// CompleteRegistration // Track when a registration form is completed (ex. complete subscription, sign up for a service) fbq('track', 'CompleteRegistration');

Was das Allerwichtigste ist, wenn dein WordPress Blog von einem Virus befallen ist?

Ruhe bewahren und klug handeln!

Oftmals werden panische Schnellschüsse unternommen, die im schlechtesten Fall noch mehr Schaden anrichten.

Der Begriff Virus ist etwas irreführend, da der eingeschleuste Schadcode verschiedenste Formen haben kann. Trojaner, Malware, iFrames – es gibt die unterschiedlichsten Dinge, die ein Angreifer hinterlassen kann. Ich werde der Einfachheit halber in diesem Artikel von Virus sprechen.

Wenn du einen Virus auf deinem Blog entdeckt hast und nun nach einer Anleitung zum Entfernen suchst, bist du hier absolut richtig! Vermutlich bist du jetzt schon ziemlich genervt und hast Angst, dass deine Inhalte weg sind und du von vorne beginnen musst. Du kannst aber ganz beruhigt sein, dem ist nicht so!

Am besten holst du dir einen frischen Kaffee oder Tee und atmest einmal durch.

Hast du tief durchgeatmet?

Gut, dann legen wir mal los 🙂

Den Virenbefall bemerken

Da sich die Auswirkungen eines Virenbefalles unterschiedlich äußern, bemerkt man ihn nicht immer sofort. Es gibt verschiedene Wege, wie der Befall festgestellt werden kann:

  1. dein Blog lässt sich nicht mehr aufrufen und zeigt nur noch eine weiße Seite (das heißt nicht unbedingt, dass du einen Virus hast)
  2. du bekommst eine E-Mail mit der Benachrichtigung über Viren von deinem Hoster
  3. die Google Search Console zeigt dir einen möglichen Virenbefall an (nur wenn deine Seite dort angemeldet ist)
  4. dein lokaler Virenscanner verhindert das Öffnen deines Blogs
  5. du prüfst deinen Blog mit einem Virenscanner und er schlägt Alarm

Wenn du das Gefühl hast, dass etwas nicht stimmt oder du einfach nur sicher gehen möchtest, kannst du deinen Blog auch mit der Hilfe von Tools prüfen.

Kostenlose Online-Tools zur Virenprüfung

Keines dieser Tools bietet eine 100% Erkennungsrate. Teilweise wird nur auf eine Auswahl bekannter Bedrohungen geprüft, allerdings ist das ein guter Anfang. Da die Scanner jeweils auf unterschiedliche Arten testen, solltest du nicht nur eines dieser Tools durchlaufen lassen.

Schritt für Schritt zum virenfreien WordPress Blog

Die einfachste Möglichkeit, deinen Blog von Viren zu befreien, ist das Einspielen eines Backups. Wenn du ein Backup besitzt, das aus der Zeit vor dem Virenbefall stammt, ist alles ganz einfach. Ein händisch angelegtes Backup spielst du wieder ein, indem du alle Dateien auf dem Server löscht, mit deinen Backup-Daten ersetzt, die Datenbank importierst und verbindest.

Hast du ein Backup mit der Hilfe eines Plugins angelegt und du kannst dich nach wie vor in deinen Blog einloggen? Dann stelle das Backup einfach über das Plugin wieder her.

Leider hat man aber nicht immer ein sauberes Backup. Aber auch in diesem Fall können wir deinen Blog retten!

1. Schritt – Backup erstellen

Dateien sichern

Als erstes verbindest du dich via FTP mit deinem Server. Nun lädst du alle Dateien und Ordner auf deinen Computer herunter.

Dieser Schritt ist notwendig, weil wir die wp-config.php Datei und den Ordner mit deinen Uploads noch benötigen. Zudem weiß man nie, welche Dateien oder Codes man noch gebrauchen kann.

Datenbank sichern

Zudem benötigst du zur Sicherheit ein Backup der Datenbank. In der Datenbank liegen alle deine Inhalte. Meistens ist sie nicht von dem Virus betroffen und kann bestehen bleiben, aber man weiß ja nie.

Logge dich bei deinem Hoster ein. Dort wird es einen Menüpunkt geben, der dir eine Übersicht über deine Datenbanken zeigt. Meist heißt er „Datenbanken“ oder „MySQL“. Dort kannst du auf die von dir genutzte Datenbank über die Web-Oberfläche „PHP MyAdmin“ zugreifen. Nun findest du in den Reitern ganz oben einen Punkt „Exportieren“. Klicke auf der Export-Seite einfach auf „OK“, in den meisten Fällen können alle Einstellungen unangetastet bleiben.

