WordPress Malware entfernen: Wie Sie Ihre WordPress Website von Viren & Co. befreien

0212 / 250 852 50 Kostenfreies Beratungsgespräch

WordPress Malware entfernen: So befreien Sie Ihr CMS von Malware

Viele Betreiber einer WordPress-Website mussten schon einmal Erfahrungen mit WordPress-Sicherheitsproblemen machen. Das liegt nicht einmal an WordPress an sich, sondern mitunter auch daran, dass mittlerweile über 38% aller Websites weltweit mit WordPress laufen (Quelle: W3Techs). Damit bildet WordPress als System ein attraktives Angriffsziel für Kriminelle, die Schadsoftware programmieren.

Die gute Nachricht ist, dass die wenigsten Angriffe sich gegen Sie selbst richten. Die schlechte Nachricht ist, dass wie bei Windows-Systemen, aufgrund der hohen Verbreitung von WordPress viel Malware unterwegs ist. Viele WordPress-Viren nutzen gezielt bekannte Schwachstellen von nicht-aktualisierten WordPress-Installation und veralteten Plugins aus.

Wir erklären wie Sie WordPress Malware erkennen, Ihr WordPress reparieren und sich in Zukunft vor Infektionen besser schützen können.

WordPress Malware Scanner: Infektion entdecken

Sollten Sie den Verdacht haben, dass Ihre Website bereits infiziert wurde, können Sie zur Sicherheit mit einem externen WordPress Virenscanner prüfen, um welche Art von Virus es sich handelt. Ein empfehlenswerter Dienst ist der Sucuri SiteChecker: Geben Sie die Adresse Ihrer Website in den Scanner ein und klicken Sie auf Scan Website. Sollte Ihre Website bereits auf einer schwarzen Liste gelandet oder aktiver Viruscode erkennbar sein, zeigt Sucuri Ihnen das an.

Wenn Sie weiterhin Zugriff auf Ihre Website haben, installieren Sie ein Sicherheits-Plugin: wir empfehlen aufgrund der guten Erfahrungen Wordfence. Das Tool bietet bereits in der kostenlosen Basisversion die Möglichkeit an, alle WordPress-Dateien auf Befall zu überprüfen. Generell ist Wordfence ein guter WordPress Virenschutz, der auch zur Vorbeugung taugt. Lesen Sie dazu weiter im Abschnitt WordPress reparieren: Scan und Reparatur mit Wordfence.

WordPress gehackt: 7 häufige Ursachen

Warum eine WordPress-Installation gehackt und für Spam oder andere illegale Aktivitäten missbraucht wurde kann unterschiedliche Ursachen haben. Wie eingangs erwähnt stellt WordPress als Plattform ein attraktives Ziel für Hacker dar – nicht zuletzt weil es das beliebteste Content-Management-System weltweit ist. Es wird also verstärkt nach Schwachstellen gesucht, die von Schadsoftware missbraucht werden können. Lesen Sie mehr in unserem vorangegangenen Blogbeitrag zum Thema WordPress-Sicherheit wie Sie WordPress-Schwachstellen erkennen und beheben können.

Die häufigsten Ursachen für WordPress-Sicherheitsprobleme haben wir Ihnen nachfolgend kurz erläutert:

  1. Schwache Passwörter
    Schlechte Passwörter sind in Kombination mit Standardnutzernamen (Punkt 2) eins der Haupteinfallstore für Angriffe auf WordPress. Jedes Passwort kann prinzipiell von einem Skript erraten werden (Brute Force), doch für gute Passwörter sind Jahre nötig, für schlechte teilweise nur Sekunden.
  2. Standard-Nutzernamen wie admin
    Verwenden Sie nach Möglichkeit keine Standard-Nutzernamen wie admin, da diese von Malware als erstes in Kombination mit schwachen Passwörtern durchprobiert werden.
  3. Keine Updates von WordPress
    Neben gehackten Accounts (siehe Punkte 1-2) sind Sicherheitslücken in veralteten WordPress-Versionen mit die größte Schwachstelle. Stellen Sie also sicher, dass Ihr WordPress immer auf dem aktuellen Stand ist.
  4. Keine Plugin- oder Theme-Updates
    Gerne vergessen werden andere Komponenten von WordPress: Themes und Plugins enthalten alle ausführbaren Code und stellen damit ein Sicherheitsrisiko dar, sofern sie nicht auf dem aktuellen Stand gehalten und Sicherheitslücken regelmäßig geschlossen werden. Veraltete Plugins oder Themes, die nicht mehr vom Entwickler gepflegt werden, sollten besser ganz entfernt werden.
  5. Unverschlüsselte Zugriffe auf den Server via http oder ftp
    Jede Website sollte heutzutage verschlüsselte Übertragungen nutzen. Sowohl via FTP (Zugriff auf die Installation) als auch über das Backend von WordPress (WP-Admin) werden Ihre Passwörter über das Internet übertragen. Im Falle einer Übertragung ohne HTTPS bzw. FTP mit SSL / SFTP kann jeder Ihre Passwörter mitlesen.
  6. Gecrackte Versionen von Kauf-Plugins
    Manche Betreiber von WordPress-Websites versuchen sich das Geld für teure kostenpflichtige Plugins zu sparen und laden Premium-Plugins aus zweifelhaften Quellen herunter. Doch viele der Anbieter von geklauten WordPress-Plugins nutzen genau das aus und fügen der gecrackten Plugin-Kopie gleich eine Malware hinzu. Diese verbreitet Spam für Pornografie, Drogen oder ähnliches und stellt für den Cracker eine lukrative Einnahmequelle dar.
  7. Unsicheres Hosting
    Zu guter Letzt sei noch der Hoster als Schwachstelle genannt. Sie können sich das Hosting wie das Fundament Ihres Hauses vorstellen. Ist es nicht solide, sackt das Haus irgendwann ab – oder im Falle von WordPress wird es eben gehackt – egal wie gut Ihre Installation selbst in den Punkten 1-6 abgesichert ist. Für eine empfehlenswerte Hosting-Lösung, siehe den nachfolgenden Tipp.

Tipp: Managed WordPress-Hosting mit automatischen Updates

Sie betreiben eine WordPress-Website und möchten Ihre Website abgesichert und laufend gewartet wissen um Hacking vorzubeugen? In vielen Anwendungsfällen hilft schon ein Managed Hosting, bei dem der Anbieter sich um die Absicherung des Servers, eine automatische Datensicherung und die Aktualisierung von WordPress kümmert.

Speziell für WordPress-Hosting empfehlen wir gerne Raidboxes *, da die Server große Speicherkontingente (mindestens 2 GB) bereitstellen und jede Nacht automatischen Backups erstellt werden. Beim Fully Managed Tarif für mtl. 30 € * werden nicht nur Core- und Theme-Updates durchgeführt, es werden auf Wunsch auch alle installierten WordPress-Plugins automatisch aktualisiert.

Welcher Hosting-Tarif für Ihr WordPress geeignet oder ob ein individuelles Wartungspaket bei AWEOS die bessere Option ist, erörtern wir gerne im persönlichen Gespräch mit Ihnen.

WordPress reparieren: Scan und Reparatur mit Wordfence

Bevor Sie loslegen erstellen Sie unbedingt ein Backup Ihrer WordPress-Installation und Datenbank, da unter Umständen einige Dateien gelöscht werden. Denn wenn Sie ein Backup haben, ist eine manuelle Bereinigung einzelner Dateien immer noch mit etwas Aufwand möglich. In der Regel ist eine Nutzung von automatischen Backup-Plugins noch möglich – eine Anleitung finden Sie in unserem Blogpost zum Thema WordPress-Backup. Laden Sie das Backup unbedingt auf Ihren Rechner herunter! Alternativ führen Sie eine manuelle Sicherung durch, die wir weiter unten erklären.

Gehen Sie anschließend so vor:

