Infiziertes WordPress von Malware befreien: ein Praxisbericht
Schadhafte Plugins & Themes identifizieren Infiziertes WordPress von Malware befreien: ein Praxisbericht
11. Februar 2016Sicherheit2 Kommentare
Share on Facebook19Tweet about this on Twitter0Share on Google+0Share on LinkedIn0Email this to someone

Der Albtraum jedes Webmasters: eine gehackte Seite! Leider sind WordPress Seiten ein beliebtes Angriffsziel von Attacken. Aber was tun, wenn es dann passiert ist? Wir zeigen euch einige Möglichkeiten, WordPress zu reparieren.

Wir waren kürzlich mit einem WordPress Projekt konfrontiert, das von Firefox als Malware-verseucht eingestuft wurde, anstatt der eigentlichen Seite einen Fatal error ausgab und uns so auch aus dem WordPress Backend aussperrte. In diesem Artikel erklären wir euch, wie wir vorgegangen sind, um die WordPress Seite zu reparieren.

Ausgangslage: als attackierend gemeldete Seite & Fehlermeldung

Wollte man die WordPress Seite in Firefox aufrufen, erschien stattdessen erstmal eine Warnung: die WordPress Seite ist als attackierend gemeldet und wurde somit blockiert!

Firefox Meldung Webseite attackierend

Huch! Da ist wohl was schief gelaufen – die Webseite wird als attackierend eingestuft.

Das war allerdings nicht genug. Ignorierte man die Warnung des Browsers, sah man lediglich eine weiße Seite und diese Fehlermeldung:

Fatal error: Call to undefined function current_theme_supports() in Verzeichnis/Datei.php on line 130

Aus dem WordPress Backend ausgesperrt – und jetzt?

Wenn ihr nicht mehr ins Backend eurer WordPress Seite kommt, gilt es, per FTP auf eure WordPress Installation zuzugreifen. Wir verwenden dafür den FTP-Client FileZilla. Dort gebt ihr die FTP-Zugangsdaten eures Servers ein und könnt dann auf die entsprechenden Dateien zugreifen.

Vor der Reparatur: Backup!

Bevor ihr beginnt, das Problem zu suchen und zu lösen, solltet ihr auf jeden Fall ein Backup der WordPress-Installation und der Datenbank machen. Sollte bei der Reparatur etwas schief gehen, könnt ihr wenigstens auf das Backup zurückgreifen und habt die Situation nicht noch weiter verschlimmert.

WordPress reparieren

Installierte Plugins überprüfen

Der erste Schritt, um eine fehlerhafte WordPress Seite zu reparieren, ist eine Überprüfung der Plugins. Es kann vorkommen, dass sich ein Plugin nicht mit eurer aktuellen WordPress Version, einem Theme oder anderen Plugin verträgt und so die komplette Seite blockiert. Außerdem könnte ein Plugin auch eine Sicherheitslücke aufweisen, die gefunden und ausgenutzt wurde.

  • Plugin-Ordner auf unbekannte Plugins checken
    Ihr navigiert also in den Plugin-Ordner. Dieser befindet sich normalerweise unter wp-content/plugins. Als erstes schaut ihr, ob euch ein unbekanntes Plugin ins Auge fällt, also eines, das ihr nicht selbst installiert habt. Schaut genau hin, Malware-Plugins sind oft gut getarnt! Der Plugin-Ordner könnte einen täuschend echten Plugin-Namen tragen, z.B. mygallery-123. Findet ihr ein euch unbekanntes Plugin, dann löscht ihr den entsprechenden Ordner. Im besten Fall läuft eure Seite jetzt wieder!
  • Alle Plugins deaktivieren
    Konntet ihr kein verseuchtes Plugin identifizieren, deaktiviert ihr als nächstes alle Plugins. Dazu benennt ihr einfach den Ordner plugins um, zum Beispiel in plugins-deaktiviert. Lässt sich eure Seite jetzt wieder normal aufrufen, liegt das Problem an einem der installierten Plugins.