Schon lädt dein Datenbank-Backup herunter.

2. Schritt – Theme und Plugins notieren

Da du alle Dateien vom Server löschen wirst, musst du dir das verwendete Theme und die Plugins aufschreiben, um sie später wieder installieren zu können.

Wenn du dich noch in das WordPress Backend einloggen kannst, navigiere zu den Plugins und schreibe dir alle auf. Das gleiche machst du danach mit dem Theme.

Solltest du keinen Zugriff mehr haben, kannst du via FTP den Ordner „wp-content“ -> „plugins“ öffnen, und die Pluginnamen darin notieren. Danach ist das Theme dran. Du findest es unter „wp-content“ -> „themes“.

3. Schritt – Alles vom Server löschen

Du hast nun ein komplettes Backup aller Dateien, genutzte Plugins und das Theme sind notiert. Jetzt musst du alle Dateien und Ordner von dem Server löschen. Das machst du natürlich wieder via FTP. Markiere alle Dateien und Ordner, mache einen Rechtsklick und klicke auf „löschen“.

Je nach dem Umfang deines Blogs kann das nun einige Minuten dauern. Ist alles gelöscht, bist du den Virus auch schon los!

4. Schritt – wp-config.php & Uploads überprüfen

In deinem Backup der Dateien findest du im Hauptverzeichnis die „wp-config.php“. Diese Datei ist unter anderem für das Verbinden von WordPress und Datenbank nötig. Du brauchst diese Datei also unbedingt!

Das gleiche gilt für den Ordner „uploads“ in „wp-content“. Er enthält alle hochgeladenen Bilder und andere Dateien.

Nutze deinen lokalen Virenscanner, um die wp-config.php und den Ordner „uploads“ zu scannen. Sollte er Alarm schlagen, lösche die verdächtigen Dateien! In den meisten Fällen ist der „uploads“ Ordner allerdings nicht betroffen und kann weiterhin genutzt werden. Schaue dir danach die wp-config.php Datei gut an. Wenn du dort verdächtigen Code siehst, oder dir nicht sicher bist, nutze lieber die frische wp-config.php aus dem nächsten Schritt und übertrage die Datenbank-Zugangsdaten aus der bisherigen.

5. Schritt – Sauberes WordPress & wichtige Dateien hochladen

Damit du wieder ein sauberes System hast, benötigst du jetzt ein frisches WordPress Paket. Lade es dir von der offiziellen Seite herunter, entpacke das .zip Archiv auf deinem Computer und lade die Dateien und Ordner aus dem daraufhin erscheinenden Ordner „wordpress“ per FTP hoch. Wichtig ist, dass du nicht den Ordner „wordpress“ hochlädst, sondern die darin enthaltenen Dateien und Ordner!

Als nächstes lädst du deinen „uploads“ Ordner hoch. Natürlich muss er an der gleichen Stelle in der Ordnerstruktur wieder untergebracht werden. Lade ihn also in den Ordner „wp-content“ hoch.

Wenn deine wp-config.php Datei frei von Schadcode ist, kannst du sie nun in das Hauptverzeichnis der WordPress Installation hochladen. Möchtest du auf Nummer sicher gehen, findest du in dem heruntergeladenen, sauberen WordPress eine Datei mit dem Namen „wp-config-sample.php“. Öffne diese und gib dort die Datenbank-Zugangsdaten aus der bisherigen wp-config.php ein. Beim Speichern musst du die Datei in „wp-config.php“ umbenennen und anschließend hochladen.

6. Schritt – Datenbank aktualisieren

Manchmal ist es nötig, die Datenbank an die neuen Dateien anzupassen. Rufe dafür deine Website auf und hänge /wp-admin/upgrade.php an die URL dran. Auf der erscheinenden Seite kannst du die Aktualisierung der Datenbank vornehmen.

7. Schritt – Theme und Plugins installieren

Jetzt kannst du dich wieder wie gewohnt im WordPress Backend anmelden. Deine Zugangsdaten sind gleich geblieben.

Installiere jetzt dein Theme und die genutzten Plugins. Die Einstellungen liegen alle in der Datenbank. Dadurch wird dein Blog nach der Installation des Themes und der Plugins wieder genau aussehen wie vorher!

