WordPress gehackt – was tun?

Wenn Ihre Website ohne Ihr Zutun ihr Aussehen verändert hat oder der Login bei WordPress nicht mehr funk­tio­niert, können das Zeichen dafür sein, dass Ihre WordPress-Seite gehackt wurde. Zum Glück können Sie das Problem mit einigen Schritten beheben.

Ob eine Website gehackt wurde, kann man oft nicht direkt erkennen. Es gibt aber einige Indizien, die darauf hindeuten, dass Ihre WordPress-Seite gehackt worden ist.

• Login funk­tio­niert nicht: Wenn Sie sich nicht mehr einloggen können, dann kann das ein Hinweis darauf sein, dass Ihre Website gehackt wurde und die An­grei­fe­rin­nen und Angreifer das Passwort verändert haben. Probieren Sie jedoch zunächst, Ihr WordPress-Passwort zu­rück­zu­set­zen, um si­cher­zu­ge­hen, dass Sie nicht nur Ihre An­mel­de­da­ten vergessen haben.
   
• Brow­ser­war­nun­gen: Es kann sein, dass Ihr Browser eine Warnung ausgibt, wenn Sie probieren, auf Ihre WordPress-Website zu­zu­grei­fen. Auch das kann ein Zeichen für einen Hack­an­griff sein. Oftmals ist der Grund für die Warnung aber auch ein Problem mit SSL oder ver­al­te­ten WordPress-Plugins.
   
• Such­ma­schi­nen­war­nun­gen: Ähnlich wie Brow­ser­war­nun­gen können auch Such­ma­schi­nen­war­nun­gen darauf hindeuten, dass Ihr WordPress gehackt wurde. Vor allem können derartige Warnungen auf Sitemap-Hacks hindeuten.
   
• Wei­ter­lei­tun­gen: Wenn Sie auf Ihre Website zugreifen möchten und sofort zu einer anderen Seite wei­ter­ge­lei­tet werden, ist auch dies ein Hinweis darauf, dass Ihre WordPress-Seite gehackt wurde. An­grei­fe­rin­nen und Angreifer fügen Websites oft Skripte hinzu, die Um­lei­tun­gen zu von ihnen gewählten Websites ein­rich­ten.
   
• Ihre Website sieht anders aus: Auch das Aussehen Ihrer WordPress-Seite kann ein Indiz für einen Angriff sein. Wenn Sie Än­de­run­gen fest­stel­len, die Sie selbst oder andere Admins nicht vor­ge­nom­men haben, sollten Sie genauer hinsehen. Dabei müssen die optischen Ver­än­de­run­gen nicht groß sein: Auch einzelne Links zu Seiten, zu denen Sie keine Ver­lin­kung ein­ge­rich­tet haben, können auf Fremdak­ti­vi­tä­ten hindeuten.

Es gibt ver­schie­de­ne Gründe, warum Ihre WordPress-Seite Opfer eine Hack­an­griffs werden könnte. Die häu­figs­ten Ursachen für Hack­an­grif­fe sind unsichere Pass­wör­ter, ver­wal­te­te Software und un­si­che­rer Code. Wenn Sie Themes und Plugins aus un­si­che­ren Quellen nutzen oder die von Ihnen genutzte Software nicht re­gel­mä­ßig ak­tua­li­sie­ren, können Si­cher­heits­lü­cken exis­tie­ren, die von An­grei­fen­den aus­ge­nutzt werden. Auch unseriöse Hosting-Anbieter, die ihre Server nicht gegen Angriffe von außen schützen, bilden ein mögliches Ein­falls­tor.

Es gibt eine Reihe von Maßnahmen, die Sie ergreifen können, wenn Ihre WordPress-Seite gehackt wurde. Was genau Sie tun müssen und welche Schritte er­for­der­lich sind, hängt nicht zuletzt von der Art des Hack­an­griffs ab. Wenn Ihr WordPress-Admin-Login nicht mehr funk­tio­niert und Sie auch die Pass­wör­ter nicht mehr zu­rück­set­zen können, lohnt es sich, zu schauen, ob Sie mit Tools wie phpMy­Ad­min noch auf die Inhalte Ihrer Datenbank zugreifen können.

