WordPress ist das weltweit beliebteste CMS um Websites zu erstellen. Von den Top 10 Millionen Seiten im Internet werden fast 30% mit WordPress betrieben. Es ist daher kein Wunder, dass das Unternehmen hinter WordPress, d.h. Automattic, über ein hochqualifiziertes und erfahrenes Team von Programmierern verfügt, das als WordPress Core Team bezeichnet wird. Diese weltweit führenden Experten sind für die Sicherung der Kern-Software WordPress vor Hackern und bösartigen Angriffen verantwortlich.
Wie Sie wissen, können Sie verschiedene Themen und Plugins in WordPress installieren, um die Funktionalität Ihrer Website zu erweitern. In einigen seltenen Fällen besteht die Möglichkeit, dass eines Ihrer Designs oder Plugins eine Sicherheitslücke aufweist, mit der Hacker auf Ihre Website zugreifen können. Tatsächlich geschehen über 50% der Angriffe in WordPress über Plugins.
Wie man erkennt, ob die Website gehackt wurde
Egal welches beliebte Content Management System (CMS) Sie verwenden – WordPress, Typo3, Shopware, etc. – kann jeder von ihnen gehackt werden.
Oftmals geraten WordPress-Benutzer in Panik, dass ihre Website gehackt wurde, weil ihre Website nicht antwortet oder Spam-Kommentare erhält. Einige Benutzer gehen sogar so weit, WordPress-Spezialisten zu bezahlen, die denken, dass sie Hilfe bei der Wiederherstellung ihrer Website benötigen. Viele Nutzer haben jedoch Schwierigkeiten herauszufinden, ob ihre Website technische Probleme hat oder ob sie tatsächlich gehackt wurde.
Aber es muss nicht schwer sein, festzustellen, ob die Website gehackt wurde. Es gibt einige häufige Anzeichen für eine gehackte Website, wie z.B.:
- Es erscheinen unnötige Popups, die nicht hinzugefügt wurden.
- Die Seite wird automatisch auf andere Spam-Websites umgeleitet.
- Die Website wird kontinuierlich freigeschaltet.
- Anzeige von unerwünschtem Text in der Fußzeile oder Kopfzeile, der nicht implementiert wurde.
- Automatische Verlinkung von Keywords mit anderen externen Websites
- Sie haben eine Benachrichtigung von Ihrem Hosting-Provider erhalten, dass Sie etwas Bösartiges tun.
Für den Fall, dass Sie einen der obigen Indikatoren erkennen, müssen Sie sicherstellen, dass Sie Ihre WordPress-Seite sofort sichern.
Welche Schritte Sie sofort unternehmen sollten
Ihre WordPress Website kann gehackt werden, wenn Sie keine ernsthaften Schritte unternehmen, um die Sicherheit Ihrer Website zu verbessern. Und selbst wenn es gehackt wird, ist es immer noch eine gute Idee, Maßnahmen zu ergreifen, um zu verhindern, dass sich dies jemals wiederholt.
In diesem Abschnitt werden wir besprechen, welche Präventivmaßnahmen Sie ergreifen sollten, sowohl bevor Ihre WordPress-Seite gehackt wurde als auch nachdem sie wiederhergestellt wurde. Schritte, die Sie unternehmen sollten, bevor Ihre WordPress-Seite gehackt wird
Lassen Sie uns zunächst einen Blick auf die Vorsichtsmaßnahmen werfen, die Sie ergreifen sollten, um zu verhindern, dass Hacker in Ihre WordPress-Seite eindringen.
Aktualisieren Sie Ihr WordPress auf die neueste Version
Laut WordPress haben nur 64,9% der Websites die neueste Version von WordPress installiert, während 36,1% der Websites dies nicht tun. Da WordPress Millionen und Abermillionen von Websites betreibt, stellt dies für eine große Anzahl von ihnen ein ernsthaftes Sicherheitsrisiko dar.
Der Grund, warum so viele Websites nicht aktualisiert werden, liegt an dem verwirrenden Aktualisierungssystem von WordPress.
Sie sehen, WordPress veröffentlicht kleine und große Versionen ihrer Software. Zum Beispiel, zum jetzigen Zeitpunkt, ist die neueste Version von WordPress 5.2.3.
Wenn sie in Zukunft ein kleines Update veröffentlichen, z.B. 5.2.4, wird die Software automatisch aktualisiert. Aber, wenn sie ein größeres Update, z.B. 6.0., veröffentlichen, müssen Sie die Software selbst manuell aktualisieren, indem Sie sich im WordPress-Dashboard anmelden.
Viele Leute können ihr WordPress nicht auf die neueste Version aktualisieren, entweder weil sie nichts davon wissen oder es vergessen. Dadurch sind sie vielen Sicherheitsbedrohungen ausgesetzt, da jedes neue Update mit neuen Bugfixes und Sicherheitspatches ausgestattet ist.
Erstellen Sie regelmäßig Backups Ihrer WordPress Webseite
Während viele Menschen erkennen, wie wichtig es ist, ihre Websites zu sichern, tun es leider die meisten von ihnen nicht wirklich.
Unabhängig davon, wie viele Sicherheitsmaßnahmen Sie ergreifen, besteht immer noch die Möglichkeit, dass Ihre WordPress-Website gehackt wird. Und sobald Ihre Website von Hackern infiziert ist, die ihren eigenen bösartigen Code und ihre eigenen Dateien eingeben, besteht die Möglichkeit, dass Ihre Website nicht mehr zu ihrem früheren Selbst zurückkehren kann.
In diesem Fall ist es absolut notwendig, ein aktuelles Backup Ihrer Website zu haben. Dazu stehen Ihnen eine Reihe von bekannten WordPress-Plugins wie BackupBuddy und Jetpack zur Verfügung, die je nach Anforderung unterschiedliche Zahlungspläne haben. Jetpack ist im Lieferumfang der HostPapa Optimierten WordPress Pläne enthalten.
Installieren Sie die wichtigsten WordPress Sicherheits-Plugins.
Im Allgemeinen ist WordPress extrem sicher. Aber viele der Plugins und ausgefallenen Designs, die Sie darauf installieren, sind es nicht. Diese bieten ein Gateway innerhalb Ihrer Website, nach dem Hacker suchen. Bevor Sie es wissen, wird Ihre Website von Google gehackt und auf die schwarze Liste gesetzt.
Aus diesem Grund ist es wichtig, Ihre WordPress-Seiten regelmäßig auf Malware und andere bösartige Codeformen zu überprüfen. Darüber hinaus ist es ebenso wichtig, Ihre Website aktiv auf eingehende Bedrohungen zu überwachen.
Dazu ist die Installation eines WordPress Security Plugins ein Muss.
Im Moment sind die beiden besten Plugins in dieser Hinsicht Wordfence oder Sucuri. Beide bieten großartige Sicherheitsfunktionen wie planmäßiges Malware-Scannen, Echtzeit-IP-Überwachung, Spam-Erkennung und vieles mehr. Beide dieser Sicherheits-Plugins haben verschiedene Pläne, die Sie abonnieren können, und keines davon kostet mehr als 200 Euro pro Jahr, um Ihnen den Einstieg zu erleichtern.
Sofortmaßnahmen – Wenn Ihre WordPress-Seite gehackt wurde
Wenn Ihre WordPress-Website gehackt wurde, geraten Sie nicht in Panik und befolgen Sie die folgenden Schritte, um den Schaden zu begrenzen.
Wenden Sie sich an das Support-Team Ihres Hosting-Providers
Viele Anfänger begehen den ersten Fehler, indem sie sich für ein schlechtes Hosting-Unternehmen entscheiden. Die Auswahl eines guten Web-Hosting-Unternehmens wird sich um alle Ihre Sicherheitsbedenken kümmern. Viele gute Hosting-Provider sind unter diesen Umständen wirklich praktisch. Ihr Supportpersonal hat sich schon oft mit solchen Problemen beschäftigt, deshalb sollten sie voll ausgestattet sein, um dabei zu helfen. Pior zu tun, was Sie selbst tun, kontaktieren Sie Ihren Web-Hosting-Provider und folgen Sie deren Anweisungen.
Wie ich bereits erwähnt habe, wenn Sie einen günstigen Webhosting-Provider verwenden, der keine Sicherheitsfunktionen bietet, können Sie auch nicht sehen, ob ein Hacker über eine andere Website auf Ihrem Server Zugang zu Ihrer Website erhalten hat. Mit einem guten Hosting-Unternehmen kann Ihr Hosting-Provider oft einen Einblick in die Entstehung und Verbreitung des Hacks geben.
Auch gibt es eine gute Chance, dass sie Ihnen mitteilen können, wo sich die Hintertür zu Ihrer Website befindet und von wo aus die Hacker ihre Methode entdeckt haben. Ihr Hosting-Provider kann möglicherweise Ihre gehackte Website reparieren. Wenn nicht, dann wählen Sie unten eine andere Option.
Spielen Sie das Backup Ihrer Website ein
Der erste Schritt, den Sie unternehmen sollten, nachdem Ihre Website gehackt wurde, ist die Suche nach allen Backups, die Sie von Ihrer Website haben. Wenn Ihr Backup auf dem gleichen Server wie Ihre Website gespeichert wurde, ist es sehr wahrscheinlich, dass das Backup nicht mehr vorhanden ist – oder beschädigt wurde. Deshalb ist es nie eine gute Idee, das Backup Ihrer Website an der Stelle zu speichern, an der Sie Ihre WordPress-Website speichern.
Es gibt drei mögliche Orte, an denen Sie ein Backup Ihrer WordPress-Website haben könnten:
Innerhalb Ihres WordPress Backup-Plugin-Dienstes. Wenn Sie ein WordPress Backup-Plugin installiert haben, besteht die Möglichkeit, dass sie ein Backup Ihrer Website in ihrem eigenen Cloud-Service oder in einem Cloud-Service wie Google Drive oder Dropbox gespeichert haben.
In Ihrem eigenen Konto in der Cloud. Schauen Sie sich Ihr Google Drive, Dropbox oder andere Cloud-Dienste an, wenn Sie ein manuelles Backup Ihrer Website haben, das Sie selbst erstellt haben.
Mit Ihrem Hosting-Provider. Wenn Sie nicht in ein WordPress Backup-Plugin investiert haben oder zu faul waren, um Ihre Website manuell zu sichern, ist Ihre letzte Wette, Ihren Hosting-Provider zu kontaktieren, da es sehr wahrscheinlich ist, dass er auch regelmäßig ein Backup Ihrer Website auf seinem Server erstellt.
Wenn Sie ein Backup von einem dieser Orte aus finden können, sind Sie startklar. Alles, was Sie tun müssen, ist, Ihre Website entweder manuell oder mit einem der Plugins wiederherzustellen, in denen Sie das Backup erstellt haben, oder indem Sie Ihren Hosting-Provider bitten, dies zu tun.
Entfernen Sie alle Ihre unbenutzten/veralteten Designs und Plugins
Wie wir bereits erwähnt haben, sind Themes und Plugins eine der einfachsten Möglichkeiten, wie Hacker Zugang zu Ihrer Website erhalten. Je mehr unnötige und unbenutzte Plugins Sie haben, desto anfälliger verlassen Sie Ihre Website für ahnungslose Angriffe.
Deshalb sind hier drei wichtige Schritte, die Sie unternehmen sollten, sobald Sie Ihr Backup wiederherstellen:
- Das erste, was Sie tun wollen, ist, die Liste der Plugins und Designs zu durchsuchen, die Sie haben, und die Plugins zu löschen, die Sie seit langem nicht mehr verwendet haben, insbesondere die deaktivierten.
- Eine weitere wichtige Sache, die Sie tun sollten, ist, nach Plugins und Designs Ausschau zu halten, die seit langem nicht mehr aktualisiert wurden. Denn je länger ein Theme oder Plugin ohne Update läuft, desto mehr Sicherheitslücken hinterlässt es in Ihrem WordPress-Backend.
- Die letzte Sache, die Sie überprüfen möchten, ist, ob Ihre Website ein kostenloses Design verwendet oder nicht. Wenn Sie ein kostenloses Design verwenden, sollten Sie ein Upgrade auf die kostenpflichtige Version oder ein anderes kostenpflichtiges Design in Betracht ziehen, da diese eine bessere Sicherheit für Ihre WordPress-Seite bieten.
Viele Webmaster gehen davon aus, dass, da sie ein Plugin oder ein Design deaktiviert haben, es ihrem WordPress-Backend keinen Schaden zufügen kann. Aber das ist völlig unwahr. Das Plugin ist, auch wenn es deaktiviert ist, auf Ihrem Server installiert und belegt Platz, so dass Hacker noch darauf zugreifen können.
Und schließlich, nachdem Sie alle unnötigen Plugins und Themen gelöscht haben, aktualisieren Sie die Plugins, die Sie auf die neuesten Versionen aktualisieren möchten.
Aktualisieren Sie alle Ihre Benutzernamen und Passwörter
Eine letzte Sache, die Sie tun sollten, ist, Ihren WordPress-Benutzernamen und Ihr Passwort zu aktualisieren. Da Ihre WordPress-Seite kürzlich gehackt wurde, ist dies eine gute Idee, da es der beste Weg ist, sich vor zukünftigen Angriffen zu schützen.
Hier erfahren Sie, was Sie tun können, um Ihre WordPress-Anmeldeinformationen zu erweitern:
- Ändern Sie Ihr WordPress-Login-Passwort häufig nach einigen Wochen.
- Beenden Sie die Verwendung des Standardbenutzernamens, z.B. “admin” oder ähnliches. Verwenden Sie stattdessen einen Benutzernamen, der eindeutig ist.
- Generieren Sie ein sicheres Passwort mit einem Dienst wie LastPass und speichern Sie Ihr Passwort darin für maximale Sicherheit.
Diese Tipps gelten nicht nur für Ihre WordPress-Login-Informationen, sie sind auch nützlich, wenn Sie Ihr Hosting-Konto oder FTP-Konto-Passwort aktualisieren möchten.
Eine weitere Möglichkeit, Ihre Website vor erneuten Angriffen zu schützen, besteht darin, das Verzeichnis’wp-admin’ auszublenden und die Anzahl der Anmeldeversuche zu begrenzen, die unternommen werden können, um in Ihre WordPress einzugeben. Beide Dinge können mit Hilfe der Plugins WPS Hide Login und WPS Limit Login At attempts erledigt werden.
Scannen Sie Ihre Website mit einem Sicherheitstool/Plugin.
Wenn Sie Ihr WordPress-Thema oder Ihre Plugins nicht regelmäßig aktualisieren, besteht die Möglichkeit, dass Hacker veraltete Dateien verwenden, um auf Ihre WordPress-Website zuzugreifen. Sobald sie drin sind, können sie eine Hintertür einrichten, um in Zukunft schnell Zugang zu Ihrer Website zu erhalten.
Deshalb ist es so wichtig, ein gutes WordPress-Sicherheits-Plugin auf Ihrer Website installiert zu haben, damit Sie alle Änderungen an Ihrer Website in Echtzeit verfolgen können.
Ich empfehle das Wordfence Security Plugin. Es ist ein Freemium-Plugin, und es funktioniert großartig. Dieses Plugin verfügt über viele Premium-Sicherheitsfunktionen wie z.B. Web Application Firewall, Malware-Scanner, Echtzeit-Verkehrsmessung, Ländersperre und vieles mehr.
WordPress Sicherheitsschlüssel ändern
Nach WordPress Version 3.1 hat WordPress automatisch einen Satz Sicherheitsschlüssel in Ihre wp-config.php-Datei eingefügt. Wenn nun ein Benutzer Ihr Passwort gestohlen hat und immer noch auf der Website angemeldet ist, wird er automatisch abgemeldet, sobald die WordPress-Salzschlüssel geändert werden. Auf diese Weise werden alle Benutzer automatisch von Ihrer Website abgemeldet. Anschließend können Sie Ihr Passwort ändern, auch für andere Benutzer.
Sicherheit sollte für einen Webmaster oberste Priorität haben, da eine Website jederzeit und ohne Vorankündigung gehackt werden kann. Da WordPress das beliebteste CMS ist, greifen Hacker häufig darauf zurück. Sie können jedoch dazu beitragen, dies zu verhindern, indem Sie die Sicherheit Ihrer Website ernst nehmen und die oben empfohlenen Schritte befolgen.
So schützen Sie Ihre WordPress Seite vor weiteren Angriffen
Dieser Satz ist fast klischeehaft, aber im Falle von WordPress kann er nicht wahrer sein. Ihre Website benötigt viel Zeit, Geld und Energie für den Aufbau. Aber ein einfacher Angriff eines bösartigen Hackers kann ihn im Handumdrehen zum Einsturz bringen.
