Woran erkenne ich, dass meine WordPress-Seite gehackt ist?

Eine saubere WordPress-.htaccess ist kurz — etwa zehn Zeilen Rewrite-Regeln für Permalinks. Wenn Ihre Datei Weiterleitungen, PHP-Handler-Overrides, bedingte Regeln für Googlebot oder .htaccess-Dateien in Verzeichnissen enthält, in denen sie nichts zu suchen haben, stimmt etwas nicht.

Regeneriert WordPress die .htaccess nicht von selbst?

Nur den Standard-Permalink-Block. Alles, was ein Angreifer außerhalb dieses Blocks angehängt hat, bleibt erhalten, sofern es nicht ausdrücklich entfernt wird.

Was, wenn ich keinen Shell-Zugriff habe?

I can work over SFTP and the WordPress admin if needed. Shell access makes things faster, but it’s not a requirement.

Wie hat der Angreifer Zugriff auf die .htaccess bekommen?

Entweder über ein verwundbares Plugin, das hineingeschrieben hat, oder über gestohlene FTP/SFTP-Zugangsdaten. Der Bericht zeigt, welches.

// PHARMA-HACK · WORDPRESS · BEREINIGT

.htaccess malware removal.

Wenige Zusatzzeilen in der .htaccess leiten jeden mobilen Besucher um, lassen PHP aus dem Upload-Ordner laufen oder verstecken Spam-Seiten vor Ihnen, während Google sie sieht. Wir bereinigen sie und härten sie ab. Pauschal 279 $.

Bereinigung starten → Was haben Angreifer mit der SQLi gemacht?

§ 01 — MECHANISMUS

.htaccess ist klein, mächtig und leicht zu übersehen.

WordPress nutzt .htaccess nur für hübsche Permalinks — eine Handvoll bekannter Zeilen. Angreifer hängen Rewrite-Regeln, ErrorDocument-Handler und PHP-Execution-Overrides an, die Traffic umlenken und Code ausführen lassen, wo er nicht hingehört.

Es kann mehr als eine .htaccess in Ihrer Installation geben. Wir listen jede Kopie im Dateisystem, vergleichen sie mit dem WordPress-Standard und bereinigen oder entfernen jene, die nicht hingehören.

// .htaccess — typischer Anhang eines Angreifers

01 
02   RewriteCond %{HTTP_USER_AGENT} mobile [NC]
03   RewriteCond %{HTTP_REFERER} google\.com [NC]
04   RewriteRule .* https://evil.example/ [R=302,L]
05 
06
07 // A 302 conditioned on mobile + Google referrer
08 // is the signature of a cloaked redirect hack.

§ 02 — WAS WIR ENTFERNEN

Jede .htaccess der Installation, geprüft.

[ PLUGIN-TRIAGE ]

Jede .htaccess im Dateisystem wird gefunden und gelesen — Root, wp-admin, wp-content, uploads, manchmal welche, von denen Sie nichts wussten.
[ REWRITE-REGELN ]

Schädliche Rewrite-Regeln und Weiterleitungsdirektiven entfernt. Der WordPress-Standardblock wird wiederhergestellt.
[ PHP-HANDLER ]

AddHandler- und AddType-Direktiven, die PHP in uploads oder Theme-Verzeichnissen ausführen lassen — entfernt.
[ ABSICHERUNG ]

Schutzregeln ergänzt: direkter Zugriff auf wp-config.php verboten, PHP-Ausführung in uploads blockiert, xmlrpc.php eingeschränkt.
[ GOOGLE-SUCHE ]

Antrag auf erneute Prüfung bei Google Safe Browsing eingereicht. Indexierung der betroffenen URLs über die Search Console angefragt.
[ BERICHT ]

Forensischer Bericht in verständlicher Sprache, Eintrittsvektor identifiziert, Vorher/Nachher jeder .htaccess enthalten.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →