Was das Allerwichtigste ist, wenn deine WordPress Website von einem Virus befallen ist?
Ruhe bewahren und atmen ๐
Oftmals werden panische Schnellschรผsse unternommen, die im schlechtesten Fall noch mehr Schaden anrichten.
Wenn du einen Virus, Malware oder andere Arten von Hacks auf deiner Website entdeckt hast und nun nach einer Anleitung zum Entfernen suchst, bist du hier absolut richtig!
Vermutlich bist du jetzt schon ziemlich genervt und hast Angst, dass deine Inhalte weg sind und du von vorne beginnen musst. Du kannst aber ganz beruhigt sein, dem ist nicht so!
Am besten holst du dir einen frischen Kaffee oder Tee und atmest einmal durch.
Hast du tief durchgeatmet?
Gut, dann legen wir mal los!
Den Virenbefall bemerken
Da sich die Auswirkungen eines Virenbefalles unterschiedlich รคuรern, bemerkt man ihn nicht immer sofort. Es gibt verschiedene Wege, wie der Befall festgestellt werden kann:
- deine Website lรคsst sich nicht mehr aufrufen und zeigt nur noch eine weiรe Seite (das heiรt nicht unbedingt, dass du einen Virus hast)
- du bekommst eine E-Mail mit der Benachrichtigung รผber Viren von deinem Hoster
- die Google Search Console zeigt dir einen mรถglichen Virenbefall an (nur wenn deine Seite dort angemeldet ist)
- dein lokaler Virenscanner verhindert das รffnen deiner Website
- du prรผfst deine Website mit einem Virenscanner und er schlรคgt Alarm
Wenn du das Gefรผhl hast, dass etwas nicht stimmt oder du einfach nur sichergehen mรถchtest, kannst du deine Website auch mit der Hilfe von Tools prรผfen.
Kostenlose Online-Tools zur Virenprรผfung
Keines dieser Tools bietet eine 100% Erkennungsrate. Teilweise wird nur auf eine Auswahl bekannter Bedrohungen geprรผft, allerdings ist das ein guter Anfang. Da die Scanner jeweils auf unterschiedliche Arten testen, solltest du nicht nur eines dieser Tools durchlaufen lassen.
Schritt fรผr Schritt zur virenfreien WordPress Website
Wenn du nicht das Glรผck hast, deine Website bei einem Hoster wie RAIDBOXES zu hosten, der Malware fรผr dich entfernt, musst du selber Hand anlegen.
Die einfachste Mรถglichkeit, deine Website von Viren zu befreien, ist das Einspielen eines WordPress Backups. Wenn du ein Backup besitzt, das aus der Zeit vor dem Virenbefall stammt, ist alles ganz einfach. Ein hรคndisch angelegtes Backup spielst du wieder ein, indem du alle Dateien auf dem Server lรถscht, mit deinen Backup-Daten ersetzt, die Datenbank importierst und verbindest.
Hast du ein Backup mit der Hilfe eines Plugins angelegt und du kannst dich nach wie vor in deine Website einloggen? Dann stelle deine Sicherung einfach รผber das Plugin wieder her.
Leider hat man aber nicht immer ein sauberes Backup. Aber auch in diesem Fall kรถnnen wir deine Website retten!
1. Schritt โ Backup erstellen
Dateien sichern
Als erstes verbindest du dich via FTP mit deinem Server. Nun lรคdst du alle Dateien und Ordner auf deinen Computer herunter.
Dieser Schritt ist notwendig, weil wir die wp-config.php Datei und den Ordner mit deinen Uploads noch benรถtigen. Zudem weiร man nie, welche Dateien oder Codes man noch gebrauchen kann.
Datenbank sichern
Zudem benรถtigst du zur Sicherheit ein Backup der Datenbank. In der Datenbank liegen alle deine Inhalte. Meistens ist sie nicht von dem Virus betroffen und kann bestehen bleiben, aber man weiร ja nie.
Logge dich bei deinem Hoster ein. Dort wird es einen Menรผpunkt geben, der dir eine รbersicht รผber deine Datenbanken zeigt. Meist heiรt er โDatenbankenโ oder โMySQLโ. Dort kannst du auf die von dir genutzte Datenbank รผber die Web-Oberflรคche โPHP MyAdminโ zugreifen. Nun findest du in den Reitern ganz oben einen Punkt โExportierenโ. Klicke auf der Export-Seite einfach auf โOKโ, in den meisten Fรคllen kรถnnen alle Einstellungen unangetastet bleiben.
Schon lรคdt dein Datenbank-Backup herunter.
2. Schritt โ Theme und Plugins notieren
Da du alle Dateien vom Server lรถschen wirst, musst du dir das verwendete Theme und die Plugins aufschreiben, um sie spรคter wieder installieren zu kรถnnen.
Wenn du dich noch in das WordPress Backend einloggen kannst, navigiere zu den Plugins und schreibe dir alle auf. Das gleiche machst du danach mit dem Theme.
Solltest du keinen Zugriff mehr haben, kannst du via FTP den Ordner โwp-contentโ -> โpluginsโ รถffnen, und die Pluginnamen darin notieren. Danach ist das Theme dran. Du findest es unter โwp-contentโ -> โthemesโ.
3. Schritt โ Alles vom Server lรถschen
Du hast nun ein komplettes Backup aller Dateien, genutzte Plugins und das Theme sind notiert. Jetzt musst du alle Dateien und Ordner von dem Server lรถschen. Das machst du natรผrlich wieder via FTP. Markiere alle Dateien und Ordner, mache einen Rechtsklick und klicke auf โlรถschenโ.
Je nach dem Umfang deiner Website kann das nun einige Minuten dauern. Ist alles gelรถscht, bist du den Virus auch schon los!
4. Schritt โ wp-config.php & Uploads รผberprรผfen
In deinem Backup der Dateien findest du im Hauptverzeichnis die โwp-config.phpโ. Diese Datei ist unter anderem fรผr das Verbinden von WordPress und Datenbank nรถtig. Du brauchst diese Datei also unbedingt!
Das gleiche gilt fรผr den Ordner โuploadsโ in โwp-contentโ. Er enthรคlt alle hochgeladenen Bilder und andere Dateien.
Nutze deinen lokalen Virenscanner, um die wp-config.php und den Ordner โuploadsโ zu scannen. Sollte er Alarm schlagen, lรถsche die verdรคchtigen Dateien! In den meisten Fรคllen ist der โuploadsโ Ordner allerdings nicht betroffen und kann weiterhin genutzt werden. Schaue dir danach die wp-config.php Datei gut an. Wenn du dort verdรคchtigen Code siehst, oder dir nicht sicher bist, nutze lieber die frische wp-config.php aus dem nรคchsten Schritt und รผbertrage die Datenbank-Zugangsdaten aus der bisherigen.
5. Schritt โ Sauberes WordPress & wichtige Dateien hochladen
Damit du wieder ein sauberes System hast, benรถtigst du jetzt ein frisches WordPress Paket. Lade es dir von der offiziellen Seite herunter, entpacke das .zip Archiv auf deinem Computer und lade die Dateien und Ordner aus dem daraufhin erscheinenden Ordner โwordpressโ per FTP hoch. Wichtig ist, dass du nicht den Ordner โwordpressโ hochlรคdst, sondern die darin enthaltenen Dateien und Ordner!
Als nรคchstes lรคdst du deinen โuploadsโ Ordner hoch. Natรผrlich muss er an der gleichen Stelle in der Ordnerstruktur wieder untergebracht werden. Lade ihn also in den Ordner โwp-contentโ hoch.
Wenn deine wp-config.php Datei frei von Schadcode ist, kannst du sie nun in das Hauptverzeichnis der WordPress Installation hochladen. Mรถchtest du auf Nummer sicher gehen, findest du in dem heruntergeladenen, sauberen WordPress eine Datei mit dem Namen โwp-config-sample.phpโ. รffne diese und gib dort die Datenbank-Zugangsdaten aus der bisherigen wp-config.php ein. Beim Speichern musst du die Datei in โwp-config.phpโ umbenennen und anschlieรend hochladen.
6. Schritt โ Datenbank aktualisieren
Manchmal ist es nรถtig, die Datenbank an die neuen Dateien anzupassen. Rufe dafรผr deine Website auf und hรคnge /wp-admin/upgrade.php an die URL dran. Auf der erscheinenden Seite kannst du die Aktualisierung der Datenbank vornehmen.
7. Schritt โ Theme und Plugins installieren
Jetzt kannst du dich wieder wie gewohnt im WordPress Backend anmelden. Deine Zugangsdaten sind gleich geblieben.
Installiere jetzt dein Theme und die genutzten Plugins. Die Einstellungen liegen alle in der Datenbank. Dadurch wird deine Website nach der Installation des Themes und der Plugins wieder genau aussehen wie vorher!
Du kannst die Installation entweder im WordPress Backend vornehmen, oder die Plugins und das Theme per FTP hochladen.
8. Schritt โ Alles รผberprรผfen
Jetzt ist der Zeitpunkt gekommen, an dem deine Website wieder aussehen und funktionieren sollte, wie er es immer getan hat. Das ist allerdings nicht garantiert, deshalb musst du ihn jetzt einmal komplett รผberprรผfen.
Schaue alle Seiten und Artikel durch und achte insbesondere drauf, dass die Bilder korrekt angezeigt werden. Eine weitere Fehlerquelle ergibt sich oftmals bei Opt-In Formularen. Teste also auf jeden Fall alle Formulare!
9. Schritt โ รndere alle Passwรถrter
Um deine Website gegen zukรผnftige Angriffe abzusichern, solltest du sofort deine Passwรถrter รคndern. Das gilt sowohl fรผr deinen WordPress Zugang, als auch fรผr das FTP Passwort, den Zugang zu deinem Hoster und das Datenbankpasswort.
10. Schritt โ Sichere deine Website ab
Es gibt ein paar kleine Tricks, mit denen du deine Website absichern kannst. Sie sind einfach umzusetzen, sorgen aber schon fรผr deutlich mehr Sicherheit.
Diese Tricks zeige ich dir in meinem Artikel โWordPress absichern โ Grundlagen und Profi-Tipps fรผr mehr WordPress Sicherheitโ.
Ich bin ehrlich gesagt etwas entsetzt, dass Du hier dazu rรคtst, alles vom Server zu lรถschen. Das ist schon die volle Holzhammer Methode und nicht eben subtil.
Warum sollte ich das tun, wenn ich den mรถglichen Befall klar eingrenzen kann (z.B durch einen entsprechenden Scan) und ggf. geziehlt Dateien sรคubern kรถnnte?
Klar kann das Argument jetzt lauten, dass ich ja nicht wirklich sicher sein kann, ob damit alles bereinigt ist und ich evtl. gar nicht genau weiร, was ich da tue. Aber wenn ich das nicht weiร, sollte ich die Finger davon lassen und einen Profi beauftragen.
Ich halte das pauschale Plattmachen fรผr einen wenig sinnvollen und professionellen Ratschlag.
Hi Michael,
du kannst natรผrlich versuchen herauszufinden, รผber welche Lรผcke im System der Angriff stattgefunden hat und die infizierten Dateien sรคubern. Aber 10.000 Dateien nach Schadcode zu durchsuchen, ist doch etwas aufwendig ๐
Was stรถrt dich an dem Lรถschen der Dateien denn so? Dadurch entsteht ja kein Schaden und kompliziert ist das Markieren aller Dateien und anschlieรende Klicken auf „lรถschen“ ja nicht…
Wie du schon sagst, wenn du nur eine Datei nicht sรคuberst, wird dein System direkt wieder angegriffen.
Grรผรe
Jonas
Ich habe schon auf รผber 40 Seiten Viren entfernt. Wenn man nur einen geรคnderten Site URL Eintrag auf eine Virenseite in der Datenbank hat dann kann man das einfach manuell entfernen. Wenn der Virus sich aber automatisch weitervermehrt hat man tausende Dateien mit Viruscode und zehntausende Vireneintrรคge in der Datenbank. Da ist den Webspace lรถschen und rekonstruieren die einzige Mรถglichkeit. Auรer man hat ein gutes Backup was man einfach einspielen kann.
Moin Felix,
da bin ich ganz bei dir!
Das zeigt mal wieder die Wichtigkeit der Backups (Wenn sie denn noch weiterer Grรผnde benรถtigt) ๐
Grรผรe
Jonas
Wenn z.B mein Hoster einen gescheiten Scan gemacht und den Befall erkannt hat, dann weiร ich sehr genau, wo das Problem steckt und kann die Dateien sรคubern. Hab ich schon selbst und bei Kunden mehrfach erlebt. Es ist ja im Grunde nie das ganze System befallen. Und ich muss in einem solchen Fall natรผrlich keine 10k Dateien durchsuchen, schon gar nicht manuell ๐
Natรผrlich ist das Lรถschen kein Problem, aber Du musst halt alles wieder neu aufsetzen und das ist oft erheblich mehr Aufwand als man denkt.
Wie so oft gibt es keine pauschale, sondern nur individuelle Lรถsungen und dazu muss man entweder gut bescheid wissen oder einen Profi anheuern.
Die Hoster Scans kann man i.d.R. vergessen – es werden so gut wie nie alle befallenen Dateien erkannt. Daher finde ich die beschriebene Strategie des Neuaufsetzens schon ganz hilfreich und absolut richtig fรผr WordPress Admins, die mit der Thematik noch nicht viel zu tun hatten.
In meiner Anleitung habe ich ein Log Analyse Tool verlinkt. Sich die Access Logs anzuschauen macht auch immer Sinn, um die Einbruchsstelle und Schaddateien zu finden, auf die per POST Request zugegriffen wurde.
Moin moin,
das klingt gut ๐ Allerdings vermutlich schwierig fรผr Anfรคnger umzusetzen, da werden schon fortgeschrittene Kenntnisse benรถtigt.
Grรผรe
Jonas
Eigentlich ganz schรถn naiv von mir sich darรผber bisher noch keine Gedanken gemacht zu haben. Danke fรผr diese Eingebung ๐ Und natรผrlich auch danke fรผr die Einleitung, ich habe Sie abgespeichert und morgen geh ich das alles Step by Step durch.
PS: Am besten keinen so unsicheren FTP-Client wie FileZilla verwenden, wo Passwรถrter in Klartext auf der Festplatte gespeichert werden. Es gibt bessere Alternativen, wie zum Beispiel Cyberduck.
[…] Wie du WordPress in 10 einfachen Schritten von Viren befreist (wp-ninjas.de) […]
Hey Daniel,
mittlerweile bin ich auch auf Cyberduck umgestiegen, danke fรผr den Hinweis ๐
Grรผรe
Jonas
Hi Jonas
Gerade mache ich diesen Prozess bei meinen Blogs durch ๐ Mein Hoster hat mich mehrmals darauf hingewiesen, dass irgendwo auf meinem Webspace ein Virus ist… Hab die jeweiligen Datenbanken gesichert und auf meinem Rechner gesichert – dann Wordpress neu aufgespielt, Datenbank wieder eingespielt… Viel Arbeit ist halt das Neueinspielen der ganzen Bilder, etc….
Moin Stefan,
ja das ist ein Aufwand, aber leider fรผhrt kein Weg dran vorbei…
Ich wรผnsche dir viel (virenfreien) Erfolg! ๐
Grรผรe
Jonas
danke dir ๐ ich nutze es eh auch gleichzeitig dazu, da mal meinen Webspace ein wenig aufzurรคumen, besonders bezรผglich รผbergroรen Bildern und so….
Na das ist natรผrlich ein netter Nebeneffekt ๐
ich habe nach neuaufsetzend von WP die Sicherung der alten Datenbank eingespielt (inkl. neuer mysql-Datenbank fรผr WP). Gibt’s da eventuell Probleme, wenn ich da die alte Datenbank lรถsche?
Moin Stefan,
wenn du die eine neue Datenbank aufgesetzt, die bisherige dort importiert und WordPress mit der neuen verbunden hast, kannst du die alte natรผrlich lรถschen ๐
neue Datenbank erstellt, WP neu aufgesetzt auf Basis dieser neuen Datenbank und die Sicherung der alten in diese neue eingespielt, ja…
Na dann los ๐
man hรถrt ja eigentlich nur, dass so’n Datenbank-Umzug extrem kompliziert is…