Einsteiger Guide: Wie ich erkenne ob meine WP-Webseite gehackt wurde?

May 1, 2018

Das die eigene Webseite gehackt wurde lässt sich an eindeutigen Anzeichen ablesen.

Aber auch im Vorfeld lässt sich bereits beobachten, ob es Angreifer auf einen abgesehen haben. Erste Anzeichen wie das bemerkt werden kann, zeigen wir nun in diesem Beitrag auf.

Noch schneller lassen sich Angriffe mit einem WordPress Security-Plugin aufzeigen, diese unterstützen natürlich auch bei deren Abwehr.

Es beginnt oft sehr vereinzelt, weil gewisse Schwachstellen ausprobiert werden, ob darüber der Angreifer vielleicht schon Zugriff erhält. Sehen wir uns diese nun im Detail an:

Plötzlicher Besucher-Rückgang

Mit einem Web Analytics Tool lassen sich Besucher der eigenen Webseite messen. Das wohl bekannteste hierfür ist Google Analytics.

Brechen die Besucherzahlen plötzlich ein, kann dies zunächst mehrere Ursachen haben.

  • mehr Konkurrenz
  • Änderungen an Rankings in den Suchmaschinen
  • Hohe Absprungraten
  • eingeschleuste Malware oder Trojaner

In diesem Beitrag beschäftigen wir uns zunächst nur mit den Auswirkungen eingeschleuster Malware oder Trojanern.

Malware und Trojaner können sich zunächst unterschiedlich auf der eigenen Webseite verhalten, so können

  • einfach nur Benutzerdaten gesammelt werden
  • lästige Popups werden eingeblendet
  • der Besucher wird direkt auf eine andere Webseite weitergeleitet
  • im schlimmsten Fall wird auch der Computer des Besuchers infiziert

Suchmaschinen und Browser erkennen diesen Umstand jedoch sehr schnell und zeigen sofort eine Warnmeldung an, bevor eine solche Webseite dem Besucher angezeigt wird.

Google beispielsweise blockt jede Woche über 20.000 neue Webseiten die mit Malware inviziert sind und sogar über 50.000 Webseiten die mit Pishing auffällig werden.

Ob deine Webseite davon auch betroffen ist, lässt sich somit sehr schnell bei Google Analytics und auch in der Google Search Console feststellen.

Fehlerhafte Verlinkungen auf die Webseite

Ein am häufigsten verbreitetes Anzeichen, dass die Webseite auf irgendeine Art und Weise infiziert wurde, ist es, wenn auffällig viele fehlerhafte Verlinkungen auf die eigene Webseite verlinken.

Ein Beispiel erübrigt sich zwar an dieser Stelle, denn es handelt sich um URL die es auf deiner Webseite so einfach nicht gibt. Meist kommen diese Links von besonders spammigen Webseiten.

Diese Links gilt es schnellmöglichst zu überprüfen ob sich darunter nicht URLs befinden über die ein Zugriff auf deine WordPress-Dateien oder sogar deine WordPress Datenbank möglich wäre.

Empfehlung: Ist das der Fall, sollte dieser Fehler sofort behoben werden.

Plötzlich eine andere Startseite

In den meisten Fällen wollen Angreifer unendeckt bleiben und offerieren im verborgenen. Es gibt aber auch Ausnahmen.

Einige Hacker kapern bewusst die Startseite um dort auffällige Inhalte zu platzieren.

Andere Hacker sogar versuchen Geld vom Webseitenbetreiber zu erpressen und die Meldung erst nach einer entsprechenden Zahlung zu entfernen.

Empfehlung: In solchen Fällen ist es ratsam, sich professionelle Hilfe von einem WordPress Entwickler zu holen.

Login zu WordPress nicht möglich

Sollte ein Login zum Admin von WordPress nicht möglich sein, überprüfe zunächst wenn du ein Captcha verwendest ob dies richtig eingegeben wurde.

War alles richtig, liegt die Ursache vermutlich darin, dass entweder dein Benutzeraccount verändert oder gar gelöscht wurde. Versuche zunächst dein Passwort zurückzusetzen.

