in Sicherheit
Website gehackt – was tun?
Eine gehackte Website zu reparieren gehört für Entwickler:innen wohl zu den seltensten Aufgaben - dafür aber zu einer sehr wichtigen. Um im Ernstfall schnell und kompetent reagieren zu können, teilen wir nachfolgend unsere Erfahrungen in einer umfangreichen Anleitung mit dir.
Worst-Case-Szenario für Website-Betreiber:innen – die Website wurde gehackt. Jetzt heißt es, unverzüglich handeln! Denn persönliche oder vertrauliche Daten sind in Gefahr. Damit ein Website-Hack nicht zum Albtraum wird, kannst du vorbeugen und umsichtig handeln. Wie du am besten vorgehst, erfährst du in unserem Action-Plan in 9 Schritten.
Denn was zählt, ist nicht nur das Wissen, wie man die Website wiederherstellt, sondern auch, wie man in diesem Moment mit dem Website-Betreiber kommuniziert. Mit der richtigen Herangehensweise sparst du Geld und Nerven.
Folge diesen 9 Schritten
- Ruhe bewahren Team zusammenstellen
- Zugriff auf Website blockieren
- Anzeichen für den Hack dokumentieren
- Zugangsdaten sammeln
- Backup der alten Website erstellen
- Website wiederherstellen
- Monitoring
- Forensik
- Reporting
Wir veranschaulichen dir den Action-Plan auch in einer Infografik. Speichere sie dir ab, damit du auf einen Blick siehst, was im Fall der Fälle zu tun ist!
Schritt 1
Keine Panik
Stellst du fest, dass deine Website gehackt wurde, musst du schnell handeln, um den Schaden so gering wie möglich zu halten. Aber egal, was passiert ist oder passieren könnte, das Wichtigste zuerst:
- Atme dreimal tief durch.
- Akzeptiere die Situation.
- Jetzt fange an, das Problem zu beheben.
Arbeite als Team zusammen
Ein Website-Hack ist keine Routineaufgabe. Scheue deshalb nicht davor zurück, dir Hilfe zu holen. Arbeitest du alleine, setzt du dich am besten sofort mit deiner:m Webentwickler:in bzw. dem Hosting-Anbieter der Website in Verbindung. Ist eine Kunden-Website betroffen, musst du jetzt zwischen deinem Kunden und konzentriertem Arbeiten jonglieren.
Kannst du in deiner Agentur oder deinem Unternehmen auf ein Team zurückgreifen, empfehlen wir dir, Verantwortlichkeiten schon vor dem Ernstfall festzulegen, um schnell handeln zu können.
Stelle ein Repair-Team zusammen
Eine Möglichkeit ist es, ein Repair-Team zusammenzustellen, das aus einem Repair-Manager und einem Repair-Developer besteht.
Als Repair-Manager kennst du das Projekt und bist ausschließlich für die Kommunikation mit deinem Kunden zuständig. Du informierst ihn über:
- den aktuellen Status
- die nächsten Schritte
- die gefixte Website
- Dokumentation
- Content-Verlust
- weitere Maßnahmen
Der Repair-Developer konzentriert sich ausschließlich darauf, die Website wiederherzustellen. Er kommuniziert jeden weiteren Schritt mit dem Repair-Manager und muss sich nicht um panische oder verärgerte Kunden kümmern. Das gibt ihm die Ruhe, die er braucht, um schnell und sauber zu arbeiten.
Schritt 2
Sperre den Zugriff auf die Seite
- Füge der Website umgehend einen Verzeichnisschutz hinzu, um zu verhindern, dass Besucher:innen auf die Website zugreifen können.
Schritt 3
Dokumentiere die Anzeichen
Es gibt offensichtliche Anzeichen dafür, dass eine Website gehackt wurde. Manche Anzeichen sind jedoch nicht so eindeutig und schwieriger zu erkennen. Besteht Verdacht auf einen Hack, solltest du die Website ganz genau unter die Lupe nehmen.
- Erstelle ein Dokument und notiere alles, was dir auffällt. Die Dokumentation dient dir später als Grundlage für den Bericht über den Vorfall.
Starke Indikatoren
- Starker Rückgang des Website-Traffics
- Starke Zunahme des Traffic (z.B. ohne laufende Ad-Kampagnen)
- Inhalte, die dort nicht hingehören
- Ungewöhnliche Meta-Titel/-Descriptions
- Verunstaltete Seiten
- Hoster hat die Website deaktiviert
- Browser-Warnungen
- Geschwindigkeit der Website ist ungewöhnlich langsam
Subtile Indikatoren
- Besitzer können sich nicht anmelden
- Unerwünschte Weiterleitungen
- Website wurde für die Verbreitung von Malware markiert
- Besucher der Kunden-Website teilen dem Website-Besitzer mit, dass etwas nicht in Ordnung ist
- Nicht autorisiertes Verhalten (z. B. Anlegen neuer Benutzer)
- Sicherheits-Plugin-Alarm
- Frage die Person, die den Hack vermutet, was sie zu der Annahme führt:
- Was siehst du, das dich zu der Annahme führt, dass du gehackt wurdest?
