Webseite gehackt – Wie Sie eine infizierte Webseite bereinigen
Es ist die Schocknachricht schlechthin: «Ihre Webseite wurde gehackt!» Egal, ob Ihnen die schlechte Nachricht überbracht wird oder Sie selbst das Malheur entdecken, der Schrecken ist gross und sofort taucht die Frage auf: «Was mache ich jetzt?».
In Teil 1 unserer Serie erfahren Sie, die Infektion einer Webseite verhindern.
Aber erst kümmern wir uns um Ihre infizierte Webseite.
Webseite gehackt – so gehen Sie vor
1. Nehmen Sie die Webseite vom Netz!
Loggen Sie sich dazu via FTP auf Ihrem Server ein und benennen Sie das betroffene Verzeichnis um (z. B. in *****-infected). Möglicherweise hat dies Ihr Hosting-Anbieter bereits für Sie gemacht. Nun ist die Webseite nicht mehr erreichbar. Laden Sie nun eine einfache HTML-Datei mit Ihren Kontaktdaten hoch und speichern Sie diese als index.html in einem neuen Verzeichnis, das an Stelle des infizierten tritt. Ruft nun jemand Ihre Webseite auf, sieht er nur Ihre Nachricht. Die infizierte Webseite ist zu diesem Zeitpunkt komplett abgeschottet. Jetzt ist es Zeit, durchzuatmen.
Fortgeschrittene richten für die HTML-Übergangsseite den HTTP- Statuscode 503 ein, damit Suchmaschinen das Crawling vorübergehend aussetzen.
2. Schaden erfassen
Verschaffen Sie sich einen Überblick, was passiert ist. Hier kann Ihnen der Hoster helfen (z. B. wenn über Ihre Webseite Spam E-Mails versendet wurden). Ab nun müssen Sie auch wieder auf Ihre Webseite zugreifen können. Richten Sie dazu z. B. eine htaccess-Datei ein, die alle Webseitenbesucher auf die von Ihnen eingerichtete HTML-Seite weiterleitet und nur Ihnen Zugriff erlaubt (mittels IP). Auf dem Server müssen Sie das vorher umbenannte Verzeichnis wieder zugänglich machen.
Nutzen Sie WordPress, installieren Sie am besten ein Plugin, das nach Malware scannen kann, z. B. Wordfence. Einige Hacks ersetzen Ihre Beiträge durch neue mit ungewollten Links – andere Hacks wirken im Hintergrund und verändern die Funktionsweise von WordPress auf unerwünschte Art und Weise. Manche Hacks betreffen nur einzelne Komponente, andere nisten Schadcode an dutzenden Stellen ein. Mit Wordfence oder Sucuri sehen Sie relativ schnell, wo der Schaden liegt.
3. Backup erstellen
Laden Sie eine Kopie der aktuellen Webseite herunter und speichern Sie diese ab. Manchmal kann diese später nützlich sein, wenn Sie den Ursprung des Hacks genauer untersuchen möchten. Vergessen Sie bei WordPress nicht, auch die Datenbank zu sichern.
4. Webseite bereinigen
Es gibt drei Möglichkeiten, Ihre Webseite zu bereinigen. Scannen Sie zuerst Ihre Webseite mit Wordfence. Speichern Sie die Liste der infizierten Dateien. Sind nur wenige Elemente betroffen, reparieren Sie diese (siehe 4.1). Sind viele Elemente betroffen, spielen Sie entweder ein Backup zurück (4.2) oder übergeben Sie die Bereinigung einem Spezialisten (4.3).
Vermeiden Sie es unbedingt, unüberlegt Updates einzuspielen und unkoordiniert infizierte Daten zu löschen. Es kann sein, dass Sie so die Spuren des Hacks verwischen und nie herausfinden, was passiert ist.
4.1 Infizierte Elemente finden und ersetzen
Dateien im wp-admin oder wp-includes können Sie problemlos durch eine Neuinstallation bereinigen. Das gleiche gilt für Dateien in Themes oder Plugins (jeweils im wp-content Ordner). PHP-Dateien im Uploads-Ordner können Sie ebenfalls löschen, die haben dort nichts zu suchen.
Löschen Sie zuerst die zwei WordPress-Ordner wp-admin und wp-includes (nicht wp-content!) und kopieren Sie dann eine saubere WordPress-Installation (Download hier) in Ihr Verzeichnis. Machen Sie das gleiche mit allen Themes und Plugins, in dem Sie alle Files neu von wordpress.org oder Ihrem Anbieter herunterladen, den Inhalt des jeweiligen Ordners löschen und die neue Version hochladen (nicht ersetzen lassen, so bleiben schädliche Dateien allenfalls bestehen).
