Jetzt ist es doch passiert? Deine WordPress-Seite(n) wurde(n) gehackt. Was nun? Was tun?
Die allererste Regel
K E I N E – P A N I K
Es ist besser jetzt Ruhe zu bewahren und keine voreiligen Handlungen zu vollziehen. Wenn ihr im Nachhinein nachvollziehen wollt, wie der Eindringling eure Seit kapern konnte, dann braucht ihr alle Informationen.
Komplettes Dateien-Backup erstellen
Als erstes ALLE Dateien sichern, die auf eurem Webspace vorhanden sind. Wer schon einen Zugriff mit einem FTP-Client hat, sollte ihn jetzt nutzen und ALLE Dateien runter laden. Wer keinen FTP-Client hat, kann auch über den Web-Zugriff eures Providers auf alle Ordner und Dateien zugreifen.
Komplettes Datenbank Backup erstellen
Als nächstes solltet ihr ein Datenbank (DB) Backup erstellen. Hierzu benötigt ihr einen Zugriff eures Providers, meist mit Hilfe von MyPHPAdmin. Dort sollte sich ein Reiter befinden, der Export heisst. In diesem Bereich kann man die komplette Datenbank mit allen Tabellen in eine SQL-Datei exportieren und auf den Rechner laden.
Entscheidung treffen, ob ihr eine komplette Neuinstallation oder eure aktuelle WordPressinstallation bereinigen wollt.
Aktuelle WordPressinstallation bereinigen
Alle Plugins deinstallieren, die entbehrlich sind und eventuell den Angriff zuließen. Es sollten bei einer guten WordPressinstallation nicht mehr als 10 Plugins installiert sein. Bei der Wahl der Plugins sollte man auch darauf achten, das diese regelmäßige Updates erhalten und auch von vielen genutzt werden. Denkt daran, die “überflüssigen” Plugins zu löschen, nicht nur zu deaktivieren !!
Anti-Malware from GOTMLS.NET Plugin installieren
Dieses Plugin solltet ihr dennoch installieren, denn es hilft euch, eure WordPressinstallation zu behalten, so wie sie ist. Es scannt alle Dateien und die komplette Datenbank und bereinigt anschliessend alle Funde. Ihr müsst euch dazu registrieren lassen, mit eurer Mail-Adresse und eurem Namen. Das geschieht alles innerhalb eurer WordPressinstallation. Nach der Registrierung die neuen Definitionen herunterladen und anschliessend auf Full scan klicken. Das kann eine Weile dauern, weil wirklich ALLE Dateien (mit Ausnahme von Bilddateien und weiteren Dateien, die keinen ausführbaren Code enthalten können) durchsucht werden. Deswegen ist es auch wichtig, vorher alle überflüssigen Plugins und auch den Cache zu löschen !!!!
Nachdem der Full scan erledigt ist, werden die Fundorte angezeigt. Mit einem Klick könnt ihr ALLE Funde bereinigen lassen.
Ihr seit noch nicht fertig. Als nächstes überprüfen aller Benutzer
Schaut im Bereich Benutzer nach, ob es zusätzliche Benutzer gibt, die ihr nicht erzeugt habt. Löscht diese. Anschließend solltet ihr allen Benutzern neue Passwörter geben. Wenn mehrere Benutzer nötig sind, dann auf minimale Rollenberechtigungen reduzieren (nicht alle müssen Administrator sein). Überprüfen ob Benutzer “Zusatzberechtigungen” haben z.B. can_usePHP oder ähnliches. Wenn diese zusätzliche Berechtigungsrolle nicht gelöscht werden kann, den Benutzer löschen und neu erstellen. Wenn dieser Benutzer der einzige Administrator ist, dann einen DUMMY Admin anlegen und sich mit diesem anmelden. Den eigentlichen Admin löschen (eventuell vorhandene Artikel auf den DUMMY Benutzer übertragen lassen). Den gerade gelöschten Admin erneut anlegen und sich danach mit diesem Account anmelden. Zu guter Letzt den DUMMY Benutzer löschen und eventuell vorhandene Artikel übertragen lassen.
Ändern der Keys und Salt Einträge in der wp-config.php
Es gibt noch einen weiteren wichtigen Punkt, ihr solltet die WordPress-Salts und Sicherheitsschlüssel in der wp-config.php ändern. In der wp-config.php findet ihr folgende Einträge:
define(‘AUTH_KEY’
define(‘SECURE_AUTH_KEY’
define(‘LOGGED_IN_KEY’
define(‘NONCE_KEY’
define(‘AUTH_SALT’
define(‘SECURE_AUTH_SALT’
define(‘LOGGED_IN_SALT’
define(‘NONCE_SALT’
gefolgt von 64 wahllosen Zeichenfolgen. WordPress nutzt diese Zeichenfolgen, um das WordPress-Login auf den jeweiligen Rechnern, wo ihr euch anmeldet als Cookie abzulegen. Da das Passwort natürlich nicht im Klartext abgelegt werden soll, wird es mit Hilfe dieser Einträge verschlüsselt. Wer im Besitz dieser Schlüssel und Salts ist, kann eurer Passwort entschlüsseln !!!! Ihr könnt diese Einträge selber erzeugen, indem ihr auf die Seite WordPress Salt-Generator geht und euch die angezeigten Werte kopiert und so in die wp-config.php anstelle der schon vorhandenen einfügt.
Ein letzter Punkt: Passwörter eures FTP Zugangs erneuern
Da ihr bestimmt nicht 100% wisst, wie der Angreifer in eurer System eingedrungen ist, solltest ihr alle FTP Passwörter aller FTP Benutzer erneuern.
Komplette Neuinstallation
Eure WordPress Seite vom Netz nehmen
Hier gibt es auch zwei Ansätze. Der eine ist, eure Seite komplett unsichtbar zu machen oder eine “maintenance” Seite einzurichten. Komplett unsichtbar machen: Stellte eine FTP Verbindung über euren FTP Client her und tragt in der .htaccess folgendes ein:
deny from all
Damit sperrt man jeglichen Internetverkehr zu eurer Seite.
Das bedeutet auch, dass man selber keinen Zugriff mehr über den Webbrowser hat. Man kann das entschärfen, indem man die eigene IP Adresse mit allow from xxx.xxx.xxx.xxx einträgt. Dazu müsste man diese erst ermitteln, am besten über www.wieistmeineip.de oder im Router nachschauen oder über die Windows Konsole (cmd) mit ipconfig /all
Eine “maintenance” Seite einrichten? Erstellt eine Datei mit Namen .maintenance in eurem Rootverzeichnis (da wo auch die .htaccess Datei liegt) und tragt folgendes ein:
<?php $upgrading = time(); ?>
Alle Dateien löschen
Da ihr im Vorfeld ALLE Dateien und Ordner schon runtergeladen hattet, könnt ihr jetzt ALLE Dateien und Ordner auf eurem Webspace löschen.
Die Datenbank löschen
Aber nur dann, wenn ihr eine eigene Datenbank nur für diese WordPressinstallation habt. Mit Hilfe eures Zugangs durch den Provider solltet ihr die Datenbank löschen können.
WordPress neu installieren.
Hierzu brauche ich sicher nichts zu schreiben, da ihr das ja mindestens schon einmal selbst gemacht habt.
Zum Schluss nicht vergessen den Eintrag aus der .htaccess zu entfernen.
Wer trotzdem noch Fragen hat, kann sich gerne über die Kommentarfunktion melden. Euer John