WordPress Website gehackt – Soforthilfe & wertvolle Tipps

Hilfe, meine WordPress Website wurde gehackt! Was soll ich tun, wenn WordPress gehackt wurde? In diesem Artikel bekommst du eine Soforthilfe und Lösungsansätze für verschiedene Szenarien

WordPress gehackt – Was tun?

Sicherlich ist der Schock erst einmal groß, wenn du Opfer eines Hackingangriffes geworden bist. In den meisten mir bekannten Fällen ist es allerdings nie besonders schlimm gewesen und die Seite konnte mit kleinem Aufwand gerettet werden.

Aus diesem Grund empfehle ich dir, einmal tief Luft zu holen und keine vorschnelle Handlung durchzuführen. Analysiere in Ruhe das Problem und führe danach die für dein Szenario passenden Schritte durch.

Wichtig:
Ändere sofort alle Passwörter, die mit der Website zusammenhängen (Hosting, WordPress, FTP, Datenbank)

Einfachste Lösung: Ein WordPress Backup

Die einfachste Lösung besteht darin, ein WordPress Backup einzuspielen. Das funktioniert natürlich nur, wenn du eine Datensicherung der Seite vor dem Angriff hast. In diesem Fall kannst du alles bestehende löschen und die alte Sicherung wieder einspielen.

Tipp:
Falls du selbst kein Backup hast, solltest du als Erstes mit deinem Hoster sprechen. Ein professioneller Provider macht in der Regel ein Backup deines kompletten Servers täglich für 14 Tage rückwirkend. Aus diesem Grund solltest du vor allem schnell handeln, dein Anbieter wird dich hier sicherlich unterstützen.

Problem 1: WordPress Login ist nicht mehr möglich

Falls ein Login mit deinen Zugangsdaten nicht mehr möglich ist, kannst du das Passwort über die Datenbank zurücksetzen. Über das Rücksetzen kannst du dich wieder im WordPress Backend anmelden und weitere Schritte unternehmen.

Anleitung: WordPress Passwort zurücksetzen

Wichtig:
Dein neues Passwort sollte natürlich möglichst sicher sein. Achte darauf, dass es folgende Kriterien erfüllt:

• Mindestens 14 Zeichen
• Großbuchstaben
• Kleinbuchstaben
• Zahlen
• Sonderzeichen

Problem 2: Deine Website wird umgeleitet auf eine andere Seite

Bei diesem Szenario befindet sich ein Code auf deinem Webspace, der die Umleitung verursacht. Es hat also jemand über deinen Account oder via FTP Zugriff erlangt und diese Weiterleitung implementiert.

Diese Weiterleitung sollte natürlich so schnell wie möglich abgeschaltet werden.

• Möglichkeit 1: Bitte den Support deines Hostinganbieters, diese Umleitung zu entfernen.
• Möglichkeit 2: Lösche selbst via FTP den entsprechenden Code (Mach das NUR, wenn du dich damit auskennst).
• Möglichkeit 3: Engagiere einen Spezialisten und lass dir professionell helfen.

Wichtig: Da dein ganzer Webspace betroffen sein kann und auch andere Teile mit Malware infiziert sein könnten, empfehle ich dir hier einen Spezialisten zu engagieren oder alles zu löschen und eine saubere Datensicherung aus der Vergangenheit einzuspielen.

Problem 3: Deine Website sieht ganz anders aus

In diesem Fall hast du entweder selbst einen schwerwiegenden Fehler verursacht, oder ein Hacker hat Zugriff zu WordPress, deinem FTP-Account oder zur Datenbank und die Seite entsprechend verändern.

Hier hast du folgende 2 Möglichkeiten:

• Möglichkeit 1: Engagiere einen Spezialisten und lasse dir professionell helfen.
• Möglichkeit 2: Lösche komplett alles (WordPress, FTP, Datenbank) und ändere alle Passwörter. Jetzt kannst du entweder eine saubere Datensicherung einspielen oder die Seite neu erstellen.

Tipp: Seite OFFLINE stellen

Wenn deine Website mit einer Malware oder mit einem Trojaner infiziert wurde, sollte sie so schnell es geht vom Netz genommen werden.

Ansprechpartner Nummer 1 ist dein Hostinganbieter. Er kennt solche Situationen und kann dir dabei in der Regel schnell helfen. Anschließend kannst du dir darüber Gedanken machen, was die beste Vorgehensweise ist.

1. Das einfachste ist natürlich ein funktionierendes und sauberes Backup.
2. Du kannst einen Spezialisten für das Säubern beauftragen.
3. Du kannst die Website komplett neu erstellen.

Tipp: WordPress Datensicherung

Ein WordPress Backup ist die Lebensversicherung für deine Website. Ganz egal, ob du selbst einen Fehler produziert hast oder WordPress gehackt wurde.

