Wie man eine gehackte WordPress-Website mit Wordfence säubert

Wenn Ihre Website gehackt wurde, geraten Sie nicht in Panik.

In diesem Artikel wird beschrieben, wie Sie Ihre Website säubern können, wenn sie gehackt und mit bösartigem Code, Backdoors, Spam, Malware oder anderen Schädlingen infiziert wurde. Dieser Artikel wurde am 27. August 2019 mit zusätzlichen Ressourcen aktualisiert, die bei der Beseitigung bestimmter Infektionsarten helfen. Dieser Artikel wurde von Mark Maunder, dem Gründer von Wordfence, verfasst. Ich bin auch ein anerkannter Sicherheitsforscher und WordPress-Entwickler und besitze und betreibe viele meiner eigenen WordPress-Websites, einschließlich dieser. Auch wenn Sie nicht mit WordPress arbeiten, finden Sie in diesem Artikel mehrere Tools, die Ihnen helfen können, Ihre Website von einer Infektion zu befreien.

Wenn Sie mit WordPress arbeiten und gehackt wurden, können Sie Wordfence verwenden, um einen Großteil des bösartigen Codes von Ihrer Website zu entfernen. Mit Wordfence können Sie Ihre gehackten Dateien mit den ursprünglichen WordPress-Kerndateien und den Originalkopien von WordPress-Themes und Plugins im Repository vergleichen. Wordfence zeigt Ihnen, was sich geändert hat, und gibt Ihnen die Möglichkeit, Dateien mit einem Klick zu reparieren und andere Maßnahmen zu ergreifen.

Wenn Sie vermuten, dass Sie gehackt wurden, stellen Sie zunächst sicher, dass Sie tatsächlich gehackt wurden. Manchmal melden sich bei uns panische Website-Administratoren, die glauben, sie seien gehackt worden, obwohl sich ihre Website nur schlecht verhält, ein Update schief gelaufen ist oder ein anderes Problem auftritt. Manchmal sehen Website-Besitzer Spam-Kommentare und können nicht zwischen diesen und einem Hack unterscheiden.

Ihre Website wurde gehackt, wenn:

• Sie Spam in der Kopf- oder Fußzeile Ihrer Website sehen, der Werbung für Dinge wie Pornografie, Drogen, illegale Dienstleistungen usw. enthält. Oft wird diese Werbung ohne Rücksicht auf die Darstellung in den Inhalt Ihrer Seite eingefügt, so dass sie als dunkler Text auf dunklem Hintergrund erscheint und für das menschliche Auge kaum sichtbar ist (aber die Suchmaschinen können sie sehen).
• Sie führen eine site:example.com-Suche (ersetzen Sie example.com durch Ihre Website) bei Google durch und sehen Seiten oder Inhalte, die Sie nicht erkennen und die bösartig aussehen.
• Sie erhalten Berichte von Ihren Nutzern, dass sie auf eine bösartige oder spammige Website umgeleitet werden. Achten Sie besonders darauf, denn viele Hacks erkennen, dass Sie der Website-Administrator sind, und zeigen Ihnen nichts Spammiges, sondern nur Ihren Besuchern oder den Crawlern der Suchmaschinen Spam an.
• Sie erhalten einen Bericht von Ihrem Hosting-Provider, dass Ihre Website etwas Böses oder Spammiges tut. Wenn Ihr Hoster Ihnen zum Beispiel mitteilt, dass er Berichte über Spam-E-Mails erhält, die einen Link zu Ihrer Website enthalten, kann dies bedeuten, dass Sie gehackt wurden. In diesem Fall versenden die Hacker Spam von irgendwoher und benutzen Ihre Website als Link, um Besucher auf eine eigene Website umzuleiten. Sie tun dies, weil ein Link zu Ihrer Website Spam-Filter umgeht, während ein Link zu ihrer eigenen Website in Spam-Filtern hängen bleibt.
• Wordfence erkennt viele dieser Probleme und andere, die ich hier nicht erwähnt habe, also achten Sie auf unsere Warnungen und reagieren Sie entsprechend.

