Was soll ich tun, wenn WordPress gehackt wurde? Als Erstes müssen wir herausfinden, wo genau das Problem liegt.
In diesem Artikel bekommst du Lösungsansätze für konkrete Fehler und Hackingszenarien. Zusätzlich gebe ich dir wertvolle Tipps, damit deine WordPress Website nicht mehr gehackt wird.
WordPress gehackt – Was tun?
Sicherlich ist der Schock erst einmal groß, wenn du Opfer eines Hackingangriffes geworden bist. In den meisten mir bekannten Fällen ist es allerdings nie besonders schlimm gewesen und die Seite konnte mit kleinem Aufwand gerettet werden.
Aus diesem Grund empfehle ich dir, einmal tief Luft zu holen und keine vorschnelle Handlung durchzuführen. Analysiere in Ruhe das Problem und führe danach die für dein Szenario passenden Schritte durch.
Schritt 1: Problem herausfinden
Deine erste Aufgabe besteht darin, das Problem herauszufinden. Nur wenn du das konkrete Problem kennst, kannst du die entsprechenden Schritte durchführen und WordPress für die Zukunft sicherer gestalten.
Dazu möchte ich dir hier häufige WordPress Hacking Szenarien kurz erklären:
WordPress Login ist nicht mehr möglich
Du kannst dich nicht mehr in WordPress einloggen: Stelle als Erstes sicher, dass du die korrekten Zugangsdaten für den Login verwendet hast.
Wenn die Zugangsdaten nicht mehr passen, kannst du über die Datenbank dein Passwort zurücksetzen und ändern:
Anleitung: WordPress Passwort ändern
Zusätzlich solltest du alle mit deiner Website verbunden Zugänge ändern und nur noch sichere Passwörter verwenden.
Deine Website wird umgeleitet auf eine andere Seite
Bei diesem Szenario befindet sich ein Code auf deinem Webspace, der die Umleitung verursacht. Es hat also jemand über deinen Account oder via FTP Zugriff erlangt und diese Weiterleitung implementiert.
Diese Weiterleitung sollte natürlich so schnell wie möglich abgeschaltet werden, da sicherlich auf eine nicht seriöse Website weitergeleitet wird.
- Möglichkeit 1: Bitte den Support deines Hostinganbieters, diese Umleitung zu entfernen.
- Möglichkeit 2: Lösche selbst via FTP den entsprechenden Code (Mach das NUR, wenn du dich damit auskennst).
- Möglichkeit 3: Engagiere einen Spezialisten und lass dir professionell helfen.
Wichtig: Da dein ganzer Webspace betroffen sein kann und auch andere Teile mit Schadcode infiziert sein könnten, empfehle ich dir hier einen Spezialisten zu engagieren oder alles zu löschen und eine saubere Datensicherung aus der Vergangenheit einzuspielen.
Deine Website sieht ganz anders aus
In diesem Fall hast du entweder selbst einen schwerwiegenden Fehler verursacht, oder ein Hacker hat Zugriff zu WordPress, deinem FTP-Account oder zur Datenbank und die Seite entsprechend verändern.
Hier hast du folgende 2 Möglichkeiten:
- Möglichkeit 1: Engagiere einen Spezialisten und lasse dir professionell helfen.
- Möglichkeit 2: Lösche komplett alles (WordPress, FTP, Datenbank) und ändere alle Passwörter. Jetzt kannst du entweder eine saubere Datensicherung einspielen oder die Seite neue erstellen.
Schritt 2: Seite OFFLINE stellen
Sofort danach solltest du deine Website offline zu nehmen. Falls deine Seite mit einem Trojaner oder anderem Schadcode infiziert wurde, sollte niemand die Seite mehr besuchen können.
Meine Empfehlung ist es, einen htaccess-Schutz zu erstellen. Das hat den Vorteil, dass man nur mit einem Passwort auf die Seite kann. Google und Besucher sind dadurch ausgesperrt und du oder dein Programmierer kann mit diesem Passwort.
Falls du mit der Situation überfordert bist, kannst du diesbezüglich natürlich deinen Hostinganbieter kontaktieren. Der Support erklärt dir, wie du innerhalb weniger Minuten einen htaccess-Schutz einrichten kannst.
Eine Alternative dazu besteht darin, einen WordPress Wartungsmodus zu aktivieren.
Schritt 3: Seite wieder ONLINE bringen (Wenn du ein Backup hast)
Sicherlich möchtest du deine Website so schnell wie es geht wieder online bringen.
Am besten ist es natürlich, wenn du eine Datensicherung aus der jüngeren Vergangenheit hast, die du verwenden kannst. Dann ist der Aufwand überschaubar und du bist bald wieder online.
Falls du selbst keine Datensicherung gemacht hast, melde dich beim Support deines Hostinganbieters. In der Regel macht der Hoster für eine gewisse Zeit an Tagen (rückwirkend) Backups für dich.
Schritt 4: Seite neu erstellen (Falls du kein Backup hast)
Wenn du kein funktionierendes Backup hast und der Fehler nicht behoben werden kann, musst du deine WordPress Website neu erstellen.
Gerne unterstützen wir dich dabei, damit deine Website schnellstmöglich wieder online ist. Dazu haben wir einen WordPress Installationsservice, bei dem wir dir eine vorbereitetes Grundgerüst erstellen und entscheidende Sicherheitseinstellungen für dich setzen.
Empfehlung: WordPress Installationsservice
Tipp: WordPress Datensicherung
Ein WordPress Backup ist die Lebensversicherung für deine Website. Ganz egal, ob du selbst einen Fehler produziert hast oder WordPress gehackt wurde.
