Services

Website gehackt? Malware-Bereinigung & Härtung für Joomla und WordPress

Schnelle, gründliche Bereinigung kompromittierter Websites — Schadcode entfernen, Einfallstor schliessen, System härten und gegen erneute Angriffe absichern. Diskret und ohne Datenverlust.

Ablauf

So arbeiten wir

  1. 1

    Sofort-Isolation & Bestandsaufnahme

    Sobald ein Hack bestätigt ist, zählt jede Stunde: Suchmaschinen blacklisten infizierte Seiten schnell, und aktiver Schadcode kann Besucher gefährden. Im ersten Schritt schützen wir laufende Schäden: Falls nötig, wird die Website in den Wartungsmodus versetzt oder temporär vom Netz genommen. Wir sichern den aktuellen Zustand (infizierte Dateien und Datenbank) als forensisches Backup — vollständig und unverändert. Parallel erstellen wir eine Bestandsaufnahme: Welche Dateien wurden wann geändert? Gibt es auffällige Einträge in Datenbank-Tabellen? Welche Nutzerkonten existieren? Was zeigen die Server-Logs für die letzten Tage und Wochen?

    Resultat: Website gesichert oder isoliert, forensisches Backup erstellt, erste Schadenübersicht vorhanden.

  2. 2

    Forensische Analyse (Einfallstor finden)

    Ohne Ursachenanalyse ist jede Bereinigung vergebens — der Angreifer nutzt dasselbe Einfallstor wieder. Wir durchsuchen Server-Logs (Apache/Nginx Access- und Error-Log, PHP-Error-Log) nach verdächtigen Requests: POST-Requests auf unübliche Dateien, Zugänge zu bekannten Shell-Uploads, Brute-Force-Spuren im CMS-Login. Dateiänderungszeitpunkte (find -newer) helfen, den initialen Einbruchszeitpunkt einzugrenzen. Häufige Einfallstore: veraltete Joomla- oder WordPress-Core-Versionen, ungepatchte Plugins (insbesondere File-Manager, Formulare, SEO-Plugins), schwache FTP- oder Admin-Passwörter, kompromittierte Zugangsdaten im Entwicklerumfeld, Shared-Hosting-Übergriffe über schlecht isolierte Nachbar-Accounts.

    Resultat: Dokumentiertes Einfallstor und Zeitlinie des Angriffs — Grundlage für gezielte Bereinigung und Härtung.

  3. 3

    Bereinigung (Schadcode & Backdoors entfernen)

    Die eigentliche Bereinigung ist handwerkliche Detailarbeit, kein einmaliger Scan. Wir vergleichen alle Kerndateien des CMS gegen bekannte saubere Versionen (Checksummen-Vergleich für Joomla- und WordPress-Core), suchen in PHP-Dateien nach obfuskiertem Code (base64_decode, eval, gzinflate, str_rot13-Ketten), prüfen Theme- und Plugin-Dateien auf injizierte Backdoors, durchsuchen die Datenbank nach Spam-Links, URL-Injections in Inhaltsfeldern und unbekannten Admin-Benutzern. Webshells (PHP-Dateien, die Remote-Ausführung erlauben) werden gezielt aufgespürt — sie verstecken sich oft in Upload-Verzeichnissen, Cache-Ordnern oder als vermeintliche Bilddateien. Defaced Dateien werden durch saubere Versionen ersetzt, Datenbank-Injections revertiert.

    Resultat: Alle bekannten Schadcode-Instanzen und Backdoors entfernt, Kerndateien mit sauberer Referenzversion abgeglichen.

  4. 4

    Härtung & Absicherung

    Eine bereinigte Website ohne Härtung ist ein offenes Schloss. Wir setzen konkrete Massnahmen: CMS-Core, alle Plugins und Themes auf aktuelle Versionen aktualisieren, ungenutzte Plugins und Themes vollständig entfernen (nicht nur deaktivieren), Dateiberechtigungen prüfen und korrigieren (Dateien 644, Verzeichnisse 755, wp-config.php / configuration.php 440), Schreibrechte auf Core-Verzeichnisse entziehen, 2FA (Zwei-Faktor-Authentifizierung) für alle Admin-Konten einrichten. Passwörter sämtlicher privilegierten Zugänge rotieren: CMS-Admin, FTP, Datenbank, Hosting-Panel. WAF (Web Application Firewall) auf Wunsch einrichten — entweder serverseitig über .htaccess-Regeln oder als Cloud-WAF (Cloudflare, Sucuri). Standard-Adminnamen (admin, administrator) umbenennen.

    Resultat: Gehärtete Umgebung mit aktualisierten Komponenten, rotierte Zugangsdaten, 2FA aktiv, WAF optional konfiguriert.

  5. 5

    Monitoring & Nachkontrolle

    Nach der Bereinigung folgt die Verifikation: Website vollständig online testen, Google Search Console auf manuelle Massnahmen und Blacklist-Einträge prüfen, Safe-Browsing-Status bei Google und Bing Webmaster Tools kontrollieren. Falls die Website auf Googles Blacklist gelandet ist, stellen wir den Antrag auf Review (Google Search Console → Sicherheitsprobleme) mit Dokumentation der durchgeführten Bereinigungsschritte. Wir empfehlen, nach der Bereinigung ein proaktives Monitoring einzurichten — für nachhaltige Absicherung ist unser SLA-Monitoring der logische nächste Schritt. Das passende Hosting-Fundament für sichere Websites bieten unsere Webhosting-Pakete auf Schweizer Infrastruktur.

