Infizierte WordPress Installation bereinigen

Infizierte WordPress Installation bereinigen

Als eines der am meisten verwendeten CMS-Systeme laufen etwa 30 Prozent aller Websites weltweit mit WordPress. Dadurch ist es ein beliebtes Zeil von Angreifern, um Informationen abzugreifen und Schadcode („Malware“) auszuliefern.

Ich hatte kürzlich das Vergnügen diverse infizierte WordPress Seiten von Schadcode zu befreien. Die betroffenen Seiten leiteten die Nutzer auf eine andere Website um, damit die Angreifer Einnahmen aus Werbeeinblendungen generieren konnten. Im Folgenden will ich einige Schritte erläutern, wie man infizierte Dateien finden und bereinigen kann und was man tun sollte, um eine Infizierung überhaupt zu verhindern.

Was macht die Malware?

In erster Linie werden bestimmte PHP-Dateien modifiziert, damit vom Angreifer bereitgestellter Schadcode ausgeführt wird. In den meisten Fällen werden daher die Dateien index.php, wp-config.php oder andere WordPress Core Files befallen, da diese bei jedem Seitenaufruf eingelesen und somit der Schadcode ausgeführt wird.

Der Schadcode wird in den meisten Fällen unerwünschte Script-Tags in den Seitenoutput einfügen, so dass beispielsweise Affiliate Links geladen und somit dem Angreifer Geldeinnahmen durch „Klicks“ generiert werden.

Woher weiß man, dass die Seite betroffen ist?

Wenn sich Ihre Website auffällig verhält oder Inhalte ausliefert, die Ihnen unbekannt sind, ist es möglich, dass die Seite befallen ist. Wenn am Dateianfang in der index.php oder anderen WordPress Core Files auffällige include oder require-Anweisungen zu finden sind, ist die Chance hoch, dass die Seite infiziert ist. Auch auffällig kryptischer PHP-Code weist darauf hin, dass die Seite infiziert ist. Somit wollen Malware-Autoren vermeiden, dass automatisierte Tools den Befall finden und bereinigen können.

Was kann man tun?

Bei Befall sollten Sie die Seite umgehend vom Netz nehmen, beispielsweise indem die Seite mit HTTP-Auth abgesichert wird, damit keine unbefugten Nutzer Zugriff auf die Seiteninhalte mehr haben. Nur so können die befallenen Dateien in Ruhe bereinigt werden, bevor Sie wieder für jedermann verfügbar im Netz erreichbar sind.

Zunächst sollte man die WordPress Core Files nach auffälligem Code durchsuchen und diesen entfernen. In meinem letzen Fall waren sämtliche index.php Dateien innerhalb des Webverzeichnisses befallen – auch solche, die nicht zu WordPress gehören. Die Malware zielt offenbar darauf ab, möglichst viele Dateien zu infizieren, um die Anzahl der Aufrufe zu maximieren. Es sollte auch überprüft werden, welche Datei inkludiert wird. Oft werden die zu inkludierenden Dateien mit einer anderen Dateiendung getarnt, da man nicht vermutet, dass beispielsweise ICO (.ico) Dateien PHP-Code enthalten. Für den Server macht es übrigens keinen Unterschied, welche Dateiendung eine Datei hat – ganz gleich ob eine Dateiendung vorhanden ist oder nicht.

Als nächsten Schritt sollte man prüfen, ob für die installierten Plugins und Themes Updates vorliegen und diese umgehend installieren. Weiterhin sollen sämtliche Passwörter der WordPress-Benutzer geändert und die Secret Keys in der WordPress Config neu generiert werden. WordPress selbst bietet hierfür eine recht nützliche Seite an.

Abschließend sollte – wenn möglich automatisiert, da bei vielen tausend Beiträgen anders unmöglich zu realisieren – alle Beiträge nach auffälligem Inhalt durchsucht und dieser entfernt werden. Malware bindet gerne script-Tags in den Beitragsinhalt ein und liefert ihn somit an jeden Seitenbesucher aus.

Wie kann man sich vor Befall schützen?

In erster Linie dadurch, dass Ihre WordPress-Installation aktuell gehalten wird. Zwar bietet WordPress seit Version 3.7 automatische Updates für WordPress selbst, jedoch werden Updates nicht immer automatisch installiert. Daher ist es unerlässlich in zeitlich regelmäßigen Abständen zu prüfen, ob Updates vorliegen und diese umgehend zu installieren. Nur so kann sichergestellt werden, dass Sicherheitslücken – die naturgemäß jede Software aufweist – geschlossen werden.

Das gleiche gilt übrigens im besonderem Maße auch für Plugins und Themes. Sicherheitslücken in den Plugins und Themes können ebenfalls dazu führen, dass sämtliche Webinhalte auf unerwünschte Weise modifiziert werden. Oft werden Plugins verwendet, die seit Jahren keine Updates mehr erhalten haben. Derartige Plugins sollten unbedingt deaktiviert und deinstalliert und durch ein alternatives Plugin ersetzt werden, welches die gewünschte Funktionalität bereitstellt und noch aktiv gepflegt wird. Vermeiden sollte man auch Plugins und Themes aus vertrauensunwürdigen Quellen zu installieren.

Auch der Einsatz von sogenannten Web Application Firewalls (WAF) wie beispielsweise Wordfence kann helfen, Befall zu reduzieren bzw. sogar zu verhindern. Eine Garantie, dass WordPress dadurch nicht mehr befallen wird, gibt es jedoch nicht.

Unterstützung nötig?

Falls das genannte Ihnen nicht weiterhilft oder Sie einfach nach Unterstützung zur Bereinigung befallener WordPress-Seiten suchen, können Sie sich gerne an unser Team wenden. Wir können nicht nur befallene WordPress Seiten reparieren und bereinigen, sondern auch komplexe Updates und Migrationen durchführen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.