Durch ein Backup kannst du deine Website in der Regel einfach, problemlos und in kurzer Zeit wieder online stellen. Der Zeitaufwand ist viel geringer, als wenn du die Seite komplett neu erstellen musst.
Wie du ein funktionierendes Backup für dich einrichtest, lernst du in folgender Anleitung:
Anleitung: WordPress Backup erstellen
Grundsätzlich empfehle ich dir, eine regelmäßige Datensicherung durchzuführen. Damit meine ich mindestens 2 Sicherungen pro Monat. Wenn du umfangreiche Änderungen vornehmen möchtest, solltest davor und danach eine Datensicherung durchführen.
Sicherheit deiner WordPress Seite verbessern
Die Datensicherung ist das eine. Um zu vermeiden, dass deine WordPress Website gehackt wird, solltest du WordPress möglichst sicher gestalten. Eine hundertprozentige Sicherheit gibt es natürlich nicht, das ist klar.
Dennoch gibt es einige Anpassungen, mit denen du WordPress sicher gestalten kannst, damit WordPress nicht gehackt wird.
Login-Versuche eingrenzen
Mit dem Plugin „Limit Login Attempts Reloaded“ kannst du die Login-Versuche zum WordPress-Backend eingrenzen. Wenn du die Login versuche auf 3 reduzierst, machst du es dem Eindringling sehr schwierig, über den klassischen Weg in den Admin-Bereich zu gelangen.
Link: Plugin-Download
komplizierter Benutzername (nicht ADMIN)
Der Standardbenutzername ist in WordPress „admin“. Das ist natürlich einfach zu erraten und die meisten Website-Betreiber ändern das auch nicht ab.
Ich empfehle dir, dass du einen komplizierten Benutzernamen auswählst, den man nicht erraten kann. Am besten nutzt du wie bei Passwörtern die Kombination aus Buchstaben, Zahlen und Sonderzeichen.
Sicheres Passwort
Ein sicheres Passwort ist natürlich eine Grundvoraussetzung. Ein sicheres Passwort muss aus mindestens 12 Stellen bestehen und sollte eine Zusammensetzung aus Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen sein.
Damit sicherst du dich vor ungewollten Eindringlingen. Beachte bitte, dass das nicht nur das WordPress-Passwort zutrifft. Achte darauf, dass auch dein Datenbank- und FTP-Passwort diesen Richtlinien entspricht, damit WordPress nicht mehr gehackt wird.
Updates
Für WordPress gibt es regelmäßig Updates. Darin werden Fehler behoben und Sicherheitslücken geschlossen. Damit reduzierst du das Risiko, mit WordPress gehackt zu werden. Aus diesem Grund empfehle ich dir, WordPress-Updates regelmäßig durchzuführen.
Plugins und Themes
Es gibt tausende Plugins und Themes, mit denen du deine Website erweitern und optimieren kannst. Du solltest allerdings nur die Plugins und Themes in WordPress integriert haben, die du auch wirklich verwendest. Deinstalliere bitte alle Plugins und Themes, die du nicht verwendest. Denn darin können Sicherheitslücken enthalten sein, mit denen deine Website gehackt werden könnte.
Spam-Kommentare unterbinden
Mit dem Plugin Antispam Bee werden Spamkommentare zu fast hundert Prozent erkannt und in den Spamordner verschoben. Einmal eingerichtet, läuft das Plugin auf Autopilot.
FAQ – Fragen und Antworten
Wenn du diese Stellschrauben in WordPress sicherer gestaltest, dann ist deine Website sicherer als 90 % aller anderen, die es im Web gibt. Du kannst zwar nie ganz ausschließen, dass WordPress gehackt wird, dafür kannst du dich mit diesen Schritten für die Zukunft besser absichern.
Was kann ich tun, wenn WordPress gehackt wurde?
Am einfachsten ist es, wenn du über ein sauberes Backup (Datensicherung) verfügst. Dann kannst du die Datensicherung einspielen und alles ist wieder in Ordnung. Falls du keine Datensicherung hast, kannst du bei deinem Hostinganbieter nachfragen, ob dieser eine entsprechende Möglichkeit bietet. Die Alternative dazu besteht darin, einen Profi für die Bereinigung und Säuberung zu beauftragen.
Wie kann ich mich vor einem Hackingangriff schützen?
Dazu hast du mehrere Möglichkeiten. Verwende ein sicheres Passwort und einen komplizierten Benutzernamen. Grenze die Login-Versuche zusätzlich mit dem Plugin Limit Login Attempts Reloaded ein. Zudem empfehle ich dir, nicht verwendete Plugins und Themes zu löschen. Sehr wichtig ist es, dass du Updates und vor allem Backups regelmäßig durchführst.
Welche WordPress Sicherheitseinstellungen kann ich setzen?
Zuerst solltest du das Plugin Limit Login Attempts Reloaded installieren. Außerdem ist die Verwendung eines sicheren Passworts Pflicht. Wähle einen komplizierten Benutzernamen mit Buchstaben, Zahlen und Sonderzeichen. Erstelle außerdem mindestens zweimal im Monat eine Datensicherung.
Ist WordPress grundsätzlich sicher?
Grundsätzlich ist WordPress sicher. Aber eine 100 Prozente Sicherheit gibt es niemals. Damit deine WordPress-Website auf Dauer sicher bleibt, solltest du Updates zeitnah einspielen und regelmäßig Backups machen.