Webauftritt mit Wordpress oder Joomla gehackt? Was ist jetzt zu tun?

Gehackte Wordpress- oder Joomla Installationen sind alles andere als selten. Doch oft wissen die Betreiber mangels eigener, tief gehender Kenntnisse nicht was zu tun ist. Hier eine Liste, die keinen Anspruch auf Vollständigkeit erhebt - aber längst nicht nur für Wordpress gilt

  1. Daten exportieren. Sichern Sie dabei auch alle Grafiken! (und sehen Sie dabei nach, ob es wirklich Grafiken sind!)
  2. SPÄTESTENS JETZT DIE SEITE VON NETZ NEHMEN und einen http-Statuscode 503 für einen typischen temporären Fehler aussenden - sonst kann diese auch Suchmaschinen entfernt werden.
  3. In der Datenbank (nicht in der Wordpress/Joomla-Administrationsoberfläche!) untersuchen, ob weitere Accounts für die Wordpress/Joomla-Administration hinzugefügt wurden. Die sind natürlich natürlich zu löschen!
  4. Datenbank nochmals sichern (Stichwort: dump)
  5. Datenbank leeren.
  6. Datenbankpasswort ändern! - !ch habe schon Skripte von Angreifern gefunden, welche Joomla- und Wordpressinstallationen nach dem Datenbankpasswort durchsuchten!
  7. Verzeichnis des Webauftritts komplett leeren. Achten Sie auf versteckte Dateien.
  8. Wordpress oder Joomla komplett neu installieren. (Aktuelle Version!) Auf alle nicht UNBEDINGT(SIC!) nötigen Plugins verzichten.
  9. UNBEDINGT das Administrationsverzeichnis (z.B. '... /wp-admin/') von Wordpress zusätzlich mit einem anderen Passwort schützen!
  10. Durchsuchen Sie alle Daten des Exports nach Schadcode. Der kann aber verdunkelt sein. z.B. durch ein einfaches rot13.
  11. Daten zurück importieren. Grafiken zurück sichern. Denken Sie an das Ändern aller(!) Passwörter!
  12. Seite veröffentlichen. Prüfen und beobachten ob Auffälligkeiten bestehen.
  13. Künftig sehr genau darauf achten, ob eine Angreifbarkeit von Wordpress und/oder der womöglich trotz aller Warnungen immer noch verwendeten Plugins gemeldet wird. Updates dann schnellstmöglich installieren.
  14. Genau überlegen: Muss es denn für 4 - 50 Seiten das häufig erfolgreich angegriffene Wordpress oder Joomla sein?

Sie sollten auch nicht vergessen zu prüfen, ob Sie eventuell auf einem lokalem Rechner (von Ihnen benutzter PC) einen Trojaner/Keylogger haben. Das insbesondere dann, wenn die Software auf dem Webserver aktuell ist, die Reinstallation "sauber" war, aber binnen kurzer Zeit wieder gehackt wurde.

Wenn Sie hierbei Schwierigkeiten haben, so stehe ich gern zur Verfügung.


Weitere Informationen in diesem Bereich: