Webseite gehackt? Was muss man machen, wenn WordPress gehackt wurde?

Bei einem Einbruch in der realen Welt kümmern wir uns darum den Schaden zu melden und unser Eigentum vor einem nächsten Einbruch durch Fachleute abzusichern. In der virtuellen Welt wird so meist nicht vorgegangen. Statt sich auch in diesem Fall an einen Spezialisten, idealerweise für gehackte WordPress Webseiten, zu wenden sucht man in diversen Internetforen nach einer adäquaten Lösung.

Computer Foto erstellt von freepik - de.freepik.com

Bei einem Einbruch in der realen Welt kümmern wir uns darum den Schaden zu melden und unser Eigentum vor einem nächsten Einbruch durch Fachleute abzusichern.

In der virtuellen Welt wird so meist nicht vorgegangen. Statt sich auch in diesem Fall an einen Spezialisten, idealerweise für WordPress, zu wenden sucht man in diversen Internetforen nach einer adäquaten Lösung. Das ist ja an sich auch kein Problem, wenn man die Information bekommen würde sich an einen Experten zu wenden. Stattdessen werden dort Tutorials angeboten und Anweisungen gegeben, wie man WordPress eigenständig bereinigt und absichert. Hinweise, dass man angeblich jemanden hat, der sich um die Seite kümmert, aber noch ein paar Informationen benötigt, welche Schritte dafür notwendig sind, kommen nicht selten vor. Geld für einen Experten kommt hier oft nicht infrage, weil ja WordPress Open Source ist und ja das Problem an WordPress liegt.

Eine erste, verweigernde Haltung gegenüber bezahlten Maßnahmen zum Bereinigen von WordPress nach einem Hackerangriff ist durchaus zu verstehen. Aber gerade Selbständige und Unternehmer sollten sich dann genau überlegen was sie tun, denn eine gehackte Seite kann strafrechtliche Konsequenzen nach sich ziehen. Ein Hackerangriff kann nur deshalb erfolgreich sein, weil oft die Plugins und Themes nicht regelmäßig aktualisiert wurden. Des Weiteren wurden auch in puncto Absicherung keine weiteren Maßnahmen getroffen.

Wenn man bedenkt, wie einfach es ist die Seite mit einem Klick auf den „Update Knopf“ die eingebundenen Plugins auf dem Laufenden zu halten, sollte man sich fragen, warum der vorherige / jetzige Webmaster es bisher nicht getan hat. Dieser wird dann garantiert nicht in der Lage seine eine Seite wieder zu bereinigen und abzusichern.

Erste Hilfe nach einem Hack

Ein Tipp von einem Experten, der Ihnen zu folgenden ersten Maßnahmen rät:

  1. 1. Nehmen Sie die betroffene Webseite offline
    Einige Hoster machen dies nach Kenntnisnahme einer infizierten Seite automatisch. Sollte diese vom Hoster noch nicht offline gesetzt worden sein, so müssen Sie die Seite nach Bekanntwerden der Infektion und ohne weitere Verzögerung vom Netz genommen werden. Dies ist erforderlich, da Sie nicht wissen, was für Auswirkungen dies auf die Besucher Ihrer Webseite Haben kann. Das Telemediengesetz sieht in § 13 Abs. 7 vor, dass Dienstanbieter dafür Sorge tragen müssen, dass Ihre technischen Vorrichtungen gesichert sind. Besitzer von Webspace auf denen mehrere Webseiten liegen, müssen zudem prüfen, ob nicht auch die anderen Installationen infiziert sind. Ist der Hacker erst einmal im Dateisystem, gibt es meist kein Halten mehr.
  2.  
  3. 2. Ändern Sie FTP und SSH Zugänge
    Sie wissen noch nicht, was der Eindringling auf Ihrem Webspace und Ihrer Webseite gemacht hat. Ändern Sie unverzüglich sämtliche Passwörter und nutzen Sie dazu möglichst lange und kryptische Varianten. Löschen Sie bestehende Benutzer und legen diese mit einem neuen Namen an.

