„Hilfe! Meine Website wurde gehackt …“

Mich erreichen in letzter Zeit häufiger Anfragen, eine gehackte WordPress-Site wieder flott zu machen. Dabei bekomme ich oft die gleichen Fragen gestellt: Sind Inhalte verloren gegangen? Muss die Website vielleicht ganz neu aufgesetzt werden? Wie groß ist der Schaden? Sind vielleicht sogar Besucher meiner Website betroffen, z.B. wenn Kundendaten für Dritte einsehbar waren? Vor allem aber: Was macht man jetzt?

Die wichtigste Grundregel: Keine Panik. Keine übereilten Schritte.

Häufig reagieren Website-Betreiber, deren Site gehackt wurde, panisch. So kam eine Kundin erst im zweiten Anlauf zu mir – nachdem sie eine Datei gelöscht hatte, in der sie den Schadcode des Angreifers vermutete. Tatsächlich handelte es sich aber um ein Protokoll des Webhosts, in dem Veränderungen gegenüber der nicht kompromittierten Fassung festgehalten waren. Schreck hin oder her – es war wenig hilfreich, genau diese Datei zu löschen.

Statt dessen sollte man als ersten Schritt eine gehackte Website für den Zugriff durch Dritte sperren (index.html mit entsprechendem Hinweis auf Wartungsarbeiten, temporäre Umleitung aller Zugriffe auf diese Datei) und den aktuellen Status Quo festhalten (Backup).

Erster Ansprechpartner: Ihr Web-Entwickler

Der erste Ansprechpartner sollte der Entwickler der Website sein. Schließlich kennt er sich mit Ihrer Website aus, weiß, welche Plugins er aus welchem Grund verwendet hat, sollte über ein Backup eines (ggf. individualisierten) Themes für Ihre Website und Lizenzen bei gekaufter Software verfügen.

Frische Dateien statt forensischer Untersuchung

WordPress (Themes, Plugins und Uploads ausgenommen) besteht aus rund 1.200 Dateien. Eine forensische Untersuchung auf Veränderungen ist möglich (es gibt sogar Plugins, die solche Veränderungen protokollieren), lohnt sich aber in den wenigsten Fällen. Mehr noch: Bei Korrektur einzelner Dateien (Patchen) wird rasch eine Datei mit Schadcode übersehen, den der Angreifer dann für einen erneuten Angriff nutzen kann.

Statt dessen kann man WordPress sowie die Ordner der verwendeten Themes und Plugins vollständig löschen und durch frisch aus dem WordPress-Repository herunter geladene Software ersetzen. Durch das vollständige Löschen werden mit Schadcode infizierte Dateien genauso entfernt, wie Dateien, die der Angreifer als Hintertür hinzugefügt hat.

Die eigenen Uploads (also vor allem Mediendateien) müssen sorgfältig geprüft werden, denn selbst hinter vermeintlichen Bilddateien kann Schadcode stecken.

Zuletzt muss die Datenbank geprüft werden, da hier z.B. zusätzliche Nutzer eingetragen sein könnten.

Immerhin verfügt WordPress über Schutzmechanismen, die verhindern, dass PHP- oder JavaScript-Code in der Datenbank unmittelbar ausgeführt wird.

Backups sind wichtig

Einfacher ist es natürlich, wenn man eine zweifelsfrei unkompromittierte Fassung der Website aus einem Backup wiederherstellen kann. Vor allem lassen sich so mutwillige Beschädigungen wie das Löschen von Inhalten beheben.

Leider sind viele Website-Betreiber gerade bei Backups recht nachlässig. Vielleicht haben Sie in diesem Fall aber Glück und können auf das Backup Ihres Webhosts zurückgreifen.

Passwörter

Ist die Website wieder hergestellt, sollte die Website vor allem gegen künftige Angriffe abgesichert werden. Dazu gehört eine Änderung aller Passwörter vom Kundenmenü des Webhosts (einschließlich Webmailer), über FTP-Zugriff bis hin zu den Zugriffsdaten der Datenbank. Natürlich sollten auch alle WordPress-Nutzer mit neuen Passwörtern ausgestattet werden.

Sicherheit (wieder-)herstellen

Anschließend wird geprüft, ob wirklich alles für die Sicherheit der Website getan wurde. Unter dem Titel Safety First habe ich dazu einen Blogbeitrag geschrieben. Kurz gefasst: Alle verwendete Software sollte auf dem neuesten Stand sein, nur wirklich notwendige Plugins und Themes verwendet werden und eine Absicherung gegen Brute Force-Angriffe vorgenommen werden.

Sind alle Wiederherstellungsmaßnahmen abgeschlossen, Passwörter aktualisiert und nötige Maßnahmen zur Verbesserung der Sicherheit abgeschlossen, kann die eingangs eingerichtete Umleitung wieder aufgehoben und die Website der Öffentlichkeit zugänglich gemacht werden.

Eine 100%ige Sicherheit gegen Angriffe gibt es nicht. Aber wer sich mit regelmäßigen Backups absichert und einige Sicherheitsratschläge befolgt, sollte bereits weitgehend geschützt sein.