WordPress Website gehackt. Leitfaden zur Malware-Entfernung!

Geschätzte Lesedauer: 7 Minuten

WordPress Website gehackt und die Website ist nun mit Schadsoftware / Malware infiziert.

Wenn auf Ihrem Webhosting Schadsoftware / Malware entdeckt wurde und Ihre Website deshalb nicht mehr funktioniert, muss die Schadsoftware lokalisiert und bereinigt werden. Dieser Artikel soll Ihnen bei der Bereinigung helfen. Falls Sie Unterstützung brauchen, können Sie mich als Kunde aus der Schweiz als professionelle Hilfe bei der Reinigung Ihres Webhostings hinzuziehen.

Warum hat mein Webhoster meine Website gesperrt?

WordPress Website gehackt

Wenn Ihr Webhosting oder Ihre Website infiziert ist und die Infektion bei der regelmässigen Überprüfung durch die Malware-Scanner des Webhosters festgestellt wird, sperrt dieser häufig das Webhosting mit einem sogenannten Verzeichnisschutz. Sie kommen dann nur noch mit einem Benutzernamen und einem Passwort auf Ihre Website.

Das mag zunächst als überzogene Massnahme erscheinen, dient aber dazu, dass sich die Schadsoftware nicht weiter ausbreiten kann und dass sich Besucher der Website nicht infizieren. Ohne geeignete Massnahme werden sonst sogar Suchmaschinen wie Google Ihre Websiteeinträge mit entsprechendem Hinweis versehen, was der Website und dem möglicherweise dahinter stehenden Geschäft mehr schadet, als eine zeitweise Nichterreichbarkeit.

Wenn Ihre Website vom Webhoster gesperrt ist, dann klären Sie unbedingt zunächst mit dem Support des Webhoster, ob die Sperrung aufgrund von Malware / Schadsoftware gesperrt wurde, denn auch andere Gründe, wie zum Beispiel nicht gezahlte Rechnungen könnten die Ursache sein.

Handelt es sich um Malware / Schadsoftware, dann können Sie diesen Artikel weiter abarbeiten.

Computer überprüfen und Passwörter anpassen

In den meisten Fällen verschaffen sich Cyberkriminelle Zugang zu Ihrem Webhosting, indem sie Sicherheitslücken in veralteten CMS, Plug-ins und Designs ausnutzen. Manchmal gelingt es ihnen aber auch, über Ihren Computer die Zugangsdaten zum Webhosting auszuspionieren. Deshalb ist es wichtig, dass Sie zunächst alle Computer auf Viren und andere Schadsoftware kontrollieren, die Zugriff auf das Webhosting hatten.

  • Überprüfen Sie Ihren Computer mithilfe des eingebauten Antivirenprogramms auf Malware. Wenn Sie keinen Virenschutz installiert haben, finden Sie Angebote für solche Programme, auch kostenlose, wenn Sie nach den Stichwörtern „Antivirus“, „Malware-Scanner“ oder „Virenschutz“ mit einer Suchmaschine Ihrer Wahl suchen.
  • Ändern Sie alle Passwörter Ihres Webhostings (FTP, SSH, Backend des Webhostings usw.). Verwenden Sie sichere Passwörter.

Bereinigen Sie nicht mehr benötigte Verzeichnisse und Ordner der gehackten WordPress Website

Als Nächstes bereinigen Sie nicht mehr benötigte Verzeichnisse und Ordner, wodurch im besten Fall bereits infizierte Daten gelöscht werden.

  • Überprüfen Sie zunächst, ob es auf Ihrem Webhosting noch Installationen gibt, die gar nicht mehr aktiv sind. Machen Sie davon gegebenenfalls ein lokales Backup, falls die Daten noch als Archiv benötigt werden, und löschen Sie die Dateien, die zu der Installation auf Ihrem Webhosting gehören.
  • Wenn Sie ein CMS wie WordPress verwenden, überprüfen Sie alle Installationen, um zu sehen, ob noch Plugins oder Themes installiert sind, die nicht mehr verwendet werden oder veraltet sind, und entfernen Sie diese.
  • Aktualisieren Sie alle Installationen, inklusive Plugins und Themes, auf den neuesten Stand, um mögliche Sicherheitslücken zu schliessen.

