Gehackt: Was tun, wenn Ihre WordPress-Website kompromittiert wurde?

Es beginnt mit einem mulmigen Gefühl, dass mit Ihrer WordPress-Website etwas nicht stimmt. Vielleicht hat Ihr Sicherheits-Plugin Sie auf eine geänderte Datei aufmerksam gemacht, von der Sie wissen, dass Sie sie nicht angefasst haben. Oder Sie sehen unbekannte Inhalte in Ihrer Beitragsliste.

Was auch immer der Indikator ist, es führt zu einem Schluss: Ihre Website wurde gehackt. Was nun?

Obwohl es völlig normal ist, sich ängstlich und/oder frustriert zu fühlen, ist es nicht der richtige Zeitpunkt, um in Panik zu geraten. Stattdessen ist es an der Zeit, in Aktion zu treten! Ein bisschen wie ein Superheld, aber Ihre bevorzugten Waffen sind ein Sicherheitsscanner und ein FTP-Client.

Dennoch haben Sie die Möglichkeit, den Tag zu retten. Folgen Sie einfach unserem Leitfaden zum Umgang mit einer gehackten WordPress-Website.

Verwenden Sie Ihre Backups

Eine Website zu verwalten – egal, ob sie auf WordPress läuft oder nicht – bedeutet, bereit zu sein, sofort zu handeln, wenn etwas schief geht. Wie machst du das? Indem Sie regelmäßige Backups Ihrer gesamten Website erstellen – einschließlich ihrer Datenbank und Dateien.

Durch die Wiederherstellung sauberer Versionen Ihrer Dateien und Daten wird Ihre Website schnell wieder an einen guten Ort gebracht. Wenn Sie kein Backup haben, an das Sie sich wenden können, kann die Wiederherstellung nach einem Hack umso schwieriger sein.

Ohne Backup müssen Sie Ihre Installation mit einem feinen Kamm durchgehen. Sie müssen nach potenziell bösartigem Code suchen, ihn entfernen und hoffen, dass Sie alles erwischt haben.

Es kann eine Rettung geben: Ihr Webhoster hat möglicherweise ein sauberes Backup, um Ihnen zu helfen. Es ist jedoch immer noch am besten, die Dinge selbst in die Hand zu nehmen. Sich darauf zu verlassen, dass andere einem aus der Klemme helfen, ist keine nachhaltige Strategie.

Passwörter und Salt Keys ändern

Abhängig von der Schwachstelle, die ein Angreifer zum Hacken Ihrer Website verwendet hat, könnte er sehr gut Administratorzugriff haben. Daher ist es am besten, die Passwörter für jedes Administratorkonto zu ändern. Wenn Sie ungenutzte Konten herumliegen haben, ziehen Sie in Betracht, sie zu löschen.

Darüber hinaus sollte auch das Datenbankpasswort der Site geändert werden. Dies könnte dazu beitragen, eventuelle MySQL-Injection-Angriffe zu verhindern.

Zu guter Letzt ist auch ein schneller Wechsel deiner WordPress-Salt-Keys empfehlenswert. Dadurch werden alle angemeldeten Benutzer, die möglicherweise schnüffeln, rausgeschmissen.

Suchen Sie nach Hinweisen auf geänderte Dateien

Wenn Ihre Website kompromittiert wurde, reicht es nicht aus, einfach ein Backup wiederherzustellen. Es ist auch wichtig, herauszufinden, was genau passiert ist. Die Backup-Dateien können sauber sein, aber sie könnten immer noch Sicherheitslücken enthalten, die zu einem weiteren Hack führen.

Daher ist es eine gute Idee, eine Kopie Ihrer gehackten Website herunterzuladen, bevor Sie diese Sicherung wiederherstellen. Wenn Ihre Website täglich gesichert wird, können Sie möglicherweise einfach die neueste Kopie abrufen, wenn Sie vermuten, dass auch sie das gleiche Problem hat.

Sie können es auch durch einen Sicherheitsscanner wie das kostenlose SiteCheck-Tool von Sucuri laufen lassen. Dies könnte Sie möglicherweise direkt zu einem bestimmten Sicherheitsproblem führen, das den Hack verursacht hat.

Sobald Sie eine Kopie Ihrer infizierten Website haben, ist es an der Zeit, sie zu durchsuchen und nach Hinweisen zu suchen. Hier sind einige Artikel, die einen Blick wert sind:

Überprüfen Sie WordPress Core, Plugins und Themes

Beachten Sie, dass bösartiger Code in jeden Bereich Ihrer WordPress-Website eingeschleust werden kann. Das kann eine Core-Datei, ein Plugin oder ein Theme sein. Sogar inaktive Elemente könnten eine Hintertür bereitgestellt haben.