  4. 3. Sichern Sie die gehackte Webseite inklusive der Datenbank
    Sie brauchen Beweise und müssen herausfinden was passiert ist. Ihre Versicherung zahlt nicht, wenn der Einbruch nicht nachweisbar ist. Und je nach Art des Unternehmens kann es sogar eine Verpflichtung zur Verfolgung einer möglichen Straftat geben. Erstellen Sie also ein Backup von der WordPress Installation samt Datenbank manuell via FTP und einem MySQL Klienten oder z.B. mit Updraft Plus, und sichern Sie die Datei auf einem USB-Stick, also isoliert von anderen Dateien.

  5. 4. Machen Sie einen Restore von einem sauberen Backup
    Als verantwortungsvoller Webseitenbetreiber haben Sie sicherlich routinemäßig Backups manuell oder automatisch erstellt und diese separat auf einem Speichermedium abgelegt. Nehmen Sie ein nicht kompromittiertes Backup und laden dies auf Ihr Webspace hoch, nachdem Sie vorher alles alten kompromittierten Daten gelöscht haben. Das gilt natürlich auch für Ihre MySQL Datenbank, bzw. MySQL Datei. Tragen Sie in der wp-config.php Datei die neuen sicheren Verbindungsdaten zur Datenbank ein. Besitzen Sie kein Backup oder sind nicht sicher, ob das Backup sauber ist, fahren Sie gleich mit Punkt 7 fort.

  6. 5. Führen Sie Updates durch
    Nachdem Sie eine nicht kompromittierte WordPress Installation zurückgespielt haben, sollten Sie Ihre Webseite auf Vordermann bringen, indem Sie alle Plugins und Themes updaten. Sollten Sie Themes und Plugins von Codecanyon oder Themeforest benutzt haben, schauen Sie bei dem Entwickler direkt bei den Verkaufsseiten nach neuen Updates / Versionen, da nicht jedes Plugin eine automatische Aktualisierung anbietet und mitunter manuell aktualisiert werden muss.

  7. 6. Ändern Sie die WordPress Passwörter

    Ändern Sie nun auch die Benutzer und Passwörter und löschen ggf. inaktive und suspekte Benutzer aus der Installation. Bitte nutzen Sie nie den ersten Benutzer als Super-Admin, da dieser immer die gleichen Benutzer ID von WordPress bekommt und die Hacker zuerst auf diese zielen. Es gibt einige Möglichkeiten diese zu ändern. Entweder legen Sie mehrere Phantom-User an und löschen die nicht mehr benötigten und geben dem letzten hinzugefügten Benutzer die Super-Adminrechte. Alternativ gibt es auch Tools, damit Sie nicht erst die Phantom-User anlegen müssen. Prüfen Sie, ob Sie gemäß §42a BDSG der Informationspflicht unterliegen und handeln Sie gewissenhaft.

  8. 7. Nehmen Sie Kontakt zum Sicherheitsexperten für WordPress auf
    Lassen Sie abschließend durch einen Experten prüfen, ob die Webseite bereinigt ist. Es kommt nicht selten vor, dass über Monate bereits eine Backdoor in einer Installation vorhanden war, wo der Eindringling später in Ihre Seite eingebrochen ist. Lassen Sie sich auch von einem WordPress Experten ein Sicherheitskonzept erstellen. Sollte en für Sie kostenpflichtiger Schaden entstanden sein, lassen Sie alles von einem Experten für Ihre Versicherung protokollieren.

Wie schütze ich mich in Zukunft?

Um zukünftig eine Webseite sicher zu betreiben, ist es notwendig ein schlüssiges Sicherheitskonzept von einem Experten erstellen zu lassen. Des Weiteren sind folgende Maßnahmen ratsam:

  1. 1. Zugangskontrollen, Rollenverteilung, Passwortsicherheit
    2. Techniken um WordPress Benutzernamen zu verbergen
    3. Ablaufverfolgung in WordPress, Überwachung und Alarmierung
    4. Deaktivieren von nicht benötigten WordPress Features
    5. Schutz gegen Brute-Force-Attacken
    6. Serverseitige Absicherung über den Webserver
    7. Backupstrategie mit externer Sicherung
    8. Update-Management und Kontrolle
    9. Firewall auf IP und Applikations-Ebene
    10. Notfallplan

Selbstverständlich können diese Maßnahmen auch von der eigenen IT Abteilung bzw. dem Webmaster umgesetzt werden. Konzeption und Aufsicht sollte aber immer durch den Fachmann erfolgen.