Was ist zu tun, wenn statt der Webseite die Meldung „Die Präsenz ist derzeit nicht verfügbar“ erscheint?
WordPress ist das weltweit am häufigsten eingesetzte CMS System weltweit. Dies macht es auch zu einem lohnenswerten Ziel für Hacker, da eine breite Massen an Webseiten leider nicht immer auf dem aktuellen Stand sind und dadurch Sicherheitslücken aufweisen, die es einem Hacker einfacher machen, die Webseite mit Schadcode zu infizieren. Die Auswirkungen können hier vollkommen unterschiedlich sein. Von geändertem Webseiteninhalt und Werbung bis zu Crypto Trojanern und Schadcode, der von der Webseite nachgeladen wird, ist vieles schon dagewesen.
Wenn konkret beim Hoster Domainfactory oder DF.Eu beim Aufruf ihrer Webseite die Meldung erscheint „Diese Präsenz ist derzeit nicht verfügbar“, dann wurde Ihre Webseite sehr wahrscheinlich gehackt und DomainFactory hat daraufhin die Webseite gesperrt und zeigt die oben genannte Fehlermeldung an. Sie sollten in dem Fall auch eine E-Mail vom DF Support erhalten haben.
Aber was ist in einem solchen Fall konkret zu tun?
Als erstes sollten Sie ein komplettes Backup der WordPress Seite erstellen. Laden Sie hierfür alle Dateien Ihrer WordPress Installation via FTP / SSH auf Ihrem PC. Zusätzlich sollten Sie ein MySQL Backup erstellen und ebenfalls speichern. Dies können Sie im Kundenmenü bei DF.EU unter dem Punkt Webspace -> MySQL Datenbanken erledigen. Klicken Sie hierzu bei der entsprechenden Datenbank auf Aktion -> Backup. Sie benötigen hierzu das Datenbank Kennwort. Sofern Sie dieses nicht zur Hand haben: Dieses steht in der Datei wp-config.php in der Zeile
define(‚DB_PASSWORD‘, ‚hierStehtIhrKennwort‘);
Danach kann es an die Bereinigung gehen.
Zunächst einmal muss der Schadcode aus der WordPress Seite entfernt werden, danach kann die Freischaltung mittels clean.txt Datei bei DomainFactory „beantragt“ werden.
Der einfachste Weg ist es, zu ermitteln, wann die Webseite gesperrt wurde und ein Backup der WordPress Instanz vor dem Hack einzuspielen. Achtung: Es könnte auch sein, dass schadhafter Code in der Datenbank enthalten ist. Die Empfehlung lautet daher, sowohl das Document Root als auch die Datenbank vor dem Angriff wiederherzustellen.
Solange sich nicht am Inhalt der Seite geändert hat, ist dies in der Regel auch keine Problem. Die Ausnahme ist hier ein auf WordPress basierender Shop wie z.B. WooCommerce bei dem ja weiterhin Bestellungen in der Datenbank erfasst sind, welche beim Vollimport der Datenbank ebenfalls überschrieben werden würden sowie auch andere Plugins, bei denen von extern Datenbankeinträge angelegt werden können. z.B. Kontaktformulare, Schnittstellen usw.
DomainFactory stellt Backups für die letzen 7 Tage zur Verfügung. Diese Backups können im DF Kundenmenü in der Linken Navigationsleiste unter Verwaltung -> Restore und andere Aufträge auswählen. Hier gibt es auch die Option, die Datenbank wiederherzustellen.
Sollte die WordPress Seite seit mehr als 7 Tagen betroffen sein und existiert kein älteres manuells Backup der Seite oder befindet sich auf der Seite ein Shop z.B. mit WooCommerce, dann bleibt in diesem Fall nichts anderes übrig, als die WordPress Instanz manuell zu prüfen und zu bereinigen. Im Regelfall sind aber mehrere Dateien betroffen und mit Schadcode erweitert worden. Ein Anhaltspunkt, welche Dateien betroffen sind, kann ein Virenscanner liefern. Laden Sie das komplette WordPressverzeichnis herunter und durchsuchen Sie dieses mit einem Virenscanner. In der Regel werden von vielen Virenscannern auch „Webviren“ inzwischen zuverlässig erkannt.
Achtung: Löschen Sie diese Dateien aber nicht. Sofern es sich um Template Dateien handelt, kann es sein, dass danach die Webseite nicht oder nicht mehr richtig dargestellt wird. Es sind lediglich die betroffenen Zeilen in der Datei manuell zu löschen. Betroffene WordPress Core Dateien oder Dateien von Plugins können im Regelfall von der Standardinstallation überschrieben werden, sofern die gleiche Version eingesetzt wird. Sobald die WordPressinstallation wieder sauber ist, muss zur Freischaltung bei DomainFactory eine neue Datei mit dem Namen „clean.txt“ in einem speziellen Verzeichnis erstellt werden. Das Verzeichnis wurde von DomainFactory in der E-Mail genannt.
Lassen Sie es nicht soweit kommen!
Die Sicherheit der WordPress Installation hängt maßgeblich von den Updates ab. Hier ist darauf zu achten, dass sowohl bei WordPress, den eingesetzten Themes und Plugins immer die neueste Version eingesetzt wird. Weiterhin sollte auch die PHP Version der aktuellen und supporteten Version entsprechen. Regelmäßige manuelle Backups die z.B. auf USB Festplatten gespeichert werden sowie sichere Kennwörter sind ebenfalls unerlässlich. Darüber hinaus gibt es noch eine Vielzahl von weiteren sinnvollen Anpassungen zur Erhöhung der WordPress Sicherheit auf die wir in einem anderen Blogeintrag eingehen wollen.
Sollte Ihre WordPress Installation bei DF.EU betroffen sein und Sie Hilfe bei der Bereinigung benötigen, so stehen wir Ihnen gerne unkompliziert und schnell zur Verfügung. Sprechen Sie uns an.
Monitoring Architekt mit kreativen Problemlösungswegen
- Weihnachtsspende: ADMIN INTELLIGENCE lässt 333 Bäume in Nicaragua pflanzen - 18. Dezember 2023
- Die 9 wichtigsten Nextcloud OCC Befehle für die Konsole - 1. Juni 2023
- Nextcloud Hub 4 ist da – Das sind die Neuerungen - 23. März 2023