Sichern Sie Ihre Website jetzt. Hier ist der Grund:

Wenn Sie festgestellt haben, dass Sie gehackt wurden, sichern Sie Ihre Website sofort. Verwenden Sie FTP, das Backup-System Ihres Hosting-Anbieters oder ein Backup-Plugin, um eine Kopie Ihrer gesamten Website herunterzuladen. Der Grund dafür ist, dass viele Hosting-Anbieter Ihre gesamte Website sofort löschen, wenn Sie melden, dass sie gehackt wurde, oder wenn sie bösartige Inhalte entdecken. Das klingt verrückt, ist aber in manchen Fällen Standard, um zu verhindern, dass andere Systeme im Netzwerk infiziert werden.

Sichern Sie auch die Datenbank Ihrer Website. Die Sicherung Ihrer Dateien und Ihrer Datenbank sollte Ihre erste Priorität sein. Wenn Sie dies erledigt haben, können Sie sicher zum nächsten Schritt der Säuberung Ihrer Website übergehen, in der Gewissheit, dass Sie zumindest eine Kopie Ihrer gehackten Website haben und nicht alles verlieren werden.

Was Sie wissen sollten, bevor Sie eine gehackte WordPress-Site säubern:

Hier sind die Grundregeln für die Säuberung Ihrer Site:

• In der Regel können Sie alles im Verzeichnis wp-content/plugins/ löschen, ohne Daten zu verlieren oder Ihre Site zu zerstören. Der Grund dafür ist, dass es sich dabei um Plugin-Dateien handelt, die Sie neu installieren können. WordPress erkennt automatisch, wenn Sie ein Plugin gelöscht haben, und deaktiviert es. Stellen Sie nur sicher, dass Sie ganze Verzeichnisse in wp-content/plugins löschen und nicht nur einzelne Dateien. Wenn Sie zum Beispiel das Wordfence-Plugin löschen möchten, müssen Sie wp-content/plugins/wordfence und alles in diesem Verzeichnis einschließlich des Verzeichnisses selbst löschen. Wenn Sie nur ein paar Dateien eines Plugins löschen, kann das dazu führen, dass Ihre Website nicht mehr funktioniert.
• In der Regel haben Sie nur ein Theme-Verzeichnis, das für Ihre Website im Verzeichnis wp-content/themes verwendet wird. Wenn Sie wissen, welches das ist, können Sie alle anderen Theme-Verzeichnisse löschen. Wenn Sie ein „Child-Theme“ haben, verwenden Sie möglicherweise zwei Verzeichnisse in wp-content/themes.
• Die Verzeichnisse wp-admin und wp-includes werden sehr selten mit neuen Dateien gefüllt. Wenn Sie also etwas Neues in diesen Verzeichnissen finden, ist die Wahrscheinlichkeit hoch, dass es bösartig ist.
• Achten Sie auf alte WordPress-Installationen und Backups. Wir sehen oft infizierte Websites, bei denen jemand sagt: „Aber ich habe meine Website auf dem neuesten Stand gehalten und ein Sicherheits-Plugin installiert, warum wurde ich dann gehackt?“ Manchmal kommt es vor, dass Sie oder ein Entwickler eine Kopie aller Dateien Ihrer Website in einem Unterverzeichnis wie /old/ sichern, das über das Internet zugänglich ist. Diese Sicherungskopie wird nicht gepflegt, und obwohl Ihre Hauptseite sicher ist, kann ein Hacker dort eindringen, sie infizieren und über die Hintertür, die er eingebaut hat, auf Ihre Hauptseite zugreifen. Lassen Sie also niemals alte WordPress-Installationen herumliegen, und wenn Sie doch gehackt werden, überprüfen Sie diese zuerst, da sie wahrscheinlich voller Malware sind.

Ein paar nützliche Tools:

Wenn Sie SSH-Zugang zu Ihrem Server haben, melden Sie sich an und führen Sie den folgenden Befehl aus, um alle Dateien zu sehen, die in den letzten zwei Tagen geändert wurden. Beachten Sie, dass der Punkt das aktuelle Verzeichnis angibt. Dies veranlasst den folgenden Befehl, das aktuelle Verzeichnis und alle Unterverzeichnisse nach kürzlich geänderten Dateien zu durchsuchen. (Um herauszufinden, welches Ihr aktuelles Verzeichnis in SSH ist, geben Sie ‚pwd‘ ohne Anführungszeichen ein).

