Gehackte Website in 4h wiederhergestellt

Ausgangslage

Am Montagmorgen stellte die Kanzlei RA Müller & Partner fest, dass ihre WordPress-Website auf eine Casino-Seite weiterleitete. Google zeigte bereits die Warnung "Diese Website wurde möglicherweise gehackt" in den Suchergebnissen. Der Hosting-Provider hatte die Seite gesperrt. Die Kanzlei hatte keinen IT-Verantwortlichen und kein aktuelles Backup. Die letzte WordPress-Aktualisierung lag 14 Monate zurück, und ein veraltetes Plugin (Contact Form 7 in Version 5.1) hatte eine bekannte Sicherheitslücke, über die der Angreifer eingedrungen war.

Vorgehen

Nach Eingang der Notfall-Anfrage um 09:15 Uhr haben wir sofort reagiert. Schritt 1: Hosting-Provider kontaktiert und temporären Zugang erhalten. Schritt 2: Forensische Analyse — 47 infizierte PHP-Dateien identifiziert, darunter 3 Backdoors in wp-includes und wp-content/uploads. Schritt 3: WordPress Core komplett neu installiert, alle Plugins gelöscht und frisch installiert, Theme aus sauberem Backup wiederhergestellt. Schritt 4: Datenbank bereinigt — SEO-Spam in 230 Beiträgen entfernt, Admin-Benutzer überprüft, Sicherheitsschlüssel erneuert. Schritt 5: Wordfence Firewall installiert, 2FA für alle Benutzer aktiviert, Dateiberechtigungen gehärtet, automatische Updates aktiviert.

Ergebnis

Die Website war um 13:10 Uhr — 4 Stunden nach der Anfrage — vollständig wiederhergestellt und abgesichert. Die Google-Warnung wurde innerhalb von 48 Stunden entfernt. Der Hosting-Provider hat die Sperre aufgehoben. Seitdem ist die Seite durch den installierten Wartungsvertrag (Business-Paket) geschützt: wöchentliche Updates, tägliche Backups, 24/7 Malware-Monitoring. Es gab seither keinen weiteren Sicherheitsvorfall.