Zeigt Ihre WordPress-Website Sicherheitswarnungen an? Ist über den Domainnamen kein Zugriff mehr möglich? Wurde der Inhalt verändert, oder können Sie nicht mehr auf die WordPress-Konsole zugreifen? Wie dem auch sei – Sie haben das Gefühl, dass Ihre Website kompromittiert wurde.
In diesem Artikel verraten wir Ihnen, wie eine gehackte WordPress-Website gesäubert und repariert wird, damit sie wieder funktioniert. Ausserdem geben wir Ihnen einige Tipps zur Verhinderung solcher Probleme.
Woran merke ich, dass meine WordPress-Website gehackt wurde?
Nachfolgend die wichtigsten Symptome, die verraten, ob eine WordPress-Website von einer Person oder einer Schadsoftware manipuliert wurde:
- Browser und/oder Suchmaschinen wie Google zeigen einen Warnhinweis an, wenn Sie auf Ihre Website zugreifen.
- Ihr Hosting-Anbieter hat Ihnen eine verdächtige Aktivität gemeldet oder Ihre Website aus Sicherheitsgründen einer Wartung unterzogen.
- Ihr Domainname leitet zu einer anderen Website weiter.
- Der Inhalt Ihrer Seiten wurde verändert (insbesondere Links).
- Sie stellen fest, dass unbekannte oder verdächtige Nutzer*innen in Ihre WordPress-Konsole eingedrungen sind.
- Sie bemerken anormale Einträge in den Logs Ihrer Website oder deren Datenbank.
- Sie können nicht mehr auf Ihre Website oder die WordPress-Konsole zugreifen.
- Ihre Website ist langsamer als sonst oder scheint nicht zu reagieren.
- Ihr Sicherheits-Plug-in zeigt ungewohnte Warnungen an.
Wie wird eine gehackte WordPress-Website repariert?
So oder so muss gehandelt werden. Nachfolgend sind die Massnahmen aufgeführt, mit denen sich wieder der ursprüngliche Zustand herstellen lässt.
💡 Kann mein Hosting-Anbieter meine Website für mich reparieren? Ein Hosting-Anbieter greift in der Regel nicht in den Inhalt eines Hostings oder die Entwicklung einer Website ein. Seine Aufgabe besteht darin, die Verfügbarkeit, Leistung und Sicherheit Ihres Servers zu gewährleisten und Sie bei der Nutzung Ihres Webhostings zu unterstützen (z.B. bei der Aktualisierung der PHP-Version Ihrer Websites oder dem Virenscan einer Website). Folglich ist die Erstellung oder Wartung einer Website ein völlig anderer Vorgang. Wenn Sie bei der Reparatur einer gehackten WordPress-Website Hilfe benötigen, sollten Sie am besten einen Profi hinzuziehen. Im Bedarfsfall können Sie über Infomaniak kostenlos auf eine Ausschreibungsplattform zugreifen, die Sie kostenlos mit anerkannten Fachleuten in Kontakt bringt.
Die beste Möglichkeit: Stellen Sie Ihre Website mit einem makellosen Backup wieder her.
Eine gehackte Website lässt sich am schnellsten und sichersten über ein makelloses Backup wiederherstellen.
- Bei Infomaniak werden Websites täglich gesichert, und Sie können den Stand der letzten sieben Tage automatisch wiederherstellen. Weitere Informationen finden Sie in diesem Leitfaden.
- Die meisten Hosting-Anbieter sichern Websites automatisch für einige Tage. Handeln Sie daher so schnell wie möglich, um die Wahrscheinlichkeit zu erhöhen, ein makelloses Backup Ihrer Website abrufen zu können.
💡 Sie haben gar keine automatische Sicherung Ihrer Website? Wir raten Ihnen unbedingt dazu, eine solche einzurichten, sobald alles wieder ordnungsgemäss funktioniert. Infomaniak ermöglicht Ihnen mit Swiss Backup und Acronis, die Sicherung Ihrer Website über FTP zu automatisieren – wo auch immer sie gehostet wird. Sie können Swiss Backup auch mit der Erweiterung UpdraftPlus über das S3-Protokoll nutzen.
Schritt 1: Versetzen Sie Ihre Website in den Wartungsmodus.
Zunächst geht es darum, den Ruf Ihrer Website und die Sicherheit Ihrer Besucher*innen zu schützen. Der Wartungsmodus verhindert, dass Suchmaschinen und Besucher*innen bemerken, dass Ihre Website gehackt wurde. Ebenso verhindert er, dass die Sicherheit der Website durch Malware oder Betrugsversuche gefährdet wird.
