#Malware – 4 Tipps wie du deine WordPress-Website schützen kannst.
Wenn du deine Website googelst, hast du plötzliche chinesische Zeichen in deiner Beschreibung? Oder wenn du deine Domain aufrufst, wirst du auf eine andere, komische Website weitergeleitet? Dann ist mit grosser Wahrscheinlichkeit deine Website gehackt – dank Malware. Es kann viele Gründe haben, weshalb es soweit kommen konnte. Ich zeige dir auf mit welchen Massnahmen du dieses Risiko verringern kannst.
Aber ganz von vorne: Was versteht man unter Malware und gehackte Website?
Unter einer “gehackten Website” versteht man ein fremdes Eindringen in das System durch eine Sicherheitslücke. In diesem Fall wird ein Schadprogramm bzw. eine Schadsoftware eingeschleust, die zum Beispiel Websitebenutzer auf eine Spam-Website weiterleitet oder Inhalte auf der Website verändert, etc. In schlimmeren Fällen kann es zu Datendiebstahl kommen, wie im Beispiel von Comparis.
Malware ist kurz gesagt also ein Schadprogramm, welches unerwünschte und schädliche Funktionen ausführt. Mehr Informationen zu Malware auf Wikipedia.
Wie kann man das Risiko von einem Hackerangriff verringern?
Es gibt viele verschiedene, zum Teil sehr simple Tipps um das Risiko eines Website-Hacks zu minimieren. Aber keine Garantie dafür, dass deine Website von einem Hack verschont wird. Daher zu Beginn der wichtigste Tipp: Backup erstellen.
1. Erstelle Backups von deiner Website und der Datenbank.
Für WordPress gibt es verschiedene Plugins, zum Beispiel UpdraftPlus, um ein Backup von der Website inklusive der Datenbank zu erstellen. Auch bieten viele Hostings automatische, tägliche Backups an. Schau nach, ob du sowas bereits hast, falls das Worst Case Szenario eintreten sollte um deine Website wiederherzustellen.
2. Starke, unterschiedliche Passwörter wählen.
Nutze nicht für alle deine Logins dasselbe Passwort. Das ist einfacher gesagt als getan. Jedoch gibt es heutzutage für Computer und Mobile Passwort-Apps, die dir helfen deine Passwörter sicher aufzubewahren. Ein Beispiel ist 1password.com. Diese App hilft dir zugleich auch ein starkes Passwort auszuwählen, welches aus mehr als 8 Zeichen, iffern, Gross- und Kleinbuchstaben sowie Sonderzeichen besteht. Weil wie wir wissen “123456789” oder “dienerdesign” sind keine sicheren Passwörter.
3. Regelmässige Updates ausführen.
Halte dein System immer up-to-date. Die Plugin-, WordPress- und Theme-Programmierer versuchen ständig Sicherheitslücken zu schliessen und auch Neuerungen einzuführen. Hierfür sind zum Teil wöchentliche Updates notwendig. Bei WordPress kannst du die automatische Aktualisierung zum Beispiel von Plugins aktivieren.
Vergessen darf man aber auch nicht, dass man immer die neuste PHP-Version verwenden sollte, die der Hoster anbietet.
Ein Hinweis wie gut der Zustand deiner Website ist, bietet die Funktion unter “Website-Zustand”. Sollte deine PHP-Version veraltet sein, wirst du dort daraufhingewiesen. Die PHP-Einstellung musst du dann über dein Webhosting vornehmen. Du weisst nicht wie? Ich unterstütz dich gerne!
4. Schütze deine Website.
Die SSL-Verschlüsselung deiner Website ist ein wichtiger erster Schritt zum Schutz deiner Website. Also einfach gesagt, dass deine gesamte Website unter https:// und nicht mehr wie früher unter http:// läuft. Erkennen tust du die SSL-Verschlüsselung an dem geschlossenen Schloss in der Adresszeile deines Browser. Oftmals kannst du ein kostenloses SSL-Zertifikat von Let’s Encrypt über dein Webhosting aktivieren.
Mit Sicherheitsplugins von WordPress kannst du deine Website zusätzlich schützen und jenachdem zugleich deine Website nach Malware absuchen lassen um einen Hackangriff so schnell wie möglich zu erkennen. Hier ein paar der bekannteren, empfehlenswerten Sicherheitsplugins: Sucuri Security, WordFence Security oder All In One WP Security & Firewall.
Es gibt noch viele weitere Tipps wie du deine Website schützen kannst, aber mit diesen vier machst du einen guten Anfang.
Worst Case Szenario: Deine Website ist vermutlich infiziert. Was tun?
Mit dem Sucuri Site Check kannst du überprüfen, ob und mit welcher Malware deine Website infiziert ist.
Ganz wichtig: Ruhe bewahren.
In einem ersten Schritt solltest du deine Website offline nehmen und einen Passwortschutz via Webhosting einrichten. So kann niemand von aussen auf dein System zugreifen, während du es bereinigst.
Ändere alle Passwörter im Zusammenhang mit deiner Website.
Damit ist nicht nur das Login-Passwort gemeint, sondern auch die Passwörter für die Datenbank, für die FTP-Benutzer und für dein Hosting. Nur so kannst du sicher sein, dass niemand Unbefugtes mehr irgendeinen Zugriff hat.
Jenachdem um was für einen Hack es sich handelt, kannst du ein Backup von vor dem Angriff einspielen, wenn du den Zeitpunkt des Angriffs eingrenzen kannst, oder du musst eine Neuinstallation vornehmen um alle Daten bereinigt zu haben. Du bist gerade etwas überfordert und brauchst Unterstützung? Ruf mich an, ich helfe dir weiter!