Es lohnt sich auch, die Dateiberechtigungen Ihres Servers zu überprüfen, um sicherzustellen, dass sie mit den Empfehlungen von WordPress übereinstimmen.

Sehen Sie sich die Änderungsdaten an

Ein verräterisches Zeichen für eine infizierte Datei ist ein verdächtiges Änderungsdatum. Wenn Sie beispielsweise die Vorlage eines Themas seit Monaten nicht geändert haben – und das Änderungsdatum letzte Woche war – könnte dies ein Zeichen für ein schlechtes Spiel sein.

Dies kann in Plugins etwas schwieriger zu erkennen sein, da sie tendenziell häufiger aktualisiert werden. Aber wenn etwas nicht richtig aussieht, sehen Sie sich das Änderungsprotokoll des Plugins an. Das kann Ihnen sagen, wann das letzte Update war. Selbst wenn Sie nicht zum Zeitpunkt der Veröffentlichung der neuen Version aktualisiert haben, haben Sie zumindest einen Zeitraum, nach dem Sie suchen können.

Öffnen Sie verdächtige Dateien (vorsichtig)

Wenn Sie einige verdächtig aussehende Dateien gefunden haben, möchten Sie sie vielleicht öffnen und ihren Code untersuchen. Bevor Sie dies tun, ist es möglicherweise eine gute Idee, sie durch einen Malware-Scanner zu führen – nur um sicherzugehen.

Bösartiger Code scheint wie ein wunder Daumen hervorzustechen, doch der Augapfeltest allein reicht möglicherweise nicht aus, um sicher zu sein. In diesem Fall können Sie sich eine andere Kopie der Datei besorgen – eine, die bekanntermaßen sauber ist – und vergleichen. Wenn Sie Unterschiede entdecken, wissen Sie, dass etwas nicht stimmt.

Durchsuche das Web

Die Support-Foren von WordPress.org können ein großartiger Ort sein, um Informationen zu sammeln. Wenn Sie ein bestimmtes Plugin oder sogar einen WordPress-Kern vermuten, stehen die Chancen gut, dass andere Benutzer etwas Ähnliches erlebt haben. Vielleicht stellen Sie fest, dass Sie mit Ihrem Leiden nicht allein sind.

Darüber hinaus bietet die WPScan Vulnerability Database eine Wäscheliste mit Kern-, Plug-in- und Theme-Sicherheitsinformationen. Es ist ein großartiger Ort, um nach bekannten Problemen zu suchen.

Wenden Sie sich an Ihren Webhost

Es gibt keine Garantie dafür, dass Ihr Webhost einen bestimmten Hack hätte verhindern können. Trotzdem lohnt es sich, in solchen Situationen auf sie zuzugehen. Dies gilt insbesondere dann, wenn Sie sich des Täters nicht ganz sicher sind. Und es ist einfach eine gute Praxis, wenn Sie ein Shared-Hosting-Konto haben, da es andere Benutzer (oder andere Websites, die Sie hosten) betreffen kann.

Wenn Sie nicht in der Lage sind, eine bestimmte Schwachstelle zu lokalisieren, die zu dem Hack geführt hat, kann Ihr Host eine großartige Ressource sein. Sie haben möglicherweise andere Kunden mit ähnlichen Problemen gesehen, oder es kann eine rote Fahne auslösen, die dazu führt, dass eine Sicherheitslücke gepatcht wird.

Darüber hinaus bieten einige Hosts auch Sicherheitsscans und Malware-Bereinigung an. Während sie Sie wahrscheinlich ein bisschen Geld kosten werden, könnte es Ihnen helfen, ein wiederkehrendes Problem auszumerzen. Fragen Sie einfach nach Garantien und finden Sie heraus, was abgedeckt ist, bevor Sie die Investition tätigen.

Beachten Sie die gelernten Lektionen

Wenn alles gesagt und getan ist, besteht eine gute Chance, dass Sie ein oder zwei Dinge über WordPress-Sicherheit gelernt haben. Das sind gute Nachrichten, denn Sie können dieses neue Wissen anwenden, um Ihre Website sicher zu halten.

Beispielsweise könnte die Wiederherstellung von einer gehackten Website dazu führen, dass stärkere Passwörter verwendet oder Software häufiger aktualisiert wird. Möglicherweise implementieren Sie sogar Maßnahmen wie die Zwei-Faktor-Authentifizierung. Es kann Sie auch auf Servereinstellungen aufmerksam machen, die es einem böswilligen Akteur erschweren können, Schaden anzurichten.

Es geht darum, die Sicherheit so weit zu erhöhen, dass Sie zumindest die gängigsten Arten von Angriffen abwehren können. Darüber hinaus geht es darum, wachsam zu bleiben und Sicherheit niemals als selbstverständlich zu betrachten.