Die einfachsten Möglichkeiten sind:
- Die Wartung Ihrer Website über das Dashboard Ihres Hostings aktivieren. Bei Infomaniak ist dies mit wenigen Mausklicks möglich.
- Verwenden Sie ein Wartungs-Plugin aus dem offiziellen WordPress-Repository.
- Wenn Ihr Hosting mit keinem Wartungsmodus ausgestattet ist und Sie keinen Zugriff mehr auf Ihre WordPress-Konsole haben, dann verschieben Sie die Dateien Ihrer WordPress-Website via FTP in einen Unterordner. Erstellen Sie anschliessend eine Datei index.html im Stammverzeichnis der Website mit dem Text «WEBSITE IM WARTUNGSMODUS».
Schritt 2: Ändern Sie Ihre Kennwörter und überprüfen Sie Ihre WordPress-Nutzer*innen.
Im Folgenden müssen Sie verhindern, dass der Hacker mühelos auf die Daten Ihrer Website zugreifen oder deren Inhalt ändern kann.
Ändern Sie dazu folgende Kennwörter:
- Kennwort für den Zugang zur WordPress-Konsole (Leitfaden für Infomaniak).
- FTP-/SSH-Kennwort des Hostings (Leitfaden für Infomaniak).
- Kennwort der Datenbank der Website (Leitfaden für Infomaniak).
- Kennwort für den Zugang zum Konto Ihres Hosting-Anbieters (Leitfaden für Infomaniak).
Denken Sie anschliessend daran, die Liste Ihrer Konten über die WordPress-Konsole zu überprüfen. Löschen Sie alle verdächtigen Nutzer*innen.
💡 Maximale Sicherheit: Verwenden Sie keine alten Kennwörter bzw. verwenden Sie dasselbe Kennwort nicht mehrmals. Gegebenenfalls empfehlen wir Ihnen, eine Software wie BitWarden zu verwenden, um Ihre Kennwörter einfach zu sichern und zu verwalten.
Schritt 3: Entfernen Sie alle verdächtigen und unbenutzten Erweiterungen und Designs.
Nun müssen Sie die Liste Ihrer WordPress-Erweiterungen überprüfen:
- Entfernen Sie Plugins, die Sie nicht selbst installiert haben.
- Entfernen Sie Plugins, die nicht kürzlich aktualisiert wurden.
- Entfernen Sie Plugins, die von einer unbekannten Quelle stammen.
💡 Tipp: Je weniger Plugins Sie verwenden, desto übersichtlicher ist Ihre Installation. Dies verringert auch Ihre Exposition gegenüber Sicherheitsrisiken.
Schritt 4: Scannen Sie Ihre Website mit einem Virenschutzprogramm.
Nun ist es Zeit, die Integrität Ihrer WordPress-Installation und der in Ihrem Hosting gespeicherten Dateien zu überprüfen!
Für diesen wichtigen Schritt stehen Ihnen mehrere Möglichkeiten zur Verfügung:
- Führen Sie einen vollständigen Virenscan Ihres Hostings durch (Leitfaden für Infomaniak).
- Überprüfen Sie, ob Malware im Spiel ist (erfolgt bei Infomaniak automatisch).
- Nutzen Sie eine Sicherheitserweiterung wie JetPack Scan, Wordfence Security oder Sucuri Security.
Denken Sie daran, dass Ihr Hosting-Anbieter kostenlose Tools bereithält, bevor Sie einen Drittanbieter bezahlen. Bei Infomaniak sind Hostings beispielsweise mit einem Viren- und Malware-Schutz versehen, der bekannte Schwachstellen in beliebten CMS wie WordPress, Joomla oder Drupal automatisch behebt.
Schritt 5: Aktualisieren Sie WordPress, Ihre Plugins und Ihre Designs.
Dies ist ein fundamentaler Schritt, der regelmässig erfolgen sollte: Aktualisieren Sie Ihre WordPress-Installation sowie Ihre Erweiterungen und Ihr Design. Nehmen Sie sich einen Augenblick Zeit, um die automatische Aktualisierung Ihrer Website zu aktivieren.
💡 Warum ist das wichtig? Sobald eine Sicherheitslücke entdeckt wird, wird ein Update bereitgestellt, um die Schwachstelle in den Installationen der Nutzer*innen zu beheben. Wenn Sie Ihre Website nicht aktualisieren, servieren Sie die Schwachstelle gewissermassen auf dem Silbertablett.
Schritt 6: Löschen Sie überflüssige Dateien und Inhalte.
Nach dem automatischen Scan Ihrer Website sind manuelle Überprüfungen durchzuführen:
- Überprüfen und korrigieren Sie den Inhalt der Seiten und Artikel auf Ihrer Website, insbesondere Links.
- Verbinden Sie sich via FTP mit Ihrem Hosting und überprüfen Sie die Baumstruktur Ihrer WordPress-Installation. Sollten Sie Dateien entdecken, die im Vergleich zu den Originaldateien ungewöhnlich erscheinen, dann löschen Sie diese oder fahren Sie mit Schritt 8 fort.
- Überprüfen Sie die WordPress-Konfigurationsdatei (wp-config.php), indem Sie sie mit der Originalversion von WordPress vergleichen.
💡 Sie brauchen Hilfe? Wenn Sie technisch nicht versiert genug sind, um diese Überprüfungen durchzuführen, können Sie über diese Plattform eine Ausschreibung starten und einen Profi hinzuziehen. Innert 48 Stunden erhalten Sie Angebote – völlig kostenlos und unverbindlich.
Schritt 7: Stellen Sie Ihre Sitemap wieder her.
Die Sitemap zeigt die Strukturierung Ihrer Website an und wird von Suchmaschinen verwendet, um den Inhalt zu entschlüsseln.
Wenn Ihre Website Warnungen von Suchmaschinen und Browsern auslöst, liegt es möglicherweise daran, dass die Datei sitemap.xml Ihrer Website kompromittiert wurde.
Sie können ein Plugin verwenden, um eine neue Sitemap-Datei zu generieren und erneut an die Suchmaschinen zu senden. Einige Erweiterungen können beides, wie XML Sitemaps oder Yoast SEO. Es geht aber auch manuell über die Google Search Console.
Schritt 8: Installieren Sie WordPress neu (falls erforderlich).
Sofern alle Reparaturversuche fehlgeschlagen sind und Sie noch immer nicht auf die WordPress-Konsole zugreifen können, könnte eine Neuinstallation von WordPress die Lösung sein.
Es gibt mehrere Möglichkeiten für die Neuinstallation des WordPress-Kerns, ohne den Inhalt Ihrer Website zu ändern.
Sie haben noch Zugriff auf die WordPress-Konsole (automatisches Verfahren).
- Gehen Sie zu Dashboard => Aktualisierungen
- Klicken Sie auf die Schaltfläche Version X.XX neu installieren.
Sie können nicht mehr auf die WordPress-Konsole zugreifen (manuelle Methode)
- Beschaffen Sie sich die neueste offizielle Version von WordPress.
- Entpacken Sie die ZIP-Datei auf Ihrem Rechner.
- Löschen Sie den Ordner /wp-content/.
- Verbinden Sie sich über FTP mit Ihrem Hosting (Leitfaden für Infomaniak).
- Legen Sie die WordPress-Dateien (ohne /wp-content/) nach dem Download in dem Ordner ab, in dem Sie es ursprünglich installiert haben.
- Ihre FTP-Software sollte Ähnliches erkennen: Wählen Sie die Option Überschreiben und fahren Sie fort.
💡 Sie brauchen Hilfe? Wenn Sie technisch nicht versiert genug sind, um diese Schritte durchzuführen, können Sie über diese Plattform eine Ausschreibung starten und einen Profi hinzuziehen. Innert 48 Stunden erhalten Sie Angebote – völlig kostenlos und unverbindlich.
Schritt 9: Installieren Sie Designs und Erweiterungen neu (falls erforderlich).
Wenn Sie von einem schweren Hackerangriff betroffen sind oder den Verdacht haben, dass eine Erweiterung oder Ihr Design die Ursache des Problems ist, sollten Sie die neueste Version des Designs oder der betreffenden Erweiterung neu installieren. Hierdurch schaffen Sie wieder eine saubere Ausgangslage.
Folgende Aktionen sind durchzuführen:
- Verbinden Sie sich über FTP mit Ihrem Hosting (Leitfaden für Infomaniak).