find . -mtime -2 -ls

Oder Sie können ein bestimmtes Verzeichnis angeben:

find /home/yourdirectory/yoursite/ -mtime -2 -ls

Oder Sie können die Suche so ändern, dass Dateien angezeigt werden, die in den letzten 10 Tagen geändert wurden:

find /home/yourdirectory/yoursite/ -mtime -10 -ls

Wir schlagen vor, dass Sie die obige Suche durchführen und die Anzahl der Tage schrittweise erhöhen, bis Sie geänderte Dateien sehen. Wenn Sie selbst nichts geändert haben, seit Sie gehackt wurden, ist es sehr wahrscheinlich, dass Sie die Dateien sehen, die der Hacker geändert hat. Sie können sie dann selbst bearbeiten, um den Hack zu bereinigen. Dies ist bei weitem die effektivste und einfachste Methode, um herauszufinden, welche Dateien infiziert wurden, und sie wird von jedem professionellen Website-Reinigungsdienst verwendet.

Ein weiteres nützliches Werkzeug in SSH ist „grep“. Um zum Beispiel nach Dateien zu suchen, die base64 enthalten (häufig von Hackern verwendet), können Sie den folgenden Befehl ausführen:

grep -ril base64 *

Dies listet nur die Dateinamen auf. Sie können die Option „l“ weglassen, um den tatsächlichen Inhalt der Datei zu sehen, in der die base64-Zeichenfolge vorkommt:

grep -ri base64 *

Denken Sie daran, dass „base64“ auch in legalem Code vorkommen kann. Bevor Sie etwas löschen, sollten Sie sich vergewissern, dass Sie nicht eine Datei löschen, die von einem Thema oder Plugin auf Ihrer Website verwendet wird. Eine verfeinerte Suche könnte folgendermaßen aussehen:

grep --include=*.php -rn . -e "base64_decode"

Dieser Befehl durchsucht alle Dateien, die mit .php enden, rekursiv nach der Zeichenfolge „base64_decode“ und gibt die Zeilennummer aus, damit Sie den Kontext, in dem die Zeichenfolge vorkommt, leichter finden können.

Nachdem Sie nun wissen, wie Sie „grep“ verwenden können, empfehlen wir Ihnen, grep in Kombination mit „find“ einzusetzen. Suchen Sie nach Dateien, die kürzlich geändert wurden, und sehen Sie nach, was in der Datei geändert wurde. Wenn Sie eine häufig vorkommende Textzeichenfolge wie „bad hacker was here“ finden, können Sie einfach alle Dateien nach diesem Text durchsuchen, etwa so:

grep -irl "bad hacker was here" *

Damit werden alle infizierten Dateien angezeigt, die den Text „bad hacker was here“ enthalten.

Wenn Sie viele infizierte Websites säubern, werden Sie feststellen, dass dort, wo bösartiger Code häufig zu finden ist, Muster auftreten. Ein solcher Ort ist das Uploads-Verzeichnis in WordPress-Installationen. Der folgende Befehl zeigt, wie man alle Dateien im Uploads-Verzeichnis findet, die keine Bilddateien sind. Die Ausgabe wird in einer Protokolldatei namens „uploads-non-binary.log“ in Ihrem aktuellen Verzeichnis gespeichert.

find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log

Mit den beiden einfachen Befehlszeilen-Tools „grep“ und „find“ können Sie eine ganze infizierte Website säubern. So einfach ist das! Ich wette, dass Sie jetzt bereit sind, Ihr eigenes Unternehmen für die Reinigung von Websites zu gründen.

Säubern Sie Ihre gehackte WordPress-Website mit Wordfence:

Nun, da Sie einige leistungsstarke Tools in Ihrem Arsenal haben und bereits einige grundlegende Säuberungen durchgeführt haben, lassen Sie uns Wordfence starten und einen vollständigen Scan durchführen, um Ihre Website zu reinigen. Dieser Schritt ist wichtig, weil Wordfence eine sehr fortschrittliche Suche nach Infektionen durchführt. Zum Beispiel:

• Wir wissen, wie alle WordPress-Kerndateien, Open-Source-Themes und Open-Source-Plugins aussehen sollten, so dass Wordfence erkennen kann, ob eine Ihrer Quelldateien infiziert ist, selbst wenn es sich um eine neue Infektion handelt, die noch nie jemand gesehen hat.
• Wir suchen mit komplexen regulären Ausdrücken nach Infektionssignaturen, und unsere Datenbank mit bekannten Infektionen wird ständig aktualisiert. Mit einfachen Unix-Befehlszeilen-Tools oder cPanel ist das nicht möglich.
• Wir suchen mit der Google Safe Browsing-Liste nach Malware-URLs.
• Wir verwenden viele andere Datenquellen wie SpamHaus, um Malware und Infektionen auf Ihrem System zu finden.

