Zugegeben: Ich wurde gehackt! Natürlich war das Ganze nicht mein Verschulden. Aber es ist passiert.
Wenn man merkt, dass man gehackt wurde, gerät man schnell in Panik. Und das zurecht, denn auf den ersten Blick weiß man nicht, wie viel Zeit vergangen ist und wie viel Schaden dadurch bereits entstanden ist.
Trotzdem: Zuerst sollte man tief durchatmen – und anschließend diesen Artikel fertig lesen.
Da du gerade diesen Artikel liest, gehe ich davon aus, dass du auch gehackt wurdest, dich vielleicht aber auch nur absichern möchtest. Gut so! In diesem Artikel zeige ich dir, dass es nur ein sinnvolles Anti-Malware-Plugin für WordPress gegen Hacker gibt. Das weiß ich, weil ich dutzende davon ausprobiert habe und sozusagen ALLE bis auf das eine wieder deinstalliert habe.
Und weil dir Frage sicherlich auf der Zunge liegt, gebe ich die Antwort gleich hier: JA, das besagte Plugin kann auch eingesetzt werden, wenn man bereits gehackt wurde. Das Plugin erkennt auch Schadcodes und alle veränderten Dateien. Bevor man jedoch auf den „Reparieren“-Knopf drückt, sollte man Vorsicht walten lassen, damit man nichts löscht, was die Seite zerstören kann.
Aber was solls: Mit meiner Anleitung klappt das ganz bestimmt.
Wie erkennt man, dass man gehackt wurde?
Doch zunächst, möchte ich dir zeigen, wie man erkennt, ob man gehackt wurde. Nicht immer sind die Anzeichen gleich sichtbar. Es kommt aber der Zeitpunkt, wo man merkt, dass irgendetwas mit der Seite nicht stimmt – und dann sollte man handeln.
So erkennst du, ob du gehackt wurdest:
- Weiterleitungen: Du wirst auf eine andere Webseite (oft Dating- oder Pornoseiten) weitergeleitet, wenn du deine Webseite besuchst. In diesem Fall wurdest du mit hoher Wahrscheinlichkeit gehackt.
- Seiten defekt: Oft kann man bestimmte Seiten nicht mehr aufrufen. Das kann zum Beispiel deine WordPress-Loginseite sein (deinedomain.de/admin oder deinedomain.de/wp-admin).
- Dashboard: Im Dashboard können bestimmte Plugins nicht mehr aufgerufen oder ausgeführt werden.
- Veränderte Dateien: Auf deinem Server wurden Dateien verändert. Hacker verändern gerne Dateien. Prüfe das. Gehe auf deinen FTP-Server und prüfe dort vor allem folgende Dateien: index.php, wp-login.php, wp-settings.php. Wurden die Daten kürzlich geändert (das sieht man in der Datumsspalte), dann war das wahrscheinlich ein Angriff.
- Seltsame Dateien: Seltsame Dateinamen gibt in es WordPress nicht. Wenn doch, dann wurde sie wahrscheinlich hinzugefügt. WordPress benennt Dateien meistens sinnvoll (z.B. wp-cron.php). Eine Datei namens „nxkusbqk.php“ ist keinesfalls eine WordPress-Datei. Wurde sie erst kürzlich hinzugefügt und enthält seltsame Codes, dann ist das sicherlich ein Angriff.
- Neue Benutzer: Auf deiner WordPress-Seite wurden neue Benutzer hinzugefügt. Du wurdest sicher gehackt!
Gehackt: Wie gehe ich als Anfänger vor?
Mit dieser Anleitung möchte ich vor allem Anfängern und Hobbyseitenbetreibern helfen, weil diese einfach auch kein Geld dafür ausgeben möchten oder vielleicht keine Einnahmen haben. Eine Reparatur kann nämlich kostspielig sein.
Deshalb empfehle ich dir, zunächst folgenden Weg auszuprobieren, falls du dich noch einloggen kannst. Falls nicht, präsentiere ich weiter unten noch eine Lösung.
- Erstens: Lade dir das Anti-Malware Security and Brute-Force Firewall Plugin herunter. Installiere es anschließend und aktiviere es.
- Zweitens: Registriere dich bei gotmls.net. Danach lädst du die neuesten Definitionsupdates herunter.
- Drittens: Starte einen Scan, indem du auf den Button „Vollständigen Scan ausführen“ klickst. Dein Server wird nun gescannt.
