WordPress Website von schadhafter Software befallen! So befreist Du sie!

Das Schlimmste, was einem Website-Inhaber wohl passieren kann, ist der Befall durch Malware oder andere schadhafte Software. Entweder erscheint plötzlich ein Pop-up-Fenster mit typischem Inhalt (z.B. unseriöse Gewinne) oder man wird vom Hosting-Anbieter informiert, dass alle Webpräsenzen aufgrund einer Phishing Mail gesperrt sind und erst dann wieder freigeschaltet werden, wenn das Problem behoben ist. Der blanke Horror, oder? Aber Du bist nicht alleine! Täglich werden Websites, die Schwachstellen besitzen angegriffen! Deshalb findest Du hier 10 Tipps, um dieses Problem zu beseitigen und wie Du es den Hackern in Zukunft schwieriger machen kannst.

Enttarnt! Deine Website wurde befallen!

Besonders für Einsteiger ist es nicht einfach festzustellen, ob die eigene Webpräsenz befallen ist oder nicht, denn es gibt unterschiedlichste Anzeichen, die anfangs absolut nicht einfach zu unterscheiden sind. Deshalb findest Du hier typische Anzeichen, die darauf hindeuten könnten:

  • Das Aussehen der Startseite hat sich stark verändert
  • Es dauert bemerkenswert lange, bis der vollständige Inhalt der Seite erscheint
  • Es erscheint ein Spam Pop-up auf den Seiten
  • Der Besucherverkehr wurde anhaltend deutlich schlechter
  • Dateien wurden verändert, hinzugefügt oder gelöscht
  • Es befinden sich plötzlich neue Benutzer
  • Der Administrator wurde geändert

Nun möchte ich auf die vorhin genannten Anzeichen genauer eingehen, damit Du umso schneller entgegenwirken und Deine Website vor Ausbreitung schützen kannst.

Das Aussehen der Startseite hat sich stark verändert

Typisch bei den Hackern ist es auf Anhieb aufzufallen und Aufmerksamkeit zu erlangen. Deshalb ist die Startseite hierfür das beste Ziel, um ihre schmierige Visitenkarte zu hinterlassen! Diese Botschaft sieht dann so aus: Veränderte Texte und Bilder, hinzugefügter Content (z.B. unpassende politische Texte, Inhalt über unseriöse Gewinne). Also je auffälliger die Änderungen sind, desto besser ist das Werk des Hackers! 

Deshalb ein Tipp vorab: Überprüfe als Erstes die Startseite BEVOR Du Dich einloggst!

Es erscheint ein Spam Pop-up auf den Seiten

Ebenfalls sehr auffällig ist ein sogenanntes Pop-up (kleine anklickbare Fenster), das beim Aufruf der Seite plötzlich auftaucht. Erstens ist das Aussehen dieses Pop-ups sehr auffällig und zweites hat dieses kleine Fenster einen Nachteil in Bezug auf den Traffic (Besucherverkehr), denn es wird versucht, dass die Leser dadurch auf eine andere Homepage weitergeleitet werden. Wobei sieht diese Präsenz ebenfalls so unseriös aus, als wie das Pop-up-Fenster. Der Sinn dahinter ist, dass über "Click-Fraud" (=Klick-Betrug) versucht wird auf betrügerischer Weise Einnahmen zu ergaunern. Sehr hinterlistig ist es, wenn diese Pop-ups nicht für alle angemeldeten Benutzer sichtbar sind. Denn dies kann durch eine Einstellung umgangen werden. Darum solltest Du Dir Deine Webpräsenz regelmäßig bei einem Internet-Browser ansehen, wo Du Dich eben nicht einloggst.

Es dauert bemerkenswert lange, bis der vollständige Inhalt der Seite erscheint

Wenn Du extrem lange warten musst, bis eine Deiner Seiten vollständig erscheint (im Vergleich könntest Du Dir währenddessen einen Kaffee machen), dann ist es durchaus möglich, dass sich bereits schadhafte Software im System befindet. Doch warum dauert es so lange? Die Hacker versuchen wiederholt den Benutzernamen und das Passwort herauszufinden (=Brute-Force-Attacken). Und genau dadurch wird der Server enorm belastet bis der Inhalt der Seiten auftaucht. Klassisch hierfür sind hierfür verwendete Scripte (z.B. Kryptowährung-Mining), die den Rechner in die Höhe treiben. Auch sogenannte DoS (Denial-of-Service) Angriffe können für das Hinauszögern sorgen.

Der Besucherverkehr wurde deutlich schlechter

Werden Deine Seiten eigentlich täglich gut besucht? Du besitzt etwa über ein Plugin, das statistisch den Traffic repräsentiert, worin ein deutlicher Rückgang erkennbar ist? Wenn dies der Fall ist, kann es durchaus damit zu tun haben, dass Deine Website gehackt wurde. Entweder gelingt dem Hacker die Weiterleitung auf die unseriöse Website beispielsweise durch ein Pop-up-Fenster oder Google wurde bereits davon berichtet und setzt deshalb die Website bis zur Behebung des Problems auf eine sogenannte schwarze Liste. Hilfreich und vor allem informativ ist auch die kostenlose Registrierung bei Google Search Console, wo Du eben die Inhaberschaft Deiner Website anmeldest und bestätigst. Es können Dir unter anderem Benachrichtigungen zugesendet werden, worin Du von Google informiert wirst, wenn sich schadhafte Software in Deinem System befindet. 

