WordPress gehackt – was tun?

Wenn Ihre Website ohne Ihr Zutun ihr Aussehen verändert hat oder der Login bei WordPress nicht mehr funktioniert, können das Zeichen dafür sein, dass Ihre WordPress-Seite gehackt wurde. Zum Glück können Sie das Problem mit einigen Schritten beheben.

Ob eine Website gehackt wurde, kann man oft nicht direkt erkennen. Es gibt aber einige Indizien, die darauf hindeuten, dass Ihre WordPress-Seite gehackt worden ist.

• Login funktioniert nicht: Wenn Sie sich nicht mehr einloggen können, dann kann das ein Hinweis darauf sein, dass Ihre Website gehackt wurde und die Angreiferinnen und Angreifer das Passwort verändert haben. Probieren Sie jedoch zunächst, Ihr WordPress-Passwort zurückzusetzen, um sicherzugehen, dass Sie nicht nur Ihre Anmeldedaten vergessen haben.
   
• Browserwarnungen: Es kann sein, dass Ihr Browser eine Warnung ausgibt, wenn Sie probieren, auf Ihre WordPress-Website zuzugreifen. Auch das kann ein Zeichen für einen Hackangriff sein. Oftmals ist der Grund für die Warnung aber auch ein Problem mit SSL oder veralteten WordPress-Plugins.
   
• Suchmaschinenwarnungen: Ähnlich wie Browserwarnungen können auch Suchmaschinenwarnungen darauf hindeuten, dass Ihr WordPress gehackt wurde. Vor allem können derartige Warnungen auf Sitemap-Hacks hindeuten.
   
• Weiterleitungen: Wenn Sie auf Ihre Website zugreifen möchten und sofort zu einer anderen Seite weitergeleitet werden, ist auch dies ein Hinweis darauf, dass Ihre WordPress-Seite gehackt wurde. Angreiferinnen und Angreifer fügen Websites oft Skripte hinzu, die Umleitungen zu von ihnen gewählten Websites einrichten.
   
• Ihre Website sieht anders aus: Auch das Aussehen Ihrer WordPress-Seite kann ein Indiz für einen Angriff sein. Wenn Sie Änderungen feststellen, die Sie selbst oder andere Admins nicht vorgenommen haben, sollten Sie genauer hinsehen. Dabei müssen die optischen Veränderungen nicht groß sein: Auch einzelne Links zu Seiten, zu denen Sie keine Verlinkung eingerichtet haben, können auf Fremdaktivitäten hindeuten.

Es gibt verschiedene Gründe, warum Ihre WordPress-Seite Opfer eine Hackangriffs werden könnte. Die häufigsten Ursachen für Hackangriffe sind unsichere Passwörter, verwaltete Software und unsicherer Code. Wenn Sie Themes und Plugins aus unsicheren Quellen nutzen oder die von Ihnen genutzte Software nicht regelmäßig aktualisieren, können Sicherheitslücken existieren, die von Angreifenden ausgenutzt werden. Auch unseriöse Hosting-Anbieter, die ihre Server nicht gegen Angriffe von außen schützen, bilden ein mögliches Einfallstor.

Es gibt eine Reihe von Maßnahmen, die Sie ergreifen können, wenn Ihre WordPress-Seite gehackt wurde. Was genau Sie tun müssen und welche Schritte erforderlich sind, hängt nicht zuletzt von der Art des Hackangriffs ab. Wenn Ihr WordPress-Admin-Login nicht mehr funktioniert und Sie auch die Passwörter nicht mehr zurücksetzen können, lohnt es sich, zu schauen, ob Sie mit Tools wie phpMyAdmin noch auf die Inhalte Ihrer Datenbank zugreifen können.

In einem ersten Schritt sollten Sie Ihre Seite in den WordPress-Wartungsmodus versetzen oder sogar gänzlich offline nehmen. Auf diese Weise stellen Sie sicher, dass Benutzerinnen und Benutzer nicht mehr auf Ihre Website zugreifen können, solange Sie die Probleme des Hackangriffs beheben.

Es lohnt sich außerdem, ein WordPress-Backup zu erstellen. So können Sie jederzeit auf alle Dateien zugreifen und Veränderungen eventuell rückgängig machen. Auch für Zwecke der Beweissicherung ist ein Backup eine gute Idee. Wenn Sie den Hackangriff zeitlich einordnen können, lässt sich außerdem auf ein Backup, das Sie vor dem Angriff erstellt haben, zurückzugreifen. Das geht natürlich nur, wenn Sie seitdem keine großen Veränderungen an Ihrer Seite vorgenommen haben.

Wenn Ihr WordPress gehackt wurde, muss das Problem gar nicht mal an der Website selbst liegen. Es kann sein, dass die Angreiferinnen und Angreifer einen lokalen Rechner als Einfallstor für den Hack genutzt haben, indem sie beispielsweise Malware eingespeist haben, die Ihre Passwörter ausspioniert. Untersuchen Sie deshalb unbedingt Ihren PC auf derartige Software. Virenscanner können Ihnen dabei helfen, Schadsoftware zu erkennen und zu entfernen.

Es ist außerdem wichtig, alle Passwörter zurückzusetzen und diese durch sichere Passwörter auszutauschen. Wenn Sie Ihr WordPress-Passwort auch bei anderen Logins verwendet haben, sollten Sie die dortigen Login-Daten ebenfalls erneuern. Ansonsten laufen Sie Gefahr, dass auch andere Ihrer Konten gehackt werden.

