WordPress gehackt?
Ihr visueller Notfall- und Präventionsleitfaden von goneo
Die kalte Realität: WordPress im Fadenkreuz
WordPress ist mit über 43% Marktanteil das beliebteste CMS der Welt. Diese Dominanz macht es zum Hauptziel für Cyberkriminelle. Panik ist jedoch der falsche Ratgeber. Mit einem systematischen Plan gewinnen Sie die Kontrolle zurück und machen Ihre Seite sicherer als je zuvor.
Das Plugin- & Theme-Dilemma
Über 95% aller Angriffe erfolgen nicht über den WordPress-Kern, sondern über Schwachstellen in Plugins und Themes von Drittanbietern. Jede Erweiterung ist eine potenzielle Tür für Angreifer.
Die wirtschaftlichen Folgen
aller Cyberangriffe richten sich gegen kleine und mittlere Unternehmen (KMU).
der betroffenen KMU stellen nach einem schweren Hack den Betrieb innerhalb von 6 Monaten ein.
Ihr 3-Phasen-Notfallplan
Keine Panik! Gehen Sie systematisch vor. Dieser Plan führt Sie aus der Krise und hilft Ihnen, die Kontrolle schnell wiederzuerlangen.
1Phase: Sofortmaßnahmen
Den Schaden sofort begrenzen und die digitale Tür verschließen.
- ①Seite isolieren: Aktivieren Sie sofort den Wartungsmodus, um Besucher zu schützen und Malware-Aktivitäten zu stoppen.
- ②Passwörter ändern: Setzen Sie ALLE Passwörter zurück (WordPress, FTP, Datenbank, goneo-Kundencenter).
- ③Hoster informieren: Kontaktieren Sie den goneo-Support. Wir können Server-Logfiles prüfen und helfen, den Angriffspunkt zu finden.
2Phase: Analyse & Bereinigung
Detektivarbeit am digitalen Tatort. Seien Sie extrem gründlich!
- ①Infiziertes Backup erstellen: Sichern Sie den aktuellen Zustand als forensisches Beweismittel.
- ②WordPress-Kern ersetzen: Löschen Sie `wp-admin` & `wp-includes` und laden Sie sie frisch von wordpress.org hoch.
- ③Plugins/Themes löschen: Entfernen Sie alle Plugins & Themes und installieren Sie sie sauber neu.
- ④Dateien & DB prüfen: Kontrollieren Sie `.htaccess`, `wp-config.php`, den `uploads`-Ordner und die Datenbank (`wp_users`, `wp_options`) auf Schadcode.
3Phase: Absicherung & Prävention
Verwandeln Sie Ihre Seite in eine Festung für die Zukunft.
- ①Sicherheits-Plugin installieren: Eine Firewall (WAF) und Malware-Scanner (z.B. Wordfence) sind ab jetzt Pflicht.
- ②2-Faktor-Auth (2FA) aktivieren: Sichern Sie alle Admin-Logins zusätzlich ab.
- ③Updates durchführen: Halten Sie WordPress, Plugins & Themes immer aktuell.
- ④WordPress „härten“: Minimale Rechte, Login-URL verschleiern, XML-RPC deaktivieren etc.
Der Notfallprozess im Überblick
Vom Schockmoment zur sicheren Website: Folgen Sie diesem Flussdiagramm.
🚨
Hack entdeckt
Umleitungen, Spam, Warnungen
Isolieren
Seite isolieren
Wartungsmodus aktivieren
🔑
Passwörter ändern
WP, FTP, DB, goneo
🧹
Bereinigen
Core, Plugins, DB säubern
🛡️
Absichern
Hardening & Prävention
Prävention: Die 10 Gebote der WordPress-Sicherheit
Nach der Bereinigung ist vor dem Schutz. Implementieren Sie diese Maßnahmen, um sicher zu bleiben.
🛡️
Sicherheits-Plugin
Installieren Sie eine Web Application Firewall (WAF) und einen Malware-Scanner.
📱
Zwei-Faktor-Auth (2FA)
Aktivieren Sie 2FA für alle Administratoren. Ein Passwort allein reicht nicht.
🔄
Regelmäßige Updates
Halten Sie Core, Plugins und Themes immer auf dem neuesten Stand.
👥
Minimale Rechte
Vergeben Sie nur die Benutzerrollen, die wirklich notwendig sind.
🤫
Login-URL verschleiern
Ändern Sie die Standard-Login-URL, um Bot-Angriffe zu erschweren.
🔌
XML-RPC deaktivieren
Schalten Sie diese oft ungenutzte, aber häufig angegriffene Schnittstelle ab.
✍️
Datei-Editor sperren
Deaktivieren Sie den Plugin- und Theme-Editor im Backend.
🧂
Sicherheitsschlüssel erneuern
Generieren Sie neue „Salts“ in der `wp-config.php`.
📁
PHP-Ausführung blockieren
Verhindern Sie das Ausführen von Skripten im `uploads`-Ordner.
💾
Regelmäßige Backups
Nutzen Sie die goneo-Backups und erstellen Sie eigene, externe Sicherungen.
Sicherheit: Eine geteilte Verantwortung
Sicherheit ist Teamarbeit. Hier sehen Sie, wofür goneo sorgt und wo Ihre Verantwortung als Website-Betreiber liegt.
Ihre Verantwortung (Anwendungssicherheit)
- WordPress, Plugins & Themes aktuell halten
- Sichere Passwörter verwenden & 2FA nutzen
- Sicherheits-Plugin installieren und konfigurieren
- WordPress-Installation „härten“
- Regelmäßige eigene Backups erstellen
- PHP-Version im Kundencenter aktuell halten
goneo’s Verantwortung (Serversicherheit)
- Sichere Rechenzentrumsinfrastruktur in Deutschland
- Wartung der Server-Hardware und des Betriebssystems
- Schutz der Netzwerkanbindung
- Serverseitiger Virenschutz für E-Mails
- Bereitstellung automatischer Backups (letzte 5 Tage)
- SSL-Zertifikate zur Verfügung stellen