Es befinden sich plötzlich neue Benutzer

Ebenfalls ist es sehr auffällig, wenn sich plötzlich mehrere neue Administratoren in Deiner Webpräsenz befinden. Dies geschieht beispielsweise, wenn sich ein Hacker Zugang durch einem schwachen Passwort verschaffen konnte und somit mehrere neue Benutzer anlegte. Eigentlich führt dies nicht zu einem derart großen Problem, denn diese ungebetenen Gäste können sehr einfach mit wenigen Klicks gelöscht werden, aber ein Hacker mit administrativen Entscheidungsrechten hat durchaus mehr Möglichkeiten, die eine Website enorm schaden können. Verheerend sind die Auswirkungen, wenn einige wichtige Seiten und Beiträge verschwinden oder der Inhalt durch diese starken Änderungen unnutzbar ist, sowie wenn diverse CSS Codes das Design ruinieren. Deshalb rate ich Dir, dass Du regelmäßig nach etwaige registrierten Benutzern Ausschau hältst und diese bei Verdacht sofort löscht. Des Weiteren besteht die Option, dass schadhafte Software durch diverse veraltete Plugins eingeschleust wird, um das System zu schaden. Darum sollten auch die Plugins und Themes regelmäßig aktualisiert werden.

Der Administrator wurde geändert

Sehr auffällig ist es auch, wenn man sich als Administrator plötzlich, auch nach einem Reset des Passwortes nicht mehr anmelden kann. Denn somit ist es nicht auszuschließen, dass sich ein Hacker zum Administrator ernannte und dieser Dein Benutzerkonto gar gelöscht hat. Somit sind all Deine Rechte verloren gegangen und der Hacker hat ab diesen Zeitpunkt ein leichtes Spiel und kann die Webpräsenz zu seinen Gunsten verwenden. Deshalb solltest Du vorab darauf achten, dass bei all Deinen Websites ein starkes eigenständiges Passwort vorhanden ist. Dank den sozialen Netzwerken ist es recht einfach zu elementaren Passwörtern zu gelangen. Es besteht sogar die Möglichkeit sich ein Passwort zu kaufen. Bei "Have I Been Pwned" könntest Du herausfinden, ob jemand versucht hat sich in Dein System Zugriff zu erhalten.

Dateien wurden verändert, hinzugefügt oder gelöscht

Stark auffallend ist, wenn sich Dateien (z.B. Plugins, Themes, Bilder...) befinden, die Du mit Sicherheit nicht eingefügt hast. Da man das gesamte System nicht so einfach überwachen kann wäre es sinnvoll die Arbeit einem Plugin zu übergeben. Recht verlässlich für diesen Dienst wäre: Website File Changes Monitor, das Dich sofort über gravierende Veränderungen informiert. Zudem werden die Dateien regelmäßig (je nach Einstellung) automatisch gescannt. Hierfür können recht einfach diverse Anpassungen in den Plugin-Einstellungen getroffen werden (z.B. an welchen Tagen und zu welchem Zeitpunkt ein Scan durchgeführt wird.). 

Website befallen? Das hat jetzt ein Ende!

Nun weißt Du einiges, wie es aussehen kann, wenn sich etwaige schadhafte Software in Deinem Website-System befindet. Zudem hast Du einige passende Tipps erhalten, um diese Vorfälle auch zukünftig zu verhindern. Jetzt erfährst Du, wie man Malware, Spyware & Co. entfernen kann und zum Schluss welche Sicherungen für die Zukunft getroffen werden sollen.

Ein Backup extern erstellen

Wenn Deine Webpräsenz befallen ist, solltest Du sämtliche Tipps (siehe oben) umsetzen und dann per FTP ein Backup erstellen, indem Du sämtliche Dateien & Ordner auf Deine Festplatte holst. Notwendig ist der Schritt, weil die wp-config.php Datei aus dem Stammverzeichnis benötigt wird. Für die Bekämpfung werden eventuell auch noch andere Dateien sowie Ordner benötigt. Zudem solltest Du auch Deine Datenbank als SQL-Datei in den Explorer herunterladen, um etwaige Änderungen durchzuführen. Darin befinden sich die wichtigsten Informationen von der Website. Zur Datenbank kommst Du nur über das Customer-Control-Panel (CCP=Mitgliederbereich beim Hosting-Anbieter). Je nach Anbieter ist es unterschiedlich, wie Du zur Übersicht aller Datenbanken kommst.

