GNU/Linux >> LINUX-Kenntnisse >  >> Panels >> Plesk

So reparieren Sie eine gehackte WordPress-Site

Wenn Ihre WordPress-Seite gehackt wurde, keine Panik! Genau wie bei allem anderen, was mit IT zu tun hat, ist die Lösung einfach eine Frage der Befolgung der richtigen Schritte. Die folgende Anleitung hilft Ihnen, Ihre gehackte WordPress-Website zu reparieren.

Über WordPress-Hacks

Es ist wichtig, im Hinterkopf zu behalten, dass die meisten WordPress-Hacks nicht sind gezielt:Es ist höchst unwahrscheinlich, dass Sie gezielt angegriffen und angegriffen wurden. Das wahrscheinlichere Szenario ist, dass ein großes Botnet (oft Tausende von Computern unter der Kontrolle einer Person oder Hackergruppe) über ein automatisiertes Tool verfügt, das auf Schwachstellen in WordPress-Sites scannt und versucht, diese auf automatisierte Weise auszunutzen.

Warum tun sie das? Einige mögliche Gründe:

  • Zur weiteren Vervielfältigung (Verbreitung) mit Ihrem Website, um auch andere Websites zu infizieren.
  • Um große Mengen an Spam vom Server Ihrer Website zu senden
  • Um eine Phishing-Website einzurichten, beispielsweise eine Nachahmung der Website einer Bank, um zu versuchen, Menschen dazu zu verleiten, diesen Hackern ihre Bank-Anmeldeinformationen zu geben.
  • Um eine Liste mit E-Mail-Adressen zu erhalten, die sie ihren Spam-Datenbanken hinzufügen können (von Ihren WordPress-Benutzern – insbesondere bei Abonnement- oder E-Commerce-Websites)

Obwohl es möglich ist, dass sie nach Kreditkartendaten suchen, ist dies höchst unwahrscheinlich, da fast alle (wenn nicht alle) E-Commerce-Lösungen, die WordPress verwenden, dazu neigen, Kreditkartenprozessoren zu verwenden, die die Kreditkartendaten nicht in Ihrer WordPress-Datenbank speichern. Hacker wissen das und neigen dazu, den Versuch zu vermeiden, diese Art von Daten automatisch zu sammeln.

Wenn Sie diesen 6-Schritte-Reparaturprozess nicht durchführen möchten, ist das völlig verständlich. Wir haben einen „Wir beheben das für Sie“-Service, der je nach Ausmaß des Hacks zwischen 79 und 149 CAD kostet. Wir stimmen den Preis sogar darauf ab, wie viel der Reparaturen Sie selbst durchgeführt haben, also fangen Sie ruhig an und lassen Sie uns einen Teil des Weges übernehmen – stellen Sie einfach sicher, dass Sie uns alles mitteilen, was Sie bereits getan haben. Kontaktieren Sie uns, um mehr zu erfahren!

1. Website deaktivieren, um ihren Ruf zu schützen

Wenn Sie sich nicht sofort um dieses Problem kümmern können, müssen Sie Ihre Site jetzt in Plesk deaktivieren. Wie oben angedeutet, versuchen viele Hacker aktiv, Kopien von sich selbst zu verbreiten oder andere anzugreifen, und Sie sollten dies sofort beenden, bis Sie in der Lage sind, die Reparaturen durchzuführen.

Es kann manchmal schwierig sein zu sagen, ob der Hack andere aktiv angreift. Falls dies der Fall ist und Sie dieses Verhalten nicht sofort unterbinden, können Sie den Ruf Ihrer Website wochen- oder sogar monatelang schädigen. Suchmaschinen (wie Google) und Antivirus-Software wie TrendMicro und McAfee blockieren dann Ihre Website, was zu einem massiven Rückgang der Besucherzahlen und möglicherweise auch zu einem Rückgang der Suchmaschinen-Rankings führt. Das ist sehr schlecht , und genau aus diesem Grund sollten Sie Ihre Website nicht weiter betreiben, bis der Hack bereinigt ist.

2. Erstellen Sie eine Sicherungskopie

Beginnen Sie immer damit, Ihre Website mit Ihrer bevorzugten Methode zu sichern. Warum möchten Sie ein Backup erstellen, wenn es die gehackten Dateien enthalten soll? Da Sie Dateien manuell anpassen und entfernen (und automatisch Tools wie WordFence verwenden), ist es wichtig, eine Sicherungskopie von allem zu haben, falls Sie eine oder zwei Dateien wiederherstellen müssen.

Stellen Sie sicher, dass Sie das Backup beim Erstellen eindeutig als "gehackt" kennzeichnen, damit Sie es in Zukunft nicht wiederherstellen, weil Sie denken, es sei ein OK-Wiederherstellungspunkt. ODER löschen Sie einfach die Sicherung, wenn Sie sicher sind, dass die Website gut funktioniert.

