Der Albtraum beginnt. Es ist der erste Weihnachtsfeiertag du feierst mit deiner Familie. Als alter Workaholic checkst du auf deinem Smartphone kurz deine Mails. Plötzlich eine Mail von deinem Hostinganbieter. Deine Seite wurde wegen Verbreitung von schädlicher Software gesperrt. Wenn auf dem Server nicht nur deine eigene Seite, sondern auch noch die deiner Kunden liegt, ist das doppelt bitter. Die sind dann oft auch offline, da der Hostinganbieter die Seite unter Quarantäne gestellt hat um eine weitere Ausbreitung der Malware zu verhindern. Im schlimmsten Fall läuft ein Shop auf deinem Server, was bei gesperrter Seite zu realen Umsatzeinbrüchen führt. Zusätzlich setzt Google deine Seite eventuell auf die Blacklist.
In diesem Artikel möchte ich dir ein kleines Tutorial an die Hand geben, welches dir bei Malware-Befall deiner WordPress-Seite helfen soll. Da sich der Schadcode nicht nur in neuen Dateien befindet sondern auch durch Codeteile in wichtige PHP-Dateien eindringt ist eine Neuinstallation aus meiner Sicht die beste Lösung.
Hinweis: Bei diesem Vorgang installierst du also die neueste WordPress Version. Es kann deshalb sein, dass manche Steinzeit-Plugins nach der Installation nicht mehr korrekt funktionieren, weil diese nicht mit der aktuellen WordPress Version kompatibel sind.
Fangen wir also mit dem Malware entfernen an:
1. Erstelle ein Backup von WordPress und deiner Datenbank
Zum Sichern der WordPress Installation musst du dich via FTP-Client auf dem Server einloggen auf dem deine Website liegt. Auf dem Mac nutze ich dazu Cyberduck oder die bordeigenen Mittel im Finder > Gehe zu > Mit Server verbinden (CMD+K). In der Windows-Welt ist Filezilla ziemlich verbreitet. Logge dich ein und lade den kompletten WordPress Ordner herunter.
Tipp: Du kannst die Dateien viel schneller herunterladen, wenn du zuvor den Ordner als ZIP Datei komprimierst. Lade dann statt dem WordPress Ordner die auf dem Server erzeugte ZIP-Datei herunter.
Oberfläche PHP MyAdmin
Die Datenbank kannst du über die PHP MyAdmin Oberfläche sichern. Je nach Hostinganbieter gibt es verschiedene Wege dort hin zu kommen. Im PHP MyAdmin Bereich gehst du dann auf den Tab Exportieren. Dort kannst du die Datenbank als SQL Datei herunterladen. Die voreingestellten Exportoptionen kannst du in den meisten Fällen so lassen.
2. Notiere dir die verwendeten Themes und Plugins
Logge dich in den Admin-Bereich deiner WordPress-Seite ein, falls das noch möglich ist. (z.B. www.DEINEDOMAIN.de/wp-admin)
Schaue im Admin-Bereich welche Plugins und Themes du wirklich benötigst und schreibe dir eine kleine Liste. Bei der Neuinstallation musst du diese erneut beim Anbieter laden und installieren.
Tipp: Am häufigsten platziert sich die Malware in Themes und Plugins.
Du kannst das Aufkommen von Malware geringer halten, wenn du nur die nötigsten Themes und PlugIns verwendest.
Übersicht der installierten Plugins
3. Entferne alle Dateien und Ordner
Nachdem du alle benötigten Plugins und Themes notiert hast kommt der einfachste und doch irgendwie auch der schwierigste Schritt. Lösche das komplette WordPress Verzeichnis! Falls irgendetwas schief geht hast du ja noch das Backup.
4. Lade WordPress herunter und übertrage einzelne Dateien aus deinem Backup
Lade zuerst die neueste Version von WordPress unter https://wordpress.org herunter. In deinen Downloads hast du nun einen Ordner mit einem schönen, frischen und Malware-freien WordPress :).