    WordPress Plugins manuell deaktivieren

    Durch Umbenennen des Ordners deaktiviert ihr WordPress Plugins manuell

  • Fehlerhaftes Plugin identifizieren
    Um herauszufinden, welches Plugin der Übeltäter ist, benennt ihr zunächst den Plugin-Ordner zurück in plugins. Jetzt deaktiviert ihr nach und nach jedes Plugin einzeln durch Umbenennen des jeweiligen Plugin-Ordners und ladet nach dem Deaktivieren eure Seite neu. Könnt ihr eure WordPress Seite aufrufen, habt ihr das fehlerhafte Plugin identifiziert und könnt es entfernen!

In unserem Fall lag das Problem nicht bei einem der Plugins, daher haben wir weitergesucht.

Das verwendete Theme überprüfen

Neben Plugins sind auch Themes eine potentielle Fehlerquelle. Ihr navigiert also per FTP in den Themes Ordner, normalerweise zu finden unter wp-content/themes. Dort deaktiviert ihr das aktuell verwendete Theme, indem ihr den entsprechenden Ordner umbenennt. Dann ladet ihr im Browser eure WordPress Seite neu und könnt sie hoffentlich wie gewohnt aufrufen!

Ist das der Fall, solltet ihr das Theme entfernen und entweder ein anderes verwenden, oder es erneut sauber installieren. Geht eure Seite durch die Themeinstallation wieder kaputt, wisst ihr wenigstens schon, woran es liegt 😉

Hochgeladene Dateien checken

Wo sich außerdem möglicherweise Malware versteckt, ist in eurem Upload-Ordner. Hochgeladene Dateien findet ihr normalerweise unter wp-content/uploads. Guckt euch dort am besten alle Dateien einmal durch und entfernt alle, die euch komisch vorkommen.

WordPress neu installieren

Ihr konntet weder ein verseuchtes Plugin noch ein fehlerhaftes Theme finden? Dann solltet ihr einfach WordPress neu installieren. Hierbei geht ihr wie bei einem manuellen Versions-Update vor. Eine Anleitung zum manuellen Aktualisieren von WordPress findet ihr hier, die neueste WordPress Version könnt ihr euch auf WordPress.org herunterladen.

Fazit

In unserem Fall konnten wir weder in einem Plugin noch in einem Theme Malware identifizieren. Nach einer manuellen Neuinstallation von WordPress konnte die Seite aber wieder normal aufgerufen und verwendet werden.

Die vorgestellten Schritte sind natürlich keine Garantie dafür, dass eure WordPress Seite wieder läuft wie zuvor. Allerdings sind Plugins und Themes definitiv die Achillesferse von WordPress! In den meisten Fällen kann die betroffene Seite entweder durch Entfernen von Plugins & Themes oder durch eine manuelle Installation von WordPress repariert werden.

Musstet ihr schonmal eine kaputte WordPress Installation retten? Wenn ja, wie seid ihr vorgegangen und wodurch hattet ihr Erfolg?

Katharina

Katharina

Beim Webseiten basteln vergesse ich schnell mal die Zeit. An WordPress gefällt mir besonders die vielfältige Welt der Plugins und Themes, die zum Ausprobieren einlädt.
Katharina
Share on Facebook19Tweet about this on Twitter0Share on Google+0Share on LinkedIn0Email this to someone
Kommentare zu "Infiziertes WordPress von Malware befreien: ein Praxisbericht"
  1. Matthias schrieb am 12. Februar 2016, um 09:57 Uhr:

    Für solche Fälle verwende ich Plugins wie z.B. UpdraftPlus. Damit sichert man die komplette WordPress-Installation inklusive Plugins und Datenbank automatisch in regelmäßigen Abständen. Bei einem Malware-Befall kann man dann die Installation aus einem nicht-infizierten Backup komplett frisch aufsetzen.

  2. Silvester schrieb am 19. April 2016, um 13:21 Uhr:

    Ein sehr guter Beitrag und meine Gratulation an die Verfasserin.

    Viele Grüsse
    Silvester

Schreibe einen Kommentar

Pressengers lebt von der Wordpress Community, beteilige dich mit einem Kommentar!
Deine E-Mail Adresse wird nicht veröffentlicht.