3. Website-Admin-Zugriff reparieren

Der erste Schritt besteht darin, zu prüfen, ob Sie mit Ihren üblichen Anmeldeinformationen auf das Frontend der Website und den WordPress-Administrator zugreifen können. Wenn nicht, finden Sie heraus, was den Zugriff verhindert. Im Folgenden finden Sie einige mögliche Szenarien, die Sie möglicherweise daran hindern, auf Ihren Website-Admin zuzugreifen. Wenn Sie auf Ihren Admin zugreifen *können*, können Sie diesen Schritt überspringen.

Hast du einen White Screen of Death?

Dies ist der Name für das, was passiert, wenn Sie versuchen, auf Ihre Website oder Ihren Website-Admin zuzugreifen und nur einen weißen Bildschirm ohne Inhalt erhalten, anstatt Ihre Startseite oder Admin-Anmeldeseite. Der weiße Bildschirm des Todes tritt auf, wenn tatsächlich ein zugrunde liegender Fehler auftritt, dieser jedoch nur protokolliert und nicht auf dem Bildschirm angezeigt wird. Dies ist eigentlich ein gutes Verhalten, auch wenn es jetzt vielleicht so aussieht, da viele Plugins und Themes Warnungen und Hinweise protokollieren, die Sie nicht für Ihre Benutzer sichtbar machen möchten. Wenn es sich jedoch um einen kritischen Fehler handelt, wird nichts auf dem Bildschirm angezeigt:daher der weiße Bildschirm!

Lesen Sie unseren Artikel über die Reparatur des weißen Bildschirms des Todes, um zu erfahren, wie Sie dies beheben können, und kommen Sie dann hierher zurück, um mit der Bereinigung des Hacks fortzufahren.

Ein Hack, den wir kürzlich gesehen haben, manipulierte die WordPress-Kerndatei index.php durch Hinzufügen einer „include“-Zeile, um eine weitere Datei einzuschließen. Leider (oder glücklicherweise) fehlte die einzuschließende Datei, was zu einem Fehler führte. Das Fehlerprotokoll zeigte etwas in der Art von „Datei kann nicht gefunden werden“. Daher wurde das Problem durch das Entfernen der „include“-Zeile aus der index.php behoben und die Website wieder online gebracht. Das heißt, es hat nicht den gesamten Hack geklärt, also stellen Sie sicher, dass Sie diese eine Sache nicht beheben und sagen:„Ich bin fertig!“ – wahrscheinlich steckt noch viel mehr dahinter.

Sobald Sie dieses Problem behoben haben, versuchen Sie erneut, die Website zu besuchen und/oder sich beim Administrator anzumelden. Wenn Sie nach der Behebung des in den Protokollen gefundenen Fehlers immer noch nicht auf die Homepage oder Anmeldeseite zugreifen können, ist wahrscheinlich einfach ein anderer anderer Fehler aufgetreten. Oft muss dieser Vorgang einige Male wiederholt werden, wobei jedes Mal verschiedene Dateien basierend auf den in den Protokollen angegebenen Fehlern angepasst werden, bevor Sie wieder vollen Zugriff erhalten.

Passwort funktioniert nicht?

Wenn Ihr Admin-Passwort nicht funktioniert, hat der Hacker (oder wahrscheinlicher das automatisierte Hacking-Tool) das Admin-Passwort geändert. Der nächste Schritt besteht also darin, Ihr Admin-Passwort zurückzusetzen! So setzen Sie Ihr WordPress-Admin-Passwort zurück, um wieder Zugriff zu erhalten.

