Eines Tages wachst du auf und stellst fest, dass dein WordPress gehackt wurde. Die Startseite zeigt vielleicht einen Totenschädel und verhöhnt dich, weil du eventuell den einen Fehler begangen hast, der dem Hacker Zugriff gewährte. Jetzt hast du ein echtes Problem, denn egal welche Benutzernamen- und Passwort-Kombination du ausprobierst, du kommst einfach nicht mehr in den Adminbereich deiner Website. Bleib cool, auch auf diese Frage hat Dr. Web eine Antwort.
Natürlich funktioniert der Trick, den ich dir gleich zeigen werde, auch bei vergessenen Zugangsdaten. Was immer das Problem ist, egal wodurch du keinen Zugriff mehr auf deinen Admin-Account hast, es ist lösbar.
Wenn du keine Backups für deine Website hast, die du wieder einspielen könntest, dann musst du dir anders zu helfen wissen. Hast du allerdings eine gute Backup-Strategie, dann kannst du mit nur wenigen Klicks deine Website wiederherstellen. Wenn nicht, dann verfahre wie folgt:
Neue Zugangsdaten anlegen in phpMyAdmin
In circa 98 Prozent aller Fälle wird ein Hacker nicht alle Bereiche einer Website oder eines Servers kompromittieren wollen oder gar können. Du wirst also jederzeit Zugriff auf phpMyAdmin haben und damit auf deine Datenbank, welche von WordPress genutzt wird.
Wenn du auch keinen Zugriff mehr auf deinen Server / dein Webhostingpaket haben solltest, dann kontaktiere den Support deines Hosters.
Die Zugangsdaten stehen übrigens in der wp-config.php, falls du sie vergessen haben solltest. Logge dich mit diesen Zugangsdaten also in deine phpMyAdmin-Oberfläche ein. Wähle dann die richtige Datenbank aus, falls du mehrere Websites hast.
Mache nun ein manuelles Backup deiner Datenbank, damit du sie wieder importieren kannst, wenn du bei der folgenden Arbeit einen kapitalen Fehler machen solltest.
Jetzt geht es an das Eingemachte. Wir werden neue Zugangsdaten in der Datenbank anlegen, damit du schnell wieder Zugriff bekommst und deine Website wieder herstellen kannst.
Neue Zugangsdaten in der Datenbank setzen
Klicke auf der linken Seite auf die Tabelle wp_users. Bitte beachte, dass deine Tabelle auch anders heißen könnte, wenn du ein abweichendes Datenbank-Präfix als wp_ nutzt. Vielleicht heißt die Tabelle dann meinblog_users. Auch das kannst du aus der wp-config.php erfahren.
In der oberen Zeile klickst du auf den ersten Menüpunkt namens »Anzeigen«. Jetzt siehst du die Benutzer-Accounts und klickst bei deinem Administrator auf »Bearbeiten«.
Setze jetzt eine funktionierende E-Mail-Adresse in das Feld mit der E-Mail und speichere die Daten ab. Trage Sorge dafür, dass du auf diese E-Mail-Adresse wirklich Zugriff hast und damit auch Mails empfangen kannst.
Ein neues Passwort anfordern
Nachdem Du eine neue E-Mail-Adresse gesetzt hast, kannst du dich aus phpMyAdmin ausloggen und rufst den Adminbereich deiner Website mit der folgenden URL auf:
http://deine-website.de/wp-login.php
Nutze jetzt die WordPress-Funktion für ein vergessenes Passwort. Klicke auf »Passwort vergessen« und gebe in das sich nun öffnende Fenster deine soeben gesetzte E-Mail-Adresse ein.
WordPress sendet dir automatisch ein neues Passwort an die von dir in die Datenbank eingetragene E-Mail-Adresse zu. Somit hast Du wieder vollen Zugriff auf deine Website und kannst sie von Schadcode befreien.
Bitte wähle, nachdem du dich wieder einloggen kannst, ein wirklich sicheres Passwort mit mindestens 10 – besser 12 – Stellen, Buchstaben, Zahlen, sowie Groß- und Kleinschreibung. Mit einem vernünftigen Passwort machst du es dem nächsten Hacker sehr viel schwerer, in deine Website einzudringen.
Auf ein Wort: Die richtige Backup-Strategie
Die ganze Prozedur, die du soeben zu machen hattest, konnte nur geschehen, weil du deine Website nicht ausreichend gesichert oder nicht auf dem neuesten Stand gehalten hast. Ich weiß, das ist hart, solche Worte zu hören. Und doch ist es die Wahrheit.
Niemand muss es so einfach hinnehmen, dass sein Blog gehackt wurde. Du kannst viel dafür tun, das zu verhindern. Alles beginnt mit den Updates. Halte deine Seite, die Plugins und Themes immer auf dem neuesten Stand. Damit schließt du Sicherheitslücken. Sorge für eine optimale .htaccess-Datei, die es Hackern fast unmöglich macht, in den Blog einzudringen. Nutze ein wirklich sicheres Passwort. So wirst du in Zukunft wesentlich besser schlafen können.
Weiterführende Informationen:
Dr. Web: Mehr Speed, mehr Sicherheit: die optimale .htaccess
Meine Empfehlung für ein regelmäßiges Backup
Es gibt nichts wichtigeres als einen guten Backup-Dienst. Ja, einen Dienst, kein Plugin. Ein Plugin erfordert Fachwissen und Zeit bei einer Wiederherstellung eines Blogs. Zudem sichern die meisten Plugins ihre Backups auf dem eigenen Server. Ich arbeite bereits seit Jahren mit VaultPress, einem kostenpflichtigen Dienst aus dem Hause Automattic, der Firma hinter WordPress. Diesen Dienst möchte ich dir ans Herz legen.
Für nur 5 US-Dollar im Monat bekommst du tägliche Backups, die du mit einem Klick wiederherstellen kannst. Die Daten werden nicht auf deinem Server gesichert, sind also bei einem Angriff auf deinen Server immer vorhanden. Zudem benötigt VaultPress keine Zugangsdaten zur Website, sondern nur die Daten für den (S)FTP-Zugang. Du bekommst auch die Wahl, was genau wiederhergestellt werden soll: die ganze Installation inklusive WordPress, oder einzelne Dateien.
Für die Registrierung und den Abschluss eines Vertrags benötigst du ein WordPress.com Konto und eine Kreditkarte, wobei auch Prepaid-Kreditkarten wie die von Number26 akzeptiert werden.
Weiterführende Informationen:
(dpe)