Problem: Kunde XY hat das Problem, dass sein WordPress Blog durch seinen Webhoster abgeschalten wurde, weil scheinbar durch einen Hack SPAM-Mails über den Blog versendet wurden und dieser zusätzlich Schadcode an Besucher ausliefert. Möglicherweise wurde die WP-Installation durch einen Exploit infiziert. Was kann der Kunde nun tun?
Inhaltsverzeichnis:
Warum schalten Webhoster Webseiten ab, wenn diese kompromittiert wurde?
Ist eine WordPress-Webseite durch Schadcode infiziert, dann kann es dazu kommen, dass der Rechner von Besuchern dieses Blogs, mit Viren verseucht wird. Ebenso werden häufig klassische SPAM-Mails durch infizierte Webseiten versendet. Ein Webhoster will nun natürlich schnellstmöglich diese kompromittierte Webseite vom Netz haben, da ansonsten der Webserver auf Blacklists landet.
Ein Webserver, der blacklisted wird, kann dann keine Mails mehr verschicken, die zuverlässig im Postfach des Empfängers landen. Ein Ärgernis nicht nur für den Webhoster, sondern auch für die anderen Kunden auf diesem Server. Zudem ist eine gehackte Webseite immer Gefahrenquelle für Angriffe, die dann tiefer ins System eingreifen.
Wie kann man einen WordPress Blog wieder bereinigen und reaktivieren?
Das Problem ist nun, dass die Webseite komplett vom Netz verschwunden ist und auch ein Login in das WP-Dashboard nicht mehr möglich ist. Das macht die Bereinigung einer gehackten WordPress Webseite natürlich deutlich komplizierter.
Zuallererst fragt man den Webhoster ob dieser die Webseite hinter einer http-Passwortabfrage verfügbar machen kann. Versendete die Webseite SPAM-Mails muss ebenso angefragt werden, ob die Mailfunktion des Webhostingvertrages deaktiviert werden kann. Lässt sich der Webhoster auf diesen Deal ein, lässt sich die Webseite deutlich leichter bereinigen. Wie das geht, ist in einem anderen Beitrag beschrieben.
Was wenn der Webhoster die gehackte WordPress Webseite nicht wieder verfügbar macht?
Dann hat man schlechtere Karten bei der Analyse. Man hat mehrere Möglichkeiten:
- Man zieht sich die Webseite auf einen lokalen Rechner und bringt diese dort zB per XAMPP zum laufen. Anschließend analysiert und bereinigt man über Plugins wie Exploit Scanner oder Sucuri. Zum Schluss lädt man alles wieder hoch. Sicherlich nichts, was der Laie kann.
- Man fragt den Webhoster ob er einem eine Liste mit den vermeintlich gehackten Dateien schicken kann und bereinigt diese oder überschreibt sie mit den Originaldaten (zB wenn es sich um WordPress-Core-Dateien handelt). Anschließend testet der Webhoster und gibt den Blog oder die Webseite evtl. wieder frei.
- Man fragt einen Fachmann, der sich damit auskennt.
Was tun, wenn die WordPress-Webseite bereinigt wieder online ist?
Der Kunde sollte vermeiden, dass sein WordPress-Blog erneut gehackt wird. Dafür sollte er folgendes beachten:
- WordPress, Theme und Plugins aktuell halten
- Securitymaßnahmen durchführen
- Alle Passwörter ändern (FTP, MySQL, Webhoster)
- Eigenen PC oder Mac auf Viren untersuchen
- Sucuri nutzen