  1. Führen Sie ein WordPress-Update auf die neuste Version durch und aktualisieren Sie anschließend alle Plugins und Themes über die Update-Verwaltung
  2. Ändern Sie unbedingt alle Passwörter von WordPress-Nutzerkonten Ihrer Website. Vor allem Admin-Konten, einschließlich Ihres eigenen, sollten oberste Priorität haben. Löschen Sie ggf. von der Malware angelegte Admin-Konten
  3. Ändern Sie am besten auch das Datenbank-Passwort bei Ihrem Hoster und anschließend in der Datei wp-config.php in der Zeile define( ‚DB_PASSWORD‘, ‚123456789‘ ); – die Datei liegt im WordPress-Stammverzeichnis und ist via (S)FTP zugänglich. Bearbeiten Sie sie mit einem Texteditor direkt auf dem Server.
  4. Erstellen Sie ein weiteres Backup. Es mag überflüssig erscheinen, aber so ersparen Sie sich die o. g. Schritte erneut ausführen zu müssen. Falls Sie dazu ein Backup-Plugin wie UpDraft nutzen, laden Sie das Backup anschließend herunter
  5. Gehen Sie jetzt in WP-Admin auf Wordfence > Scan.  Klicken Sie auf Scan Options and Scheduling.  Schalten Sie High Sensitivity ein und klicken Sie auf Save Changes. Klicken Sie danach auf Start Scan. Sollte der Scan zu lange dauern oder abbrechen, gehen Sie in den Scan Options weiter unten zum Bereich General Options.  Entfernen Sie dort die Haken bei Scan files outside your WordPress installation und Scan images, binary, and other files as if they were executable.  Speichern Sie die Einstellungen wieder mit Save Changes und starten Sie den Scan erneut
    Scan mit Wordfence ausführen
  6. Sobald der Scan abgeschlossen ist, erscheinen in der Ergebnisliste alle Dateien, die Wordfence für infiziert hält.
  7. Einige verdächtigen Dateien können Sie entweder von Hand bearbeiten oder löschen lassen. Beachten Sie, dass Sie gelöschte Dateien nur aus Ihrem zuvor erstellten Backup wiederherstellen können
  8. Sehen Sie sich von Wordfence gemeldete Veränderungen an WordPress-Core-, Theme- oder -Plugin-Dateien an. Nutzen Sie, wenn möglich, die Option zur Reparatur der Datei
  9. Gehen Sie die Liste Punkt für Punkt durch, bis alle Meldungen behandelt wurden
  10. Führen Sie den Scan erneut aus um sicherzugehen, dass alle Infektionen entdeckt wurden und wiederholen Sie ggf. die o. g. Schritte wo nötig

Gut zu wissen

Viele mittelständische Unternehmen kontaktieren unsere SEO-Agentur zur Gestaltung einer neuen Website oder haben von unseren Erfolgen im Bereich der Suchmaschinenoptimierung gehört. Ihre WordPress-Website wurde gehackt und Sie suchen einen kompetenten Ansprechpartner zur Wiederherstellung und Absicherung Ihrer Website? Sprechen Sie uns an!

WordPress reparieren: Manuelle Wiederherstellung

Es gibt verschieden Gründe warum sich WordPress nur noch manuell retten lässt. In manchen Fällen kommt es vor, dass die Malware Ihr WordPress unbrauchbar macht, so dass Sie sich nicht mehr einloggen können. Auch aus Sicherheitsgründen kann es sinnvoll sein, bei einem gehackten WordPress den Adminbereich zu meiden – denn es sind potentiell alle Anmeldeinformationen (Benutzernamen und Passwörter) kompromittiert.

Der erste Schritt sollte ein vollständiges WordPress-Backup sein, also alle Daten auf dem WordPress-Server sowie der zugehörigen Datenbank. Laden Sie sowohl den gesamten WordPress-Ordner als auch das Abbild der Datenbank auf Ihren lokalen Computer herunter. Gehen Sie dazu wie folgt vor:

Datenbank:

  1. Nutzen Sie bei Ihrem Hosting-Anbieter die bereitgestellte Möglichkeit auf die Datenbank zuzugreifen – bei den meisten Anbietern ist das über PHPMyAdmin
  2. Melden Sie sich dort in der Datenbank für WordPress an und gehen Sie in der Oberfläche von PHPMyAdmin auf Export.
    Datenbank exportieren in PHPMyAdmin
  3. Wählen Sie das Format SQL und klicken Sie auf Go. Das Datenbankabbild wird jetzt heruntergeladen.

WordPress-Installation und Medien:

  1. Erstellen Sie auf Ihrem lokalen PC einen neuen Ordner WordPress Backup
  2. Loggen Sie sich via (S)FTP auf Ihrem Server ein und wechseln Sie ins WordPress-Stammverzeichnis
  3. Markieren Sie alles und ziehen Sie die Dateien in den Ordner WordPress Backup.
    Der Download wird eine Weile dauern, wenn Sie viele Bilder und Videos haben unter Umständen auch mehrere Stunden. Lassen Sie ihn unbedingt bis zum Ende laufen, damit Sie ein komplettes Backup haben.

Ist das Backup komplett heruntergeladen, können Sie mit der Wiederherstellung starten. Dabei gibt es verschiedene Vorgehensweisen:
A) Wenn Sie genau wissen, welche Dateien von Malware befallen sind bzw. von dieser nachgeladen wurden, können Sie infizierte Dateien gezielt löschen und gegen das Original austauschen. Diese Vorgehensweise eignet sich aber nur, wenn Sie absolut sicher sind, alle Dateien gefunden zu haben. Häufig verstecken sich noch kleinere Code-Schnippsel eines Virus in diversen Dateien. Bei tausenden Dateien ist es schwer dies händisch zu tun.