Zunächst sollten Sie Ihr WordPress-Admin-Passwort zurücksetzen. Zudem sollten Sie Ihr SFTP-Passwort, Ihr Datenbankpasswort und das Passwort bei Ihrem Hosting-Anbieter einer Änderung unterziehen. Haben Sie noch weitere Admins, die auf Ihrer WordPress-Seite agieren, sollten auch diese schnellstmöglich ihre Passwörter verändern.

Wenn Sie auf Ihrer WordPress-Seite Admin-Konten finden, die Ihnen unbekannt sind, sollten Sie diese entfernen. Es könnte sein, dass es sich hierbei um Konten handelt, die die Angreifenden erstellt haben, um Modifikationen an Ihrer Website vorzunehmen. Navigieren Sie zu „Benutzer“ und dann zu „Administrator“. Entfernen Sie alle Konten aus der Liste, die Sie nicht kennen.

Updaten Sie in einem nächsten Schritt alle WordPress-Plugins und -Themes, die Sie für Ihre Seite nutzen. Unter Umständen wurde nicht Ihr WordPress gehackt, sondern lediglich eine der von Ihnen genutzten Erweiterungen. Es lohnt sich daher, diesen Schritt vor den nachfolgenden Tipps auszuprobieren, um eventuell unnötige Arbeit zu sparen.

Auch die Nutzung von Themes oder Plugins, die Sie von Drittanbietern gedownloadet haben und bei denen Sie nicht wissen, wie sicher sie tatsächlich sind, sollten Sie überdenken. Am besten ist es, nur zertifizierte Plugins zu verwenden und gänzlich auf Drittanbieter-Software zu verzichten.

Es kann sein, dass die Angreifenden Veränderungen an zentralen Dateien durchgeführt haben oder sogar Dateien eingeschleust haben, die Ihre WordPress-Seite verändern. Um unerwünschte Dateien zu finden, kann Ihnen ein WordPress-Security-Plugin wie WordFence helfen.

Dateien, die häufig mit schädlichem Code infiziert werden, sind neben der .htaccess-Datei vor allem die index.php, footer.php, function.php oder die header.php. Wenn Sie in einer dieser Dateien Veränderungen entdecken, sollten Sie diese unbedingt ersetzen.

Ein häufiger Grund besonders für Suchmaschinenwarnungen ist eine gehackte Sitemap. Daher sollten Sie Ihre sitemap.xml-Datei nach einem Hackangriff genauer unter die Lupe nehmen und unter Umständen neu erstellen. Es gibt hierfür beispielsweise WordPress-SEO-Plugins, die Ihnen die Sitemap neu generieren. Trotzdem müssen Sie Suchmaschinen wie Google im Anschluss manuell darüber in Kenntnis setzen, dass die Probleme Ihrer Website behoben sind, damit sie im Anschluss wieder gecrawlt wird. Dieser Vorgang kann allerdings bis zu zwei Wochen in Anspruch nehmen und nicht beschleunigt werden.

Wenn alle anderen Maßnahmen Ihnen nicht geholfen haben, müssen Sie den WordPress-Kern neu installieren. Hierbei sollten Sie auf die Nutzung eines automatischen Installers verzichten, da dieser Ihre Datenbank überschreiben würde. Stattdessen müssen Sie die einzelnen Dateien manuell mittels SFTP hochladen und Ihre alten Dateien überschreiben.

Nicht nur nach einem Hackangriff, sondern ganz im Allgemeinen ist es eine gute Idee, dafür zu sorgen, dass Ihre WordPress-Seite so sicher wie möglich ist. So können Sie das Risiko von Angriffen deutlich verringern. Zwar gibt es keinen hundertprozentigen Schutz davor, dass Ihre Website Opfer von Angreifenden wird, allerdings sorgt eine Kombination verschiedener Schutzmaßnahmen dafür, dass die Wahrscheinlichkeit deutlich verringert ist. Solche Schutzmaßnahmen sind beispielsweise:

• Sichere Passwörter: Achten Sie darauf, sichere Passwörter zu verwenden. Nicht nur beim Merken, sondern auch beim Generieren dieser Passwörter hilft Ihnen ein Passwortmanager. Auch eine Zwei-Faktor-Authentifizierung trägt zu einer erhöhten Sicherheit bei.
   
• Updates: Halten Sie die von Ihnen genutzte Software auf dem neuesten Stand. Auch WordPress-Updates sollten Sie regelmäßig installieren.
   
• Löschen unnötiger Software: Wenn Sie Plugins oder Themes installiert haben, die Sie gar nicht nutzen, sollten Sie diese unbedingt löschen. Sie bieten lediglich unnötige Angriffsfläche.
   
• SSL/TLS: Verschlüsseln Sie Ihre Website durch SSL bzw. TLS.
   
• Firewalls: Firewalls können Sie sich als eine Art Barrieren für Angreifende vorstellen. Wenn Sie eine Firewall für Ihre Website einrichten, reduziert auch das die Wahrscheinlichkeit von Hacks wie etwa DDoS-Angriffen.
   
• Seriöser Hosting-Anbieter: Ein seriöser Hosting-Anbieter wie IONOS schützt seine Server bestmöglich vor Angriffen.