WordPress gehackt?

Ihr WordPress ist oft träge oder die Seiten laden langsamer als gewöhnlich

Werden die Seiten Ihres Wordpress-Systems aus unerfindlichem Grund langsam kann das ein Anzeichen eines sogenannten DDOS-Angriffs (DDOS="Denial-of-Service") sein. Hierbei werden von vielen Rechnern Anfragen an Ihre Seite geschickt. Sehen Sie hier im Server-Protokoll einen ungewöhnlichen Anstieg der Zugriffe kann das auf einen Angriff hinweisen. Am WordPress-System selber ist hier nichts zu tun. Sie können aber z.B. mit einem Eintrag in der .htaccess ganze Länder ausschließen. Von einem Server-Administrator habe ich bei einem Kunden z.B. diese Eintragungen vorgenommen:

# CN = China
# RU = Russland
# VN = Vietnam
# BY = Weissrussland
# KP = Nordkorea
# BR = Brasilien
# BD = Bangladesch
# Weiter Möglichkeiten:
# US = USA
# IL = Israel
<IfModule mod_geoip.c>
  GeoIPEnable On
     SetEnvIf GEOIP_COUNTRY_CODE (CN|RU|VN|BY|KP|BR|BD) BlockCountry
     Deny from env=BlockCountry
</IfModule>

Diese Einträge setzen allerdings das Apache-Modul “geoip” voraus.

Merkwürdige WordPress-Benutzerkonten

Sehen Sie in der Liste der Benutzer im WordPress-Backend Benutzer die Ihnen merkwürdig vorkommen und die Administratorrechte haben kann das auch darauf hinweisen, dass ein Bot die Seite gekapert hat. Ergibt der Name dann auch noch keinen Sinn (Buchstaben- und Zahlensalat) und sowohl Benutzername als auch Spitzname und Öffentlicher Name identisch sind würde ich sicher von einem unerlaubten Zugriff sprechen. Dieser Benutzer kann in Ihrer Seite jegliche Änderungen vornehmen. Sie können diesem erstmal die Rechte entziehen indem Sie die Administrator-Rolle entfernen bis geklärt ist wozu dieser Nutzer dienen soll. Letzendlich sollten Sie ihn natürlich löschen. Können Sie das im Backend nicht müssen Sie diesen direkt in der Datenbank löschen.

Falsche Suchergebnisse

Tauchen bei den Suchergebnissen Ihrer Seite plötzlich ein anderer Titel oder eine andere Beschreibung auf als im Wordpress-Backend angegeben haben ist auch das ein Anzeichen für eine gehackte Website. Suchen Sie Ihre eigene Seite mal bei Google mit "site:ihre-domaine.de", dann kann es sein, dass sehr weit hinten Ihre Website z.B. mit
Schlagwort: "Irgend etwas kryptisches" | Ihre Website 
auftaucht. 

Die Besuche Ihrer Website gehen plötzlich signifikant nach unten

Ein plötzlicher Rückgang Ihrer Websitebesucher ist ein weiteres Indiz. Hier könnten Ihre Besucher mit einer Malware auf andere Webseiten weitergeleitet werden. 

Oder Ihre Website wird steht bei Google auf der schwarzen Liste und wird als unsicher qualifiziert. Das können Sie mit dem Google Transparenzbericht überprüfen. 

Pop-Ups auf Ihrer Website

Hier versucht jemand mit eingeschleusten eigenen Popups Geld zu verdienen. Die Spam-Anzeigen werden auch gerne, vom Benutzer erstmal unbemerkt, in einem neuen Browserfenster angezeigt. Diese erscheinen meist nur bei den Benutzern, die über Suchmaschinen auf Ihre WordPress-Seite gelangen.

Sie finden Dateien und Skripte auf Ihrem Server die da nicht hingehören

Sie sehen meist so ähnlich aus wie die Dateien von WordPress, gehören da aber nicht hin. Das können Sie nur feststellen, wenn Sie sich mit einem FTP-Programm auf dem Server umschauen und die zu WordPress gehörenden Dateien kennen. Oft sind diese im Verzeichnis “wp-content” zu finden.
Ein Entfernen dieser Dateien hilft nur temporär, denn das eigentliche Script welches diese Dateien erzeugt oder auf Ihren Server speichert liegt ganz woanders. Spätestens ein paar Tage später liegt dort eine ähnliche Datei.

Standard-Dateien auf dem Server sind manipuliert worden

Bei einem meiner Kunden waren immer wieder in verschiedenen WordPress-Standard-Dateien Änderungen vorgenommen worden. Irgendwann bemerkten wir das in einem kleinen optischen Fehler auf der Startseite. Etliche Male hatte ich da die Änderungen wieder rückgängig gemacht, aber spätestens zwei Tage später waren die wieder da.