Wenn das Plugin etwas findet, werden die besagten Dateien rot gekennzeichnet. Wenn sich das Plugin nicht sicher ist, kennzeichnet es gefundene Dateien gelb. Diese kann man manuell prüfen oder einfach alles reparieren lassen. Dazu bietet das Plugin nach dem Scanvorgang die Option, „alle Dateien reparieren“, an.
Mein Tipp: Wenn du all-inkl als Hostinganbieter hast, dann kannst du versuchen, die Dateien einfach zu reparieren. Sollte die Seite danach nicht mehr richtig funktionieren, kann man die Änderung schnell wieder rückgängig machen, in dem man das Backup vom Vortag wieder einspielt (all-inkl erstellt täglich automatisch BackUps).
Dazu sich ins kas.all-inkl.com einloggen. Dann unter Tools -> Backups einspielen -> Webspace-Backup. Hier dann den Tag auswählen und auf der rechten Seite auf den roten Pfeil klicken. Danach die mittlere Option auswählen und unten den Button bestätigen.
Stelle vorher in jedem Fall sicher, dass du im Notfall ein Backup einspielen kannst. Dann bist du auf der sicheren Seite!
Nachdem man die Dateien mit dem Plugin repariert hat und die Seite nicht mehr richtig funktioniert, kann man die Änderungen auch mit dem Plugin rückgängig machen. Aber egal, ob man die Änderung rückgängig macht oder ein Backup vom Vortag einspielen muss. In beiden Fällen bleibt nichts übrig, als alle Dateien manuell zu überprüfen und manuell zu beheben. Das Plugin findet die schädlichen Dateien zwar, die Behebung muss man aber selbst vornehmen.
Hier enden die Möglichkeiten für viele, da man genau wissen sollte, welche Codes und Dateien entfernt werden dürfen oder müssen.
Sollte nach die Seite nach der Reparatur wieder funktionieren, kann ich nur herzlichen Glückwunsch sagen. Im Regelfall findet das Plugin so gut wie alles, was dort nicht hingehört. Eine Garantie ist das aber trotzdem nicht.
Plugin lässt sich nicht installieren oder ausführen
Schlimmer ist es, wenn sich das Plugin nicht installieren oder ausführen lässt. In diesem Fall schlage ich folgende Lösung vor:
- Logge dich in deinen FTP-Server ein.
- Wähle hier die Domain aus, die betroffen ist.
- In deinem Hauptverzeichnis findest du die 3 Ordner wp-admin, wp-content und wp-includes. Im selben Verzeichnis findest du diese 3 Skripte: index.php, wp-login.php, wp-settings.php.
Wenn du diese öffnest, sollten keine seltsamen Codes darin auftauchen. Ich zeige dir das anhand eines Beispiels mit der index.php. So sollte die Datei normalerweise aussehen. Selbst der Laie erkennt, dass das gut aussieht und nichts komisch erscheint. Zudem kann man sich umso sicherer sein, je älter die Datei ist (zuletzt bearbeitetes Datum beachten).
Und hier kommt ein Beispiel, wie die Datei nicht aussehen sollte: besonders der rot markierte Kasten enthält seltsame Zeichen. Zudem wurde die Datei kürzlich bearbeitet. Hier sollten alle Alarmglocken läuten! Doch wie kann man das reparieren?
So reparierst du die Dateien:
- Klicke zunächst auf die besagte Datei im FTP. Diese wird automatisch auf deinen Computer heruntergeladen.
- Nun bearbeitest du die Datei und löscht die besagten Codezeichen, die oft oben in den Dateien platziert werden.
- Speicher die Datei ab und teste deine Seite! Sollte eine Fehlermeldung auftauchen, kannst du die heruntergeladene Datei einfach wieder hochladen und gegen die soeben veränderte ersetzen. Schon ist der alte Stand wiederhergestellt.
- Funktioniert deine Seite dagegen weiterhin, dann hast du wohl alles richtig gemacht.
- Dasselbe machst du mit den anderen 2 Dateien, bei denen oft derselbe Code platziert wird.
- Sollten dir in deinem Hauptverzeichnis noch weitere Dateien auffallen, überprüfe die auch.
Nach diesen Schritten lässt sich das Anti-Malware Security and Brute-Force Firewall Plugin normalerweise installieren und ausführen. Teste es! Klappt es noch immer nicht, solltest du dir Hilfe von einem Experten holen.
