Wie du WordPress in 10 einfachen Schritten von Viren befreist

Was das Allerwichtigste ist, wenn deine WordPress Website von einem Virus befallen ist?

Ruhe bewahren und atmen 😉

Oftmals werden panische Schnellschüsse unternommen, die im schlechtesten Fall noch mehr Schaden anrichten.

Wenn du einen Virus, Malware oder andere Arten von Hacks auf deiner Website entdeckt hast und nun nach einer Anleitung zum Entfernen suchst, bist du hier absolut richtig!

Vermutlich bist du jetzt schon ziemlich genervt und hast Angst, dass deine Inhalte weg sind und du von vorne beginnen musst. Du kannst aber ganz beruhigt sein, dem ist nicht so!

Am besten holst du dir einen frischen Kaffee oder Tee und atmest einmal durch.

Hast du tief durchgeatmet?

Gut, dann legen wir mal los!

Den Virenbefall bemerken

Da sich die Auswirkungen eines Virenbefalles unterschiedlich äußern, bemerkt man ihn nicht immer sofort. Es gibt verschiedene Wege, wie der Befall festgestellt werden kann:

  1. deine Website lässt sich nicht mehr aufrufen und zeigt nur noch eine weiße Seite (das heißt nicht unbedingt, dass du einen Virus hast)
  2. du bekommst eine E-Mail mit der Benachrichtigung über Viren von deinem Hoster
  3. die Google Search Console zeigt dir einen möglichen Virenbefall an (nur wenn deine Seite dort angemeldet ist)
  4. dein lokaler Virenscanner verhindert das Öffnen deiner Website
  5. du prüfst deine Website mit einem Virenscanner und er schlägt Alarm

Wenn du das Gefühl hast, dass etwas nicht stimmt oder du einfach nur sichergehen möchtest, kannst du deine Website auch mit der Hilfe von Tools prüfen.

Kostenlose Online-Tools zur Virenprüfung

Keines dieser Tools bietet eine 100% Erkennungsrate. Teilweise wird nur auf eine Auswahl bekannter Bedrohungen geprüft, allerdings ist das ein guter Anfang. Da die Scanner jeweils auf unterschiedliche Arten testen, solltest du nicht nur eines dieser Tools durchlaufen lassen.

Schritt für Schritt zur virenfreien WordPress Website

Wenn du nicht das Glück hast, deine Website bei einem Hoster wie RAIDBOXES zu hosten, der Malware für dich entfernt, musst du selber Hand anlegen.

Die einfachste Möglichkeit, deine Website von Viren zu befreien, ist das Einspielen eines WordPress Backups. Wenn du ein Backup besitzt, das aus der Zeit vor dem Virenbefall stammt, ist alles ganz einfach. Ein händisch angelegtes Backup spielst du wieder ein, indem du alle Dateien auf dem Server löscht, mit deinen Backup-Daten ersetzt, die Datenbank importierst und verbindest.

Hast du ein Backup mit der Hilfe eines Plugins angelegt und du kannst dich nach wie vor in deine Website einloggen? Dann stelle deine Sicherung einfach über das Plugin wieder her.

Leider hat man aber nicht immer ein sauberes Backup. Aber auch in diesem Fall können wir deine Website retten!

1. Schritt – Backup erstellen

Dateien sichern

Als erstes verbindest du dich via FTP mit deinem Server. Nun lädst du alle Dateien und Ordner auf deinen Computer herunter.

Dieser Schritt ist notwendig, weil wir die wp-config.php Datei und den Ordner mit deinen Uploads noch benötigen. Zudem weiß man nie, welche Dateien oder Codes man noch gebrauchen kann.

Datenbank sichern

Zudem benötigst du zur Sicherheit ein Backup der Datenbank. In der Datenbank liegen alle deine Inhalte. Meistens ist sie nicht von dem Virus betroffen und kann bestehen bleiben, aber man weiß ja nie.

Logge dich bei deinem Hoster ein. Dort wird es einen Menüpunkt geben, der dir eine Übersicht über deine Datenbanken zeigt. Meist heißt er „Datenbanken“ oder „MySQL“. Dort kannst du auf die von dir genutzte Datenbank über die Web-Oberfläche „PHP MyAdmin“ zugreifen. Nun findest du in den Reitern ganz oben einen Punkt „Exportieren“. Klicke auf der Export-Seite einfach auf „OK“, in den meisten Fällen können alle Einstellungen unangetastet bleiben.

Schon lädt dein Datenbank-Backup herunter.

2. Schritt – Theme und Plugins notieren

Da du alle Dateien vom Server löschen wirst, musst du dir das verwendete Theme und die Plugins aufschreiben, um sie später wieder installieren zu können.

Wenn du dich noch in das WordPress Backend einloggen kannst, navigiere zu den Plugins und schreibe dir alle auf. Das gleiche machst du danach mit dem Theme.

Solltest du keinen Zugriff mehr haben, kannst du via FTP den Ordner „wp-content“ -> „plugins“ öffnen, und die Pluginnamen darin notieren. Danach ist das Theme dran. Du findest es unter „wp-content“ -> „themes“.

3. Schritt – Alles vom Server löschen

Du hast nun ein komplettes Backup aller Dateien, genutzte Plugins und das Theme sind notiert. Jetzt musst du alle Dateien und Ordner von dem Server löschen. Das machst du natürlich wieder via FTP. Markiere alle Dateien und Ordner, mache einen Rechtsklick und klicke auf „löschen“.

Je nach dem Umfang deiner Website kann das nun einige Minuten dauern. Ist alles gelöscht, bist du den Virus auch schon los!

4. Schritt – wp-config.php & Uploads überprüfen

In deinem Backup der Dateien findest du im Hauptverzeichnis die „wp-config.php“. Diese Datei ist unter anderem für das Verbinden von WordPress und Datenbank nötig. Du brauchst diese Datei also unbedingt!

Das gleiche gilt für den Ordner „uploads“ in „wp-content“. Er enthält alle hochgeladenen Bilder und andere Dateien.

Nutze deinen lokalen Virenscanner, um die wp-config.php und den Ordner „uploads“ zu scannen. Sollte er Alarm schlagen, lösche die verdächtigen Dateien! In den meisten Fällen ist der „uploads“ Ordner allerdings nicht betroffen und kann weiterhin genutzt werden. Schaue dir danach die wp-config.php Datei gut an. Wenn du dort verdächtigen Code siehst, oder dir nicht sicher bist, nutze lieber die frische wp-config.php aus dem nächsten Schritt und übertrage die Datenbank-Zugangsdaten aus der bisherigen.

5. Schritt – Sauberes WordPress & wichtige Dateien hochladen

Damit du wieder ein sauberes System hast, benötigst du jetzt ein frisches WordPress Paket. Lade es dir von der offiziellen Seite herunter, entpacke das .zip Archiv auf deinem Computer und lade die Dateien und Ordner aus dem daraufhin erscheinenden Ordner „wordpress“ per FTP hoch. Wichtig ist, dass du nicht den Ordner „wordpress“ hochlädst, sondern die darin enthaltenen Dateien und Ordner!

Als nächstes lädst du deinen „uploads“ Ordner hoch. Natürlich muss er an der gleichen Stelle in der Ordnerstruktur wieder untergebracht werden. Lade ihn also in den Ordner „wp-content“ hoch.

Wenn deine wp-config.php Datei frei von Schadcode ist, kannst du sie nun in das Hauptverzeichnis der WordPress Installation hochladen. Möchtest du auf Nummer sicher gehen, findest du in dem heruntergeladenen, sauberen WordPress eine Datei mit dem Namen „wp-config-sample.php“. Öffne diese und gib dort die Datenbank-Zugangsdaten aus der bisherigen wp-config.php ein. Beim Speichern musst du die Datei in „wp-config.php“ umbenennen und anschließend hochladen.

6. Schritt – Datenbank aktualisieren

Manchmal ist es nötig, die Datenbank an die neuen Dateien anzupassen. Rufe dafür deine Website auf und hänge /wp-admin/upgrade.php an die URL dran. Auf der erscheinenden Seite kannst du die Aktualisierung der Datenbank vornehmen.

7. Schritt – Theme und Plugins installieren

Jetzt kannst du dich wieder wie gewohnt im WordPress Backend anmelden. Deine Zugangsdaten sind gleich geblieben.

Installiere jetzt dein Theme und die genutzten Plugins. Die Einstellungen liegen alle in der Datenbank. Dadurch wird deine Website nach der Installation des Themes und der Plugins wieder genau aussehen wie vorher!

Du kannst die Installation entweder im WordPress Backend vornehmen, oder die Plugins und das Theme per FTP hochladen.

8. Schritt – Alles überprüfen

Jetzt ist der Zeitpunkt gekommen, an dem deine Website wieder aussehen und funktionieren sollte, wie er es immer getan hat. Das ist allerdings nicht garantiert, deshalb musst du ihn jetzt einmal komplett überprüfen.

Schaue alle Seiten und Artikel durch und achte insbesondere drauf, dass die Bilder korrekt angezeigt werden. Eine weitere Fehlerquelle ergibt sich oftmals bei Opt-In Formularen. Teste also auf jeden Fall alle Formulare!

9. Schritt – Ändere alle Passwörter

Um deine Website gegen zukünftige Angriffe abzusichern, solltest du sofort deine Passwörter ändern. Das gilt sowohl für deinen WordPress Zugang, als auch für das FTP Passwort, den Zugang zu deinem Hoster und das Datenbankpasswort.

10. Schritt – Sichere deine Website ab

Es gibt ein paar kleine Tricks, mit denen du deine Website absichern kannst. Sie sind einfach umzusetzen, sorgen aber schon für deutlich mehr Sicherheit.

Diese Tricks zeige ich dir in meinem Artikel „WordPress absichern – Grundlagen und Profi-Tipps für mehr WordPress Sicherheit„.


Jonas Tietgen

Dein WordPress Ninja mit 10+ Jahren Erfahrung, Gründer von WP Ninjas und SEO Nerd.

Jonas hilft Solopreneuren, ihre WordPress Websites selber überarbeiten, pflegen und optimieren zu können.

Schon seit er 14 ist, baut er Websites mit WordPress und arbeitet seit Jahren täglich mit WordPress. Dadurch hat er Erfahrung mit so ziemlich jedem Theme und Plugin, kennt WordPress auswendig und toppt das Ganze mit einer Liebe zu Webdesign (inklusive Webdesign-Studium) und SEO.

In über 120 Tutorials stellt er dir in seinem Blog sein gesamtes Wissen zur Verfügung, erweitert dein SEO-Wissen in seinem Search Effect Podcast, sowie dem Keyword-Magic-Workshop und unterstützt dich in Coachings und über seinen beliebten Mitgliederbereich.

Abseits von WordPress nerdet Jonas gerne über Gesundheit ab, macht viel Krafttraining und weiteren Sport und baut immer wieder spannende Website-Projekte wie bambuslife.de oder wattlife.de auf.


21 Gedanken zu „Wie du WordPress in 10 einfachen Schritten von Viren befreist“

  1. Ich bin ehrlich gesagt etwas entsetzt, dass Du hier dazu rätst, alles vom Server zu löschen. Das ist schon die volle Holzhammer Methode und nicht eben subtil.

    Warum sollte ich das tun, wenn ich den möglichen Befall klar eingrenzen kann (z.B durch einen entsprechenden Scan) und ggf. geziehlt Dateien säubern könnte?

    Klar kann das Argument jetzt lauten, dass ich ja nicht wirklich sicher sein kann, ob damit alles bereinigt ist und ich evtl. gar nicht genau weiß, was ich da tue. Aber wenn ich das nicht weiß, sollte ich die Finger davon lassen und einen Profi beauftragen.

    Ich halte das pauschale Plattmachen für einen wenig sinnvollen und professionellen Ratschlag.

    Antworten
    • Hi Michael,

      du kannst natürlich versuchen herauszufinden, über welche Lücke im System der Angriff stattgefunden hat und die infizierten Dateien säubern. Aber 10.000 Dateien nach Schadcode zu durchsuchen, ist doch etwas aufwendig 😉
      Was stört dich an dem Löschen der Dateien denn so? Dadurch entsteht ja kein Schaden und kompliziert ist das Markieren aller Dateien und anschließende Klicken auf „löschen“ ja nicht…

      Wie du schon sagst, wenn du nur eine Datei nicht säuberst, wird dein System direkt wieder angegriffen.