- Gehen Sie zum Ordner der WordPress-Designs oder -Plugins (/wp-content/themes oder /wp-content/plugins)
- Suchen Sie den Ordner des Designs oder der Erweiterung, die Sie neu installieren möchten, und benennen Sie diesen Ordner am Ende in _old um (z.B.: Yoast SEO_old).
- Holen Sie sich die neueste Version Ihres Designs oder der Erweiterung aus einer vertrauenswürdigen Quelle.
- Entpacken Sie die ZIP-Datei auf Ihrem Rechner.
- Legen Sie den Ordner der Erweiterung oder des Designs nach dem Download in dem Ordner ab, in dem sie ursprünglich installiert wurden.
- Prüfen Sie, ob mit der neu installierten Version alles ordnungsgemäss funktioniert und löschen Sie den alten Ordner _old.
💡 Sie brauchen Hilfe? Wenn Sie technisch nicht versiert genug sind, um diese Schritte durchzuführen, können Sie über diese Plattform eine Ausschreibung starten und einen Profi hinzuziehen. Innert 48 Stunden erhalten Sie Angebote – völlig kostenlos und unverbindlich.
Schritt 10: Deaktivieren Sie den Wartungsmodus.
Ihre Website ist wieder ok? Glückwunsch!👏
Sie können den Wartungsmodus nun deaktivieren und die Website wieder öffentlich zugänglich machen 😎🚀
Denken Sie daran, vor dem Laden Ihrer Website den Cache Ihrer Website und Ihres Browsers zu leeren, damit die neueste Version angezeigt wird.
Warum wird eine WordPress-Website kompromittiert?
Roboter (auch Bots genannt) durchsuchen das Web permanent nach Websites mit Schwachstellen, die sich einfach automatisch ausnutzen lassen. In den allermeisten Fällen zielen die Angriffe nicht ausdrücklich auf Ihre Website ab, und es genügt, sich an bewährte Praktiken zu halten, um Probleme zu vermeiden.😇
8 bewährte Verfahren zum Schutz vor Hackerangriffen auf Ihre WordPress-Website
Im Folgenden sind bewährte Praktiken dargelegt, um Ihre WordPress-Websites so weit wie möglich vor Hackerangriffen zu schützen.
1. Wählen Sie ein sicheres WordPress-Hosting.
Bestimmte Hosting-Anbieter wie Infomaniak setzen erweiterte Massnahmen um, die die Sicherheit von Websites erhöhen:
- Schutz vor DDoS-Angriffen
- Virenschutz
- Schutz vor Schadsoftware mit Autokorrektur
- Unterstützung der neuesten Versionen von PHP und MySQL/MariaDB
- tägliche Sicherung (letzte 7 Tage) in einem anderen Data Center
- automatische und komplette Wiederherstellung per Mausklick
- hochwertiger lokaler Support an sieben Wochentagen per E-Mail, Chat und Telefon
- Designs und Erweiterungen von Elegant Themes mit Divi inklusive
- Kostenlose und professionelle SSL-Zertifikate (Sectigo)
2. Beschränken und verwenden Sie nur beliebte Plugins
Mit jeder WordPress-Erweiterung steigt die Wahrscheinlichkeit, dass Ihre Website Schwachstellen aufweist. Beschränken Sie diese auf das Nötigste.
Setzen Sie systematisch auf beliebte Ressourcen, da WordPress-Designs und -Erweiterungen, die nicht regelmässig aktualisiert werden, mit der Zeit zu erheblichen Schwachstellen führen.
3. Aktivieren Sie die automatische Aktualisierung von WordPress und Ihren Plugins.
Werden WordPress, Erweiterungen, Designs und die PHP-Version nicht aktualisiert, ist das ungefähr so, als würden Sie beim Weggehen Ihre Haustüre offenlassen und dies mit einem Schild kenntlich machen. 😅
Die Einrichtung der automatischen Aktualisierung von WordPress dauert nur wenige Sekunden und kann Ihnen grössere Probleme ersparen.
4. Sichern Sie automatisch Ihre Website.
Bei einem Sicherheitsproblem müssen Sie in der Lage sein, Ihre Website mit einer nicht kompromittieren Version problemlos wiederherzustellen. Ein automatisches Backup-System minimiert das für eine Rückkehr zum normalen Betrieb erforderliche Zeitfenster.