4. WordPress-Admin-Maßnahmen

  1. WordFence-Malware-Scans: Installieren Sie WordFence und führen Sie einen Scan durch. WordFence ist vielleicht nicht immer das Beste, um einen Angriff zu verhindern, aber es kann anständig dabei helfen, einen zu bereinigen.
  2. Administratorkennwörter: Ändern Sie alle WordPress-Passwörter für „Administrator“-Benutzer in sicher Werte. Das bedeutet mindestens 20 Zeichen und eine zufällige Generierung wird bevorzugt. Wenn Sie fragen:"Wie werde ich mich jemals an diese erinnern?" dann verwenden Sie wahrscheinlich keinen Passwort-Manager wie LastPass, und das sollten Sie unbedingt tun. Beschönigen Sie dies nicht; Schwache Passwörter sind wahrscheinlich der Hauptgrund für das Hacken von Websites.
  3. Alle Plugins und Designs aktualisieren: Wenn Sie kommerzielle Plugins und Themes haben, die nicht mit dem integrierten WordPress-Updater aktualisiert werden (das ist nicht gut), aktualisieren Sie sie unbedingt manuell, legen Sie dann eine wiederkehrende Aufgabe für sich selbst fest, um sie jeden Monat zu aktualisieren, und fragen Sie den Entwickler nach der automatischen Update-Funktion ! Wenn Sie die zusätzliche Arbeit der manuellen Aktualisierung nicht möchten, ändern Sie das Design oder Plugin in eines, das automatisch aktualisiert wird.
  4. Sichtprüfung: Sehen Sie sich die Seiten im WordPress-Adminbereich an, um zu sehen, ob Sie etwas Ungewöhnliches entdecken. Suchen Sie nach Designs und Plugins, die möglicherweise unerwartet hochgeladen wurden. Suchen Sie nach Dingen, von denen Sie sich nicht erinnern können, dass sie vorher existierten; Sie können Ihnen einen Hinweis darauf geben, wo die Schwachstelle liegt oder was durch den Hack geändert wurde. Wenn Sie beispielsweise ein merkwürdiges Verhalten eines bestimmten Plugins feststellen, seien Sie aggressiv und löschen Sie das Plugin vollständig, und installieren Sie dann eine neue Kopie über Plugins> Neu hinzufügen. Dadurch wird sichergestellt, dass, falls die Plugin-Dateien ebenfalls infiziert wurden, diese durch saubere Dateien ersetzt werden.

5. Kerndateien zurücksetzen

Laden Sie zunächst eine neue Kopie von WordPress auf Ihren Computer herunter und extrahieren Sie sie, falls Ihr System dies nicht automatisch getan hat. Melden Sie sich dann bei Plesk an und navigieren Sie zu „Dateien“ ODER verbinden Sie sich über FTP, um eine Live-Dateiliste Ihrer Website zu erhalten. (Der Dateimanager von Plesk ist einfacher, es sei denn, Sie sind bereits mit der Verwendung von FTP vertraut).

Option A:Sichtprüfung / Finde den Unterschied

Vergleichen Sie die Live-Dateiliste entweder über FTP oder im Plesk-Dateimanager mit dem, was Sie aus dem frisch heruntergeladenen WordPress-Dateisatz auf Ihrem Computer sehen. (Diese Dateien sehen aus wie wp-config.php, wp-settings.php usw.).

Beachten Sie, dass Sie die Dateien nicht öffnen müssen; Wir prüfen nur, ob es zusätzliche Dateien gibt, die der Hack möglicherweise eingefügt hat und die nicht vorhanden sein müssen.

Wenn Sie etwas anderes entdecken, laden Sie es auf Ihren Computer* herunter (falls es nicht wirklich bösartig ist, haben Sie eine Kopie gespeichert, die Sie wiederherstellen können) und löschen Sie es vom Server. Wiederholen Sie dies, bis Sie sicher sind, dass die WordPress-Installation keine unwesentlichen Fremddateien enthält.

Option B:Dateiersetzung (schneller)

Eine äußerst effektive Taktik besteht darin, einfach alle Dateien und Ordner zu löschen, die mit „wp-“ außer beginnen wp-config.php und wp-content. Achten Sie darauf, diese beiden nicht zu löschen, da sie einen guten Teil dessen enthalten, was Ihre Website so aussehen lässt, wie sie aussieht. Sobald Sie die wp-*-Dateien entfernt haben, laden Sie die neuen Kopien aus Ihrem heruntergeladenen WordPress-Dateisatz hoch. Stellen Sie sicher, dass Sie alle hochladen und weder wp-content noch wp-config.php überschreiben!

Dadurch wird sichergestellt, dass alle WordPress-Kerndateien, die infiziert wurden, mit Sicherheit nicht mehr infiziert sind.

Es wird dann empfohlen, diesen Vorgang mit jedem Plugin-Ordner zu wiederholen, der in wp-content/plugins/ gefunden wird, und jedem Themenordner, der in wp-content/themes gefunden wird (Hinweis:Sie werden wahrscheinlich keinen für *jedes* Thema finden), einfach Stellen Sie sicher, dass Sie zuerst eine Sicherungskopie erstellen, falls Sie sie wiederherstellen müssen. Wenn Ihr Entwickler seine Arbeit richtig gemacht hat, befinden sich alle von ihm implementierten Anpassungen in untergeordneten Designs und werden daher nicht von einem Core-Theme-Update oder einem Plugin-Update beeinflusst.

Sobald Sie dies mit WordPress-Core-Dateien und jedem Plugin- und Theme-Ordner getan haben, werden die Dinge etwas kniffliger. Wir können den Rest der Dateien nicht einfach durch neue Kopien ersetzen, da es keine neuen Kopien gibt:Was übrig bleibt, sind die einzigartigen Inhalte und Designelemente, aus denen Ihre Website besteht!