Prüfen Sie danach mit Wordfence, ob alle infizierten Dateien verschwunden sind. Ist die Seite sauber, geht’s weiter mit Schritt 6, ansonsten kommen 4.2 oder 4.3 zum Zug.
Überschreiben Sie niemals eine bestehende WordPress- Installation, ohne sie vorher zu löschen. Sie ersetzen zwar infizierte Dateien, solche die aber nicht zu WordPress gehören, bleiben bei diesem Vorgehen bestehen.
4.2 Webseiten bereinigen per Backup
Ist die Infektion tiefgreifend, wird Schritt 4.1 nicht ausreichen. Haben Sie ein Backup, können Sie die Seite auf einen früheren unkompromittierten Stand zurücksetzen.
Wenn Sie die Datenbank zurücksetzen, verlieren Sie alle Daten, die in der Zwischenzeit erfasst wurden. Das können Beiträge sein, aber auch Formulareinträge oder Käufe im Online Shop. Machen Sie unbedingt ein Backup und speichern Sie die Inhalte, wenn möglich in einem verbreiteten Format wie CSV, damit Sie weiterhin Zugriff auf die Daten haben.
Bedenken Sie, dass beim Zurücksetzten eines Backups die Sicherheitslücke nach wie vor vorhanden ist und Sie diese noch beheben müssen, indem Sie WordPress, alle Plugins & Themes auf die neusten Versionen aktualisieren. Fahren Sie dann mit Schritt 6 fort.
4.3 Webseiten durch Spezialisten bereinigen lassen
Steht kein Backup zur Verfügung oder würden Sie dadurch zu viele Daten verlieren, bleibt meist nur, einen Spezialisten beizuziehen, der alle infizierten Bereiche rettet. Alle grösseren Anbieter von Sicherheitsplugins bieten diesen Service an. Sie können sich in einem solchen Fall auch an uns wenden. Bitte beachten Sie unsere Öffnungszeiten. Halten Sie folgende Informationen bereit: WordPress-Zugang, FTP-Zugang und Datenbank-Zugang (besser: Zugang zum Hosting), allfällige Nachrichten des Hosters sowie alle Hinweise, die Sie zum Ablauf und der Auswirkung des Hacks haben.
5. Zugänge absichern
Ändern Sie sämtliche Passwörter aller Admin-Wordpress-Accounts und ändern Sie das Passwort des Datenbankbenutzers. Wenn Sie schon dabei sind, ändern Sie alle Salt-Werte, damit allfällige eingeloggte User ausgesperrt werden.
6. Updates
Findet Wordfence keine infizierten Daten mehr (am besten prüfen Sie mit einem zweiten Sicherheitsplugin nach), aktualisieren Sie alle Plugins und Themes sowie WordPress, falls noch nicht geschehen. Recherchieren Sie danach alle Ihre Plugins und informieren Sie sich, ob diese Sicherheitslücken aufweisen. Plugins, die seit einem halben Jahr nicht mehr aktualisiert wurden, sollten Sie schnellstmöglich ersetzen.
7. Sicherheit verstärken
Behalten Sie ein Sicherheitsplugin (aber nur eines, nicht mehrere) und lassen Sie es aktiv. Stellen Sie ein, dass Sie über Unregelmässigkeiten informiert werden (z. B. Loginversuche oder veraltete Plugins). Aktivieren Sie im neusten WordPress allenfalls die Funktion, dass Plugins automatisch aktualisiert werden (Achtung: bei komplexeren Webseite mit Online Shop o. ä. sollten Sie damit vorsichtig sein).
8. Webseite aus Blacklists entfernen
Wird Ihre Webseite gehackt, werden das früher oder später auch Google und Co. merken. Dadurch kann Ihre Webseite in Blacklists landen, die als gefährlich eingestufte Webseite auflisten. Z. B. bei Sucuri können Sie prüfen, ob Ihre Webseite entsprechend vermerkt ist. Falls dies der Fall ist, sollten Sie nach der Wiederherstellung Ihrer Webseite versuchen, den Eintrag zu löschen. In der Google Search Console beispielsweise können Sie veranlassen, dass Ihre Webseite neu gescannt wird. Ist die Seite fehlerfrei, werden allfällige Hinweise in der Google Suche entfernt.
Zu guter letzt
Wir hoffen, unser Beitrag zum Thema Webseiten-Hacks konnte Ihnen weiterhelfen. Hier kommen Sie zu Teil 1 unserer Serie, in der Sie erfahren, wie Sie eine Infektion verhindern.
Falls Sie weitere Fragen zum Thema Hacks oder Online Marketing haben, zögern Sie nicht uns zu kontaktieren.
Mehr über Webseiten-Hacks
