Was in den ersten 24 Stunden nach einem WordPress-Hack zu tun ist

Wenn Sie feststellen, dass eine WordPress-Website kompromittiert wurde, ist die Versuchung groß, alles auf einmal zu tun: die schädlichen Dateien löschen, alle Passwörter ändern, einen Scanner laufen lassen, aus einem Backup wiederherstellen, den Hoster anrufen. In der falschen Reihenfolge ausgeführt, können diese Schritte die Beweise zerstören, die Sie zum Auffinden des Einstiegspunkts brauchen, den Angreifer weiterhin auf dem Server belassen und die Wiederherstellung schwieriger machen als nötig. Dieser Artikel beschreibt die Reihenfolge der Schritte, die wir in den ersten 24 Stunden nach einer bestätigten WordPress-Kompromittierung befolgen.

Stunde 0: Bestätigen Sie die Kompromittierung

Bevor Sie eine Notfallreaktion auslösen, vergewissern Sie sich, dass tatsächlich eine Kompromittierung vorliegt. Manche Symptome haben harmlose Erklärungen. Ein neuer Admin-Benutzer könnte ein Kollege sein, der vergessen hat, es zu erwähnen. Eine geänderte Theme-Datei könnte eine ausstehende Änderung eines Entwicklers sein. Eine Warnung in einem Sicherheits-Plugin könnte ein Fehlalarm sein.

Prüfen Sie zuerst die stärksten Signale. Dateien im Document Root, die dort nicht sein sollten. Indexierte URLs in der Search Console, die zu nichts auf Ihrer Website passen. Geänderte WordPress-Core-Dateien. Ausgehende Verbindungen zu verdächtigen Zielen. Browser-Warnungen bei der URL. Sobald eines davon bestätigt ist, haben Sie einen Vorfall.

Stunde 1: Erstellen Sie eine forensische Momentaufnahme

Das ist der Schritt, den die meisten überspringen und später am häufigsten bereuen. Bevor Sie irgendetwas ändern, erstellen Sie ein vollständiges Backup des aktuellen, kompromittierten Zustands. Dateien, Datenbank, alles. Speichern Sie es extern an einem Ort, der nicht angerührt wird. Das ist Ihre forensische Momentaufnahme. Ohne sie können Sie nicht nachvollziehen, wie der Angreifer hereingekommen ist – und ohne das wird sich derselbe Angriff wiederholen.

Die Momentaufnahme dient nicht der Wiederherstellung. Sie dient der Analyse. Halten Sie sie getrennt von Ihren sauberen Backups.

Stunde 2: Kommunizieren Sie, aber noch nicht öffentlich

Informieren Sie die Personen, die es wissen müssen. Das Sicherheitsteam Ihres Hosting-Anbieters, besonders wenn es geteilte Infrastruktur betreut. Ihren Entwickler oder Ihre Agentur. Intern jeden, der Admin-Zugang hat. Kunden und Öffentlichkeit können warten, bis Sie Fakten haben und eine klare Behebung im Gange ist. Öffentliche Kommunikation während der Chaosphase ist meist falsch und schafft mehr Arbeit, als sie löst.

Stunde 3: Begrenzen Sie den Schaden

Stoppen Sie die Blutung, ohne die Beweise zu löschen. Wenn der Angreifer Seiten sichtbar verunstaltet hat oder Schadsoftware ausliefert, nehmen Sie die Website vorübergehend offline. Die meisten Hoster haben einen Wartungsmodus oder eine „Demnächst“-Seite, die sich in Sekunden aktivieren lässt. Das schützt Besucher, ohne Dateien zu überschreiben.

Wenn bestimmte Seiten kompromittiert sind, der Rest der Website aber funktioniert, können Sie sie mit Weiterleitungen oder temporären Sperren auf Hoster-Ebene umgehen. Vermeiden Sie es, Dateien zu bearbeiten, sofern Sie nicht müssen.

Stunde 4 bis 6: Erneuern Sie alles

Gehen Sie davon aus, dass jede Zugangsdaten, die der Angreifer berührt haben könnte, kompromittiert sind. Ändern Sie sie alle:

• Die WordPress-Administrator-Passwörter.
• Das Passwort des Hosting-Control-Panels.
• Die SFTP- und SSH-Zugangsdaten.
• Das Datenbankpasswort, und aktualisieren Sie anschließend die wp-config.php mit dem neuen Wert über die Konsole des Hosters statt über die Live-Website.
• Alle API-Schlüssel, die in Plugins für E-Mail, Zahlung, Analytik oder andere Dienste gespeichert sind.
• Die WordPress-Salts und -Keys in der wp-config.php.