Nehme die Website offline und überprüfe den momentanen Stand

Dann solltest Du die Website sofort offline nehmen, indem Du in die function.php Datei Deines aktivierten Themes oder Child-Themes einsteigst und diesen Code einfügst:

// Activate WordPress Maintenance Mode
function wp_mighty_maintenance() {
    if (!current_user_can('edit_themes') || ) {
        wp_die('<h1>Wir bearbeiten gerade diese Seite.</h1><br />Solange die Arbeiten andauern, ist diese Seite leider inaktiv. Besuche uns bald wieder!');
   }
}
add_action('get_header', 'wp_mighty_maintenance');

Anschließend sollte dieser Code in die .htaccess Datei eingefügt werden:

RewriteEngine On
RewriteBase /
RewriteCond %{REMOTE_ADDR} !^123\456\789 (=IP-Adresse)
RewriteCond %{REQUEST_URI}!^offline html [R=307,L]

Danach wäre der nächste Schritt, dass Du eine Liste zu all den befindlichen Plugins & Themes gemacht wird. Diese Dateien befinden sich bei FTP jeweils im Ordner "WP-Content".

*** Diese Schritte sind nur notwendig, wenn Du Dich nicht mehr als Administrator einloggen kannst.

Alles "Alte" vom Server auf die Festplatte übertragen

Der nächste Schritt ist etwas gewagt, denn jetzt sollten sämtliche Dateien & Ordner vom Server (in FileZilla = der rechte Bereich) gelöscht und auf die Festplatte (in FileZilla = der linke Bereich) kopiert werden. Je nach Website-Größe kann es eine Weile dauern, bis alles aus dem Server entfernt wird. Nach Beendigung des Verlaufs bist Du den Virus los!

Oder, Du holst Dir ein Backup aus der Festplatte von früheren Zeiten, wo noch alles in Ordnung war und Du überschreibst alle im Server befindlichen Dateien.

Dateien durchchecken - Sicherheitslücke finden

Danach sollten all die im Explorer befindlichen Dateien via eines lokalen Viren-Scanners (z.B. Kaspersky, Avast, Avira...) untersucht werden.

(Sauberes) Backup wiederherstellen

Sofern Du kein passendes Backup im Explorer gefunden hast, hole Dir alle untersuchten Dateien und Ordner wieder in den Server-Bereich. Achte hierbei unbedingt auf die richtige Struktur! Gemeint damit ist, dass sich in einem Ordner jeweils die richtigen Dateien befinden. Ansonsten kann es sein, dass die Website nicht mehr aufrufbar ist.

Die Datenbank überprüfen und aktualisieren

Danach sollte die Datenbank überprüft werden. Dies machst Du, indem Du in das CCP einsteigst und in der Übersicht bei der betroffenen Datenbank auf "Überprüfen und Reparieren" klickst. Gegebenenfalls muss die Datenbank auch aktualisiert werden. Füge den Link /wp-admin/upgrade.php nach Deiner Domain in der Browser-Suchleiste ein und klicke dann auf "Enter". Auf dieser Seite können etwaige Änderungen durchgeführt werden.

Backend-Bereich überprüfen

Ab jetzt ist es möglich, sich problemlos im Backend-Bereich einzuloggen. Überprüfe, ob alle Plugins und das zuletzt installierte Theme vorhanden sind. Wenn nicht, dann hole die fehlenden Installationen nach. Falls ein kostenpflichtiges Plugin oder Theme fehlen, kann es durchaus möglich sein, dass sich diese Dateien in einem Festplatten-Ordner befinden.

Überprüfung via Virenscanner

Zur Sicherheit solltest Du einen Virenscan nochmals durchführen, aber dieses Mal via eines WordPress-Plugins. Hierfür empfehle ich Dir das Plugin "MalCure Security", das auch über eine verlässliche Firewall verfügt. Währenddessen kannst Du all Deine Seiten und Beiträge in Hinsicht der Bildanzeige kontrollieren. Sollten Kontaktformulare vorhanden sein, dann wäre es sinnvoll diese zu überprüfen. Achte hierbei darauf, ob eine Mail überhaupt gesendet werden kann. Wenn nicht, schau in den Plugin-Einstellungen woran es liegen kann.

Ändere sämtliche Passwörter

Ein weiterer wichtiger Schritt ist, dass Du sämtliche Passwörter änderst:

  • WordPress Login Passwort
  • FTP-Passwort
  • Hosting-Login Passwort
  • Datenbank Passwort

Speichere keinesfalls die Daten online. Denn dadurch kann es wieder möglich sein diese Daten herauszufinden!

Sichere Deine Website ab

Damit zukünftig keine Probleme in der Art vorkommen, ist es enorm wichtig, dass Du Deine WordPress Website absicherst. Hierfür sind diese Schritte notwendig:

  • Erstelle einen neuen Account und übertrage alle Daten
  • Sichere den Login-Bereich ab (z.B. mit dem Plugin: WPS Hide Login)
  • Führe regelmäßig Virenscans & Backups durch
  • SSL-Verschlüsselung aktivieren.
Fazit:

Wenn Deine Website betroffen ist, hoffe ich, dass ich Dir mit diesem Beitrag helfen konnte. Sollten es dennoch Probleme geben, klicke auf den Link: Meine Website ist befallen. Bei Fragen sende mir eine E-Mail: support@wordpress-academy.co.at. Gerne werde ich Dir weiterhelfen.