WordPress ist heute die beliebteste Website-Verwaltungssoftware und unterstützt derzeit mehr als 70 Millionen Websites weltweit. Software ist von Natur aus etwas, das gewartet werden muss, wenn neue Updates und Patches verfügbar werden. WordPress ist seit 2004 frei verfügbar, um eine Website mit zu erstellen, und Versionen bleiben von 1.x bis zur aktuellsten Version (3.3.2) online.

Von der allerersten Version von WordPress bis zur neuesten Version standen Hunderte von Updates zur Verfügung, von denen einige sehr große Sicherheitslücken schließen. In den letzten Jahren wurde der Begriff “Malware” in Verbindung mit WordPress-Websites verwendet, die durch eine dieser Sicherheitslücken kompromittiert (gehackt) wurden. Während Malware normalerweise ein Begriff ist, der einen Virus mit einer Nutzlast auf einem PC beschreibt, wird der Begriff jetzt häufiger verwendet, um eine (WordPress-) Website zu beschreiben, die mit SEO-Spam oder bösartigen Skripten oder Code infiziert wurde.

Die beste Prävention für Malware in WordPress besteht darin, sie einfach auf dem neuesten Stand zu halten. Führen Sie das Upgrade so bald wie möglich durch, sobald neue Versionen verfügbar sind. Stellen Sie außerdem sicher, dass Ihr installiertes Design und Ihre Plugins ebenfalls auf dem neuesten Stand sind.

Tipps zur Malware-Prävention

Während das Aktualisieren von WordPress eine großartige vorbeugende Medizin ist, gibt es mehrere zusätzliche Dinge, die Sie tun können, um Ihre Website weiter zu schützen:

Alte Plugins entfernen: Entfernen Sie alle Plugins, die Sie nicht verwenden (die deaktiviert sind). Selbst nicht verwendete Plugins können ein Sicherheitsrisiko darstellen. Lassen Sie außerdem nur installierte Plugins, die in den letzten 12 bis 18 Monaten aktualisiert wurden. Wenn Sie ältere Plugins verwenden, sind diese möglicherweise nicht mit den neuesten Versionen von WordPress (oder Ihrem Thema) kompatibel – und sie können auch Sicherheitslücken aufweisen.

Überprüfen Sie Ihr Thema: Wie alt ist Ihr WordPress-Thema? Wenn Sie es von einem Entwickler gekauft haben, überprüfen Sie, ob ein aktuelles Update zur Installation verfügbar ist. Wenn Sie ein benutzerdefiniertes Thema haben (oder sogar eines, das Sie selbst codiert haben), lassen Sie es etwa einmal pro Jahr von einem kompetenten Entwickler oder Sicherheitsexperten überprüfen, um sicherzustellen, dass es keine Sicherheitslücken aufweist.

Sicherheit und Härtung: Sie sollten ein oder mehrere beliebte WordPress-Plugins installieren und konfigurieren, um Ihre Website zu sichern und zu härten (über das Out-of-the-Box-Setup hinaus). Während WordPress eine sehr ausgereifte und sichere Plattform ist, können Sie problemlos mehrere zusätzliche Ebenen grundlegender Sicherheit hinzufügen, indem Sie Ihren Administrator-Benutzernamen, den Standardnamen der WordPress-Tabelle und die Sicherheit gegen 404-Angriffe und lange böswillige URL-Versuche ändern.

Tipps zum Entfernen von Malware

Wenn Sie der Meinung sind, dass Ihre WordPress-Website mit Malware, bösartigen Skripten, Spam-Links oder Code gehackt oder injiziert wurde, sollten Sie als Erstes eine Sicherungskopie Ihrer Website erhalten (falls Sie noch keine haben). Holen Sie sich eine Kopie aller Dateien in Ihrem Webhosting-Konto, die auf Ihren lokalen Computer heruntergeladen wurden, sowie eine Kopie Ihrer Datenbank.

