Es ist ein Albtraum für jeden Website-Besitzer: Ihre WordPress-Website wurde gehackt. Vielleicht sehen Sie seltsame Weiterleitungen, Spam-Links in Ihrem Content, oder Google hat Ihre Website als unsicher markiert. In diesem Artikel erklären wir, welche Schritte Sie unternehmen müssen, um Ihre Website wiederherzustellen und zukünftige Hacks zu verhindern.

Schritt 1: Bleiben Sie ruhig und dokumentieren Sie

Es ist verständlich, dass Sie in Panik geraten, aber überstürzte Aktionen können die Situation verschlimmern. Nehmen Sie sich einen Moment Zeit, um zu dokumentieren, was Sie sehen:

  • Welches seltsame Verhalten zeigt Ihre Website genau?
  • Wann haben Sie es zum ersten Mal bemerkt?
  • Haben Sie kürzlich etwas geändert (Plugins, Theme, Passwörter)?
  • Machen Sie Screenshots der Probleme für spätere Analyse.

Schritt 2: Website vorübergehend offline nehmen

Um weiteren Schaden zu verhindern und Ihre Besucher zu schützen, ist es ratsam, Ihre Website vorübergehend offline zu nehmen. Dies können Sie auf verschiedene Weisen tun:

Via DirectAdmin

Loggen Sie sich in DirectAdmin ein und deaktivieren Sie Ihre Website vorübergehend über Domain Setup. Sie können auch eine Wartungsseite anstelle des gehackten Inhalts anzeigen.

Via .htaccess

Fügen Sie Regeln zu Ihrer .htaccess-Datei hinzu, um alle Besucher (außer Ihrer IP) zu blockieren.

Schritt 3: Backup des aktuellen Zustands erstellen

Bevor Sie mit dem Aufräumen beginnen, erstellen Sie ein vollständiges Backup Ihrer Website im aktuellen (gehackten) Zustand. Dies scheint widersprüchlich, aber dieses Backup kann wertvoll sein, um später zu analysieren, wie der Hack passiert ist.

Verwenden Sie die Backup-Funktion in DirectAdmin oder ein Tool wie UpdraftPlus, um ein vollständiges Backup von Dateien und Datenbank zu erstellen.

Schritt 4: Auf Malware scannen

Es gibt verschiedene Tools, um Ihre Website auf Malware und infizierte Dateien zu scannen:

Wordfence Security

Dies ist das umfassendste Sicherheitsplugin für WordPress. Installieren Sie Wordfence und führen Sie einen vollständigen Scan durch. Das Plugin identifiziert geänderte WordPress-Core-Dateien, verdächtigen Code in Themes und Plugins und bekannte Malware-Muster. Lesen Sie unsere Anleitung zur Installation und Konfiguration von Wordfence.

Sucuri SiteCheck

Sucuri bietet einen kostenlosen Online-Scanner auf sitecheck.sucuri.net. Dieser scannt Ihre Website von außen auf bekannte Malware, Blacklist-Status und verdächtigen Code.

Theory7 Patchman

Als Theory7-Kunde profitieren Sie von Patchman, unserem automatischen Malware-Scanner, der bekannte Schwachstellen erkennt und repariert. Lesen Sie mehr über Patchman und wie es Sie schützt.

Schritt 5: Infizierte Dateien bereinigen

Nach dem Scan wissen Sie, welche Dateien infiziert sind. Nun beginnt die Aufräumarbeit:

WordPress-Core-Dateien ersetzen

Laden Sie eine frische Kopie von WordPress von wordpress.org herunter und ersetzen Sie die wp-admin und wp-includes Ordner vollständig. Lassen Sie den wp-content Ordner noch unberührt.

Plugins und Themes überprüfen

Entfernen Sie alle Plugins und Themes, die Sie nicht aktiv verwenden. Für die Plugins und Themes, die Sie verwenden:

  • Entfernen Sie sie vollständig aus wp-content
  • Laden Sie frische Versionen von wordpress.org oder der ursprünglichen Quelle herunter
  • Installieren Sie sie neu

Uploads-Ordner durchsuchen

Hacker platzieren oft PHP-Dateien im Uploads-Ordner. Dieser Ordner sollte nur Bilder und Dokumente enthalten. Suchen Sie nach .php-Dateien und entfernen Sie jede PHP-Datei, die Sie finden.

Datenbank überprüfen

Manche Hacks fügen bösartigen Code zu Ihrer Datenbank hinzu, besonders in Posts und Optionen. Überprüfen Sie die wp_options-Tabelle auf verdächtige Einträge und suchen Sie in Posts nach Spam-Links oder seltsamen Skripten.

Schritt 6: Passwörter ändern

Ändern Sie alle Passwörter, die mit Ihrer Website zu tun haben:

  • WordPress Admin-Konten (alle Benutzer!)
  • FTP-Passwort über DirectAdmin
  • Datenbank-Passwort (vergessen Sie nicht, wp-config.php anzupassen)
  • DirectAdmin-Passwort
  • MyTheory7-Passwort

Verwenden Sie starke, eindeutige Passwörter von mindestens 16 Zeichen mit Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen.

Schritt 7: Sicherheitsmaßnahmen ergreifen

Nachdem Ihre Website bereinigt ist, verhindern Sie einen neuen Hack mit diesen Maßnahmen:

Alles aktualisieren

Aktualisieren Sie WordPress, alle Plugins und Ihr Theme auf die neuesten Versionen. Veraltete Software ist die Hauptursache für Hacks.

Sicherheitsplugin installieren

Installieren Sie Wordfence und konfigurieren Sie die Firewall. Aktivieren Sie den Brute-Force-Schutz und richten Sie Zwei-Faktor-Authentifizierung für alle Admin-Konten ein.

Security Keys erneuern

Generieren Sie neue WordPress Security Keys über die WordPress-API und ersetzen Sie sie in wp-config.php. Dies loggt alle aktuellen Sitzungen aus.

Dateiberechtigungen überprüfen

Stellen Sie sicher, dass Ihre Dateiberechtigungen korrekt eingestellt sind:

  • Ordner: 755
  • Dateien: 644
  • wp-config.php: 600

Schritt 8: Google Search Console überprüfen

Wenn Google Ihre Website als gehackt markiert hat, müssen Sie nach dem Bereinigen eine Überprüfung über Google Search Console anfordern. Loggen Sie sich ein, gehen Sie zu Sicherheitsprobleme und klicken Sie auf "Überprüfung anfordern", nachdem Sie alle Probleme behoben haben.

Prävention für die Zukunft

Vorbeugen ist besser als heilen. Ergreifen Sie diese Maßnahmen, um zukünftige Hacks zu verhindern:

  • Erstellen Sie regelmäßig Backups mit UpdraftPlus oder Solid Backups
  • Halten Sie WordPress, Plugins und Themes immer aktuell
  • Verwenden Sie starke Passwörter und Zwei-Faktor-Authentifizierung
  • Entfernen Sie unbenutzte Plugins und Themes
  • Installieren Sie nur Plugins und Themes aus vertrauenswürdigen Quellen
  • Begrenzen Sie die Anzahl der Admin-Konten

Bei Theory7 nehmen wir Sicherheit ernst. Unsere Server führen automatische Malware-Scans mit Patchman durch, und unser Support-Team steht bereit, um Ihnen bei Sicherheitsvorfällen zu helfen. Kontaktieren Sie uns gerne, wenn Sie Hilfe bei der Wiederherstellung Ihrer gehackten Website benötigen.