Zur Frage, wie man mit einer gehackten Website umgehen soll, haben wir einen Beitrag in unserer FAQ:
Seite gehacked, was tun?
Es ist zwar naheliegend, Benutzer direkt in der Datenbank-Tabelle zu löschen, aber die Frage stellt sich, wie der Eintrag überhaupt in die Datenbank kommt. Angreifer hinterlassen dafür oft ein Skript, das den Anwender nach einer Säuberung direkt wieder anlegt und auch sonst eine Hintertür offen lässt, um jederzeit wieder Zugriff auf die Website zu erlangen. Damit wird eine Änderung in der Datenbank direkt wieder rückgängig gemacht. Zu einer richtigen Bereinigung der Website gehört, alles bis auf eigene Uploads zu löschen, WordPress, Theme und Plugins neu aus dem WordPress-Verzeichnis herunter- und auf dem eigenen Webserver hochzuladen und die Dateien im Verzeichnis wp-content/uploads
sehr genau auf möglichen Malware-Befall zu prüfen. Zusätzlich sollten natürlich alle Zugangsdaten ausgetauscht werden und wenn möglich, eine Zwei-Faktor-Authentifikation als zusätzliche Absicherung eingerichtet werden. Da das recht umfangreiche Aufgaben sind, ist es sinnvoll, wenn sich besonders Einsteiger an einen Dienstleister wenden, der sich mit der Bereinigung gehackter Websites auskennt.
Eine erheblich einfachere Methode ist, alle Dateien auf dem Server sowie die Inhalte der Datenbank zu löschen und ein hoffentlich vorhandenes Backup aus der Zeit vor dem Angriff wiederherzustellen. Solltest du kein Backup angelegt haben oder das Backup nicht wiederherstellen können, frag bitte beim Support deines Webhosters nach. Viele Webhoster haben ein eigenes Backup, das (manchmal gegen eine Aufwandsentschädigung) wiederhergestellt werden kann. Das erspart die doch recht aufwendige Bereinigung der Dateien.
Ist es wirklich notwendig, alles zu löschen, oder würde es ausreichen, die Datenbank wiederherzustellen? Mein Webhoster ist Strato.
Ist es wirklich notwendig, alles zu löschen
Wenn du auf Nummer sicher gehen willst, dann ja.
würde es ausreichen, die Datenbank wiederherzustellen?
Nein, das reicht nicht. Vermutlich befindet sich in irgendeiner Datei der Schadcode. Wenn du selber kein Backup hast (was fahrlässig wäre), dann frage bei Strato nach, ob die ein Backup haben.
Wenn du ein Backup (Datenbank und Dateien!) wiederherstellen kannst,sollte alles OK sein. Strato sollte ein Backup haben.
Wieso sonst eine Löschung und ein neuer Satz Dateien nötig ist, habe ich bereits beschrieben.
Leider habe ich nicht viel Unterstützung von Strato. Ich habe es geschafft, die Datenbank von meinem Hosting-Account zu löschen. Wenn ich mich über SFTP einlogge, habe ich ein Stammverzeichnis mit 3 Ordnern (1 leerer und 2 mit WP-bezogenen Dateien). Kann ich das Root-Verzeichnis direkt löschen?
Kann ich das Root-Verzeichnis direkt löschen?
Kannst du, aber nur auf eigene Gefahr mit einem entsprechendem Backup vorher. Da wir nicht auf deinen Bildschirm sehen können, trägst du das Risiko.
Leider habe ich nicht viel Unterstützung von Strato.
Hast du konkret um Wiederherstellung eines Backup gebeten?
So, wie einem Vermieter egal ist, ob der Mieter ein Problem mit dem Kühlschrank oder Fernseher hat, interessiert sich Strato als „Vermieter“ von Webspace nicht dafür, was du mit dem Webspace machst und ob du ihn mit WordPress oder einem anderen CMS füllst. Vom Support bei Strato hören wir hier öfters, dass sehr schnell an den WordPress-Support verwiesen wird, wenn nur das Wort WordPress erwähnt wird. Die Wiederherstellung eines Backups fällt aber in die Zuständigkeit des Webhosters.
Ich habe es geschafft, die Datenbank von meinem Hosting-Account zu löschen.
Davon war bisher keine Rede? Ich hatte vorgeschlagen, „die Inhalte der Datenbank zu löschen“. WordPress braucht eine Datenbank und die Zugangsdaten zu dieser Datenbank sind in der Konfigurationsdatei wp-config.php
eingetragen. Löscht du die Datenbank, musst du eine neue Datenbank anlegen und in der wp-config.php
die Zugangsdaten ändern.