In deinem Backup befinden sich wichtige Dateien, die du in der neuen WordPress Installation benötigst. Gehe in deinen Backup-Ordner und suche folgende Inhalte:
- wp-config.php In dieser Datei befinden sich die Zugangsdaten zu deiner Datenbank.
- wp-content/uploads Ordner In diesem Ordner befindet sich alles was du zuvor auf deine Seite geladen hast (Bilder, Dateien etc.). Schaue dir die Inhalte des Ordners genau an und entferne Dateien, die dir komisch erscheinen. (auch dort kann sich manchmal Malware verstecken)
Die genannten Dateien ziehst du an die entsprechende Stelle in deinem neuen WordPress-Ordner. Die Dateien müssen dann überschrieben werden.
5. Lade deinen neuen WordPress Ordner via FTP auf den Server und aktualisiere WordPress manuell
Nachdem du die Dateien via FTP neu hochgeladen hast solltest du den URL – Zusatz
/wp-admin/upgrade.php aufrufen um die Datenbank an das aktuell heruntergeladene WordPress-System anzupassen. Rufe also folgende URL auf: http://www.DEINEDOMAIN.de/wp-admin/upgrade.php
6. Installiere Plugins und Themes
Deine Seite sollte zu diesem Zeitpunkt von sämtlicher Malware befreit sein. Nun fehlen nur noch die Plugins und Themes. Jetzt kommt deine Liste aus Punkt 2 zum Einsatz. Logge dich in WordPress ein und gehe zum Plug-In Bereich. Dort kannst du deine vorherigen PlugIns auf Basis deiner Liste aussuchen, installieren und aktivieren. Gleiches gilt für dein Theme. Falls du ein Theme gekauft hast, lade die aktuellste Version als ZIP auf deine neue WordPress Installation.
7. WordPress-Passwörter ändern:
Dieser Schritt ist sehr wichtig! Die Angreifer kennen oft die Passwörter nachdem Sie sich einmal erfolgreich in deine Seite gehackt haben. Gehe im Backend von WordPress in die Benutzereinstellungen und wähle für alle Benutzer ein neues starkes Passwort:
Buchstaben + Zahlen + Sonderzeichen + Groß- und Kleinschreibung
Meine persönliche Lösung beim Malware entfernen
Ich bin Designer. Programmierung ist mir zwar nicht gänzlich fremd, aber es gibt viele Leute die das besser und schneller können. Das gilt auch beim Bereinigen von Internetseiten. Das Befreien einer Site von Malware ist oft ziemlich nervig und zeitaufwändig. Besonders wichtig ist der Faktor Zeit, wenn neben deiner eigenen Seiten auch noch Websites von Kunden gehostet werden. Falls du, wie ich, keinen Bock auf diese zeitraubende Aktion hast, gibt es Malware Removal Services. Ich bin bei Sucuri gelandet. Die bieten neben einem einjährigen Removal Service auch eine ziemlich starke Firewall. Laut Angaben von Sucuri wird deine Website innerhalb von 24 Stunden von Malware befreit. In der Praxis ging das fast immer innerhalb von 4 Stunden, auch an dem besagten Weihnachtsfeiertag.
Diese Seite enthält Affiliate-Links.
4 Antworten zu “Deine WordPress-Seite ist mit Malware infiziert. Wie kann ich die Malware entfernen?”
Danke!
Danke für diese Anleitung. Hat super geklappt und war unsere Rettung!
Freut mich, dass ich helfen konnte. Weiterhin viel Erfolg!
Danke für den Tipp,
vieles ist allerdings schon vor einer Infektion mit Malware einer Seite vermeidbar. Durch Aktualisierung von WordPress, allenfalls Installation von Plugins wie WordFence.
Falls die Seite nicht jeden Tag aktualisiert wird, kann auch ein Backup der ganzen Seite (sauber hoffentlich :)) die Wiedererstellung beschleunigen. Macht man ja in der Regel vor und nach einem System/Plugin Update sowieso.
LG Rolf