Das ist sicherlich ärgerlich, aber was sollen wir mit der Information, dass deine Website gehackt wurde, anfangen?
Wir weisen hier regelmäßig darauf hin, wie wichtig regelmäßige Updates sind, dass keine Software aus unzuverlässigen Quellen installiert, starke Passwörter und idealerweise eine Zwei-Faktor-Authentifikation für die Sicherheit der Website wichtig sind. Eine hundertprozentige Sicherheit wirst du auch damit nicht bekommen. Deshalb solltest du regelmäßig Backups machen, die idealerweise auf einem Cloudspeicher oder einem externen Medium abgelegt werden.
Eine Reparatur einer gehackten Website ist recht aufwändig, weil Angreifer nicht gerade ein Logfile der Änderungen hinterlassen und das Aufspüren von Backdoors mühsam ist. Ein nicht kompromittiertes (!) Backup wiederherzustellen geht üblicherweise in einem Bruchteil der Zeit. „Forensik“ (bzw. die Suche nach den Ursachen für einen erfolgreichen Angriff) ist noch aufwändiger und lohnt sich eigentlich bei typischen WordPress-Websites nicht.
Zur Frage, wie du die Sicherheit deiner Website (über die oben genannten Maßnahmen hinaus) erhöhen kannst, gibt es im Web zahlreiche Aufsätze, z.B. WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website. Oder du liest dir die Ratschläge aus der offiziellen Dokumentation durch: WordPress absichern.
Viele AnwenderInnen, die sich nicht ausführlich mit dem Thema beschäftigen möchten, greifen auf eines der angebotenen All-in-One-Security-Plugins wie Wordfence oder All In One WP Security & Firewall zurück. Diese Plugins bieten zwar grundsätzlich zusätzliche Optionen, um eine WordPress-Installation abzusichern, vermitteln aber oft ein trügerisches Sicherheitsgefühl, „alles“ für die Sicherheit getan zu haben, weil doch alle Einstellungsoptionen angeklickt wurden. Da wird dann auch nicht hinterfragt, ob es überhaupt sinnvoll ist, z.B. die WordPress-Version zu verstecken (ist es nicht) oder ob ein „live traffic blocking“ sich vielleicht negativ auf die Performance auswirken könnte.
Ist WordPress denn allgemein so unsicher, dass es laufend gehackt wird und zusätztliche Plugins zwingend notwendig sind? Simon hat dazu erst vor ein paar Tagen ein paar Gedanken veröffentlicht: Wie sicher ist WordPress?. Ich kenne jedenfalls Websites, die seit einem guten Jahrzehnt laufen, ohne Sicherheitsplugins auskommen und nie Probleme hatten.