Das Beste, was Sie von hier aus tun können, ist, den Rest der wp-content-Ordner manuell zu durchsuchen, um zu sehen, ob Sie etwas entdecken, das nicht dort sein sollte. Hier sind einige Tipps:

  1. wp-content/uploads sollten nur Ordner, Bilder und Dokumente enthalten. Sie sollten dort keine .php-Dateien oder .js-Dateien oder andere Arten von Codedateien finden, außer vielleicht rohem HTML.
  2. Wenn Sie oder Ihr Entwickler beim Erstellen Ihrer Website ein untergeordnetes Design unter wp-content/themes/ verwendet haben, müssen Sie (oder Ihr Entwickler muss) jede der Dateien innerhalb des untergeordneten Designs überprüfen Theme-Ordner, um zu sehen, ob dort bösartiger Code eingefügt ist.

Als nicht schlüssige, aber schnelle Version davon ... die meisten Hacks neigen dazu, Code am Anfang oder Ende von Dateien einzufügen, so dass es in 99% der Fälle sicher ist, einfach am Anfang und Ende jeder Datei einzuchecken das Child-Theme.

*In allen Fällen von gehackten Websites, die wir gesehen haben, brauchen Sie sich keine Sorgen zu machen, dass die gehackten Dateien Ihren Computer infizieren. Diese infizierten Dateien müssen fast immer auf einem Webserver ausgeführt werden, um effektiv zu sein. Achten Sie jedoch darauf, sie nicht doppelt anzuklicken oder auszuführen, nur für den Fall!

6. Endwartung

Jetzt, da Sie den Hack bereinigt haben

  1. Ändern Sie die Sicherheitsschlüssel in wp-config.php, um das Beenden aller angemeldeten Sitzungen zu erzwingen
  2. Setzen Sie Ihr FTP-Passwort in Plesk zurück, nur für den Fall.
  3. Ändern Sie Ihr Datenbankpasswort. Beginnen Sie damit, es in Ihrem Bedienfeld zu ändern. Hier erfahren Sie, wie Sie dies in Plesk tun. Sobald du dein neues Datenbankpasswort hast, musst du WordPress über die Änderung informieren, indem du es in wp-config.php aktualisierst.
  4. Löschen Sie alle Plugins, die einen einfachen direkten Dateizugriff von WordPress ermöglichen, wie das Plugin „wp-file-uploader“, das wir in vielen Hacks gesehen haben.
  5. Befolgen Sie die Schritte hier, um Ihre WordPress-Installation abzusichern. Wenn Sie alles, was in diesem Artikel beschrieben wird, auf dem Laufenden halten, werden sie verhindern, dass Ihre Website erneut gehackt wird.
  6. Bitten Sie Ihren WordPress-Webhost, einen Malware-Scan für weitere infizierte Dateien durchzuführen, die Sie möglicherweise übersehen haben. Wenn Sie bei Websavers gehostet werden, können Sie unsere wöchentlichen Malware-Scans in Plesk überprüfen! Melden Sie sich einfach bei Plesk an, suchen Sie auf der Standardregisterkarte Websites &Domains nach Imunify360 in der oberen rechten Ecke und klicken Sie darauf, um alle erkannten Malware zu überprüfen.
  7. Machen Sie auf jeden Fall ein Backup Ihrer frisch gesäuberten Seite!
  8. Überprüfen Sie allgemeine Website-Blacklists, um sicherzustellen, dass Sie nicht in eine davon geraten. Wenn ja, befolgen Sie die Anweisungen, um sich entfernen zu lassen. Weitere Informationen finden Sie im Abschnitt „Achten Sie auf Website-Blacklists“ in den häufig gestellten Fragen zu WordPress-Hacks.

Ressourcen

  • WordPress-FAQ:„Meine Website wurde gehackt“

Plesk

  1. Wie man eine WordPress-Website in Plesk klont

  2. So erstellen Sie eine Website mit SitePad

  3. So installieren Sie WordPress mit cPanel in 5 Minuten

  4. So fügen Sie Google Analytics zu Ihrer WordPress-Website hinzu

  5. So übertragen Sie eine Website von wordpress.com auf selbst gehostetes WordPress

Wie verwende ich das WordPress-Dashboard in hPanel?

Wie installiere ich WordPress mit dem Auto Installer?

So sichern und wiederherstellen Sie eine WordPress-Website

So richten Sie Ihre erste WordPress-Website ein

So sichern oder härten Sie Ihre WordPress-Website

So erstellen Sie eine WordPress-Staging-Umgebung