Du kannst die Installation entweder im WordPress Backend vornehmen, oder die Plugins und das Theme per FTP hochladen.

8. Schritt – Alles überprüfen

Jetzt ist der Zeitpunkt gekommen, an dem dein Blog wieder aussehen und funktionieren sollte, wie er es immer getan hat. Das ist allerdings nicht garantiert, deshalb musst du ihn jetzt einmal komplett überprüfen.

Schaue alle Seiten und Artikel durch und achte insbesondere drauf, dass die Bilder korrekt angezeigt werden. Eine weitere Fehlerquelle ergibt sich oftmals bei Opt-In Formularen. Teste also auf jeden Fall alle Formulare!

9. Schritt – Ändere alle Passwörter

Um deinen Blog gegen zukünftige Angriffe abzusichern, solltest du sofort deine Passwörter ändern. Das gilt sowohl für deinen WordPress Zugang, als auch für das FTP Passwort, den Zugang zu deinem Hoster und das Datenbankpasswort.

10. Schritt – Sichere deinen Blog ab

Es gibt ein paar kleine Tricks, mit denen zu deinen Blog absichern kannst. Sie sind einfach umzusetzen, sorgen aber schon für deutlich mehr Sicherheit.

Diese Tricks zeige ich dir in meinem Artikel „WordPress absichern – Grundlagen und Profi-Tipps für mehr WordPress Sicherheit„.

  • Michael Oeser

    Ich bin ehrlich gesagt etwas entsetzt, dass Du hier dazu rätst, alles vom Server zu löschen. Das ist schon die volle Holzhammer Methode und nicht eben subtil.

    Warum sollte ich das tun, wenn ich den möglichen Befall klar eingrenzen kann (z.B durch einen entsprechenden Scan) und ggf. geziehlt Dateien säubern könnte?

    Klar kann das Argument jetzt lauten, dass ich ja nicht wirklich sicher sein kann, ob damit alles bereinigt ist und ich evtl. gar nicht genau weiß, was ich da tue. Aber wenn ich das nicht weiß, sollte ich die Finger davon lassen und einen Profi beauftragen.

    Ich halte das pauschale Plattmachen für einen wenig sinnvollen und professionellen Ratschlag.

    • Jonas Tietgen

      Hi Michael,

      du kannst natürlich versuchen herauszufinden, über welche Lücke im System der Angriff stattgefunden hat und die infizierten Dateien säubern. Aber 10.000 Dateien nach Schadcode zu durchsuchen, ist doch etwas aufwendig 😉
      Was stört dich an dem Löschen der Dateien denn so? Dadurch entsteht ja kein Schaden und kompliziert ist das Markieren aller Dateien und anschließende Klicken auf „löschen“ ja nicht…

      Wie du schon sagst, wenn du nur eine Datei nicht säuberst, wird dein System direkt wieder angegriffen.

      Grüße
      Jonas

  • Michael Oeser

    Wenn z.B mein Hoster einen gescheiten Scan gemacht und den Befall erkannt hat, dann weiß ich sehr genau, wo das Problem steckt und kann die Dateien säubern. Hab ich schon selbst und bei Kunden mehrfach erlebt. Es ist ja im Grunde nie das ganze System befallen. Und ich muss in einem solchen Fall natürlich keine 10k Dateien durchsuchen, schon gar nicht manuell 😉

    Natürlich ist das Löschen kein Problem, aber Du musst halt alles wieder neu aufsetzen und das ist oft erheblich mehr Aufwand als man denkt.

    Wie so oft gibt es keine pauschale, sondern nur individuelle Lösungen und dazu muss man entweder gut bescheid wissen oder einen Profi anheuern.

  • Stefan

    Eigentlich ganz schön naiv von mir sich darüber bisher noch keine Gedanken gemacht zu haben. Danke für diese Eingebung 😉 Und natürlich auch danke für die Einleitung, ich habe Sie abgespeichert und morgen geh ich das alles Step by Step durch.

  • Daniel Ruf

    PS: Am besten keinen so unsicheren FTP-Client wie FileZilla verwenden, wo Passwörter in Klartext auf der Festplatte gespeichert werden. Es gibt bessere Alternativen, wie zum Beispiel Cyberduck.

  • Die Artikelparade im April 2017 – Frau Schmitt Schreibt

    […] Wie du WordPress in 10 einfachen Schritten von Viren befreist (wp-ninjas.de) […]