- Wann hast du dieses Problem bemerkt?
- Welche Maßnahmen wurden in letzter Zeit ergriffen?
- Wurde kürzlich ein Update installiert?
- Wurden Änderungen an der Website/Server/Datenbank/Domäne vorgenommen?
Wie konnte es zu dem Hacker-Angriff kommen?
- Fasse deine Vermutungen zusammen, wie es zu dem Hacker-Angriff kommen konnte, und begründe sie.
Dokumentation der Ereignisse
- Halte den weiteren Verlauf der Ereignisse chronologisch fest.
- Beginne jeden Eintrag mit Datum, Uhrzeit und Bezeichnung
- Mache Screenshots für den Status vor und nach jeder Änderung
- Füge diese mit einer Beschreibung in der Bildunterschrift (z.B. Link zur Website) in das Dokument ein
- Verwende auch Marker zur besseren Darstellung (z.B. rote Pfeile)
- Notiere URLs
Schritt 4
Sammle alle Zugangsdaten
Jetzt hast du den Status quo erfasst und kannst mit der Reparatur der Website fortfahren.
- Um möglichst reibungslos voran zu kommen, besorge dir alle Zugangsdaten für die Website:
- Zugang zum Hosting Admistrationspanel (z.B. cPanel, Plesk, etc.)
- Admin Account für WordPress (Super Admin für Multisite Installationen)
- SSH Zugang zum Server
- Zugang zur Datenbank
- Zugang zum Deployment System
- Zugang zum Git Repository
- Zugang zu externen Monitoring/Backup Tools
Schritt 5
Backup der kompromittierten Website erstellen
- Erstelle ein Backup der gehackten Website, bevor du ein neues Backup einspielst oder etwas an der Website änderst.
Die Sicherungskopie der aktuellen Version kann später für Untersuchungen und zur Dokumentation nützlich sein.
Tar-Archiv erstellen
- Fasse alle Dateien und Datenbanken in einem großen Tar-Archiv zusammen.
Wir empfehlen, Tar zur Sicherung zu verwenden, damit die ursprünglichen Benutzerrechte erhalten bleiben. Beim späteren Entpacken muss die Option „-p“ verwendet werden, um diese Funktion zu aktivieren. Mit Zip ist diese Funktion nicht verfügbar. Versuche beim Extrahieren der Dateien dieselben Besitzrechte wie im Backup beizubehalten. Hierfür kannst du die Option „-same-owner“ verwenden.
Backup komprimieren
- Am besten komprimierst du das Backup, z.B. mit gzip („-z“ Option).
In einem Terminalfenster kannst du folgenden Befehl verwenden, um ein Verzeichnis inklusive der ursprünglichen Benutzerrechte zu sichern und zu komprimieren:
tar -cvzf client-name_www.compromised-website.com-2023-01-26-11-11-HACKED.tar.gz ./folder-with-files-and-database-dump
Backup speichern
- Speichere das Backup lokal für deine eigenen Zwecke und an einem Ort, an dem du oder deine Kolleg:innen Zugriff darauf haben, z.B. in Google Drive.
Schritt 6
Website wiederherstellen
Jetzt ist es an der Zeit, die kompromittierte Website vollständig zu löschen und durch eine ältere, saubere Version auf dem Server wiederherzustellen. Voraussetzung dafür ist ein älteres, nicht infiziertes Backup. Und – auch jetzt – keine Panik. Atme noch einmal tief durch und mache dich in Ruhe ans Werk.
Finde dazu heraus, von welchem Tag das erste Anzeichen eines Hacks ist. Dies kann z.B. der Datumsstempel einer veränderten kompromittierten Datei sein, oder das Änderungsdatum eines Posts auf der Website mit unerwünschtem Inhalt. Wähle ein Backup vom Vortag oder älter.
Solltest du kein zuverlässiges Datum herausfinden können, fahre zunächst mit Schritt 8, der Forensik fort. Lass die Website offline, bis du dir sicher sein kannst, ein sauberes Backup gefunden zu haben.
- Dein Kunde darf jetzt nicht auf der Website arbeiten. Er darf sich auch nicht einloggen, während du sie reparierst. Erst wenn du fertig bist, kann er wieder loslegen.
Informiere deinen Kunden
- Vor dem Einspielen des Backups muss dein Kunde unbedingt über das weitere Vorgehen informiert werden.
