Sie öffnen Ihre Webseite und statt Ihrer Startseite erscheint eine Warnung von Google: »Diese Website wurde möglicherweise gehackt.« Oder Ihr Hoster hat die Seite gesperrt, weil sie Spam verschickt. Oder ein Kunde ruft an, weil sein Virenscanner beim Besuch Ihrer Seite anschlägt. In dem Moment beginnt ein Problem, das sich in den meisten Fällen nicht so einfach lösen lässt, wie das Internet es suggeriert.
Was die meisten Ratgeber empfehlen
Die Standardanleitung im Netz lautet: Malware-Scanner installieren, infizierte Dateien bereinigen, Passwörter ändern, fertig. Plugins wie Wordfence oder Sucuri versprechen, die Schadsoftware zu finden und zu entfernen. In manchen Fällen funktioniert das tatsächlich – bei einem simplen Angriff, der eine einzelne Datei verändert hat.
In den meisten Fällen funktioniert es nicht.
Warum Säubern selten reicht
Ein professioneller Angriff auf eine WordPress-Seite hinterlässt nicht eine Backdoor, sondern mehrere. In Theme-Dateien, in Plugin-Verzeichnissen, im uploads-Ordner als unauffällige PHP-Datei mit harmlosem Namen, als manipulierter Eintrag in der Datenbank, als zusätzlicher Admin-Benutzer mit einer E-Mail-Adresse, die niemand bemerkt. Manche Backdoors aktivieren sich erst Tage oder Wochen nach der Bereinigung.
Ein Malware-Scanner findet bekannte Muster. Wer eine Backdoor so schreibt, dass sie keinem bekannten Muster entspricht, bleibt unsichtbar. Und genau das tun die meisten automatisierten Angriffe heute: Sie generieren individuellen Schadcode pro gehackter Installation.
Das Ergebnis: Sie investieren Stunden in die Bereinigung, glauben, das Problem sei gelöst, und zwei Wochen später ist die Seite wieder kompromittiert. Oder schlimmer: Sie läuft scheinbar normal, verschickt aber im Hintergrund Spam oder leitet Besucher auf Phishing-Seiten um, ohne dass Sie es merken.
Was tatsächlich hilft
Die ehrliche Antwort ist unbequem: In den meisten Fällen muss die Seite komplett neu aufgesetzt werden.
Das bedeutet: Frische WordPress-Installation auf dem Server. Frisches Theme, frisch heruntergeladen von der Originalquelle. Alle Plugins frisch installiert, nicht aus dem Backup übernommen. Die Inhalte (Texte, Bilder, Seiten, Beiträge) können aus der Datenbank übernommen werden, aber auch die Datenbank muss auf verdächtige Einträge geprüft werden, insbesondere die Tabellen wp_users, wp_options und wp_cron.
Das ist aufwändig. Das kostet Zeit und Geld. Aber es ist der einzige Weg, der sicherstellt, dass keine Backdoor übrig bleibt.
Was Sie sofort tun sollten
Wenn Sie den Verdacht haben, dass Ihre Seite gehackt wurde:
Nehmen Sie die Seite offline. Nicht löschen, aber den Zugriff sperren, damit kein Besucher Schaden nimmt und Google die Seite nicht als unsicher markiert.
Ändern Sie alle Passwörter. WordPress-Admin, FTP-Zugang, Datenbank, Hoster-Login. Alle, nicht nur eines.
Prüfen Sie, ob ein sauberes Backup existiert. Ein Backup von vor dem Angriff, nicht von danach. Falls Ihr Backup-System automatisch läuft, kann es sein, dass es bereits die kompromittierte Version gesichert hat. Ein Backup, das die Schadsoftware enthält, ist wertlos.
Informieren Sie Ihren Hoster. Manche Hoster sperren gehackte Seiten automatisch, manche bieten Unterstützung bei der Analyse.
Die eigentliche Lektion
Die meisten gehackten WordPress-Seiten haben eines gemeinsam: Sie wurden nicht gewartet. Veraltete Plugins mit bekannten Sicherheitslücken, ein WordPress-Core, der seit Jahren kein Update gesehen hat, ein Admin-Passwort, das aus sechs Buchstaben besteht, kein Security-Plugin. Automatisierte Angriffe scannen das Internet systematisch nach genau diesen Schwachstellen.
Die Wiederherstellung einer gehackten Seite kostet ein Vielfaches dessen, was regelmäßige Wartung kosten würde. Und sie kostet mehr als nur Geld: Vertrauen von Kunden, Sichtbarkeit bei Google, im schlimmsten Fall Daten, im Fall von Kundendaten ist das ein enormes Problem bezogen auf die Datenschutzgrundverordnung.
Wer regelmäßig Updates einspielt, die Installation absichert und geprüfte Backups vorhält, wird mit hoher Wahrscheinlichkeit nie in die Situation kommen, diesen Artikel zu Ende gelesen haben zu müssen. Wer dabei Unterstützung braucht, findet unter Webseiten-Wartung und -Pflege ein konkretes Angebot.
Und wer diesen Artikel liest, weil es bereits passiert ist: Melden Sie sich. Ich helfe beim Neuaufbau, in Remscheid, Solingen, Wuppertal, im Bergischen Land und überregional.