Arbeitsschritte Reparatur gehackte Website

Meine WordPress-Website ist mit Malware verseucht. Wie gehe ich vor, um die Website zu reparieren?

Zu mit Schadcode infizierten Websites habe ich vor einer Weile schon einmal ein paar Zeilen geschrieben. Hier nochmal der Ablauf in einzelnen Arbeitsschritten:

1. Vorhandene Website offline nehmen (index.html mit Wartungshinweis erstellen und ins Web-Stammverzeichnis hochladen, index.php löschen)
2. Passwörter aller Nutzer ändern – in WordPress, für den FTP-Zugang, für das Kundenmenü beim Webhoster. Eigenen Computer auf Viren/Trojaner prüfen.
3. Per FTP alle Dateien in ein Quarantäne-Verzeichnis (auf deinem eigenen Computer, nicht auf dem Webserver) kopieren.
4. Backup der Datenbank. Per phpMyAdmin (findest du im Kundenmenü deines Webhoster) Datenbank aufrufen, in der Tabelle wp_users nach möglichen Einträgen des Angreifers suchen (gerne getarnt als admin, administrator, …) und entfernen. Alle Tabellen nach JavaScript-Code (<script…) durchsuchen und ggf. bereinigen.
5. Notiere dir, welche Plugins installiert waren (Verzeichnis wp-content/plugins oder im Backend nachschauen) und schau nach, ob aktuell alle Plugins im WordPress-Verzeichnis erhältlich sind (kannst du dann auch gleich herunterladen).
6. Löschen aller Dateien auf dem Webserver (gerne wird ein Verzeichnis „Blog“, „System“ oder „tmp“ angelegt, um den Anschein zu erwecken, es würde sich um Dateien des Webservers handeln – hier steckt dann aber ein Script, über das sich der Angreifer wieder anmelden kann, eine so genannte Backdoor).
7. Im Verzeichnis wp-content alle Unterverzeichnisse bis auf diese Ausnahmen löschen:
   • Verzeichnis mit deinem aktuell verwendeten Theme (handelt es sich um ein Theme aus dem WordPress-Verzeichnis, kannst du es dort herunterladen und frisch hochladen)
   • Verzeichnis uploads
8. die übriggebliebenen Dateien müssen alle einzeln nach Schadcode durchgeschaut werden. Das setzt natürlich voraus, dass du guten von schlechtem Code unterscheiden kannst.*
   Auch vermeintliche Bilddateien (*.jpeg, *.jpg, *.png, *.gif) können tatsächlich Schadcode enthalten.
9. Frische WordPress-Dateien ohne wp-content besorgen: https://downloads.wordpress.org/release/wordpress-4.8-no-content.zip (bzw. neuere Version), Datei entpacken
10. Bereinigtes Verzeichnis wp-content in das entpackte Verzeichnis wordpress verschieben.
11. In Schritt 2 heruntergeladene Plugins in wordpress/wp-content/plugins entpacken.
12. Alle Dateien und (Unter-)Verzeichnisse aus dem Verzeichnis wordpress per FTP in das (bis auf index.html) leere Web-Stammverzeichnis hochladen.
13. In Schritt 1 erstellte index.html wieder löschen, im Backend einloggen und alles prüfen.
14. Künftig WordPress und alle Plugins immer direkt aktualisieren, nicht über offen zugängliches W-Lan anmelden und starke Passwörter verwenden.

* Wenn du keine Backups und selber wenig Ahnung hast, solltest zur Wiederherstellung jemanden beauftragen, der sich auskennt (findest du in Google). Die Gefahr, dass du eine Hintertür übersiehst und der Angreifer erneut zuschlägt, ist recht groß.