So bereinigen Sie Ihre gehackte Website mit Wordfence:

1. Aktualisieren Sie Ihre Website auf die neueste Version von WordPress. Wenn Sie eine WordPress-Version vor WordPress 5.x.x verwenden, empfehlen wir Ihnen, diesen Artikel hier zu lesen, bevor Sie auf die neueste Version von WordPress aktualisieren.
2. Aktualisieren Sie alle Ihre Themes und Plugins auf die neuesten Versionen.
3. Ändern Sie alle Passwörter auf der Website, insbesondere die administrativen Passwörter.
4. Erstellen Sie ein weiteres Backup und speichern Sie es getrennt von dem Backup, das wir Ihnen oben empfohlen haben. Jetzt haben Sie eine infizierte Website, auf der jedoch die neueste Version von allem läuft. Wenn Sie bei der Säuberung Ihrer Website mit Wordfence etwas kaputt machen, können Sie auf dieses Backup zurückgreifen und müssen nicht alle oben genannten Schritte erneut durchführen.
5. Gehen Sie zur Wordfence Scan-Seite. Klicken Sie auf den Link „Scan-Optionen und Zeitplanung“. Aktivieren Sie die Scan-Option „Hohe Empfindlichkeit“. Wenn der Scan zu lange dauert oder nicht abgeschlossen werden kann, erweitern Sie den Abschnitt „Allgemeine Optionen“. Deaktivieren Sie die Optionen „Dateien außerhalb Ihrer WordPress-Installation scannen“ und „Bilder, Binär- und andere Dateien scannen, als ob sie ausführbar wären“. Speichern Sie die Änderungen und versuchen Sie einen neuen Scan.
6. Wenn die Ergebnisse angezeigt werden, sehen Sie möglicherweise eine sehr lange Liste infizierter Dateien. Nehmen Sie sich Zeit und arbeiten Sie sich langsam durch die Liste.
7. Untersuchen Sie alle verdächtigen Dateien und bearbeiten Sie diese entweder von Hand, um sie zu bereinigen, oder löschen Sie die Datei. Denken Sie daran, dass Sie Löschvorgänge nicht rückgängig machen können. Aber solange Sie das oben empfohlene Backup gemacht haben, können Sie die Datei jederzeit wiederherstellen, wenn Sie etwas Falsches gelöscht haben.
8. Untersuchen Sie alle geänderten Core-, Theme- und Plugin-Dateien. Verwenden Sie die von Wordfence bereitgestellte Option, um zu sehen, was sich zwischen der Originaldatei und Ihrer Datei geändert hat. Wenn die Änderungen bösartig aussehen, verwenden Sie die Wordfence-Option, um die Datei zu reparieren.
9. Arbeiten Sie sich langsam durch die Liste, bis sie leer ist.
10. Führen Sie einen weiteren Scan durch und bestätigen Sie, dass Ihre Website sauber ist.
11. Wenn Sie noch Hilfe benötigen, bieten wir einen kommerziellen Website-Reinigungsservice an. Weitere Informationen erhalten Sie per E-Mail an [email protected] mit dem Betreff „Paid site cleaning service“.

Ich habe eine Datei, die verdächtig aussieht, aber ich bin nicht sicher, ob sie es ist. Woran erkenne ich das?

Schicken Sie uns die Datei per E-Mail an [email protected], und wir werden es Ihnen sagen. Wenn Ihre WordPress-Konfigurationsdatei wp-config.php infiziert ist, senden Sie uns keine Kopie dieser Datei, ohne vorher Ihre Datenbankzugangsdaten und die Authentifizierungsschlüssel und -salze zu entfernen.

Wenn Sie keine Antwort erhalten, hat entweder Ihr oder unser Mailsystem die Nachricht verworfen, weil es sie aufgrund des Anhangs für bösartig hält. Bitte senden Sie uns eine E-Mail ohne den Anhang, in der Sie uns mitteilen, dass Sie versuchen, uns etwas zu senden, und wir werden versuchen, die Nachricht weiterzuleiten.

Wo finde ich Hilfe bei der Beseitigung einer bestimmten Art von Infektion?