Ist dies nicht möglich, muss über den PhP MyAdmin der Benutzer angelegt werden.

Bedenke jedoch, dass du jetzt zwar wieder Zugriff hast, aber die Ursache wie der Angreifer sich Zugriff verschafft hat, womöglich noch nicht behoben ist.

Empfehlung: In einem solchen Fall sind zunächst alle Passwörter zu ändern, sowohl für den Datenbankzugriff als auch für den FTP zu deinem WordPress.

Verdächtige Benutzerkonten

Hier sind zunächst zwei Faktoren zu überprüfen. Ist in den WordPress Einstellungen erlaubt einen Benutzer zu registrieren oder nicht?

Ist es erlaubt?

So können diese Benutzer gelöscht werden. Zusätzlich sollte jedoch ein Captcha bei der Registrierung eingebaut werden, welches vor Registrierung manuell eingegeben werden muss.

Ist es nicht erlaubt?

Wurde die Seite vermutlich gehackt.

Empfehlung: Begebe dich auf die Suche nach dem Hintertürchen und nehme zur Not Kontakt zur WordPress Community auf, ggf. kann aber ein Update auf die aktuelle WordPress Version machen um das Problem direkt beheben.

Die Webseite ist ungewöhnlich langsam

Angreifer verwenden niemals die eigene Infrastruktur, sondern führen Angriffe über gekaperte Rechner durch.

Diese sind in der ganzen Welt verteilt und können durch häufige Anfragen an deinen Server diesen auch in die Knie zwingen.

Es kann aber auch sein, dass generell ein Serverproblem vorliegt und die Webseite dadurch aktuell sehr langsam reagiert.

Empfehlung: Das überprüfen der Besucherstatistiken gibt schon erste Ansätze wo das Problem liegen kann. Im Notfall kontaktiere deinen WordPress Hoster der eine Überprüfung vornimmt.

Hijacked Suchergebnisse

Bei der Überwachung der eigenen Rankings fallen schnell falsche Titel oder Meta Beschreibungen in den Suchmaschinen auf.

Bei einer genauen Überprüfung der Webseite, sieht jedoch alles unverändert aus. Dies ist ein klares Anzeichen, dass die Webseite gehackt wurde.

Der Angreifer nutzt dabei eine Hintertür und hat einen Code eingefügt, der meist verschlüsselt ist, welcher die Suchmaschinencrawler auf gefälschte Inhalte weiterleitet.

Empfehlung: Wer kein SEO-Plugin nutzt kann auch ganz einfach über die Google Suche site:meinewebseite.de alle indexierten Seiten sehen und kontrollieren.

Was tun wenn die Webseite tatsächlich gehackt wurde?

Wenn du dir das nicht selbst zutraust, hole dir auf jeden Fall jemanden der sich damit auskennt. Im Detail ist folgende Vorgehensweise zu empfehlen:

  1. Webseite unbedingt vollständig sichern.
  2. Log-Dateien auswerten und Problem ausfindig machen.
  3. Problem beheben oder Sicherheitslücke schließen

Lässt sich das Problem nicht vollständig aus dem Backup entfernen, so ist es vielleicht möglich ein älteres Backup wieder einzuspielen.

Bedenke dabei jedoch, dass Inhalte die zwischenzeitlich bei den verschiedenen Backups entstanden sind ggf. von Hand neu integriert werden müssen.

Wenn euch dieser Beitrag gefallen hat, dann abonniert uns bitte auf Facebook und Twitter.

Tobias Schmidt
Webentwickler und Programmierer: Ein WordPress-Nerd, hat über 10 Jahre damit verbracht, Websites zu entwickeln und diese vor Hackern und Malware zu schützen.
Kommentare
Kommentar schreiben
angemeldet als . Abmelden?
Kommentar beantoworten
Erstellen einen kostenlosen Account, um einen Kommentar zu schreiben.
Ich habe bereits einen Account, logge mich ein