Installieren Sie als Nächstes eines der vielen kostenlosen Malware-Scanner-Plugins im offiziellen kostenlosen Plugin-Repository von WordPress. Aktivieren Sie es und prüfen Sie, ob Sie die Infektionsquelle finden können. Wenn Sie eine technische Person sind, können Sie den Code oder die Skripte möglicherweise selbst entfernen. Überprüfen Sie unbedingt alle Ihre Themendateien, und möglicherweise müssen Sie auch WordPress neu installieren.

Wenn Ihre WordPress-Kerndateien infiziert sind, können Sie die Infektionsquelle am besten entfernen, indem Sie die gesamten Ordner (und Inhalte) von wp-admin und wp-include sowie alle Dateien im Stammverzeichnis Ihrer Website löschen. Löschen Sie im Ordner “wp-content” sowohl die Themen- als auch die Plugin-Ordner (behalten Sie die Uploads bei, die Anhänge und Bilder enthalten, die Sie hochgeladen haben). Da Sie eine lokale Kopie Ihrer Website haben, können Sie das Thema neu installieren und wissen, welche Plugins installiert wurden.

Das Beste, was Sie an dieser Stelle tun können, ist, eine neue Kopie von WordPress herunterzuladen und zu installieren. Verwenden Sie die lokale Kopie der Datei wp-config.php, um eine Verbindung zu Ihrer vorhandenen Datenbank herzustellen. Sobald Sie dies getan haben, möchten Sie sich vor der Neuinstallation Ihres Themas und Ihrer Plugins möglicherweise einmal bei Ihrem wp-admin-Dashboard anmelden und zu “Extras-> Exportieren” gehen und eine vollständige Kopie aller Ihrer Inhalte, Kommentare, Tags und Kategorien exportieren und Autoren. Jetzt (wenn Sie möchten) können Sie an diesem Punkt die gesamte Datenbank löschen, eine neue erstellen und Ihren gesamten Inhalt importieren, sodass Sie eine völlig neue Kopie von WordPress und einer neuen Datenbank erhalten. Installieren Sie anschließend Ihr Thema und die neuen Kopien aller Plugins aus dem offiziellen WordPress-Repository neu (verwenden Sie nicht die von Ihnen heruntergeladenen lokalen Kopien).

Wenn diese Schritte für Sie zu technisch sind oder die Infektionsquelle nicht entfernt wurde, müssen Sie möglicherweise die Hilfe eines WordPress-Sicherheitsexperten in Anspruch nehmen.

Vorbeugende Wartung Vorwärts

Wenn Ihre Website für Sie wichtig ist oder wenn Sie sie für geschäftliche Zwecke verwenden, ist es wichtig, dass Sie sie so schützen, als wäre es Ihr physisches Geschäft. Würde es passieren, wenn Ihre Website morgen nicht verfügbar oder außer Betrieb wäre? Würde es Ihrem Geschäft schaden? Ein wenig vorbeugende Medizin reicht weit:

Sicherungs- und Notfallwiederherstellungsplan: Stellen Sie sicher, dass eine funktionierende und getestete Sicherungslösung vorhanden ist (dies wird von den meisten Unternehmen als Notfallwiederherstellungsplan bezeichnet). Es gibt viele kostenlose und kostenpflichtige Plugins und Lösungen, um dies für eine WordPress-Website zu erreichen.

Grundlegende Sicherheit installieren: Wenn Sie kein WordPress-Sicherheits-Plugin installiert haben, holen Sie sich noch heute ein hoch bewertetes und kürzlich aktualisiertes Plugin aus dem offiziellen kostenlosen Plugin-Repository, um Ihre Website zu schützen. Wenn Sie dies nicht alleine tun möchten oder keine Person auf einer technischen Website haben, beauftragen Sie einen WordPress-Berater oder Sicherheitsexperten, dies für Sie zu tun.