„Hilfe mein WordPress hat einen Virus“ ich bekomme ein mulmiges Gefühl in der Magengegend. Mal davon Abgesehen das WordPress keinen klassischen Virus haben kann, sonder wahrscheinlich eher php-Scripts die Spam-E-Mails verschicken – Doch hier steht viel Arbeit am Spiel.
Der Webshoster hat meinem Kunden den Zugriff gesperrt. Nach etwas hin und her, Rücksprache mit dem Webhoster, erfahre ich welche Dateien infiziert sind. Es stellt sich heraus, dass alle 5 Präsenzen betroffen sind. Das heißt 5x WordPress, 5x 2 Jahre Arbeit, 5x verschiedene Plugins, 5x viele Fotos, 5x viele Texte. Zum Verzweifeln. Nach der Rücksprache mit dem Hoster, beschließe ich eine Rückstellung auf eine alte Sicherung. Die letzte Sicherung, die auch beim Kunden vor Ort aufliegt, gibt’s natürlich vom August 2013. Der Hoster sichert aber 14 Tage zurück. Puhhh, schon mal Glück gehabt.
Bei der ersten Rückstellung 4 Tage zurück, haben wir eine infizierte Version wiederhergestellt. !NEIN! Also nochmal den kompletten FTP löschen und wieder Rückspielen, diesmal 10 Tage. Siehe da die Wiederherstellung hat funktioniert, kein Schadcode mehr. Passwörter ändern Sicherheitslücken schließen. Nach 4,5 Stunden laufen wieder alle Seiten, am aktuellen Stand. So und jetzt erst mal in Ruhe eine Sicherung ziehen. 🙂
Was mache ich bei einem „Virusbefall“?
Sollte Euer WordPress befallen sein, nur keine Panik. Wichtig ist Ruhe bewaren, dann Schritt für Schritt die folgenden Punkte abarbeiten. Nichts vorziehen oder auslassen.
- Datensicherung der infizierten Dateien über FTP.
- Löschen aller Dateien am FTP
- Wiederherstellung eines Backups – vor der Infizierung
- Überprüfen ob das Backup wirklich nicht infiziert war
- FTP-Passwort ändern (zuerst in der Rechnungsoberfläche beim Hoster, dann im FTP-Programm)
- SQL-Passwort ändern (zuerst in der Rechnungsoberfläche beim Hoster, dann über die wp-config.php = liegt im root-Verzeichnis am FTP)
- WordPress auf den aktuellen Stand bringen
- PlugIns auf den aktuellen Stand bringen
- Alle Benutzerpasswörter ändern
Peter Linzbauer arbeitete viele Jahre als Trainer für das Institut 2F Informatik. Seit 2014 hat er ein großes Aufgabenfeld bei der Firma Archäologischer Dienst GesmbH erhalten. Im Internet ist er als Technik-Blogger und OpenSource-Aktivist unterwegs.