Das ist der Grund, warum, um sicherzustellen, dass so etwas nicht passiert, hier sind ein paar Tipps, die Sie verwenden können, um Ihre WordPress Website besonders sicher zu machen.
Aktivieren Sie die Zwei-Faktor-Authentifizierung.
Wenn Sie das Passwort für Ihr WordPress-Backend mit mehreren Personen geteilt haben, sollten Sie für jeden von ihnen (einschließlich Ihnen selbst) eine Zwei-Faktor-Authentifizierung aktivieren.
Die Zwei-Faktor-Authentifizierung stellt sicher, dass selbst wenn Ihre WordPress-Logindaten von jemandem weitergegeben werden, kein Hacker in der Lage ist, Ihr Dashboard zu betreten, ohne dass Sie wissen, dass ein Versuch unternommen wurde.
Investieren Sie in eine Firewall-Lösung und ein SSL-Zertifikat.
Eine Firewall verhindert, dass verdächtiger Netzwerkverkehr in Ihre WordPress Website gelangt. Und selbst wenn irgendeine Art von schädlichem Traffic auf Ihre Website gelangt, verschlüsselt ein SSL-Zertifikat sensible Informationen innerhalb Ihrer Website, so dass niemand darauf zugreifen kann. Und auf diese Weise wird Ihre Website vor beiden Seiten geschützt.
Um ein SSL-Zertifikat und eine Firewall für Ihre Website zu erhalten, müssen Sie einen der mehreren Premium-Pläne innerhalb Ihrer WordPress-Sicherheits-Plugins abonnieren. Und wenn Sie es nicht möchten, können Sie ein SSL-Zertifikat bei Ihrem Hosting-Provider separat erwerben.
Wählen Sie Ihren Hosting-Provider sorgfältig aus.
Stellen Sie sicher, dass Sie Ihre Website bei einem guten Hosting-Provider hosten. Das liegt daran, dass sie dafür verantwortlich sind, Ihre Website sicher auf ihren Servern zu halten.
Aber die traurige Wahrheit ist, dass viele Hosting-Provider nicht in der Lage sind, das hohe Maß an Sicherheit zu bieten, um Ihre Website sicher zu halten. Laut WPWhiteSecurity wurden 41% der Websites aufgrund einer Sicherheitsschwachstelle auf der Plattform, auf der die Website gehostet wurde, gehackt.
Das ist der Grund, warum Sie Ihre Forschung durchführen und einen Hosting-Provider wählen sollten, der einen guten Ruf als sicher hat und der die zusätzliche Meile geht, um Ihre Website auf ihren Servern zu schützen.
Sobald Sie diese Vorsichtsmaßnahmen getroffen haben und den Tipps und Strategien in diesem Artikel gefolgt sind, können Sie sicher sein, dass die Chancen, dass Ihre Website gehackt wird, dramatisch reduziert werden. Und selbst wenn es gehackt wird, können Sie endlich die Gewissheit haben, dass Sie, egal wie stark ein Angriff auf Ihre Website auch sein mag, immer in der Lage sein werden, ihn wieder in seinen früheren Glanz zurückzubringen.
User Fazit: Vorsorgen ist besser als Nachsorgen!
Ihre WordPress Website zu hacken oder zu kompromittieren ist ein Horror, den nur wenige Website-Besitzer erleben wollen oder nicht bald vergessen werden, wenn sie es bereits getan haben. Die Wiederherstellung nach einem erfolgreichen Hack erfordert viel Energie, Nerven und oft auch Geld.
Allerdings sind Sicherheitsprobleme Teil der Realität des Betriebs einer Website und Vorsorge ist besser als der Umgang mit den Folgen. Glücklicherweise ist WordPress selbst im Allgemeinen sehr sicher. Der Einstiegspunkt für Hacker sind meist die Hosting-Umgebung, anfällige Plugins und Themen sowie schwache Login-Informationen.
Wenn Sie den Ratschlägen folgen, wird Ihnen die obige Liste helfen, die häufigsten Probleme zu lösen und Ihre Website viel weniger anfällig zu machen.