Kann ich das Root-Verzeichnis direkt löschen?
Wir können als Außenstehende schwer beurteilen, was in diesen drei Verzeichnissen steht. Außerdem habe ich recht ausführlich beschrieben, was gelöscht werden kann und was auf keinen Fall gelöscht werden darf. Löschst du das Unterverzeichnis wp-content/uploads
, lassen sich (ohne Backup) die eigenen Medienuploads nicht wieder herstellen.
Wenn du hier bereits Zweifel bekommst, wiederhole ich nochmal die Empfehlung: wende dich an einen Dienstleister, der sich mit der Bereinigung gehackter Websites auskennt.
Ich habe Angst, dass ich Daten von meiner anderen Website lösche. Wenn ich mich über FTP einlogge, heißt einer der Ordner STRATO -apps und der andere heißt WordPress 01 (und enthält die normalen WP-Ordner).
Der STRATO apps-Ordner (ich habe keine Ahnung, wofür dieser Ordner ist) hat zwei Unterordner: wordpress 01 und wordpress 02. In diesem wordpress01 sehe ich ein Backup meiner anderen Website.
Reicht es aus, nur die Datei WordPress01 löschen? Beachten Sie den Unterschied zwischen der Groß- und Kleinschreibung der Ordner, um den Unterschied zu verstehen.
Wie sollen wir die Frage beantworten, wenn wir den Inhalt des Verzeichnisses nicht kennen und die Dateien nicht zuordnen können?
Schade, dass du auf meine letzte Antwort nicht eingegangen bist.
Es tut mir leid, dass die Beiträge durcheinander geraten sind. Ich habe es nur geschafft, Strato dazu zu bringen, die Datenbank neu zu installieren. Die WP-Anwendung habe ich nicht mehr. In der Zwischenzeit konnte ich herausfinden, in welchem der genannten Ordner sich die betreffende Website befindet (die beiden anderen sind jeweils für andere Websites). Wenn Sie erwähnen: „alle Dateien auf dem Server sowie die Inhalte der Datenbank zu löschen“, bedeutet dass, ich alle Ordner und Dateien, die zu dieser Seite gehören, z.B. per FTP löschen soll? oder gibt es noch weitere Aktionen, um den Inhalt der Datenbank zu löschen? Ich danke Ihnen für Ihre Hilfe.
Das hatte ich bereits beschrieben:
Zu einer richtigen Bereinigung der Website gehört, alles bis auf eigene Uploads zu löschen, WordPress, Theme und Plugins neu aus dem WordPress-Verzeichnis herunter- und auf dem eigenen Webserver hochzuladen und die Dateien im Verzeichnis wp-content/uploads
sehr genau auf möglichen Malware-Befall zu prüfen.
Mit „alles bis auf eigene Uploads“ ist das Verzeichnis mit den Dateien zur WordPress-Website gemeint, wobei das Unterverzeichnis wp-content/uploads
nicht gelöscht werden darf. Was in anderen Verzeichnissen an Dateien vorhanden ist (Backups, anderes CMS, …) ist egal. Du solltest aber sicherstellen, dass die Dateien keine Malware-Skripte enthalten.
Denk bitte daran: was einmal gelöscht ist, kann nicht wiederhergestellt werden. Statt dessen kannst du anschließend neu heruntergeladene Dateien für WordPress, Theme und Plugins hochladen, aber eigene Mediendateien lassen sich so z.B. nicht ersetzen.
Wenn der Support ein Backup der Website bereits zur Verfügung gestellt hat, würde ich das auch verwenden.
(Wir verwenden hier übrigens, wie in Open Source Communities üblich, das respektvoll gemeinte aber weniger förmliche „du“.)
Ich habe ein Backup von UpDraftPlus mit allen Elementen (Datenbank, Plugins, Themen, hochgeladene Dateien und andere).
In Anbetracht dessen: Könnte ich alle WordPress-Dateien löschen, ohne zu riskieren, dass die Website nicht funktioniert, weil ich wp_content/upload nicht behalte? Ich verstehe, dass es in der Sicherheitskopie „Hochgeladene Dateien“ enthalten sein würde.
Wäre es in diesem Fall sinnvoll: 1) alle Datenbanktabellen zu löschen 2) alle WordPress-Dateien zu löschen 3) WordPress neu zu installieren 4) das Backup von UpDraftPlus wiederherzustellen.