installationen infiziert sind. Ist der Hacker erst einmal im Dateisystem, gibt es meist kein Halten mehr.
  2.  
  3. 2. Ändern Sie FTP und SSH Zugänge
    Sie wissen noch nicht, was der Eindringling auf Ihrem Webspace und Ihrer Webseite gemacht hat. Ändern Sie unverzüglich sämtliche Passwörter und nutzen Sie dazu möglichst lange und kryptische Varianten. Löschen Sie bestehende Benutzer und legen diese mit einem neuen Namen an.

  4. 3. Sichern Sie die gehackte Webseite inklusive der Datenbank
    Sie brauchen Beweise und müssen herausfinden was passiert ist. Ihre Versicherung zahlt nicht, wenn der Einbruch nicht nachweisbar ist. Und je nach Art des Unternehmens kann es sogar eine Verpflichtung zur Verfolgung einer möglichen Straftat geben. Erstellen Sie also ein Backup von der WordPress Installation samt Datenbank manuell via FTP und einem MySQL Klienten oder z.B. mit Updraft Plus, und sichern Sie die Datei auf einem USB-Stick, also isoliert von anderen Dateien.

  5. 4. Machen Sie einen Restore von einem sauberen Backup
    Als verantwortungsvoller Webseitenbetreiber haben Sie sicherlich routinemäßig Backups manuell oder automatisch erstellt und diese separat auf einem Speichermedium abgelegt. Nehmen Sie ein nicht kompromittiertes Backup und laden dies auf Ihr Webspace hoch, nachdem Sie vorher alles alten kompromittierten Daten gelöscht haben. Das gilt natürlich auch für Ihre MySQL Datenbank, bzw. MySQL Datei. Tragen Sie in der wp-config.php Datei die neuen sicheren Verbindungsdaten zur Datenbank ein. Besitzen Sie kein Backup oder sind nicht sicher, ob das Backup sauber ist, fahren Sie gleich mit Punkt 7 fort.

  6. 5. Führen Sie Updates durch
    Nachdem Sie eine nicht kompromittierte WordPress Installation zurückgespielt haben, sollten Sie Ihre Webseite auf Vordermann bringen, indem Sie alle Plugins und Themes updaten. Sollten Sie Themes und Plugins von Codecanyon oder Themeforest benutzt haben, schauen Sie bei dem Entwickler direkt bei den Verkaufsseiten nach neuen Updates / Versionen, da nicht jedes Plugin eine automatische Aktualisierung anbietet und mitunter manuell aktualisiert werden muss.

  7. 6. Ändern Sie die WordPress Passwörter
    Ändern Sie nun auch die Benutzer und Passwörter und löschen ggf. inaktive und suspekte Benutzer aus der Installation. Bitte nutzen Sie nie den ersten Benutzer als Super-Admin, da dieser immer die gleichen Benutzer ID von WordPress bekommt und die Hacker zuerst auf diese zielen. Es gibt einige Möglichkeiten diese zu ändern. Entweder legen Sie mehrere Phantom-User an und löschen die nicht mehr benötigten und geben dem letzten hinzugefügten Benutzer die Super-Adminrechte. Alternativ gibt es auch Tools, damit Sie nicht erst die Phantom-User anlegen müssen. Prüfen Sie, ob Sie gemäß §42a BDSG der Informationspflicht unterliegen und handeln Sie gewissenhaft.

  8. 7. Nehmen Sie Kontakt zum Sicherheitsexperten für WordPress auf
    Lassen Sie abschließend durch einen Experten prüfen, ob die Webseite bereinigt ist. Es kommt nicht selten vor, dass über Monate bereits eine Backdoor in einer Installation vorhanden war, wo der Eindringling später in Ihre Seite eingebrochen ist. Lassen Sie sich auch von einem WordPress Experten ein Sicherheitskonzept erstellen. Sollte en für Sie kostenpflichtiger Schaden entstanden sein, lassen Sie alles von einem Experten für Ihre Versicherung protokollieren.

Wie schütze ich mich in Zukunft?