Das Wordfence Learning Center enthält eine Reihe von Artikeln, die Ihnen helfen werden. Hier ist eine Liste von Artikeln, die Ihnen bei bestimmten Infektionstypen helfen werden:

• Entfernen bösartiger Weiterleitungen von Ihrer Site
• Finden und Entfernen von Backdoors
• Entfernen von Spam-Seiten von WordPress-Sites
• Finden und Entfernen von Spam-Links
• Entfernen von Phishing-Seiten von WordPress-Sites
• Entfernen von bösartigem Mailer Code von Ihrer Website
• Finden und Entfernen von bösartigen Dateiuploadern
• Entfernen von WordPress-Defacement-Seiten
• Entfernen von verdächtigem Code von WordPress-Websites

Ich habe meine gehackte WordPress-Website gesäubert, aber Google Chrome zeigt mir immer noch die Malware-Warnung an. Was soll ich tun?

Sie müssen Ihre Website aus der Liste von Google Safe Browsing entfernen lassen. Lesen Sie dieses Google-Dokument, wie Sie Ihre Website bereinigen können. Hier sind die Schritte:

1. Melden Sie sich zunächst bei den Google Webmaster-Tools an.
2. Fügen Sie Ihre Website hinzu, falls Sie dies noch nicht getan haben.
3. Überprüfen Sie Ihre Website, indem Sie den Anweisungen von Google folgen.
4. Wählen Sie auf der Startseite der Webmaster-Tools Ihre Website aus.
5. Klicken Sie auf Website-Status und dann auf Malware.
6. Klicken Sie auf Überprüfung anfordern.

Meine Website-Besucher erhalten Warnungen von anderen Sicherheitsprodukten und Antiviren-Systemen. Was soll ich tun?

Die Streichung von der Google Safe Browsing-Liste ist ein großer Schritt, aber Sie haben noch einige Arbeit vor sich. Sie müssen eine Liste aller Antivirenprodukte führen, die Ihre Website als infiziert melden. Dazu können Produkte wie ESET Anti-Virus, McAfee’s Site Advisor und andere gehören. Besuchen Sie die Website jedes Antivirenherstellers und suchen Sie nach Anweisungen, wie Sie Ihre Website von der Liste der gefährlichen Websites entfernen können. Dies wird von den Antiviren-Herstellern oft als „Whitelisting“ bezeichnet. Wenn Sie also nach Begriffen wie „Whitelisting“, „Site Removal“, „False Positive“ und dem Produktnamen googeln, werden Sie in der Regel zu der Stelle geführt, an der Sie Ihre Website entfernen lassen können.

Wie kann ich manuell überprüfen, ob meine Website auf der Liste der sicheren Browser von Google aufgeführt ist?

Besuchen Sie die folgende URL und ersetzen Sie example.com durch die Adresse Ihrer eigenen Website.

http://www.google.com/safebrowsing/diagnostic?site=http://example.com/

Sie können ein Unterverzeichnis angeben, wenn Ihre Website eines hat. Die angezeigte Seite ist sehr schlicht, enthält aber detaillierte Informationen über den aktuellen Status Ihrer Website, warum sie auf der Malware- oder Phishing-Liste von Google steht (die Google-Liste für sicheres Surfen besteht eigentlich aus zwei Listen) und was als Nächstes zu tun ist.

Was zu tun ist, sobald Ihre Website sauber ist:

Glückwunsch, wenn Sie es geschafft haben, Ihre Website zu reinigen. Jetzt müssen Sie sicherstellen, dass sie nicht wieder gehackt wird. So geht’s:

• Installieren Sie Wordfence und führen Sie regelmäßige Scans auf Ihrer WordPress-Website durch.
• Stellen Sie sicher, dass WordPress und alle Plugins und Themes auf dem neuesten Stand sind. Dies ist das Wichtigste, was Sie tun können, um Ihre Website zu sichern.
• Stellen Sie sicher, dass Sie starke Passwörter verwenden, die schwer zu erraten sind.
• Entfernen Sie alle alten WordPress-Installationen, die auf Ihrem Server herumliegen.
• Tragen Sie sich in unsere Mailingliste für Sicherheitswarnungen ein, um über wichtige Sicherheitsupdates im Zusammenhang mit WordPress informiert zu werden.
• Authentifizieren Sie Ihre Website bei Wordfence Central, um die Verwaltung der Sicherheit Ihrer Website zu vereinfachen.