Gehackt? Seite zurückgesetzt & Login nicht mehr möglich

Hallo WordPress, danke für die schnelle Antwort.

Hier hat dir nicht WordPress geantwortet, sondern ich, Bego, ein Anwender wie du. Ich möchte hier gerne anderen AnwenderInnen bei Fragen zu WordPress helfen, schaue auch gelegentlich im Spamfilter nach, was sich so angesammelt hat (deshalb steht da „Moderator“), bin aber kein „Verantwortlicher“.

WordPress ist OpenSource: du bekommst die Software kostenlos zur Verfügung gestellt, kannst sie nutzen, weitergeben, nach deinen Wünschen ändern oder eben auch fehlerhafte Plugins installieren (was dann aber auf deine Kappe geht). Hier gibt es keinen Dienstleister, der dir irgendwas schuldet und niemanden, der sich „ganz schnell was einfallen lassen“ muss, obwohl ich überzeugt bin, dass diese anscheinend gravierende Sicherheitslücke bereits von einigen Entwicklern diskutiert wird. Wir freuen uns aber über konstruktive Kritik.

Jetzt noch eine Frage: Wer hat denn das letztendlich ausgelöst, dass überall dort, wo das Plugin da war, die Datenbank gelöscht wurde?

Im Spielfilm wird der Hacker als Hoodie tragender, sich ausschließlich von Pizza und Cola ernährender Computer-Freak dargestellt, der in einem dunklen Keller an Matrix-ähnlichen Bildschirmen gezielt eine einzelne Website angreift. Das macht sich im Kino gut, ist aber eher die Ausnahme.
In der Praxis entwickeln Programmierer Software, die bekannt gewordene Sicherheitslücken automatisiert ausnützt, um aus finanziellen Interessen Schadcode auf Webservern zu platzieren. Dich greift also kein Teenager im Hoodie persönlich an, sondern Computer grasen mit eigens dafür entwickelten Programmen Webseiten ab und versuchen auf gut Glück, mit der bekannt gewordenen Sicherheitslücke Schaden zu verursachen.

Übrigens hätte es geholfen, das nicht mehr verwendete Plugin einfach zu löschen, wie es von der WordPress-Community ausdrücklich empfohlen wird. Wenn du mehr darüber erfahren möchtest, wie du deine Website besser absichern kannst, ist dieser Beitrag sicher hilfreich: https://kinsta.com/de/blog/wordpress-sicherheit/

Wir empfehlen übrigens auch regelmäßig, Backups zu machen. Selbst wenn deine Website gehackt wird, lässt sich der Schaden mit einem Backup schnell begrenzen und die Website läuft in wenigen Minuten wieder, während eine Säuberung eine gehackten Website unter Umständen mehrere Stunden dauert und fehleranfällig ist. WordPress, Themes und Plugins nicht regelmäßig zu aktualisieren und keine Backups zu erstellen ist grob fahrlässig.

Irgendwie immer noch schwer vorstellbar, wer von solcher Schadsoftware eigentlich den tatsächlichen Nutzen hat.. kann ja immer nur der Wettbewerber von was sein, …

Nein, Wettbewerber müssten dafür eigene Programmierer einstellen, die dann … eine? Website lahmlegen. Das rechnet sich überhaupt nicht.

Du hast aber sicher schon mal Phishing E-Mails bekommen, in dem dir ein „Sicherheitsbeauftragter“ einer Bank oder eines Online-Händlers in besorgtem Tonfall mitteilt, dass sie dein Konto gesperrt haben und du dich ganz, ganz schnell auf ihrer Webseite (mit deinen Zugangsdaten!) anmelden sollst. Diese Webseite erstellen die Angreifer aber nicht auf einem selber angemieteten und damit nachvollziehbaren Server – sie verwenden viel lieber deinen Webserver (und du brauchst davon unter Umständen nicht einmal etwas mitbekommen).
Oder jemand verwendet deine Website, um Spam zu verschicken, Dateien mit illegalem Inhalt auszutauschen, Angriffe auf andere Websites zu starten, oder einfach mal zu lernen „wie hacke ich automatisiert in einer halben Stunde 3.000 Websites?“.

Das war jetzt eine laienhafte und sehr verkürzte Darstellung, aber du hast vielleicht eher eine Idee, wieso deine Webseiten grundsätzlich gefährdet sind, auch wenn du meinst „ich bin doch zu unwichtig/klein“ oder „auf meinem Server ist ja nichts wichtiges drauf“ (oft gehörte Argumentation, wieso ein Schutz angeblich überflüssig ist).

Die meisten Webhoster machen regelmäßig Backups.
Bei manchen ist für die Wiederherstellung wegen des damit verbundenen Aufwands eine zusätzliche Gebühr fällig.

Wer selber Backups macht (am besten auf einem Cloud-Speicher), kann sich auch mal rasch selber helfen, ohne Dritte ansprechen zu müssen. Kostet dann auch nichts.