Durch ein Backup kannst du deine Seite in der Regel einfach, problemlos und in kurzer Zeit wieder online stellen. Der Zeitaufwand ist viel geringer, als wenn du die Seite komplett neu erstellen musst.

Wie du ein funktionierendes Backup für dich einrichtest, lernst du in folgender Anleitung:

Anleitung: WordPress Backup erstellen

Grundsätzlich empfehle ich dir, eine regelmäßige Datensicherung durchzuführen. Damit meine ich mindestens 2 Sicherungen pro Monat. Wenn du umfangreiche Änderungen vornehmen möchtest, solltest davor und danach eine Datensicherung durchführen.

Sicherheit deiner WordPress Seite verbessern

Um zu vermeiden, dass deine WordPress Webseite in Zukunft gehackt wird, solltest du WordPress möglichst sicher gestalten.

Login-Versuche eingrenzen

Mit dem Plugin „Limit Login Attempts Reloaded“ kannst du die Login-Versuche zum WordPress-Backend eingrenzen. Wenn du die Login Versuche auf 3 reduzierst, machst du es dem Eindringling sehr schwierig, über den klassischen Weg in den Admin-Bereich zu gelangen.

Link: Plugin-Download

Komplexer Benutzername (nicht ADMIN)

Der Standardbenutzername ist in WordPress „admin“. Das ist natürlich einfach zu erraten und die meisten Website-Betreiber ändern das auch nicht ab.

Ich empfehle dir, dass du einen komplizierten Benutzernamen auswählst, den man nicht erraten kann. Am besten nutzt du wie bei Passwörtern die Kombination aus Buchstaben, Zahlen und Sonderzeichen.

Link: WordPress Username ändern

Sicheres Passwort

Ein sicheres Passwort ist natürlich eine Grundvoraussetzung. Ein sicheres Passwort muss aus mindestens 12 Stellen bestehen und sollte eine Zusammensetzung aus Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen sein.

Damit sicherst du dich vor ungewollten Eindringlingen. Beachte bitte, dass das nicht nur das WordPress-Passwort zutrifft. Achte darauf, dass auch dein Datenbank- und FTP-Passwort diesen Richtlinien entspricht, damit WordPress nicht mehr gehackt wird.

Updates

Für WordPress gibt es regelmäßig Updates. Darin werden Fehler behoben und Sicherheitslücken geschlossen. Damit reduzierst du das Risiko, mit WordPress gehackt zu werden. Aus diesem Grund empfehle ich dir, WordPress-Updates regelmäßig durchzuführen.

Plugins und Themes

Es gibt tausende Plugins und Themes, mit denen du deine Website erweitern und optimieren kannst. Du solltest allerdings nur die Plugins und Themes in WordPress integriert haben, die du auch wirklich verwendest. Deinstalliere bitte alle Plugins und Themes, die du nicht verwendest. Denn darin können Sicherheitslücken enthalten sein, mit denen deine Website gehackt werden könnte.

Spam-Kommentare unterbinden

Mit dem Plugin Antispam Bee kannst du in WordPress Spam-Kommentare herausfiltern. Das spart dir Zeit und schützt dich vor Schadcode in Kommentaren.

FAQ – Fragen und Antworten

Was kann ich tun, wenn WordPress gehackt wurde?

Am einfachsten ist es, wenn du über ein sauberes Backup (Datensicherung) verfügst. Dann kannst du die Datensicherung einspielen und alles ist wieder in Ordnung. Falls du keine Datensicherung hast, kannst du bei deinem Hostinganbieter nachfragen, ob dieser eine entsprechende Möglichkeit bietet. Die Alternative dazu besteht darin, einen Profi für die Bereinigung und Säuberung zu beauftragen.

Wie kann ich mich vor einem Hackingangriff schützen?

Dazu hast du mehrere Möglichkeiten. Verwende ein sicheres Passwort und einen komplizierten Benutzernamen. Grenze die Login-Versuche zusätzlich mit dem Plugin Limit Login Attempts Reloaded ein. Zudem empfehle ich dir, nicht verwendete Plugins und Themes zu löschen. Sehr wichtig ist es, dass du Updates und vor allem Backups regelmäßig durchführst.

Welche WordPress Sicherheitseinstellungen kann ich setzen?

Zuerst solltest du das Plugin Limit Login Attempts Reloaded installieren. Außerdem ist die Verwendung eines sicheren Passworts Pflicht. Wähle einen komplizierten Benutzernamen mit Buchstaben, Zahlen und Sonderzeichen. Erstelle außerdem mindestens zweimal im Monat eine Datensicherung.

Ist WordPress grundsätzlich sicher?

Grundsätzlich ist WordPress sicher. Aber eine 100 Prozente Sicherheit gibt es niemals. Damit deine WordPress-Website auf Dauer sicher bleibt, solltest du Updates zeitnah einspielen und regelmäßig Backups machen.