Wenn dein Kunde die Website aktiv betreibt und kürzlich Inhalte aktualisiert hat, kann es zu einem Verlust von Inhalten kommen. Die wiederhergestellte Website ist dann nicht auf dem neuesten Stand.
Die verlorenen Inhalte könnten eventuell wiederhergestellt werden. Diese Arbeit kann jedoch sehr aufwändig sein. Eventuell ist es effizienter, die verloren gegangenen Inhalte noch einmal einzupflegen. Um jetzt Stress zu vermeiden, solltest du die Strategie zur Wiederherstellung von Inhalten aber erst mit deinem Kunden besprechen, nachdem das Backup eingespielt und die Website wieder voll funktionsfähig ist.
Datenbank bereinigen
- Entferne alle Dateien und lösche die Datenbank. Setze daraufhin alle Passwörter für Server und Datenbank zurück.
Spiele das Backup ein
- Spiele das vermeintlich saubere Backup der Dateien und Datenbank auf dem Server ein.
- Wenn du den Namen und die Zugangsdaten der Datenbank änderst, musst du diese Daten in der wp-config.php oder .env Datei anpassen.
- Ändere schließlich die Sicherheitsschlüssel und -salts in der wp-config.php.
Die Website sollte jetzt wieder für dich erreichbar sein. Überprüfe schließlich, ob du dich in das Backend einloggen kannst, um die Website auf mögliche Aktualisierungen zu prüfen.
Aktualisiere WordPress Core, Plugins und Themes
Bringe die gesamte Website auf den neuesten Stand. Gibt es Sicherheitsbedenken mit einem WordPress-Plugin, das zum Beispiel nicht mehr aktualisiert wird, solltest du es entfernen und mit deinem Kunden in einem Folgemeeting eine Alternative besprechen.
Installiere ein Sicherheits-Plugin / Firewall
- Firewall und Plugins
- NinjaFirewall oder Wordfence
- Zwei-Faktor-Authentifizierung (2FA)
- Reduziere die Dateiberechtigungen auf ein Minimum (beginne mit der härtesten Einstellung und lockere sie später nur, wenn nötig).
- Setze alle Benutzerpasswörter zurück.
- Setze alle Server-Zugänge zurück und vergib neue Zugänge nur wenn es erforderlich ist.
- Überprüfe verknüpfte Systeme sowie deinen eigenen Computer auf mögliche Anzeichen unbefugten Zugriffs.
Teste die Website
- Schau dir die Website genau an und prüfe ihre Funktionen
- Sieht die Website ok aus?
- Funktioniert alles, wie es soll?
- Funktionieren die Formulare?
Entferne den Verzeichnisschutz
- Gib die Website wieder der Öffentlichkeit frei und informiere deinen Kunden über diesen Schritt.
Jetzt hat auch dein Kunde die Aufgabe, sich einzuloggen, die Website durchzutesten und nach unbeabsichtigten Veränderungen Ausschau zu halten. Außerdem ist jetzt ist ein guter Zeitpunkt, um ein Backup des aktuellen Standes zu erstellen. Denn sollte das eingespielte Backup nicht sauber gewesen sein, lässt sich nach einem erneuten Hack die Ursache besser identifizieren.
Schritt 7
Monitoring der Website
- Beobachte in den nächsten Tagen regelmäßig, ob die Website reibungslos läuft.
Überprüfe sie dafür anfangs ein- oder zweimal täglich. Monitoring Plugins wie VRTs – Visual Regression Tests automatisieren diesen Prozess für dich.
Solange du die Ursache des Hacks nicht gefunden hast, ist es möglich, dass die Website immer noch beeinträchtigt ist. Es kann sein, dass die gleichen Symptome später wieder auftreten oder dass andere Symptome auftreten.
Dies ist ein Zeichen dafür, dass deine Daten nicht sauber sind und du viel ältere Backups verwenden musst, um sie wiederherzustellen. Informiere deinen Kunden immer über das Monitoring und die Ergebnisse.
Regelmäßige Backups einplanen
- Solltest du bisher keine regelmäßigen automatischen Backups eingerichtet haben, ist es jetzt höchste Zeit.
Wir empfehlen dir, das älteste Backup mindestens 60 Tage aufzubewahren und täglich Backups anzulegen.
Schritt 8
Forensik und Reparatur
- Schließlich liegt es noch an dir, herauszufinden, was gehackt wurde und warum. Was ist dafür zu tun?
- Überprüfe mögliche Logfiles, die dir dein Hoster zur Verfügung gestellt hat. Häufig enthalten diese Hinweise zu Dateien, in denen Schadcode gefunden wurde.
- Überprüfe jeden Ordner und jede Datei des Themes und der Plugins auf bösartigen Code, unerwartete Dateien/Ordner, Berechtigungen und Datenbanktabellen
- Erstelle einen Dateivergleich zwischen dem gehackten Code und einem deutlich älteren Backup, um komprimierte Dateien zu identifizieren.
- Suche nach Sicherheitslücken in Plugins oder Themes mit Hilfe von
- Wenn du das Sicherheitsproblem finden konntest, prüfe auch, ob sie in deinen Backups enthalten ist.
- Entferne alle kompromittierten Backups.
Prüfe, ob die Website bereits auf einer schwarzen Liste steht und entferne sie von dort, z.B.:
- Hoster
- Google Search Console
- McAfee SiteAdvisor
- Yandex Webmaster
Schritt 9
Reporting
Nach all der Aufregung solltest du einen Bericht verfassen, in dem du alle Details deiner Arbeit in chronologischer Reihenfolge erklärst. Wenn möglich, vereinbare auch ein Treffen mit deinem Kunden, um den Bericht gemeinsam durchzugehen und Fragen zu klären.
Sicherheitsmaßnahmen einrichten
Wie kann sich dein Kunde zukünftig vor dem unautorisierten Zugriff auf seine Website schützen? Zeige bei dem Treffen Maßnahmen auf, die dein Kunde selbst ergreifen kann und stelle ihm Möglichkeiten vor, die du für ihn tun kannst.
Maßnahmen zur Website Sicherheit sind zum Beispiel:
- Regelmäßige Updates von WordPress, Plugins und Themes sicherstellen
- Passwörter: Alle Passwörter regelmäßig ändern und Passwortregeln einführen
- 2FA: Zwei-Faktor-Authentifizierung einführen
- Sicherheitsmaßnahmen prüfen, die schon existieren und weitere Maßnahmen einführen
- Sicherheitsworkshop für Mitarbeitende anbieten
Reflexion
Ziehe auch dein persönliches Feedback aus dieser Erfahrung.
- Wie kann ich mich auf den nächsten Hackerangriff besser vorbereiten?
- Wie kann ich Websites besser schützen und Hacks schneller erkennen?
- Welche Hilfe kann ich meinem Kunden in Zukunft anbieten?
Um mehr darüber zu lernen, wie man eine WordPress Website sicher machen kann, hör dir die Podcast-Folge dazu an.
Fazit: Was tun, wenn die Website gehackt wurde?
Eine gehackte Website muss zu keinem Albtraum werden, wenn man sich auf einen potentiellen Angriff vorbereitet und im Ernstfall die richtigen Schritte unternimmt. Bleibe immer in engem Kontakt mit deinem Kunden und informiere regelmäßig über die nächsten Schritte. Konzentriere dich während der Wiederherstellung und Forensik ganz auf deine Arbeit und dokumentiere alles für später.
Wir hoffen, dass wir dir mit unseren Erfahrungen helfen konnten! Lass uns wissen, welche Herausforderungen du mit gehackten Websites bisher erlebt hast. Tipps klingen in der Theorie immer sehr hilfreich, aber in der Praxis funktionieren sie nicht immer. Teile diesen Artikel gerne mit anderen und vergiss nicht, den Action-Plan herunterzuladen, um auf einen Hackerangriff vorbereitet zu sein.
Ich wurde gehackt, was soll ich tun?
Handle sofort und nimm dir Hilfe. Rufe umgehend deinen Hoster oder deine:n Webentwickler:in an, um die gehackte Website zu reparieren und weiteren Schaden zu verhindern. Wichtige Schritte sind jetzt:
- Sperre den Zugriff auf die Website.
- Dokumentiere die Anzeichen des Hacks.
- Erstelle ein Backup der kompromittierten Website.
- Stelle die Website wieder her.
- Überwache, ob die Website reibungslos läuft.
- Finde heraus, was gehackt wurde und warum.
- Richte Sicherheitsmaßnahmen ein.
Ich glaube, meine Website wurde gehackt, aber ich habe keine Ahnung von Programmierung.
Rufe umgehend bei deinen:r Webentwickler:in bzw. Agentur oder deinem Hosting-Anbieter oder an. Nimm dir auf jeden Fall Hilfe und fasse die Seite bis dahin nicht mehr an.
Was passiert, wenn man auf eine gehackte Website geht?
Besucht man eine gehackte Website, besteht das Risiko, dass schädlicher Code auf den eigenen Computer heruntergeladen wird oder man sich einen Virus einfängt. Das kann dazu führen, dass persönliche Daten gestohlen werden (z.B. Benutzernamen, Passwörter, Bankinformationen ) oder es zu Leistungsproblemen, Datenverlust oder sogar einem vollständigen Systemausfall kommt. Helfen kann ein aktuelles Anti-Virus-Programm.