Wenn es klappt, solltest du alle Dateien nach der oben genannten Anleitung reparieren. Anschließend sollte dein System sauber sein. Ich mache das jedoch immer so, dass ich jeden Ordner auf meinem Server manuell überprüfe und nach seltsamen Dateien Ausschau halte. Das dauert, gibt mir aber die Sicherheit, dass alles wieder im Reinen ist.
Benutzer manuell aus Datenbank löschen
Hacker legen manchmal neue Benutzer an, über die sich sie einloggen können. Versuche diese zunächst, manuell über dein WordPress-Dashboard zu löschen. Wenn das nicht klappt, musst du diese über die Datenbank löschen. Und das geht am besten so:
- Melde dich bei deinem Hostinganbieter an und öffne von dort aus die Datenbank der betroffenen Domain. Hier siehst du nun viele Tabellen. Suche nach der Tabelle, die die Bezeichnung „users“ enthält. Klicke auf diese Tabelle.
- Es öffnet sich eine neue Tabelle, wo alle Benutzer aufgelistet werden. Das erkennst du, weil dort auch du als Benutzer aufgelistet wirst. Lösche nun alle Benutzer, die du nicht selbst angelegt hast, über das rote Kreuz.
- Das sollte reibungslos funktionieren. Falls nicht, benötigst du Hilfe von einem Experten.
Sicherheitsmaßnahmen nach dem Hackerangriff
Nach einem Hackerangriff ist es wichtig, alles im Auge zu behalten und zu beobachten, ob noch irgendetwas passiert. Schaue dazu hin und wieder auf deinen Server und prüfe, ob kürzlich wichtige Dateien wie beispielsweise die wp-login.php geändert wurde.
Insgesamt sollte man wachsam sein. So merkt man schnell, wenn sich irgendetwas tut.
Auf Nummer sicher geht man jedoch, wenn man regelmäßig das Anti-Malware-Plugin laufen lässt. Zudem solltest du:
- Dein Passwort ändern und ein starkes und langes Passwort vergeben.
- Eventuell deine Webseite sicherer gestalten, indem du Sicherheit-Plugins installierst.
- Regelmäßige Backups erstellst, die du jederzeit wieder einspielen kannst
- und einige mehr.
Hackerangriff: Das sind die Ursachen
Wenn ein Hackerangriff erfolgteich abgewehrt, bzw. behoben wurde, sollte man sich mit dem Gedanken auseinandersetzen, wie so ein Angriff überhaupt zustande kam. Nicht immer sind die gründe nachvollziehbar oder zurückverfolgbar. Deshalb hier ein paar Tipps:
- Plugins veraltet: Updates sind wichtig. Sie schließen Sicherheitslücken, die Hacker ausnutzen können. Plugins, die lange nicht geupdatet wurden, können verantwortlich sein.
- Passwort: Standartpasswörter oder leichte Passwörter sind häufige Gründe.
- Themes und Plugins: Kostenpflichtige Themes und Plugins sollte man niemals illegal herunterladen. Es ist heutzutage nur noch selten, dass diese sauber sind. Besonders dann, wenn man sie auf fragwürdige Seiten herunterlädt.
- Gekaufte Webseiten: Wenn man Seite kauft, sollte man mit dem Verkäufer abklären, ob seine Seite mal gehackt wurde. Das ist mir passiert und ich hatte danach monatelang Probleme.
Es gibt noch viele weitere Gründe. Die wichtigsten habe ich oben gelistet. Wer diese befolgt, hat schon mal das wichtigsten Maßnahmen getroffen, um die eigene Sicherheit zu erhöhen.
Haftungsausschluss
Denke dran: Hackerangriffe können verschiedene Ursachen haben und auf verschiedene Art und Weise vorgehen. Dies ist keine Schritt-für-Schritt-Anleitung, die man einfach befolgen kann, um das Problem zu lösen. Es ist keine Musterlösung. Zudem kann man die Sache noch verschlimmern, wenn man nicht weiß, was man tut.
Mit dieser Anleitung gebe ich keine Garantie für ein Gelingen. Ich übernehme keine Haftung für Schäden, die durch diese Anleitung entstanden sind. Wenn du dir nicht sicher bist, solltest du gleich einen Experten zurate ziehen.