Um zukünftig eine Webseite sicher zu betreiben, ist es notwendig ein schlüssiges Sicherheitskonzept von einem Experten erstellen zu lassen. Des Weiteren sind folgende Maßnahmen ratsam:

  1. 1. Zugangskontrollen, Rollenverteilung, Passwortsicherheit
    2. Techniken um WordPress Benutzernamen zu verbergen
    3. Ablaufverfolgung in WordPress, Überwachung und Alarmierung
    4. Deaktivieren von nicht benötigten WordPress Features
    5. Schutz gegen Brute-Force-Attacken
    6. Serverseitige Absicherung über den Webserver
    7. Backupstrategie mit externer Sicherung
    8. Update-Management und Kontrolle
    9. Firewall auf IP und Applikations-Ebene
    10. Notfallplan

Selbstverständlich können diese Maßnahmen auch von der eigenen IT Abteilung bzw. dem Webmaster umgesetzt werden. Konzeption und Aufsicht sollte aber immer durch den Fachmann erfolgen.

Sie hatten schon oft Computerabstürze und konnten Ihr System zum Glück mit einem Image Programm wie Acronis oder EaseUs Todo Backup retten und wiederherstellen? Dann haben Sie alles richtig gemacht und haben dadurch ein Problem weniger. Was ist aber, wenn Ihre Webseite nicht mehr funktioniert? Haben Sie da auch eine Backup-Strategie eingeplant? Nein? Dann könnten Sie irgendwann ein Problem bekommen.

 

WordPress BackWPupWarum brauchen Sie unbedingt eine Backup-Strategie für Ihre Webseite? Ein Backup ist immer die beste und kostengünstige Möglichkeit, sich vor einem Totalausfall zu schützen, der ganz schnell durch ein WordPress Update / Upgrade passieren kann. Aber nicht nur dann! Ein weiteres Szenario, wo ein Problem auftauchen kann, ist, wenn Sie Plugins aktualisieren und ein Plugin plötzlich ein Problem verursacht. Ein weiterer Totalausfall kann auch durch einen Hackerangriff stattfinden. In dem Fall hätten Sie auch noch ein weiteres Problem, nämlich ein Einfallstor, durch das Hacker eindringen können.

WordPress bietet eine Vielzahl von Backup Plugins an, die mehr oder weniger gut bzw. umfangreich sind. Die bekanntesten Plugins sind in dem Fall BackWpUp und UpdraftPlus. Beide Plugins haben ihre Vorteile und haben sich in der Praxis bewährt. Beide Anbieter bieten in der Premium Version zusätzliche Funktionen an. Bei beiden können Sie auch verschiedene Speicherorte auswählen. Hier sind unter anderem bekannte Cloud-Anbieter möglich oder auch der eigene FTP Account.

Wir empfehlen immer den eigenen FTP Speicherplatz, damit man eine volle Kontrolle über seine Daten behält. Wir haben die genannten Plugins getestet bzw. auch im Einsatz und haben bei beiden interessante Ansätze kennengelernt. Kann man ein Plugin empfehlen? Jein, denn beide haben ihre Vorteile und evtl. auch Nachteile, je nachdem was man erwartet oder wie man das Plugin konfigurieren will.

Beim UpdraftPlus werden die Backups in kleine gepackte Dateien auf den FTP Speicherplatz abgelegt, während BackWPup dies in einer einzigen gepackten Datei ablegt, was evtl. zu Problemen führen kann, wenn die Verbindung bei der Übertragung abreißt. Dies kann natürlich dann mal passieren, wenn Ihre Seite sehr groß ist. Dafür kann man bei BackWPup den Sicherungszeitpunkt und die Art der Ausführung besser definieren.

WordPress UpdraftPlusTrotz der Plugins empfehlen wir eine redundante Backup-Strategie, denn was ist, wenn mal ein Backup nicht funktioniert oder nicht zurückgespielt werden kann? Auf ein System zu vertrauen ist dabei vielleicht nicht immer die beste Idee. Wir haben bei wichtigen Webseiten zwei bis drei Möglichkeiten in petto. Eine weitere ist z. B. MySqlDumper oder die neue Variante für PHP 7 MyOOSDumper. Bei diesen Tools wird aber nur die Datenbank gesichert. Wenn man die Dateien sichern will, muss man ein FTP Programm wie z. B. das kostenfreie Programm Filezilla nutzen.

Eine weitere Variante der Datenbank-Sicherung ist das Sichern mit dem MySql eigenen Tool „MySql Admin GUI“. Hier haben Sie eine komplette Suite, womit Sie Ihre Datenbank sichern können. Dieses Tool empfehlen wir immer, denn es ist recht zuverlässig und man kann sehr große Datenbanken sichern. Mit phpMyAdmin und ähnlichen browserbasierten Tools kann es hier und da mal schneller zu Problemen kommen.