Lokalisieren und Entfernen von Schadsoftware auf der gehackten WordPress-Website

Falls Ihr Webhosting noch nicht bereinigt ist, müssen Sie nun den Schadcode lokalisieren und entfernen. Gehen Sie dazu so vor:

  • Überprüfen Sie Ihr Webhosting auf neue, umbenannte oder auffällige Dateien und Verzeichnisse innerhalb des Root-Ordners der Website. Meist heisst der Root-Ordner „public_html“. Vergleichen Sie verdächtige Dateien mit einem Backup.
  • Wenn Sie nichts Auffälliges finden, laden Sie alle Dateien und Verzeichnisse Ihrer Installationen per FTP, SSH oder über den Dateimanager auf den lokalen Computer.
  • Überprüfen Sie diese heruntergeladenen Dateien auf Malware mit einer entsprechenden Software. Zum Prüfen von einzelnen Dateien können Sie den Online-Scanner virustotal.com verwenden. Um alle Dateien und Verzeichnisse auf einmal zu prüfen, nutzen Sie den Malware-Scanner Ihres Gerätes. Wenn Sie keinen installiert haben, finden Sie entsprechende Angebote für solche Programme, indem Sie mit einer Sucmaschine Ihrer Wahl nach den Stichwörtern „Antivirenprogramm“, „Malware-Scanner“ oder „Virenschutz“ suchen.
  • Wenn Sie die infizierten Dateien gefunden haben, wissen Sie nun auch, welche Installationen betroffen sind. Sie können die Daten aus einem Backup einspielen und danach Ihr CMS und die installierten Plugins erneut auf die neueste Version aktualisieren, wie im ersten Abschnitt beschrieben.

Beachten Sie jedoch, dass bei einer partiellen Bereinigung nicht auffindbare Malware-Komponenten im Hintergrund ein Schlupfloch für Schadsoftware öffnen können. Aus diesem Grund ist es meist besser, immer die Installation komplett neu aufzusetzen.

Vollständige Neuinstallation von WordPress bei gehackter WordPress Website

Die sicherste Methode zur vollständigen Bereinigung besteht darin, alle auf Ihrem Webhosting befindlichen Websites vollständig neu zu installieren. Bei WordPress funktioniert das so:

  • Exportieren Sie alle relevanten Daten der Website. Gehen Sie dazu im WordPress-Dashboard auf „Werkzeuge“ > „Export“ und wählen Sie „Alle Inhalte“ an. Laden Sie die Datei herunter.
  • Sichern Sie das Verzeichnis „wp-content/uploads“ im Root-Verzeichnis Ihrer Website auf Ihren lokalen Computer per FTP, SSH oder über den Dateimanager.
  • Prüfen Sie den gesamten Inhalt des Ordners „wp-content/uploads“ auf verdächtige .PHP-Dateien und löschen Sie diese im Zweifelsfall, bevor Sie sie erneut hochladen. Verwenden Sie dazu auch wieder einen gängigen Antivirenscanner. Im genannten Verzeichnis sollten keine Dateien vom Typ .PHP vorhanden sein, sondern nur Daten, die Sie über WordPress hochgeladen haben. In der Regel handelt es sich dabei um Bilder, Videos oder Audiodateien.
  • Notieren Sie sich, welche Plugins und Themes installiert waren sowie eventuell nötige benutzerdefinierte Einstellungen.
  • Löschen Sie alle Websitedaten per FTP, SSH oder über den Dateimanager. Löschen Sie auch die Datenbank im Backend Ihres Webhosters (meist unter einem Punkt Datenbanken zu finden).
  • Installieren Sie WordPress, Themes und Plugins erneut und konfigurieren Sie diese wie gewünscht. Wichtig dabei: Installieren Sie alle benötigten Komponenten in den neuesten Versionen der Hersteller.
  • Laden Sie nun die Daten aus dem bereinigten Verzeichnis „wp-content/uploads“ wieder per FTP, SSH oder über den Dateimanager zurück in das Verzeichnis auf dem Server.
  • Abschliessend können Sie die in Schritt 1 erstellte XML-Datei wieder importieren. Gehen Sie dazu im WordPress-Dashboard auf „Werkzeuge“ > „Import“. Klicken Sie bei WordPress auf „Jetzt installieren“. Anschliessend ändert sich der Link auf „Importer ausführen“. Klicken Sie auf „Importer ausführen“, wählen Sie die Export-Datei aus und importieren Sie diese wieder.

