Im ersten Teil des Beitrags hatten wir festgestellt, über welchen Weg die Spam-Attacke Einzug halten konnte und welche fatalen Auswirkungen dies auf den Internetauftritt des Webseiteninhabers hatte.
Über das WordPress-Plugin BackWPup konnte auch ohne den sonst notwendigen Datenbankzugriff ein Backup der Datenbank erfolgen und damit eine weitergehende Analyse der Datenbank stattfinden.

Der zweite Teil beschäftigt sich mit der Beseitigung der Spam-Seiten und gibt Ihnen Tips, damit Ihre Webseite auch zukünfig sauber bleibt.

Beseitigung

Die unerwünschten Plugins konnten einfach und problemlos gelöscht werden. Schwieriger war die Beseitigung der Spam-Seiten, zumal der Datenbankzugriff via phpMyAdmin nach wie vor nicht möglich war.
Abhilfe konnte das Plugin WP-DBManager schaffen.

Abbildung 3: WP-DBManager

Damit wurde zunächst ein Backup erzeugt, um danach die durch den Angriff erzeugten Tabellen zu löschen.

Abbildung 4: Löschen unerwünschter Tabellen

Bei der wp_post-Tabelle wollten wir etwas vorsichtiger sein, um nicht auch die „echten“ Seiten zu löschen.

Wie im ersten Teil bereits erwähnt, wurden alle Spameinträge mit der post_author id = 0 erstellt.

Das WP-DBManager-Plugin erlaubt auch direkt die Ausführung von SQL-Befehlen.

Abbildung 5: SQL-Fenster des WP-DBManager

Mit dem entsprechenden Delete-Statement konnten daher gezielt die Spameinträge gelöscht werden.
Nach der Säuberung der Daten wurde die Datenbank zurück gespielt und die Webseite war wieder in einwandfreiem Zustand.

Die Änderung der WordPress-User Passwörter sollten Sie selbstverständlich keinesfalls vergessen.

Fazit

Auch ohne den direkten Zugang zur WordPress Datenbank ist im Falle einer Hackerattacke die schnelle Bereinigung eines WordPress-Auftritts möglich. Mit entsprechenden Plugins erstellen Sie Backups der Datenbank und löschen unerwünschte Einträge.
Allerdings sollten Sie sobald wie möglich die kompromittierten Daten aus der WordPress-Installation entfernen bzw. bereinigen. Und natürlich sollte auch hier das Passwort für den ftp-Zugang geändert werden.

Sie können also Ihren Webauftritt nach einer derartigen Attacke noch retten.

Am besten aber, Sie lassen es erst gar nicht so weit kommen. Denn der Hinweis der Google-Suche, dass Ihre Webseite möglicherweise gehackt wurde, sorgt nicht gerade für Vertrauen bei Ihren Kunden.

Kümmern Sie sich deshalb regelmäßig darum, dass Ihre Webpräsenz den aktuellen Softwarestand hat. Auch die installierten Plugins sollten regelmäßig auf neue Versionen überprüft werden.
Mit dem site:Befehl können Sie zudem ohne großen Aufwand einen schnellen Check Ihrer Seiten durchführen.
Wenn Sie das nicht selbst erledigen können, dann suchen Sie sich einen kompetenten und verlässlichen Partner.

Wir unterstützen Sie gerne. Nehmen Sie einfach Kontakt zu uns auf.