Fazit: Sichern Sie Ihre Daten bzw. Ihre komplette Webseite auf diverse verschiedene Arten, damit Sie immer auf alternative Backups zurückgreifen können. Automatisierte Backups mit den genannten Programmen ist die eine Lösung, aber auf eine regelmäßige manuelle Backup-Strategie bei allen Daten sollten Sie dabei nicht verzichten. Es gibt nichts Ärgerlicheres, als wenn man eine aufwendig betriebene Webseite komplett neu erstellen müsste.

Sollten Sie zu den Backup-Strategien Fragen haben oder möchten Sie wissen, wie man die erwähnten Plugins am besten einsetzt und konfiguriert? Dann melden Sie sich gerne unverbindlich und kostenfrei bei uns.

WordPress mit Plugins und Programmierung absichern

WordPress ist eines der beliebtesten CMS, da es leicht zu bedienen ist. Jeder Anwender kann sich schnell einarbeiten und Artikel schreiben und veröffentlichen sowie auch das CMS im Funktionsumfang erweitern. Die große Beliebtheit hat natürlich auch einen Preis ─ eine hohe Anzahl von Hackerangriffen.

Was tun, um die eigene Webseite zu schützen? Hier gibt es natürlich einige Möglichkeiten, angefangen bei der sauberen Programmierung und Entwicklung von individuellen Themes und Plugins bis hin zur richtigen Wahl beim Kauf und Nutzung von Plugins und Themes aus sicheren Quellen.

Natürlich sind auch kostenfreie Erweiterungen sehr beliebt, aber wenn diese nicht vernünftig programmiert wurden oder nur sehr schlecht mit Updates usw. gepflegt werden, ist die Wahrscheinlichkeit groß, dass auch Ihre Webseite bald Hackern zum Opfer fällt.

Aber es gibt natürlich noch einiges mehr zu berücksichtigen, wie die Änderung des Tabellen- Präfix und das Anpassen des Admin Users. Bei der User ID wird dem Admin immer die ID 1 zugewiesen. Hier sollten Sie immer darauf achten, dass Sie diesem eine andere ID zuweisen lassen.

Generelles zur WordPress-Sicherheit

Um WordPress abzusichern, empfehlen wir einige generelle Vorgehensweisen:

  • 1. Sichere Passwörter verwenden
  • 2. Den Default-Admin-Username ändern
  • 3. Die Two-Step-Authentication von WordPress nutzen
  • 4. Master-Password für den Admin-Bereich vergeben
  • 5. Die aktuellste Version von WordPress nutzen
  • 6. Security-Plugins verwenden

Für WordPress gibt es natürlich auch eine Vielzahl von Sicherheits-Plugins, die Ihre Webseite absichern und es Hackern erschwert, die Oberhand über Ihre Webseite zu bekommen. Auch hier muss man immer darauf achten, aus welcher Quelle das Plugin kommt. Vorzugsweise sollte man bei www.codecanyon.net vorbeischauen und sich dort schlau lesen. Hier gilt es, als kleiner Tipp, sich die Verkaufszahlen und die Bewertungen anzusehen.

Wir können Ihnen natürlich gerne telefonisch eine Empfehlung abgeben, mit welchen Plugins wir die besten Erfahrungen gemacht haben. Dazu rufen Sie uns gerne kostenfrei und unverbindlich unter 04141-510571 an.

Im Bereich der kostenfreien Plugins zur Absicherung Ihrer Webseite können wir Ihnen Folgende benennen, die oft zum Einsatz kommen.

Zusätzlich sollten Sie, sofern die XML-RPC Schnittstelle nicht benötigt wird, diese komplett deaktivieren. Früher war es ein wenig einfacher, heute muss man dazu ein paar Umwege nehmen, wie die functions.php und die HTACCESS Datei.

Zum Thema WordPress Sicherheit gibt es einiges bei Google und diversen Seiten zu finden. Natürlich können wir Ihnen auch bei diesem Anliegen, als WordPress Agentur, zur Seite stehen und Ihre Webseite diesbezüglich absichern. Kontaktieren Sie uns gerne unverbindlich und kostenfrei unter 04141-510571 oder per Mail bzw. über unser Kontaktformular auf dieser Seite.

Leistungen

Agenturen

WordPress Webdesign

Social Media

Facebook Twitter Youtube Linkedin Xing
  • Thedor-Haubach-Weg 2
    21684 Stade
  • + 49 4141 510 571
    + 49 4141 776 172
  • office@hoko-media.com
    support@hoko-media.com
  • Video-Call nach einer Terminvereinbarung möglich

© 2023 by HoKo Media