WordPress ist eine sichere Software – eigentlich! Denn bevor die nächste WordPress-Version für die Allgemeinheit freigegen wird, wird diese auf Sicherheitslücken untersucht und von der Community in der Alpha und Betaphase ausreichend getestet. Es gibt jedoch ein ABER:

WordPress kann nur sicher sein, wenn auch wirklich stets jedes Plugin, Theme und WordPress selbst aktualisiert werden. Veraltete Installationen können durchaus unentdeckte und versteckte Sicherheitslücken beeinhalten.

Und auch der übermäßige Einsatz von Plugins kann zu Sicherheitslücken führen. Denn die Plugins werden in aller Regel nicht von WordPress direkt entwickelt, sondern von der treuen Fangemeinde. Da bleibt es nicht aus, dass ein Entwickler eine Lücke übersieht – oder sich gar 2 unabhängige, im Einsatz befindliche Plugins in Kombination unbeabsichtigt ein Scheunentor für Angriffe öffnen.

Aber selbst wenn die Website gehackt wurde und die Domain nicht mehr ordnungsgemäß erreichbar ist, ist die Bereinigung einer WordPress-Website meist relativ einfach zu bewerkstelligen:

1) Sicherung elementarer Dateien

Zunächst sollte mindestens folgende Dateien lokal gesichert werden:

  • wp-config.php
  • .htaccess („vestecke Dateien anzeigen“ muss im FTP-Programm aktiv sein)
  • /wp-content inkl. aller Dateien und Unterverzeichnisse

ACHTUNG Apple-Nutzer: benne die .htaccess vorher in xhtaccess (oder so, auf jeden Fall ohne führenden Punkt, denn sonst siehst du die .htaccess auf Deinem Mac später nicht mehr – oder du musst dann auf dem MAC einige Verrenkungen anstellen)

HINWEIS: Solltest du einen Virenscanner auf deinem PC/MAC installiert haben, wird dieser möglicherweise gleich ordentlich Alarm schlagen. Das ist gut und keine Angst, in der Regel beschädigen diese Dateien deinen PC/MAC nicht direkt – auf dem Webserver stellen diese Dateien jede Menge Unfug an, aber auf dem PC/MAC fehlt diesen dazu in aller Regel die Plattform.

Dennoch darfst du alles was bemängelt wird, brav in Quarantäne verschieben lassen.

2) FTP-Verzeichnis der WP-Installation löschen:

Das entsprechende (Unter-)Verzeichnis deines WordPress-Blogs kann nun ganz in Ruhe gelöscht werden. Achte darauf, dass du das richtige Verzeichnis löschst, dafür aber vollständig.

HINWEIS: Solltest Du mehrere Projekte auf diesem Webpaket haben, solltest du später auch die anderen Verzeichnisse durchsehen. Alles was in einem Webpaket liegt, kann potentiell auch Verzeichnnisübergreifen attakiert worden sein. Daher lieber: Ein Projekt => ein Webpaket.

3) Frische WordPress-Installation

Wir besorgen uns eine frische WordPressversion und und übertragen diese entpackten Daten, wie hier beschrieben in das zuvor geleerte Verzeichnis.

ACHTUNG:
Nicht den Ordner „WordPress“ aus dem ZIP übertragen, sondern nur dessen Inhalte… 😉

4) Die wp-config.php zurückspielen

Lade die zuvor gesicherte wp-config.php und die .htaccess aus Schritt 1 wieder in das FTP-Verzeichnis zurück.

5) Dein WordPress sollte nun wieder laufen

Zwar wird wohl nicht dein altes Theme verwendet werden, sondern das Standard-Theme von WordPress, aber du wirst sehen: Alles ist schon fast wieder gut.

6) Rückladen von /wp-content

Nun! Das ist im Prinzip der heikelste Punkt. Denn in /wp-content befinden sich die Unterverzeichnisse

  • /themes
  • /plugins
  • /uploads

/plugins

Meist befindet sich der Grund für deine gehackte Domain innerhalb dieser Verzeichnisse. Ich empfehle daher, dir alle Plugins zu merken / zu notieren und NICHT neu hochzuladen. Verwende dafür lieber das WP-Backend und installiere die Plugins darüber frisch und neu. Keine Angst, die Einstellungen der Plugins werden i.d.R. dabei nicht gelöscht (die Einstellungen der Plugins stehen in der Datenbank und die haben wir ja nicht mal annähernd angefasst).

/uploads

Bei /uploads sollten eigentlich nur Mediadateien (.gif, .png, .jpg, .mp4, .mov…) zu finden sein, möglicherweise eine index.php – die aber bis auf den flotten Spruch <? //silence is golden ?> leer sein sollte. Andere Dateien sollten dort eigentlich nicht liegen – daher hier genau schauen, was ggf. noch rumliegt. Gerade dann wenn der Dateiinhalt mit eval oder base64 bestückst ist, wird das wohl eine „böse Datei“ sein, die du vorerst nicht zurück übertragen solltest.

/themes

Hier solltest Du alle .php und .js Dateien überprüfen. Insbesondere zwischen alphanummerischen Kommentarten (Nicht gemeint sind glaubwürde Kommentar wie <!–ein Hinweis, some Notice –>) sondern solche wie diese:

<!–ae43321–>
….
<!–//ae43321–>

in diesen befindet sich meist nur Schadcode. Warum die „Hacker“ so nett sind, diesen Kommentar zu hinterlassen ist nicht ganz klar, aber es macht das Auffinden von Schadcod in aller Regel etwas einfacher 😉

Wenn Du Dir dabei aber unsicher bist und deine WordPress-Domain gehackt wurde, dann kannst du uns auch gerne informieren, wir helfen weiter und nennen dir mögliche Hilfestellungen bzw. Ansprechpartner.