Unsere Seite wurde gehackt, was heisst das für euch?
Als erstes kann ich euch beruhigen, unser Serviceprovider hat es rechtzeitig erkannt und die Seite gesperrt bevor grösserer Schaden entstanden ist. Dennoch ist es nicht ganz ohne abgegangen. Daher möchte ich jeden empfehlen seine Seite aktuell zu halten, das haben wir auch aber irgendwie haben die es doch geschafft ein Script auf jede Seite einzuschleusen was den Besucher auf andere Seiten umgeleitet hat. Unsere Installation ist immer auf dem neusten Stand gewesen! Wir haben die folgenden Massnahmen ergriffen um alles noch besser abzusichern. Ich beschreibe euch wie wir unsere Seite wieder hergestellt haben, und noch vorab, wir haben kein älteres update eingespielt.
- Seite Offline Nehmen und den gesamten Zugriff auf das Dateisystem mit einer .htaccess und .htpasswd Verschlüsselung gesperrt, hier mal ein link dazu wie man sowas erreichen kann, diese Anleitung ist von meinem Provider: LINK
- Alle Passwörter geändert, ich dachte meine wären sicher mit 8 stellen aber jetzt sind sie über 20 stellen, das betrifft die Datenbank genauso wie alle anderen (Webseite, Login, Datenbank, FTP, SFTP)
- Ein aktuelles Backup der Datenbank und vom Webspace zur sicherheit durchgeführt
- Mein Provider hat mir eine Liste aller infizierten Dateien zugesendet, alle Dateien müssen unwiderruflich gelöscht werden
- WordPress komplett neu installiert, hier ein Link mit Beschreibung dazu: LINK
- WordPress manuell aktualisieren ohne ein Backup einzuspielen: LINK (wichtig ist das Ihr alle Files wieder richtig auf euren Server kopiert wie es beschrieben ist! Den Ordner: wp-content > uploads dürft ihr nicht überschreiben, dieser enthält alle eure Bilder etc,,,)
Wenn alle geklappt hat sollte eure Seite wieder funktionieren, es wird aber wahrscheinlich nicht sofort alles funktionieren, das war bei mir so. Ich musste mich erst als Admin anmelden und die folgenden Schritte manuell durchführen:
- WordPress Theme neu einspielen
- Plug-Ins neu runterladen und einspielen
Jetzt hat unsere Seite FAST funktioniert, nachdem ich eine Seite aufgerufen habe wurde ich umgeleitet auf eine SPAM Seite. Das heisst irgendwo auf unseren Seiten oder Beiträgen muss noch ein Verweis enthalten sein. Dazu geht bitte wie folgt vor:
- Öffnet eine Seite oder einen Beitrag in der Textansicht, die VIEWER Ansicht hilft hier nicht! Der eingefügte Code vom Hacker wird wahrscheinlich auf jeder Seite und jedem Beitrag enthalten sein, auch im Shop! Also alles manuell durchgehen und entfernen dann sollte eure Seite wieder funktionieren!
Hier noch ein paar weitere Links mit Empfehlungen meines Providers, vielleicht ist das eine oder andere hilfreiche für euch dabei:
Empfohlene Plug-Ins:
https auf Ihrer WordPress Seite
Admin Bereiche zusätzlich mit Passwort schützen
.htaccess & .htpasswd Generator > wenn Ihr das aktiviert müsst Ihr jedesmal wenn Ihr eure Seite aktualisiert mit ein Passwort authentifizieren! Doppelter boden sozusagen!
Really Simple SSL Plugin > Besser ist noch die PRO Version, diese erkennt automatisch, wenn eine Weiterleitung versucht wird und blockiert diese!
Was ist jetzt noch zu tun? Es sind ein paar Einstellungen verloren gegangen. Wir werden diese in der nächsten Zeit nach und nach wiederherstellen, wenn Ihr etwas findet meldet euch bitte oder sobald ihr aus irgendeinem Grund weitergeleitet werdet! Da sollte dann die folgende Meldung erscheinen, ein weiterleiten ist nicht mehr möglich:
Das Ganze hat uns dann doch das ganze Wochenende gekostet, etwas Positives hat es dann doch, unsere Seite ist um einiges schneller geworden. Das hängt auch daran das wir nicht mehr alle WordPress Plug-Ins installiert haben, es fehlen zwar noch welche und noch nicht ist alles wiederhergestellt aber das bekommen wir in den nächsten Tagen hin. Daher entschuldigt falls auf der einen oder anderen Seite oder Beitrag, der eine oder andere Link oder YouTube Video noch fehlt oder nicht funktioniert, wir arbeiten dran!