Das Erneuern von Salts und Keys macht jede bestehende WordPress-Sitzung ungültig und zwingt sowohl Sie als auch jeden Angreifer hinaus. Das ist unerlässlich. Ohne dies könnte ein Angreifer, der ein Sitzungscookie abgegriffen hat, den Zugang selbst nach dem Ändern aller Passwörter behalten.

Stunde 6 bis 12: Identifizieren Sie den Einstiegspunkt

Nutzen Sie nun die forensische Momentaufnahme, um herauszufinden, wie der Angreifer hereingekommen ist. Sehen Sie sich die jüngsten Dateiänderungen im Document Root an. Sehen Sie sich die Zugriffsprotokolle des Hostings nach ungewöhnlichen POST-Anfragen an wp-admin/admin-ajax.php, wp-login.php, xmlrpc.php oder plugin-spezifische Endpunkte an. Prüfen Sie die Plugin-Liste auf alles, was für die installierte Version eine bekannte Schwachstelle hat.

In der Sydney-Fallstudie, auf die wir in früheren Artikeln verwiesen haben, war der Einstiegspunkt fast sicher ein veraltetes Dateimanager-Plugin mit einer langen Geschichte von Schwachstellen für die Remote-Ausführung von Code. Dies zu erkennen, machte den Unterschied zwischen dem Beheben des Symptoms und dem Beheben der Ursache.

Ohne den Einstiegspunkt zu finden, ist der Angreifer innerhalb von Tagen, oft Stunden, zurück.

Stunde 12 bis 18: Räumen Sie systematisch auf

Mit bekanntem Einstiegspunkt und gesicherter forensischer Momentaufnahme beginnen Sie mit der Bereinigung. Entfernen Sie jede schädliche Datei. Vergleichen Sie die WordPress-Core-Dateien mit den offiziellen Versionen und ersetzen Sie alles Geänderte. Prüfen Sie Themes und Plugins ebenso. Auditieren Sie die Benutzer und entfernen Sie alle unbekannten Konten. Überprüfen Sie den Beitragsinhalt auf eingeschleuste Links oder Skripte. Untersuchen Sie die Datenbank auf bekannte Malware-Options-Keys und verdächtige Einträge in wp_options.

Manche Kompromittierungen sind so umfangreich, dass die richtige Antwort ist, aus einem sauberen Backup von vor dem Vorfall wiederherzustellen und nur die seither verifizierten Inhaltsänderungen erneut anzuwenden. Andere sind so begrenzt, dass eine chirurgische Bereinigung schneller ist.

Stunde 18 bis 24: Schließen Sie die Tür

Schließen Sie die Schwachstelle, die den Angreifer hereingelassen hat. War es ein veraltetes Plugin, aktualisieren oder entfernen Sie es. War es ein schwaches Passwort, hat die Erneuerung das bereits behoben, aber aktivieren Sie 2FA, damit es nicht wieder passieren kann. War es ein gestohlenes Sitzungscookie, haben Sie Keys und Salts bereits erneuert. War es eine Phishing-E-Mail, die einen Admin-Login abgegriffen hat, schulen Sie das Team und auditieren Sie die Login-Aktivität auf weitere kompromittierte Konten.

Wenden Sie zusätzliche Härtung an, die den Angriff verhindert hätte:

• Blockieren Sie die PHP-Ausführung im Uploads-Ordner.
• Beschränken Sie den Zugriff auf xmlrpc.php.
• Aktivieren Sie Begrenzungen für Login-Versuche und 2FA für jedes Administrator-Konto.
• Wechseln Sie zu einem Sicherheits-Plugin, das auf neue Dateien an unerwarteten Orten überwacht.

Die nächsten 48 Stunden

Sobald die Website sauber ist, ist die Arbeit nicht erledigt. Führen Sie einen neuen Malware-Scan mit mindestens zwei seriösen Tools durch, um abzugleichen. Reichen Sie in der Google Search Console einen Antrag auf erneute Überprüfung ein, falls eine manuelle Maßnahme verhängt wurde. Kommunizieren Sie mit Kunden, falls Daten möglicherweise offengelegt wurden. Dokumentieren Sie, was passiert ist, den Zeitverlauf, den Einstiegspunkt und die vorgenommenen Änderungen. Das Dokument ist für Ihr Team und für jedes künftige Audit.

Brauchen Sie Unterstützung?

Wenn Ihre WordPress-Website derzeit kompromittiert ist oder Sie das vermuten, steht eine Notfall-Vorfallreaktion bereit. Nehmen Sie sofort Kontakt auf, und wir führen Sie in Echtzeit durch die obigen Schritte: Je früher die Reaktion, desto geringer der Schaden. Sprechen Sie mit dem Team von Defyn.