In einem ersten Schritt sollten Sie Ihre Seite in den WordPress-War­tungs­mo­dus versetzen oder sogar gänzlich offline nehmen. Auf diese Weise stellen Sie sicher, dass Be­nut­ze­rin­nen und Benutzer nicht mehr auf Ihre Website zugreifen können, solange Sie die Probleme des Hack­an­griffs beheben.

Es lohnt sich außerdem, ein WordPress-Backup zu erstellen. So können Sie jederzeit auf alle Dateien zugreifen und Ver­än­de­run­gen eventuell rück­gän­gig machen. Auch für Zwecke der Be­weis­si­che­rung ist ein Backup eine gute Idee. Wenn Sie den Hack­an­griff zeitlich einordnen können, lässt sich außerdem auf ein Backup, das Sie vor dem Angriff erstellt haben, zu­rück­zu­grei­fen. Das geht natürlich nur, wenn Sie seitdem keine großen Ver­än­de­run­gen an Ihrer Seite vor­ge­nom­men haben.

Wenn Ihr WordPress gehackt wurde, muss das Problem gar nicht mal an der Website selbst liegen. Es kann sein, dass die An­grei­fe­rin­nen und Angreifer einen lokalen Rechner als Ein­falls­tor für den Hack genutzt haben, indem sie bei­spiels­wei­se Malware ein­ge­speist haben, die Ihre Pass­wör­ter aus­spio­niert. Un­ter­su­chen Sie deshalb unbedingt Ihren PC auf derartige Software. Vi­ren­scan­ner können Ihnen dabei helfen, Schad­soft­ware zu erkennen und zu entfernen.

Es ist außerdem wichtig, alle Pass­wör­ter zu­rück­zu­set­zen und diese durch sichere Pass­wör­ter aus­zu­tau­schen. Wenn Sie Ihr WordPress-Passwort auch bei anderen Logins verwendet haben, sollten Sie die dortigen Login-Daten ebenfalls erneuern. Ansonsten laufen Sie Gefahr, dass auch andere Ihrer Konten gehackt werden.

Zunächst sollten Sie Ihr WordPress-Admin-Passwort zu­rück­set­zen. Zudem sollten Sie Ihr SFTP-Passwort, Ihr Da­ten­bank­pass­wort und das Passwort bei Ihrem Hosting-Anbieter einer Änderung un­ter­zie­hen. Haben Sie noch weitere Admins, die auf Ihrer WordPress-Seite agieren, sollten auch diese schnellst­mög­lich ihre Pass­wör­ter verändern.

Wenn Sie auf Ihrer WordPress-Seite Admin-Konten finden, die Ihnen unbekannt sind, sollten Sie diese entfernen. Es könnte sein, dass es sich hierbei um Konten handelt, die die An­grei­fen­den erstellt haben, um Mo­di­fi­ka­tio­nen an Ihrer Website vor­zu­neh­men. Na­vi­gie­ren Sie zu „Benutzer“ und dann zu „Ad­mi­nis­tra­tor“. Entfernen Sie alle Konten aus der Liste, die Sie nicht kennen.

Updaten Sie in einem nächsten Schritt alle WordPress-Plugins und -Themes, die Sie für Ihre Seite nutzen. Unter Umständen wurde nicht Ihr WordPress gehackt, sondern lediglich eine der von Ihnen genutzten Er­wei­te­run­gen. Es lohnt sich daher, diesen Schritt vor den nach­fol­gen­den Tipps aus­zu­pro­bie­ren, um eventuell unnötige Arbeit zu sparen.

Auch die Nutzung von Themes oder Plugins, die Sie von Dritt­an­bie­tern ge­down­loa­det haben und bei denen Sie nicht wissen, wie sicher sie tat­säch­lich sind, sollten Sie über­den­ken. Am besten ist es, nur zer­ti­fi­zier­te Plugins zu verwenden und gänzlich auf Dritt­an­bie­ter-Software zu ver­zich­ten.