B) Sicherer ist es, wenn Sie die komplette WordPress-Installation löschen. Aus dem zuvor gezogenen Backup können dann z. B. Medien wiederhergestellt werden.

  1. Gehen Sie zum Löschen via (S)FTP auf Ihren Server und entfernen Sie alle Dateien und Ordner im WordPress-Stammverzeichnis außer .htaccess und wp-config.php
  2. Ändern Sie am besten gleich das Passwort Ihrer WordPress-Datenbank bei Ihrem Hosting-Anbieter und anschließend in der Datei wp-config.php. Öffnen Sie dazu die Datei direkt vom Server mit einem Texteditor und ersetzen Sie das Passwort in der Zeile define( ‚DB_PASSWORD‘, ‚123456789‘ ); durch das Neue
  3. Laden Sie auf WordPress.org die aktuelle WordPress-Version herunter und entpacken Sie das ZIP-Archiv auf Ihrem PC
  4. Ziehen Sie alle Dateien in das nun (fast) leere WordPress-Verzeichnis auf Ihrem Server und warten Sie bis der Upload komplett ist
  5. Prüfen Sie anhand Ihres Backups welche Plugins Sie zuvor installiert hatten. Laden Sie diese ebenfalls von WordPress.org in der neusten Version herunter (sofern es sich um kostenlose Plugins handelt). Bei kostenpflichtigen Plugins können Sie diese in der Regel mindestens ein Jahr beim Entwickler erneut herunterladen
  6. Laden Sie die Plugins, nach dem Sie sie entpackt haben, via (S)FTP in den Ordner /wp-content/plugins
  7. Aus Ihrem Backup: gehen Sie in den Unterordner /wp-content/uploads und laden Sie alle Mediendateien samt Ordnerstruktur wieder auf den Server. Bilder und Videos liegen in der Regel in diesem Format ab: /jahreszahl/monat/bild.jpg – also z. B. /2020/09/bild.jpg. Wählen Sie also alle Ordner mit Jahreszahl aus
  8. Manche Plugins nutzen ebenfalls den Unterordner /uploads – prüfen Sie hier im Einzelfall immer, ob die Dateien aus Ihrem Backup noch benötigt werden und vor allem ob sie infiziert sind
  9. Prüfen Sie Ihr Theme aus dem Backup auf Malware-Befall und laden Sie es nur hoch, wenn Sie sicher sind, dass es frei von Schadsoftware ist
  10. Nachdem Sie alle Dateien hochgeladen haben, sollte Ihre Website wieder grundlegend funktionieren. Überprüfen Sie, ob Sie sich wieder unter ihre-website.de/wp-admin anmelden können.
  11. Ist ein Login möglich, ändern Sie anschließend Ihr Passwort und das aller anderen Nutzer – insbesondere solcher mit Admin-Berechtigungen. Löschen Sie ggf. von der Malware angelegte Nutzerkonten mit Admin-Zugriff
  12. Prüfen Sie Ihre Blog-Beiträge und Seiten, ob die Malware Änderungen vorgenommen oder neue Inhalte angelegt hat – denn häufig werden infizierte Websites für illegale Werbung oder Spam missbraucht

Zusammenfassung

In unserem Beitrag haben wir Ihnen erläutert wie Sie mit einem WordPress-Virenscanner eine Infektion feststellen und häufige Ursachen für gehackte WordPress-Websites aufgezeigt. Zudem haben wir zwei Wege um einen Malware-Befall Ihres WordPress wieder loszuwerden ausführlich erklärt – manuell oder mit Unterstützung des Security-Plugins Wordfence.

In der Praxis sehen wir aber immer wieder auch schwierige Fälle, die etwas mehr Wiederherstellungsaufwand mit sich bringen. Gerade bei komplexen Infektionsszenarien, die viel Fingerspitzengefühl erfordern, ist es sinnvoll sich von einem WordPress-Spezialisten helfen zu lassen. Unser Team hat bereits zahlreiche Infektionen erfolgreich beseitigt und hilft Ihnen gerne bei der Rettung Ihres WordPress-CMS weiter. Vereinbaren Sie noch heute ein Beratungsgespräch!

Hinweis: Die mit Sternchen (*) gekennzeichneten Verweise sind sogenannte Provision-Links. Klicken Sie auf einen solchen Link und kaufen darüber ein, erhalten wir von diesem Einkauf eine Provision. Der Preis für Sie ändert sich dadurch nicht.





Schließen