WordPress gehackt? Das sollten Sie sofort tun!

Der Supergau für E-Commerce-Händler und Unternehmen: Die WordPress Website wurde gehackt und muss zumindest zeitweise vom Netz. Der Schaden potenziert sich, wenn Kundendaten betroffen sind und die Website auch noch fleißig Spammails oder Viren verteilt. Am besten kommt es also gar nicht soweit. Aber was, wenn doch?

Anzeichen für gehackte WordPress-Websites

Erst einmal sollte man überhaupt erkennen, dass die eigene Website gehackt wurde. Nicht immer ist das auf den ersten Blick ersichtlich! Sehr klare Anzeichen sind:

• Website wird langsamer, PageSpeed sinkt
• seltsame Pop-ups öffnen sich
• Website leitet auf unbekannte Inhalte/Domains weiter
• unbekannte Benutzer tauchen im Backend auf
• über WordPress werden Spam-Mails versendet
• Black-Hat SEO, sichtbar in Google Suchergebnislisten durch veränderte Linktexte und Metadescriptions

Je nachdem, wie genau die WordPress-Website infiziert wurde, treten verschiedene Symptome einzeln oder zu mehreren auf.

Vielleicht können Sie sich plötzlich nicht mehr einloggen – und in der Datenbank sind verschiedene unbekannte Admin-Accounts hinterlegt.

Vielleicht leitet Ihr Online-Shop nun jeden Besucher auf Glücksspiel- oder Pornoseiten um – und Kunden machen Sie darauf mit besorgten Nachrichten erst aufmerksam.

Vielleicht tauchen plötzlich unbekannte, neue Dateien auf dem Server auf, die niemand aus Ihrem Team hochgeladen hatte.

Manchmal vollzieht sich eine Infektion aber auch eher schleichend. Dann scheint die Website unmerklich langsamer zu werden. Einige Plugins verursachen immer mal wieder Fehler. Der Website-Traffic nimmt stetig ab, obwohl Sie die gewohnten Marketing-Maßnahmen nicht reduziert haben. Umso wichtiger ist es dann, Ihr Projekt auf Malware zu prüfen.

In jedem Fall gilt: Die Website muss zunächst vom Netz, um weiteren Schaden abzuwenden. Denn der Imageverlust von gehackten Websites kann enorm sein. Stellen Sie sich vor, wie Webseitenbesucher Ihr Unternehmenslogo samt Dienstleistungen oder Produkte erwarten – und stattdessen Glücksspielwerbung oder halbnackte Menschen zu sehen bekommen.

Zusätzlich kommen Umsatz- und Buchungsverluste hinzu; bei längerem Malware-Befall sinkt das Ranking in den Suchmaschinen oder Ihre Website wird gänzlich aus dem Index entfernt. Bei Missachtung existierender Regelungen zu IT-Sicherheit und Datenschutz kann es außerdem zu empfindlich hohen Schadenersatz- beziehungsweise Bußgeld-Forderungen kommen.

Maßnahmen für gehackte WordPress-Webseiten

Sie haben ihre Website geprüft und der Malware-Befall ist recht eindeutig. Was können Sie jetzt tun?

1. In jedem Fall ist es sinnvoll, den Hoster und Webmaster zu informieren.
2. Laden Sie sich die Logfiles des Servers herunter, um den Zeitpunkt der Kompromittierung ermitteln zu können. Sie dienen außerdem der Dokumentation, wenn es zu weiteren Schäden (Kundendaten, Spammailings etc.) gekommen sein sollte.
3. Legen Sie die Website mindestens in den Wartungsmodus, sodass Besucher keine unangemessenen Inhalte zu Gesicht bekommen. Noch besser: Seite komplett vom Netz nehmen und eine kurzfristige, vollständig neue Wartungsseite erstellen.
4. Ändern Sie die Zugangsdaten für Website, FTP und Hosting.
5. Verwenden Sie sichere Passwörter!
6. Sichern Sie die infizierte Website in einem Backup auf einem USB-Stick. Das dient vor allem der Rekonstruktion der Schadstellen und als Dokumentation für eventuelle Datenschutzverstöße.
7. Nach Auswertung der Logfiles können Sie ein nicht kompromittiertes Backup Ihrer Seite aufspielen. Wir unterstützen Sie bei diesem Prozess gern, um weitere Infekte und die Verbreitung von Malware zu stoppen. Plugins und Theme sollten am besten in der aktuellen Version direkt von der Entwickler-Seite neu aufgespielt werden.
8. Eventuelle Datenschutzverstöße melden Sie an die verantwortlichen Meldestellen sowie betroffene Kunden/Personen.
9. Benutzer und Benutzerrechte prüfen: Wer hat künftig mit welchen Rollenberechtigungen Zugriff auf die Website? Sind alle notwendigen Benutzer-Accounts mit neuen, sicheren Passwörtern ausgestattet?
10. Alles erledigt? Dann sollten Sie die Website erneut auf Malware und Virenbefall prüfen (lassen); am besten direkt vom Experten.
11. Das Sicherheitskonzept sollte, falls noch nicht erstellt, jetzt ausgearbeitet werden. Existierende Sicherheitskonzepte kommen stattdessen auf den Prüfstand: Was muss angepasst werden, wie konnte es zum Hack kommen?
12. Sollten Sie noch Fragen haben, wir haben die Antwort und einen Service und schnelle Hilfe eingerichtet. Mehr dazu hier:  Hilfe! WordPress gehackt – und nun?

Häufige Ursache für Malware-Befall und gehackte Websites sind veraltete PHP-Versionen oder nicht aktualisierte Plugins ebenso wie ein unzureichender Verzeichnisschutz auf dem Server. Alle drei Punkte sollten Sie für die Zukunft stärker beachten, um die nächste Kompromittierung so weit wie möglich zu verhindern.