Es kann sein, dass die An­grei­fen­den Ver­än­de­run­gen an zentralen Dateien durch­ge­führt haben oder sogar Dateien ein­ge­schleust haben, die Ihre WordPress-Seite verändern. Um un­er­wünsch­te Dateien zu finden, kann Ihnen ein WordPress-Security-Plugin wie WordFence helfen.

Dateien, die häufig mit schäd­li­chem Code infiziert werden, sind neben der .htaccess-Datei vor allem die index.php, footer.php, function.php oder die header.php. Wenn Sie in einer dieser Dateien Ver­än­de­run­gen entdecken, sollten Sie diese unbedingt ersetzen.

Ein häufiger Grund besonders für Such­ma­schi­nen­war­nun­gen ist eine gehackte Sitemap. Daher sollten Sie Ihre sitemap.xml-Datei nach einem Hack­an­griff genauer unter die Lupe nehmen und unter Umständen neu erstellen. Es gibt hierfür bei­spiels­wei­se WordPress-SEO-Plugins, die Ihnen die Sitemap neu ge­ne­rie­ren. Trotzdem müssen Sie Such­ma­schi­nen wie Google im Anschluss manuell darüber in Kenntnis setzen, dass die Probleme Ihrer Website behoben sind, damit sie im Anschluss wieder gecrawlt wird. Dieser Vorgang kann al­ler­dings bis zu zwei Wochen in Anspruch nehmen und nicht be­schleu­nigt werden.

Wenn alle anderen Maßnahmen Ihnen nicht geholfen haben, müssen Sie den WordPress-Kern neu in­stal­lie­ren. Hierbei sollten Sie auf die Nutzung eines au­to­ma­ti­schen In­stal­lers ver­zich­ten, da dieser Ihre Datenbank über­schrei­ben würde. Statt­des­sen müssen Sie die einzelnen Dateien manuell mittels SFTP hochladen und Ihre alten Dateien über­schrei­ben.

Nicht nur nach einem Hack­an­griff, sondern ganz im All­ge­mei­nen ist es eine gute Idee, dafür zu sorgen, dass Ihre WordPress-Seite so sicher wie möglich ist. So können Sie das Risiko von Angriffen deutlich ver­rin­gern. Zwar gibt es keinen hun­dert­pro­zen­ti­gen Schutz davor, dass Ihre Website Opfer von An­grei­fen­den wird, al­ler­dings sorgt eine Kom­bi­na­ti­on ver­schie­de­ner Schutz­maß­nah­men dafür, dass die Wahr­schein­lich­keit deutlich ver­rin­gert ist. Solche Schutz­maß­nah­men sind bei­spiels­wei­se:

• Sichere Pass­wör­ter: Achten Sie darauf, sichere Pass­wör­ter zu verwenden. Nicht nur beim Merken, sondern auch beim Ge­ne­rie­ren dieser Pass­wör­ter hilft Ihnen ein Pass­wort­ma­na­ger. Auch eine Zwei-Faktor-Au­then­ti­fi­zie­rung trägt zu einer erhöhten Si­cher­heit bei.
   
• Updates: Halten Sie die von Ihnen genutzte Software auf dem neuesten Stand. Auch WordPress-Updates sollten Sie re­gel­mä­ßig in­stal­lie­ren.
   
• Löschen unnötiger Software: Wenn Sie Plugins oder Themes in­stal­liert haben, die Sie gar nicht nutzen, sollten Sie diese unbedingt löschen. Sie bieten lediglich unnötige An­griffs­flä­che.
   
• SSL/TLS: Ver­schlüs­seln Sie Ihre Website durch SSL bzw. TLS.
   
• Firewalls: Firewalls können Sie sich als eine Art Barrieren für An­grei­fen­de vor­stel­len. Wenn Sie eine Firewall für Ihre Website ein­rich­ten, reduziert auch das die Wahr­schein­lich­keit von Hacks wie etwa DDoS-Angriffen.
   
• Seriöser Hosting-Anbieter: Ein seriöser Hosting-Anbieter wie IONOS schützt seine Server best­mög­lich vor Angriffen.