Was tun bei Malware in WordPress

WordPress ist eines der meist genutzten Content-Management Systeme. Die Bedrohungen durch Malware, Viren, Würmer, Trojaner ist hoch. Meist wird versucht mittels einer Brute-Force Attacke das Passwort für den Administrator-Login zu erhalten. Dadurch kann dann Schadcode im WordPress System verbreitet werden. Der Benutzer bekommt in den meisten Fällen davon nichts mit. Erst wenn es bereits zu spät ist, wird die Auswirkung deutlich. Schadcode der in einer WordPress Instanz vorhanden ist, kann sich bei falschen Rechten System weit ausbreiten und andere auf dem Server liegende WordPress Installationen befallen. In diesem Blogeintrag möchte ich euch zeigen wie Ihr eure WordPress Installation retten und säubern könnt.

Schritt 1: Backup der Infizierten Seite erstellen.

Sollte im Verlauf etwas schief gehen, so kann auf ein Backup zurückgegriffen werden. Im optimalen Fall kann das Backup später gelöscht werden. Hierbei ist zu beachten, dass das Backup am besten als Archiv .zip oder .tar Lokal gespeichert wird. Somit kann verhindert werden, das Schadcode ausgeführt wird. Dieser ist meist in .php Dateien und diese benötigen einen Webserver auf dem sie ausführbar sind.

Das Backup kann entweder Manuell via FTP geladen werden, oder man nutzt ein Plugin. Bewährt hat sich hierbei BackWPup. Das Plugin bietet auch die Möglichkeit die Datenbank gleich mit zu sichern. Denn je nach Art der Infektion muss auch die Datenbank gelöscht und bereinigt werden.

Schritt 2: Die Suche nach Malware

Wordfence dashboard nach der Installation womit Malware erkannt wird.
Wordfence Dashboard

Dies ist der aufwändigste Punkt. Der Schadcode muss entdeckt werden. Es gibt dabei keine allgemeine Regel wo sich dieser verbergen kann. Immerhin ist das Ziel des Schadcodes nicht entdeckt zu werden. Sollte noch Zugang zum Admininterface möglich sein, kann mithilfe eines Plugins das WordPress auf Schadcode und Malware untersucht werden. Besteht kein Zugang mehr so ist es am besten alle Ordner zu entfernen mit Ausnahme des „wp-content/uploads/“ da sich in diesem alle hochgeladenen Dateien also meist Bilder befinden. Dort muss dann manuell nach Dateien gesucht werden die Auffällig sind zum Beispiel „/wp-content/uploads/2017/10/aksjidnds.php“ diese sind dann zu löschen.

 

Der einfach Weg ist die Installation von dem Plugin WordFence das Plugin bringt bereits in der kostenlosen Version einen Malware Scan mit. Dieser durchsucht das Dateisystem nach Auffälligkeiten und Listet diese auf. Außerdem erhält man viele weitere Informationen über sein System. Aber auch hier empfehlt es sich, das komplette System außer des Upload-Ordners zu löschen. Sobald dies abgeschlossen ist kannst du deine Webseite nicht mehr erreichen.

Schritt 3: Passwörter Global ändern

Einmal infiziert bringt es wenig, neue Sicherheitsmaßnahmen zu treffen. Zuerst sollten alle bestehenden Probleme und Sicherheitslücken gelöst werden. Fangen wir also ganz oben an. Folgende Passwörter solltest du nun ändern:

  • Login zu deinem Hosting Anbieter. (z.B. Host-Europe, Strato, etc.)
  • FTP-Accounts (überflüssige löschen, sicheres neues Passwort setzen)
  • Datenbank Passwort der WordPress Datenbank
  • Sobald deine neue WordPress Instanz läuft, sämtliche Administrator Passwörter ändern.

Schritt 4: Upload einer sauberen WordPress Installation

Lade dir nun eine saubere Installation von WordPress direkt herunter.  Entpacken und auf den FTP Server uploaden. Wenn man nun seine Webseite aufruft, wird man auf die Installation geleitet. Nun ist es an der Zeit die alte Datenbank einzubinden. Den Installer benötigen wir hierzu nicht.

  1. via FTP öffnen wir die hochgeladene Datei „wp-config-sample.php“
  2. parallel öffnen wir in unserem Backup der infizierten Seite die Datei „wp-config.php“
  3. In der alten Datei finden wir die Datenbank Einstellungen. Diese werden bis auf das in Schritt 3 angelegte Passwort übernommen.
  4. Anschließend benennen wir die „wp-config-sample.php“ in „wp-config.php“ um.

Nun solltest du deine Webseite im Browser wieder sehen. Da das Template noch fehlt sieht die Seite wahrscheinlich etwas anders aus als gewohnt.

Schritt 5: Installation aller Plugins und Templates.

Nun logst du dich als Admin mit deinem alten Passwort ein und ändern dies zu aller erst! Im WordPress Backend kannst du nun alle Plugins neu installieren. Wichtig: Lade dir nur vertrauenswürdige Plugins in das System. Einstellungen deiner Plugins bleiben erhalten, denn diese sind in der Datenbank gespeichert.

Schritt 6: Überwachung und weitere Maßnahmen

Nun gilt es deine Webseite zu überwachen und evtl weitere Maßnahmen zu ergreifen. Führe den Scan des WordFence Plugins regelmäßig aus.

Sie benötigen Hilfe?

Falls diese kurze Anleitung nicht hilft, kannst du mich gerne kontaktieren. Ich helfe dir gerne bei weiteren Maßnahmen und erkläre dir Hintergründe.

 

 

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.