WordPress-E-Mails können nicht mehr gesendet oder empfangen werden

Manche Wordpress-Websites nutzen ein E-Mail-Konto zum Versenden der E-Mails (z.B. des Kontaktformulars oder wenn automatische Updates von Plugins eingestellt wurden). Es kann passieren, dass über das Wordpress das E-Mail-Konto gekapert wurde und Spam-Mails versendet werden. Unter Umständen können Sie dann keine E-Mails mehr versenden oder empfangen. 
Je länger dieser Zustand anhält, desto eher landet Ihr Server dann auf einer E-Mail-Blacklist.

Unbekannte geplante Aufgaben

Cronjobs sind Befehle, die man einem Server für regelmäßig auszuführende Arbeiten geben kann. Diese Cronjobs können auch für WordPress eingerichtet werden um z.B. geplante Beiträge zu veröfffentlichen oder den Papierkorb automatisch zu leeren. Nutzen Sie ein Plugin zur Überwachung der Aufgaben in WordPress, können Sie vielleicht in der Liste der Cronjobs in WordPress Jobs finden, die Sie nicht kennen. Das deutet auch auf eine gehackte Seite hin.

Unbekannte Links auf Ihrer Website

Hacker können sich über eine Sicherheitslücke in Ihrer WordPress-installation Zugrif auf das Backend und die Datenbank verschafft haben und dort an verschiedensten Stellen der Website Links auf Spam-Websites platziert haben.
Wenn Sie lediglich die Links entfernen werden die in bald wieder an anderer Stelle auftauchen. 

Die Startseite Ihrer Website ist zerschoßen oder hat kleinere Fehler

Entweder der Hacker hat in seinem Bot einen kleinen Fehler der in kleinen Unstimmigkeiten auf der Website zu Tage tritt oder es ist die Absicht des Hackers um Ihnen mitzuteilen, dass er Ihre Webseite gekapert hat. Er stellt dann seine eigenen Inhalte auf die Website oder wird vielleicht versuchen Sie zu erpressen.

Ihre Anmeldung bei WordPress schlägt fehl

Wenn Sie sicher sind, dass die eingegebenen Login-Daten korrekt sind sollten Sie in der Datenbank nach Ihrem Benutzernamen suchen. Ein Hacker könnte Ihr Backend-Konto gelöscht oder verändert haben. Ist Ihr Konbto gelöscht worden können Sie das Passwort auch nicht mehr zurückstellen. Man kann zwar direkt in der Datenbank ein Administrator-Konto anlegen, aber erst wenn Sie den Ursprung des gehackten WordPress eleminiert haben wird das nicht mehr passieren.

Ungewöhnliche Aktivitäten auf dem Server

In den Logdateien des Servers können Sie feststellen ob es signifikante Änderungen der Zugriffe oder Fehler auf dem Server gibt. Ein plötzlicher Anstieg oder Abfall der Zugriffe, ungewöhnlich viele Fehler auf dem Server deuten auf eine gehacktes System hin. Hier können Sie u.U. auch sehen, woher die Angriffe konmen und die IP's der Quellen aussperren.

 

Das einfachste für Sie wäre natürlich, wenn Sie Kontakt mit mir aufnehmen und ich rette dann Ihre Website. 

Wie gehe ich hier vor?

1. Erstmal schaue ich, ob ich ein Backup der Website erstellen kann. Entweder über das Backend mit dem Duplicator oder “von Hand”. Lade ich Ihre Daten via FTP herunter wird beim Fund einer infizierten Datei wahrscheinlich mein Virenscanner anschlagen. Dann weiß ich schon mal wo ich suchen muss um zumindest temporär wieder Zugriff auf die Seite zu bekommen.
2. Als Zweites schaue ich mir die Benutzer an. Sind dort verdächtige Benutzer, werden diese in Abstimmung mit Ihnen gelöscht. Bei allen verbleibenden Konten werden die Passwort geändert.
3. Dann werde ich, je nach Schwere der Infizierung erstmal alles updaten, was upzudaten geht. Die Aktualisierungsseite sollte hier ein vollständige Liste zeigen.
4. Dann installiere ich eine Firewall. Ich habe mit wordfence sehr gute Erfahrungen gemacht. Hiermit kann das gesamte WordPress nach infizierten und/oder manipulierten Dateien durchforstet werden. Die Firewall vergleicht hierzu die Sourcen des WordPress, der Theme- und Plugin-Dateien mit den originalen und schlägt dann ein Vorgehen vor (z.B. Löschen, Ignorieren o.ä.).
5. Ich schaue mir die Plugins und Themes im Backend an und stelle alles, was nicht das Frontend betrifft (z.B. YOAST-SEO, oder ein inaktives Standard-Theme auf automatisches aktualisieren. Zusätzlich sollte das WordPress selber zumindest Sicherheitsupdates automatisch machen.
6. Dann mache ich ein erneutes Backup das Systems.