Wie werden Websites gehackt?

Um zu verstehen, wie eine Website gehackt wird, lohnt es sich, die Infektionswege wenigstens grundlegend zu kennen.

Infektion durch kompromittiertes Passwort V 1.0

Um vor diesem Infektionsweg geschützt zu sein, untersuchen Sie Ihren Computer regelmässig auf Viren und sorgen Sie dafür, dass Ihr Antivirus-Programm stets auf dem neuesten Stand ist. Verwenden Sie vor allem nicht für verschiedene Online-Dienste das gleiche Passwort. Es kann passieren, dass bei einem Dienst die Passwort-Datenbanken nicht richtig absichert sind und diese gehackt werden. Ist dies der Fall, versuchen Cyberkriminelle umgehend die Kombination aus Benutzername und Passwort auch automatisiert für andere Dienste.

Viele Viren und Würmer beinhalten auch sogenannte Keylogger. Dies ist Software, die Passwörter aufzeichnet und an den Server des Angreifers sendet. Dies könnte selbstverständlich auch Ihr FTP-Passwort oder das Passwort Ihres CMS betreffen.

Im Falle einer Infektion müssen Sie sicherstellen, dass Ihr lokaler PC nicht infiziert ist und sämtliche Passwörter an die Hacker sendet. Vernachlässigen Sie diesen Infektionsweg nicht. Es wäre bedauerlich, wenn Sie zuerst Ihre Webseite bereinigen, neue Passwörter erstellen und Ihre Webseite unmittelbar wieder infiziert wird.

Infektion durch kompromittiertes Passwort v 2.0

Verwenden Sie gegen diesen Infektionsweg stets unterschiedliche und komplexe Passwörter.

Es existieren sogenannte Botnets. Das sind virtuelle Netzwerke von infizierten Computern, die über das Internet vernetzt sind. Sie werden unter anderem von Hackern dazu verwendet, CMS-Passwörter (insbesondere WordPress) durch gezielte Passwortversuche zu knacken. Da die Anfragen von verschiedenen IPs kommen, ist es nicht einfach, diese abzuwehren.

In jedem Fall ist es ratsam, nach einer Infektion alle Passwörter zu ändern.

Infektion durch Injection Flaws

Injection Flaws treten auf, wenn zum Beispiel Formulare übermittelten Programmcode ohne Kontrolle an das WordPress übergeben. Bei SQL-Injections wird SQL-Code übergeben, um an Datenbankinhalte zu gelangen, die ein ’normaler Benutzer‘ nicht sehen sollte. SQL ist eine Programmiersprache, die zur Durchführung von Datenbankabfragen verwendet wird. Bei Webscript Injections versucht ein Angreifer, dem Webserver schädlichen Code (z.B. PHP) zur Ausführung unterzujubeln.

Daher sollten Sie Ihr CMS stets aktuell halten und nur Plugins aus sicheren Quellen verwenden.

Infektion durch Cross-Site-Scripting

Halten Sie Ihr CMS auf dem neuesten Stand und verwenden Sie nur Plugins aus sicheren Quellen.

Bei Cross-Site-Scripting wird einer Webanwendung fehlerhafter Code übergeben. Ohne entsprechende Sicherheitsannahmen wird dieser dann ausgeführt. Beispielsweise könnte man einem Suchformular Javascript-Code übergeben.

Auf YouTube gibt es zahlreiche Tutorials zu diesem Thema. Die Zeiten, in denen kleine Seiten von Hackerangriffen verschont bleiben, sind definitiv vorbei.

Infektion durch Man-in-the-Middle-Angriff

Schützen Sie Ihre Webseite möglichst mit SSL ab, das verbessert auch Ihr Ranking, also Ihre Position in den Suchergebnissen einer Suchmaschine wie Google.

Bei der Man-in-the-Middle-Attacke versucht der Angreifer, die Kommunikation zwischen zwei Parteien abzuhören oder zu manipulieren.

Website für die Zukunft absichern

Nach einer Infektion so weiterzumachen, wie bisher, macht keinen Sinn. Daher gilt es zu überprüfen, wie die betroffene Website sicherer gemacht werden kann.

Verfügbare Updates regelmässig einspielen

Überprüfen Sie Ihre Internetpräsenz regelmässig auf veraltete Software. Aktualisieren Sie alles, was aktualisiert werden kann. Üblicherweise ist das CMS der erste Anlaufpunkt. Kontrollieren Sie, ob es eine neuere Version gibt und installieren Sie diese. Überprüfen Sie dies in Zukunft regelmässig, auch ohne einen Befall der Website! Am besten aktivieren Sie die automatische Updatefunktion von WordPress.

Zusätzliche Backups anlegen

Viele Webhosting-Unternehmen führen zwar Backups Ihrer Kundenwebsites durch, oft aber nur wenige Tage zurück. Mit Plugins, wie zum Beispiel Updraft Plus können Sie selbst Updates anlegen und so im Falle eines Hacks auch eine ältere Version wieder einspielen. Beschränken Sie sich aber nicht nur hierauf, denn sonst wird Ihre Website sofort wieder infiziert sein, da solche Angriffe praktisch immer automatisiert laufen. Wenn Sie eine ältere, nicht infizierte Version einspielen, dann sichern Sie diese umgehend durch die in diesem Artikel beschriebenen weiteren Massnahmen ab.

Sicherheits-Plugins installieren

Mit sogenannten Security-Plugins können Sie viele Risiken für einen WordPress Hack minimieren und Ihre Website besser schützen. Es schützt Ihre Website vor Malware, Brute-Force-Angriffen und Hacking-Versuchen. Es ist zu beachten, dass Sie in der Regel nur ein Security-Plugin verwenden sollten, da mehrere Plugins gleichzeitig zu Konflikten führen können.

Zwei beliebte Security-Plugins sind Limit Login Attempts Reloaded und Cerber. Limit Login Attempts beschränkt die Anzahl der Anmeldeversuche, die von einer bestimmten IP-Adresse aus gemacht werden können. Dies ist eine effektive Massnahme gegen Brute-Force-Angriffe, bei denen Hacker versuchen, durch wiederholte Anmeldeversuche Ihr Passwort zu erraten.

Cerber ist ein umfangreicheres Plugin, das eine Vielzahl von Sicherheitsfunktionen bietet. Es schützt Ihre Website nicht nur vor Brute-Force-Angriffen, sondern auch vor Malware, Spam und anderen Arten von Bedrohungen. Darüber hinaus bietet Cerber eine Reihe von zusätzlichen Funktionen wie die Überwachung von Dateiänderungen und eine Zwei-Faktor-Authentifizierung.

Beide Plugins sind einfach zu installieren und relativ einfach zu konfigurieren. Ausserdem gibt es viele Anleitungen und Tutorials online, die Ihnen helfen können, das Beste aus diesen Plugins herauszuholen. Es ist jedoch wichtig zu beachten, dass kein Plugin eine 100%ige Sicherheit garantieren kann. Es ist daher entscheidend, alle obigen „Sicherheits best Practices „zu befolgen, wie zum Beispiel starke, einzigartige Passwörter zu verwenden, Ihre WordPress-Installation regelmässig zu aktualisieren und ein zuverlässiges Backup-System zu verwenden.

Auch bieten viele Hosting-Unternehmen integrierte Sicherheitsfunktionen an, wie z.B. Firewalls und regelmässige Malware-Scans.

Hinweis

Ein Teil der Artikel enthält Affiliate-Links. Wenn Sie auf einen dieser Links klicken und darüber einkaufen, erhalte ich von Ihrem Einkauf eine kleine Provision. Für Sie verändert sich der Preis nicht. Besten Dank. Sie unterstützen damit die Arbeit an dieser Website.

Hier schreibt: Dipl-Ing. Ingenieurinformatik (FH). Seit über 40 Jahren in der IT tätig. Ihr PC-Supporter, EDV Profi, Computer Servicetechniker für den Grossraum Basel mit fairen Preisen. Auch für Privat. Ausserdem Fachmann für Ihre WordPress-Website und Gründer des bekannten Computer-YouTube-Kanals it-zeugs.de.