    Resultat: Website sauber online, Google-Blacklist-Removal beantragt (falls nötig), Monitoring-Empfehlung dokumentiert.

Leistungen

Was Sie erhalten

Notfall-Reaktion

Schnelle Erstreaktion bei bestätigtem Hack: Isolation, forensisches Backup, erste Lageeinschätzung — damit sich der Schaden nicht weiter ausbreitet.

Malware- & Backdoor-Entfernung

Manuelle Bereinigung aller Schadcode-Instanzen, Webshells und versteckten Backdoors — inklusive Datenbankbereinigung bei SQL-Injections und Spam-Einträgen.

Forensische Ursachenanalyse

Log-Auswertung und Dateianalyse zur Identifikation des genauen Einfallstors — Pflicht, damit die Bereinigung nachhaltig ist.

System-Härtung

CMS-Update, Plugin-Bereinigung, Dateirechte, 2FA-Einrichtung, Passwort-Rotation und optionale WAF — strukturelle Massnahmen gegen Wiederholungsangriffe.

Google-Blacklist-Removal

Antrag auf Google Safe-Browsing-Review nach abgeschlossener Bereinigung, inklusive Dokumentation der Massnahmen für den Review-Prozess.

Optionales Folge-Monitoring

Nach der Einmal-Bereinigung auf Wunsch in ein regelmässiges SLA-Monitoring überführen — mit Uptime-Check, Security-Scan und garantierten Reaktionszeiten.

FAQ

Häufige Fragen

  • Meine Website ist gehackt — was soll ich jetzt tun?

    Zuerst ruhig bleiben und handeln, bevor sich der Schaden ausweitet. Sofortmassnahmen: Alle Passwörter für CMS-Admin, FTP, Datenbank und Hosting-Panel sofort ändern. Falls möglich, die Website in den Wartungsmodus versetzen, damit Besucher keinen Schadcode ausgeliefert bekommen. Ein aktuelles Backup sichern, bevor irgendetwas geändert wird — auch ein infiziertes Backup ist für die forensische Analyse wertvoll. Danach Cyberdine kontaktieren: Wir übernehmen Analyse, Bereinigung und Härtung.

  • Wie schnell könnt ihr nach einem Hack helfen?

    Wir bemühen uns, dringende Hack-Bereinigungen innerhalb von 24 Stunden zu starten. Bei laufendem SLA-Vertrag gelten kürzere garantierte Reaktionszeiten. Die Dauer der vollständigen Bereinigung hängt vom Ausmass des Schadens ab: Eine einfache WordPress-Site mit isolierter Plugin-Backdoor ist oft in ein paar Stunden sauber. Eine komplexe Joomla-Installation mit Datenbankinjection, mehreren Backdoors und unbekanntem Einfallstor kann einen bis zwei Arbeitstage in Anspruch nehmen.

  • Verliere ich meine Daten durch die Bereinigung?

    In der Regel nein. Wir erstellen vor jeder Bereinigung ein vollständiges Backup des infizierten Zustands und arbeiten gezielt: Schadcode wird entfernt, legitime Inhalte bleiben erhalten. Bei Datenbankbereinigungen (Spam-Links, injizierte Inhalte) isolieren wir die betroffenen Einträge und stellen sicher, dass nur Schadcode entfernt wird. Echten Datenverlust gibt es nur in seltenen Fällen, wenn der Angreifer Daten aktiv gelöscht oder verschlüsselt hat — dann ist ein sauberes Backup die einzige Lösung.

  • Wie verhindere ich, dass meine Website erneut gehackt wird?

    Die häufigsten Wiederholungsangriffe passieren, weil das ursprüngliche Einfallstor nicht geschlossen wurde. Nachhaltige Prävention besteht aus vier Elementen: CMS-Core und alle Plugins konsequent aktuell halten (ungepatchte Plugins sind der häufigste Angriffsvektor), starke und einzigartige Passwörter mit 2FA für alle Admin-Zugänge, restriktive Dateirechte und möglichst keine Schreibrechte auf Core-Verzeichnisse, sowie regelmässige Sicherheits-Scans und Backups. Ein SLA-Monitoring-Vertrag übernimmt diese Aufgaben automatisiert.

  • Bereinigt ihr auch ältere Joomla-Installationen?

    Ja. Wir kennen die Eigenheiten älterer Joomla-Versionen (2.5, 3.x) und deren häufig ausgenutzter Schwachstellen gut. Bei sehr alten Installationen, die nicht mehr updatefähig sind (z.B. Joomla 2.5 mit inkompatiblen Extensions), führen wir die Bereinigung durch und empfehlen im Anschluss eine Migration auf eine aktuelle Version oder ein anderes CMS — denn eine alte, nicht patchbare Plattform ist strukturell unsicher, egal wie sorgfältig man sie bereinigt.

  • Kann ein Hack über Shared Hosting auf meinen Account übergreifen?

    Ja, sogenannte Shared-Hosting-Übergriffe (Cross-Account-Contamination) sind real, wenn der Hoster keine konsequente PHP-User-Trennung (PHP-FPM mit separaten System-Usern pro Account, open_basedir-Restrictions) betreibt. Das ist einer der Gründe, warum wir für Kundenprojekte ausschliesslich Hosting mit sauber isolierten Accounts betreiben. Wenn Sie auf einem Shared-Hosting ohne diese Trennung laufen, ist ein Umzug auf eine sichere Infrastruktur Teil der Härtungsempfehlung.

Bereit loszulegen?

Wir beraten Sie unverbindlich und erstellen ein massgeschneidertes Angebot.

Angebot anfordern Support-Ticket