      Grüße
      Jonas

      Antworten
    • Ich habe schon auf über 40 Seiten Viren entfernt. Wenn man nur einen geänderten Site URL Eintrag auf eine Virenseite in der Datenbank hat dann kann man das einfach manuell entfernen. Wenn der Virus sich aber automatisch weitervermehrt hat man tausende Dateien mit Viruscode und zehntausende Vireneinträge in der Datenbank. Da ist den Webspace löschen und rekonstruieren die einzige Möglichkeit. Außer man hat ein gutes Backup was man einfach einspielen kann.

      Antworten
  2. Wenn z.B mein Hoster einen gescheiten Scan gemacht und den Befall erkannt hat, dann weiß ich sehr genau, wo das Problem steckt und kann die Dateien säubern. Hab ich schon selbst und bei Kunden mehrfach erlebt. Es ist ja im Grunde nie das ganze System befallen. Und ich muss in einem solchen Fall natürlich keine 10k Dateien durchsuchen, schon gar nicht manuell 😉

    Natürlich ist das Löschen kein Problem, aber Du musst halt alles wieder neu aufsetzen und das ist oft erheblich mehr Aufwand als man denkt.

    Wie so oft gibt es keine pauschale, sondern nur individuelle Lösungen und dazu muss man entweder gut bescheid wissen oder einen Profi anheuern.

    Antworten
    • Die Hoster Scans kann man i.d.R. vergessen – es werden so gut wie nie alle befallenen Dateien erkannt. Daher finde ich die beschriebene Strategie des Neuaufsetzens schon ganz hilfreich und absolut richtig für WordPress Admins, die mit der Thematik noch nicht viel zu tun hatten.
      In meiner Anleitung habe ich ein Log Analyse Tool verlinkt. Sich die Access Logs anzuschauen macht auch immer Sinn, um die Einbruchsstelle und Schaddateien zu finden, auf die per POST Request zugegriffen wurde.

      Antworten
  3. Eigentlich ganz schön naiv von mir sich darüber bisher noch keine Gedanken gemacht zu haben. Danke für diese Eingebung 😉 Und natürlich auch danke für die Einleitung, ich habe Sie abgespeichert und morgen geh ich das alles Step by Step durch.

    Antworten
  4. PS: Am besten keinen so unsicheren FTP-Client wie FileZilla verwenden, wo Passwörter in Klartext auf der Festplatte gespeichert werden. Es gibt bessere Alternativen, wie zum Beispiel Cyberduck.

    Antworten
  5. Hi Jonas

    Gerade mache ich diesen Prozess bei meinen Blogs durch 🙂 Mein Hoster hat mich mehrmals darauf hingewiesen, dass irgendwo auf meinem Webspace ein Virus ist… Hab die jeweiligen Datenbanken gesichert und auf meinem Rechner gesichert – dann Wordpress neu aufgespielt, Datenbank wieder eingespielt… Viel Arbeit ist halt das Neueinspielen der ganzen Bilder, etc….

    Antworten
  6. ich habe nach neuaufsetzend von WP die Sicherung der alten Datenbank eingespielt (inkl. neuer mysql-Datenbank für WP). Gibt’s da eventuell Probleme, wenn ich da die alte Datenbank lösche?

    Antworten

Schreibe einen Kommentar zu Stefan Antworten abbrechen

46 Plugins & Tools, dank denen ich 20.000 Besucher monatlich bekomme!

Das WordPress Toolkit kostenlos für dich

Abonniere meine exklusiven WordPress Tipps, News und mein Experten-Wissen, das ich sonst nirgends teile!

 

...und sichere dir das WordPress Toolkit kostenlos!

Nach der Begrüßungsmail kommen die E-Mails im Normalfall 1x / Woche. Du kannst dich natürlich jederzeit abmelden und bekommst keinen Spam! Datenschutz

46 Plugins & Tools, dank denen ich 20.000 Besucher monatlich bekomme!

Das WordPress Toolkit kostenlos für dich

Abonniere meine exklusiven WordPress Tipps, News und mein Experten-Wissen, das ich sonst nirgends teile!

 

...und sichere dir das WordPress Toolkit kostenlos!

Nach der Begrüßungsmail kommen die E-Mails im Normalfall 1x / Woche. Du kannst dich natürlich jederzeit abmelden und bekommst keinen Spam! Datenschutz