Sie können kostenlose automatische Backups Ihres Hostings nutzen und zusätzlich einen Automatismus über FTP einrichten, um Ihre Website in einem sicheren Cloud-Bereich wie Swiss Backup zu sichern:
- WordPress-Website mit UpdraftPlus-Plugin und Swiss Backup über das S3-Protokoll sichern
- WordPress-Website mit Acronis über FTP sichern
5. Erhöhen Sie die Sicherheit Ihrer WordPress-Nutzer*innen.
Viele WordPress-Installationen verwenden noch den Benutzernamen «admin» als Login. Dieser kann daher leichter von einem Roboter oder Hacker ausgenutzt werden, um sich Zugriff auf Ihre Website zu verschaffen:
- Ändern Sie das Pseudonym Ihrer WordPress-Nutzer*innen über das Menü Konten Ihrer WordPress-Konsole und verwenden Sie Klarnamen.
- Wählen Sie einmalige, lange und komplexe Kennwörter und nutzen Sie eine sichere Software wie BitWarden für die Verwaltung Ihrer Kennwörter.
6. Schützen Sie den Zugriff auf Ihre WordPress-Konsole vor Bots
Standardmässig ist die Zugangs-URL für die Login-Seite einer WordPress-Website immer gleich strukturiert: ihredomain.com/wp-admin. Da sich sehr leicht feststellen lässt, ob eine Website WordPress verwendet (unmittelbar im Quellcode einer Website ersichtlich), ist diese URL zwangsläufig für Hacker und Roboter zugänglich. Anschliessend muss diese Seite nur noch mit der Brute-Force-Methode angegriffen werden.
- Mit einer Erweiterung wie WPS Hide Login lässt sich die Login-Seite von WordPress einfach und schnell sichern.
- Es empfiehlt sich, die Zahl der Anmeldeversuche bei Ihrer WordPress-Konsole zu begrenzen (z.B. mit Limit Login Attempts Reloaded). So können Roboter und Hacker nicht tausende Kennwörter hintereinander ausprobieren.
💡Wichtiger Hinweis:
- Wenn Sie die Zahl der Anmeldungen begrenzen und die Zugangs-URL Ihrer WordPress-Konsole ändern, dann notieren Sie sich diese Informationen sorgfältig, damit Sie sich nicht selbst ein Bein stellen: Notieren Sie sich die neue Zugangs-URL und vermeiden Sie, mehrmals ein falsches Kennwort oder einen falschen Benutzernamen einzugeben.
- All-in-One-Security-Plugins wie Wordfence umfassen nativ mehrere Sicherheitsmassnahmen. Vermeiden Sie die Installation unterschiedlicher Erweiterungen mit der gleichen Funktion. Wenden Sie sich im Zweifelsfall an einen Profi.
7. Verwenden Sie aktuelle Technologien (PHP, MySQL/MariaDB).
WordPress basiert auf PHP/MySQL, und diese Technologien werden regelmässig weiterentwickelt. Wenn Sie eine PHP-Version verwenden, die nicht mehr aktuell ist, setzen Sie Ihre Website Sicherheitsrisiken aus. Böswillige Personen könnten beispielsweise bekannte Sicherheitslücken ausnutzen, um in Ihre Website einzudringen und deren Inhalt zu kompromittieren. Daher ist es wichtig, eine gewartete PHP-Version zu verwenden. Darüber hinaus sind die neuesten PHP-Versionen leistungsfähiger und laden Websites schneller.
8. Blockieren Sie unerwünschte Kommentare und Nachrichten (Spam).
Roboter und böswillige Personen nutzen häufig das Kommentarfeld unter Ihren Beiträgen, um Inhalte und Werbelinks zu platzieren. Gegen diese Praktik, die den Ruf und die Referenzierung Ihrer Website beeinträchtigt, gibt es glücklicherweise mehrere einfache Gegenmittel.
Nachfolgend sind 3 beliebte Verfahren für die Ausfilterung von Spam einer WordPress-Website dargelegt:
- Akismet-Plugin installieren und konfigurieren (kostenlos bei nicht gewerblicher Nutzung)
- hcaptcha-Plugin installieren und konfigurieren (Open-Source-Alternative zur reCAPTCHA-Lösung von Google)
- Google Captcha-Plugin installieren und konfigurieren
***
Wir hoffen, dass Ihnen diese Tipps geholfen haben, Ihre WordPress-Website zu reparieren oder deren Sicherheit zu verbessern. Andernfalls empfehlen wir Ihnen, eine Webagentur oder einen anerkannten Profi hinzuzuziehen – vor allem, wenn Sie Ihre WordPress-Website nicht selbst erstellt haben.